segunda-feira, 19 de setembro de 2016

Especificando mais de um objeto em uma ACL do Squid

Se você precisar (vai precisar) especificar mais de uma site em uma ACL, é só usar o parâmetro “-i”. 

acl sites_liberados dstdomain -i ‘/etc/squid3/sites_liberados.lst’

http_access allow sites_liberados

Agora criamos o arquivos /etc/squid3/sites_liberados.lst com os sites que queremos incluir nesta ACL, como no exemplo abaixo.

uol.com.br

google.com
google.com.br

Agora basta reiniciar o Squid e todos os sites estarão liberados. Podemos criar, com isso, categorias de sites e fazer as liberações baseadas nessas categorias. Aliás, antes de partirmos para configurações mais avançadas, precisamos decidir que tipo de política iremos adotar no proxy. Basicamente temos 4 tipos:

Tudo liberado, menos os explicitamente bloqueados. Dependendo do tipo de empresa em que você trabalha, você vai ter que deixar todos os sites liberados e ir bloqueando os acessos a medida que eles aparecem. O problema dessa abordagem é que gasta-se muito tempo analisando logs de acesso e entrando em sites para ver se seu conteúdo é ou não permitido. 

Tudo bloqueado, menos os explicitamente liberados. Em empresas que possuem uma política menos permissiva, bloquear todos os acessos e ir liberando a medida que os usuários forem solicitando pode ser a melhor opção. Porém, isso gera um grande estresse, principalmente no começo, quando uma enorme quantidade de solicitações de liberações de sites surgem. Imaginem ter que liberar site a site em uma pesquisa no Google!

Bloqueios e liberações por categorização dos sites. A idéia desta abordagem é ter uma equipe (ou empresa terceirizada) para categorizar todos os sites. Algumas categorias comuns seriam: redes_sociais, portais, notícias, sexo, namoro, webmail, stream, videos, etc. Dessa forma você pode liberar e bloquear sites por categoria. Lembrando que sites sem categoria, geralmente, devem ser bloqueados. Essa abordagem tem como inconveniente ter uma equipe bem treinada para categorizar os sites, ou confiar na categorização feita por empresa terceirizada. 

Filtro dinâmico. Essa abordagem envolve um mecanismo que analisa todo o site e, de acordo com critérios pré-estabelecidos, pontua a página. Por exemplo, se achar a palavra “sexo” soma 50 pontos; achando um palavrão soma mais 30. Se o site atingir uma determinada pontuação o site é bloqueado automaticamente. Isso permite que se libere sites como Facebook bloqueando os perfis impróprios. O único inconveniente dessa abordagem é a possibilidade de surgirem falsos-positivos, o seja, um site válidos ser classificado como indevido. 

O ideal é utilizar as 4 políticas, tendo sites explicitamente bloqueados e liberados, categorização de sites e filtros dinâmicos. Veremos isso nos próximos posts.