Neste artigo mostraremos como é feito o acesso à Internet através da solução OpçãoLinux PDC. Quem já utilizou a solução deve ter percebido, espero que sim senão não deve ter funcionado, que o servidor será o gateway da rede local, daí a necessidade de duas placas de rede, a eth0 que receberá o link de Internet e a eth1 que será conectada na switch da rede local.

O servidor proverá acesso à Internet para as estações através de um servidor proxy (Squid com proxy transparente) ou através de NAT (Shorewall/Iptables), e fará o controle de acesso por usuário (do domínio) e/ou estação (IP ou nome de máquina). Vejamos então como tudo acontece.

Network Address Translation - NAT

É sabido que para ter acesso a serviços na Internet (sites, e-mails etc.) é necessário possuir um IP válido, no entanto somente o servidor gateway da rede local possui um endereço assim, as estações da rede local não terão IPs válidos e não poderão acessar diretamente a Internet.

Isso é uma meia verdade, pois o servidor pode ter recebido do roteador um IP não válido e estar acessando a Internet através de NAT realizado pelo próprio roteador, mas para o nosso exemplo vamos considerar que o servidor tenha recebido um IP válido que o raciocínio será o mesmo.

Através do NAT, o servidor "empresta" o seu endereço válido para que as estações possam acessar serviços na Internet, essa "mágica" é feita pelo firewall do servidor através uma técnica chamada de mascaramento. Na solução OpçãoLinux PDC, o tráfego para a Internet que não for feito pelo proxy (proxy transparente) será feito via NAT.

Proxy transparente

Para explicar o que significa o proxy transparente, faremos um rápido resumo do que é e como funciona um proxy em uma rede local. O proxy, traduzindo para o português, procurador, é uma aplicação servidora (servidor proxy) que fará o acesso aos serviços da Internet (sites, e-mails etc.) em nome das aplicações clientes (Firefox, Internet Explorer, Outlook etc.).

Assim, quando um proxy é utilizado, as aplicações clientes que desejarem obter dados na Internet deverão fazer suas requisições diretamente ao servidor proxy, que buscará esses dados, os armazenará em cache e depois os encaminhará às aplicações que os solicitou. Repare que não haverá acesso das estações à Internet, todos os acessos à Internet serão feitos pelo proxy.

Quando outras aplicações clientes precisarem obter os mesmos dados, mesmos sites por exemplo, não será necessário buscá-los novamente na Internet, o servidor proxy fornecerá os dados já armazenados em seu cache. Esse procedimento aumentará significativamente a performance da rede, pois poupará o link evitando acessos desnecessários à Internet, além disso, com um proxy ainda podemos implementar regras de controle de acesso através de suas ACLs (access control list), Eureka!

Mas para que tudo isso funcione, todas as aplicações clientes deverão ser configuradas manualmente para utilizarem o proxy, e em uma rede com muitas estações essa não é uma tarefa das mais simples. Há ainda aplicações que não possuem a capacidade de conexão com o proxy, logo não poderão fazer uso desse serviço.

Existe uma maneira de configurar o servidor para que forneça automaticamente os dados do proxy às aplicações clientes da rede local através de um script em javascript chamado wpad.dat, evitando o trabalho de configuração manual, no entanto poucas aplicações clientes são capazes de utilizar esse recuso (que eu saiba, apenas os navegadores Firefox e Internet Explorer podem utilizá-lo).

A boa notícia é que podemos redirecionar as requisições das aplicações clientes automaticamente para o proxy através do firewall do servidor, dando a impressão de que o acesso à Internet está sendo feito via NAT, dessa maneira as aplicações não perceberão que o acesso estará sendo feito na realidade pelo proxy. A essa técnica dar-se o nome de "proxy transparente". A grande vantagem do proxy transparente é que as aplicações não necessitarão de nenhuma configuração adicional e ainda poderemos contar com as vantagens do cache e das ACLs para o controle de acesso.

Na prática, apenas os pacotes tcp destinados à porta 80 (http) serão redirecionados para o proxy, os demais pacotes serão encaminhados à Internet através de NAT, mas para isso protocolos e portas específicos deverão ser abertos no firewall para cada serviço que se deseje permitir.

Proxy autenticado no Squid

Para aprimorar o controle de acesso, podemos implementar o controle por usuário no Squid. Usualmente quando se utiliza o controle de acesso por usuário, também conhecido como proxy com autenticação ou proxy autenticado, é necessário digitar o login do usuário e sua senha sempre que o navegador for iniciado. Em alguns casos, podemos usar os mesmos logins e senhas do domínio (smb_auth e ldap_auth), mas em outros é necessário manter um cadastro de usuário/senha a parte (ncsa_auth), específico para o acesso à Internet (um saco!).

O problema do proxy autenticado no Squid é que sempre que o navegador for iniciado será necessário digitar os dados de autenticação (login/senha), um transtorno para os usuários, além disso, esses dados trafegarão pela rede em texto claro, podendo ser facilmente capturados por um usuário mal intencionado.

Há ainda a possibilidade de utilizar a autenticação do tipo NTLM (ntlm_auth) que utiliza a mesma base de usuários/senhas do domínio e aproveita a autenticação feita nas estações Windows sem a necessidade de digitar login e senha sempre que o navegador for iniciado, mas poucas aplicações clientes reconhecem esse método.

Agora, na minha opinião, a pior notícia, embora bastante útil, o proxy autenticado no Squid é incompatível com o proxy transparente. Assim, infelizmente, ao utilizar autenticação de usuários no Squid, abre-se mão de todas as vantagens proporcionadas pelo proxy transparente.

Proxy autenticado na solução OpçãoLinux PDC

Na solução OpçãoLinux PDC desenvolvemos um método de autenticação próprio, através do uso de ACLs externas do Squid, que aproveita a mesma autenticação do usuário no domínio (em estações Windows que foram ingressadas no domínio), sem a necessidade digitar login e senha no navegador (ou em qualquer outra aplicação), ou seja, basta o usuário logar na estação para que suas permissões de acesso sejam definidas para aquela sessão, assim, ao iniciar o navegador, por exemplo, as regras para o usuário já estarão definidas. E o melhor, nosso método trabalha com proxy transparente, não sendo necessário nenhuma configuração adicional nas aplicações clientes.

Além disso, o método de autenticação da solução OpçãoLinux PDC permite controlar múltiplos logins, quando usuários se logam em mais de uma estação para acessar a Internet. Dessa forma, não será possível que usuários com maiores permissões de acesso forneçam suas senhas para que outros usuários (amigos) com menores permissões possam acessar serviços que não lhes sejam permitidos, como o MSN por exemplo. Com o controle de múltiplos logins, se um usuário logar em mais de uma estação terá o acesso à Internet bloqueado e receberá uma mensagem informando o ocorrido.

A segurança da rede também será aprimorada, já que os dados de autenticação dos usuários (login/senha) não trafegarão pela rede, logo não correrão o risco de serem capturados.

Controle de acesso na solução

Resumindo, na solução OpçãoLinux PDC o controle de acesso poderá ser feito por usuário ou estação, ambos com a utilização de proxy transparente. No controle por usuário, as permissões e restrições de acesso serão feitas de acordo com as regras definidas para o usuário do domínio que efetuou o logon na estação Windows, podendo ser especificadas regras de acesso diferenciadas para cada usuário na ferramenta opl. Já no controle de acesso por estação, o controle será feito por endereço IP (ou nome da máquina), independente do usuário ter ou não efetuado logon no domínio. Este último caso normalmente é usado no acesso à Internet de estações Linux e Windows Home.

Relembrando o que foi dito, apenas as requisições tcp porta 80 (http) serão desviadas para o proxy (proxy transparente), o acesso aos demais protocolos e portas será feito através de NAT e deverá ser liberado no firewall. Como exemplo temos o acesso ao protocolo tcp porta 443 (https) que vem liberado no firewall para todas as estações na instalação padrão da solução (ACCEPT/HTTPS loc net).

O objetivo deste artigo foi esclarecer o funcionamento do acesso à Internet na solução OpçãoLinux PDC, esperamos ter sido claro para os usuários iniciantes e não muito enfadonho para os usuários mais avançados, futuramente daremos maiores detalhes sobre como configurar na prática o controle de acesso através da ferramenta opl.

Comentários (2)

E-jovem proxy
escrito por Marcelo , 20 de junho de 09

Muito interessante esta ferramenta disponibilizada por vocês, estou usando a e-jovem proxy a algum tempo com muito sucesso, gostaria de saber qual a diferença no controle de acesso da solução PDC para a solução e-jovem proxy. Obrigado.

Re: E-jovem proxy
escrito por Tarcísio. , 21 de junho de 09

Como não há um controlador de domínio (PDC) na solução E-jovem Proxy, não será feito o controle de acesso por usuário, o controle será feito apenas por endereço IP ou nome de estação, mas será usado proxy transparente como na solução PDC. Já no acesso direto via NAT, as soluções se comportam da mesma maneira.

Exibir / Ocultar formulário

Escreva seu Comentário

Nome

E-mail

Website

Titulo

Comentário

smaller | bigger

Escreva os caracteres mostrados

Comentar Prévia