Alternativa correta: E - http_access deny !permitido
http_access allow all

O Squid é um dos proxies mais utilizados no gerenciamento de acesso a recursos da web. Ele permite a criação de regras de controle de acesso para definir quais requisições são permitidas ou negadas. Para isso, utiliza-se a diretiva http_access em conjunto com listas de controle de acesso (ACLs).

Na questão apresentada, o administrador de redes deseja configurar o Squid para que apenas as portas TCP 80 e 443 sejam acessíveis pelos usuários. Para isso, foram definidas as seguintes ACLs:

• acl all src all - Define que todas as fontes de requisição são abrangidas.
• acl permitido port 80 - Define que as requisições para a porta 80 são permitidas.
• acl permitido port 443 - Define que as requisições para a porta 443 são permitidas.

Para garantir que apenas estas portas sejam acessíveis, as linhas da diretiva http_access devem ser configuradas da seguinte forma:

http_access deny !permitido - Esta linha nega todo o tráfego que não corresponda às portas 80 ou 443, conforme definido na ACL 'permitido'.

http_access allow all - Após negar o tráfego não permitido, esta linha permite o tráfego de todas as outras requisições (que incluem as portas 80 e 443 já permitidas pela ACL anterior).

Portanto, a alternativa correta é a Alternativa E, pois ela configura corretamente o Squid para permitir apenas o acesso às portas TCP 80 e 443, negando o acesso a qualquer outra porta.

Vamos revisar as outras alternativas para entendermos por que estão incorretas:

• A - http_access allow permitido
  http_access allow all: Esta configuração permitiria todas as requisições sem restrição, já que a segunda linha (allow all) anula qualquer restrição aplicada.
• B - http_access allow !permitido
  http_access allow all: Esta linha inicial permite o tráfego que não corresponde às portas 80 e 443, que é o oposto do desejado.
• C - http_access allow !permitido
  http_access deny all: Semelhante à alternativa B, a primeira linha permite o tráfego não desejado, e a segunda linha nega todo o tráfego, o que não corresponde à exigência do administrador.
• D - http_access deny !permitido
  http_access deny all: Esta configuração nega todas as requisições, inclusive aquelas para as portas 80 e 443, o que não atende ao requisito do administrador.

Espero que essa explicação tenha esclarecido suas dúvidas! Se precisar de mais ajuda, estou à disposição.

Eu não concordo com o gabarito dessa questão:

http_access deny !permitido - essa linha está correta

http_access allow all - essa linha permite todos os outros acessos - está errado.

Gabarito: Alternativa (E)

·        (A) INCORRETA: libera as portas 80/443. Porém, a linha seguinte libera absolutamente tudo. No Squid, se a primeira não "pegar", a segunda pega. Resultado: Internet escancarada.

·        (B) INCORRETA: libera tudo que NÃO seja 80 ou 443. A linha seguinte libera o resto. Resultado: Inverteu o desejo do administrador.

·        (C) INCORRETA: libera tudo menos a 80/443. O no final bloqueia a 80/443. Resultado: Bloqueou justamente o que deveria liberar.

·        (D) INCORRETA: bloqueia tudo que não seja 80/443. Correto até aqui. Mas o logo abaixo bloqueia o que sobrou (a 80 e a 443). Resultado: Ninguém navega em nada.

·        (E) CORRETA: É a lógica do "Crivo".

1.     : O Squid olha a requisição. Ela é porta 80 ou 443? Não. Então nega (o inverte o alvo).

2.     Se for 80 ou 443, ela passa pela primeira linha ilesa.

3.     : A requisição que sobrou (apenas 80 e 443) é liberada.

1.     O Operador (Negação): O examinador sabe que seu cérebro tenta ler rápido. Ele coloca o para você confundir "Negar o permitido" com "Negar o que não é permitido".

2.     A Ordem das Linhas: No Squid, a regra é "First Match". Assim que uma linha coincide com a requisição, o Squid executa a ação e não lê o resto.

3.     Default Deny: Muitos candidatos esquecem que para garantir que apenas algo funcione, você precisa de uma regra que negue o resto de forma explícita ou implícita.

Administrar o Squid exigirá que você domine o conceito de Filtragem de Portas Seguras.

·        Princípio do Privilégio Mínimo: Você deve bloquear tudo e liberar apenas o necessário.

·        Técnica do Inverso: Usar seguido de é uma forma elegante e curta de garantir que apenas domínios ou portas específicas sejam acessíveis, matando qualquer tentativa de túnel em outras portas logo de cara.