www.baixebr.org Squid e OpenLDAP
SYSADMIN
Acesso mais seguro Use o sistema de autenticação por Digest no Squid e evite a exposição de senhas. por Emanuel dos Reis Rodrigues
Q
uando se fala no aumento de segurança em redes, já nos vêm à mente switches, SSL, TLS ou algum mecanismo baseado em criptografia pesada. Infelizmente, nem sempre conseguimos implementar SSL em tudo. Em redes grandes, onde o gerenciamento não é centralizado, isso se torna ainda mais complicado, pois há sempre alguém usando um hub velho numa sala desconhecida. Os switches estão cada vez melhores, mais robustos e bem mais confiáveis, e os hubs estão tentando ficar mais inteligentes, mantendo seu baixo custo para continuar no mercado. Uma técnica muito utilizada por invasores é o sniffing, que captura dados da rede, geralmente originários
de e destinados a outros usuários. Essa técnica é parcialmente bloqueada por vários switches; porém, os hubs, assim como os switches mais antigos, ainda permitem a captura do tráfego. Esse tráfego pode conter senhas de FTP, HTTP, SMTP, POP3 e qualquer outro serviço que se utilize de senhas para garantir a autenticidade dos usuários sem o uso de uma camada segura.
Centralizando informações
Com o aumento significativo das estruturas e sistemas integrados, o serviço de diretórios é cada vez mais utilizado no ambiente corporativo, fornecendo informações e centralizando a autenticação para diversos outros serviços.
Em uma empresa onde existem vários serviços que solicitam autenticação, sendo necessária uma senha para cada um, os usuários tornariam essa estrutura extremamente complicada. Utilizando o serviço de diretório, o usuário passa a usar apenas uma senha para todos os serviços da empresa. Com isso, cada usuário assume total responsabilidade pelas atividades envolvidas com seu login na rede. O OpenLDAP é um software livre que oferece um serviço de diretórios baseado no protocolo LDAP, e é perfeito para esse tipo de solução. Dentre os serviços existentes em uma rede, o acesso à Internet pode ser destacado pelo uso intenso; utilizando o serviço de diretórios, é possível controlar o acesso dos usuários
Tabela 1: Alguns Mecanismos de Autenticação suportados pelo Squid Categoria
Descrição
ntlm_auth
Normalmente utilizado para atender clientes Windows, que ao fazerem logon na rede passam automaticamente suas credenciais ao Squid, que autoriza ou não o acesso à internet.
external_acl
Qualquer mecanismo de autenticação externa que possa receber parâmetros e retornar ERR ou OK, bastante utilizado para ACLs com grupos de usuários.
negotiate_auth
É um negociador de autenticação nativo do Windows, que também utiliza informações de usuários logados no domínio NT. Pouco utilizado.
digest_auth
Utiliza o protocolo HTTP, em um esquema de desafio e resposta baseado no algoritmo HMAC.
basic_auth
Utiliza o protocolo HTTP, aplicando base64 para o tráfego das senhas.
64
http://www.linuxmagazine.com.br