Configuracion de Servidor Proxy en Windows Server 2003 y Suse Linux 10.1

Presentacin
El presente proyecto se encuentra basado en los conocimientos adquiridos

durante el curso de Taller de Redes y ahora el curso de Telemtica, en la consulta
bibliogrfica y en la informacin recibida por parte de la empresa BERENDSON
S.A.C, con el deseo de brindar un aporte que sirva de base para mayores estudios
e investigaciones
Esperando sepan disculpar los vacos u omisiones involuntarios que el proyecto
presente y en espera de su justo criterio, anticipamos a usted nuestro sincero
agradecimiento por todas las enseanzas brindadas hacia nuestras personas
Trujillo, Octubre del 2006
INTRODUCCIN
El presente proyecto de investigacin titulado CONFIGURACION DE SERVIDOR
PROXY EN WINDOWS SERVER 2003 Y SUSE LINUX 10.1, se ha
desarrollado con el fin de ser orientado al diseo y posible implementacin de
un Servidor Proxy para una red de comunicacin de rea local para la
empresa BERENDSON S.A.C que permita agilizar los procesos e integrar las
diferentes reas funcionales de la organizacin
Para el desarrollo se recopilo la informacin necesaria sobre la organizacin y
requerimientos de conexin de las reas funcionales, la cual luego fue finalizada
teniendo en cuenta la ubicacin de los equipos, los recursos de hardware y
software.
Mediante el anlisis se dieron 2 propuestas para la utilizacin de un Servidor
Proxy, la primera propuesta es configurarlo en el Sistema Operativo Windows
Server 2003, la segunda propuesta es configurarlo en el Sistema Operativo Suse
Linux 10.1.
CAPITULO I
GENERALIDADES DE
LA EMPRESA
1. Generalidades de la empresa
1.1 Resea Histrica
Los comienzos
Don WBA siguiendo una vocacin interna, comenz a difundir la prctica del
deporte. Sin local propio, all por el ao 1960, los primeros cursos de judo y karate
se dictaron en el club libertad, unos meses y luego en la casa de sus suegros en la
independencia 565 (hoy banco del trabajo) hasta que en reunin con sus
hermanos Max, Magda, Sigfredo, decidieron construir el local institucional en
Zepita, esto sucedi el ao 1962 y naci la Fundacin Berendson.
En Zepita
En Zepita se amplia la oferta de disciplinas, siempre pioneros sigui
promocionando el judo, karate, esgrima, box. Por razones de salud de los nios se
muda la familia a Huanchaco, all por el ao 1965. Casi de inmediato se abre all
una sede de la fundacin Berendson cuyo principal merito fue el de organizar el
primer campeonato de caballitos de totora en dos disciplinas: acrobacia y
velocidad.
En Bolognesi
En Zepita funciona hasta el ao 1975, al ao de fallecido don WBA, doa William
decide el traslado del tatami para ser instalado en la parte superior de su casa.
Todo muy precario, pero con el mismo tesn de siempre, se siguieron dictando las
clases de judo y karate. Aqu es cuando nace la Academia Berendson.
Fue en 1985 cuando los herederos de don WBA deciden construir un nuevo local
institucional que constara con piscinas propias para la enseanza y practica de la
natacin.
Desde ese entonces hasta ahora son aos de crecimiento, esfuerzo, alegras y
sinsabores, y ahora nuestro complejo deportivo ofrece a la comunidad trujillana la
posibilidad de practicar natacin, taekwondo, karate, kun fu, basket, voley, bulbito,
tai chi, box tai, marinera, danzas modernas, aikido, en unas instalaciones
mejoradas y en un ambiente humano, calido y de calidad.
Venimos de una raz pionera, innovadora, capaz de riesgo y luchadora. LA
BERENDSON es una institucin , una familia, que debe seguir creciendo en esta
misma huella. Repetir por repetir, relajarse durmindonos en los laureles, no es
compatible con nuestros genes. No basta pertenecer a una gran institucin, hay
que ser grandes con ella.
Direccin empresarial
1.1.1 Visin
Ser lderes en el mercado trujillano, cumpliendo y mejorando los estndares
de enseanza de nuestro servicio y as poder llegar a mercados ms
competitivos a nivel nacional.
1.1.2 Misin
Ser lderes en la enseanza deportiva y competir con mejores estndares
de enseanza que la ciudad haya visto antes.
1.1.3 Objetivos empresariales
Satisfacer las necesidades del diente.
Posicin a la ACADEMIA BERENDSON como una empresa lder.
Mejorar permanentemente la calidad de la ACADEMIA BERENDSON.

Haciendo cada vez mas nadadores de ms alto nivel competitivo.
Desarrollar permanentemente nuevas estrategias de acuerdo a las

necesidades del cliente.
CAPITULO II
ANALISIS Y
PLANTEAMIENTO
PROBLEMATICO
2. Anlisis de la situacin problemtica

2.1 Realidad problemtica
BERENDSON SAC dedicada a la enseanza de distintas disciplinas deportivas,
desarrolla sus actividades en el Jr. Bolognesi 239 ubicada en la ciudad de Trujillo,
departamento de La Libertad, dicha empresa cuenta con una red la cual permite
conectar el conjunto de computadoras distribuidas en las diferentes reas de la
empresa, comparten recursos e informacin.
De acuerdo a la tcnica para la recopilacin de informacin (cuestionarios) se
determinaron los siguientes problemas:
Falta de seguridades la red, estndares internacionales.
Falta de productividad de los usuarios de oficina porque a veces entran a

paginas donde se distraen (Hotmail, Yahoo, etc).
Falta de soporte informtico.
Perdida de tiempo en las tareas diarias.
En base a los problemas de la empresa anteriormente mencionados, hemos

considerado como alternativa de solucin del problema configurar un servidor
Proxy para la red de comunicacin de datos.
2.2 Anlisis del problema
Indisponibilidad de comunicacin en forma inoportuna.
Movimiento insatisfactorio de datos a travs de toda la organizacin.
Proponer una solucin idnea de acuerdo a la magnitud de la organizacin.
Contribuir a cumplir con las polticas de trabajo entre las diferentes reas de la
organizacin.
Aumento del flujo de informacin.
2.3 Enunciado del problema

Cmo integrar y agilizar los procesos de las diferentes reas funcionales de la
empresa BERENDSON SAC?
2.4 Hiptesis
La configuracin de un Servidor Proxy para la red de comunicacin de datos que
permita agilizar los procesos e integrar las diferentes reas funcionales de la
empresa BERENDSON SAC.
2.5 Objetivos
2.5.1 Objetivos generales
Configurar un Servidor Proxy para la red de comunicacin de datos para la
empresa BERENDSON SAC con la finalidad de asegurar los procesos e integrar
sus diferentes reas funcionales optimizando la productividad de los usuarios de la
organizacin.
2.5.2 Objetivos especficos
Configurar el Servidor Proxy para la red de datos.
Definir la topologa de red adecuada a sus necesidades para la empresa

BERENDSON SAC.
Determinar los requerimientos de hardware y software necesarios para un

buen funcionamiento del Servidor Proxy.
Calcular el costo de inversin para la tecnologa propuesta.
Configurar la red de datos.
2.6 Justificacin del problema
La configuracin de un Servidor Proxy para una red de comunicaciones de

datos permitir agilizar los procesos e integrar sus diferentes reas de la
organizacin.
El sistema propuesto cambiar de alguna manera los mtodos tradicionales de

trabajo, la rapidez de las operaciones y la facilidad de interconectar informacin
con otras reas.
Dotar a la institucin de una red moderna tecnolgicamente segura,

incrementando su prestigio e imagen, tan necesario en el medio competitivo de
los negocios y de acuerdo a las actuales exigencias de los usuarios de este
tipo de instituciones.
El desarrollo del proyecto nos permitir obtener una cierta especializacin en la

configuracin de Servidores Proxy para una red de comunicaciones de datos.
Este proyecto servir de base y gua para los otros proyectos posteriores en
BERENSON SAC.
CAPITULO III
MARCO TEORICO
3.1.
Portal de acceso del nivel de aplicacin (PROXY)

Un portal de acceso del nivel de aplicacin es a menudo llamado un Proxy.
Un portal de acceso del nivel de aplicacin provee control nivelado ms alto
en el trfico entre dos redes en que los contenidos de un servicio particular
pueden ser monitoreados y filtrados segn la poltica de seguridad de la
red. Por consiguiente, para cualquier aplicacin deseada, el cdigo
correspondiente del apoderado debe ser instalado en el portal de acceso
para manejar ese servicio especfico de paso a travs del portal de acceso
(vea a Figure 1).
Figura 1
La palabra proxy se usa en muchas situaciones en donde tiene sentido un

intermediario:
El uso ms comn es el de servidor proxy, que es un ordenador que
intercepta las conexiones de red que un cliente hace a un servidor de
destino.
De ellos, el ms famoso es el servidor proxy de web (comnmente
conocido solamente como "proxy"). Intercepta la navegacin de los clientes
por pginas web, por varios motivos posibles: seguridad, rendimiento,
anonimato, etc.
Tambin existen proxys para otros protocolos, como el proxy de FTP

El proxy ARP puede hacer de enrutador en una red, ya que hace de
intermediario entre ordenadores. El Proxy ARP es una tcnica para usar el
ARP para proporcionar un mecanismo de enrutamiento ad hoc.
Ventajas
En general (no slo en informtica), los proxys hacen posibles varias cosas
nuevas:
Control. Slo el intermediario hace el trabajo real, por tanto se pueden

limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy.
Ahorro. Por tanto, slo uno de los usuarios (el proxy) ha de estar equipado
para hacer el trabajo real.
Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede

hacer cach: guardar la respuesta de una peticin para darla directamente
cuando otro usuario la pida. As no tiene que volver a contactar con el
destino, y acaba ms rpido.
Filtrado. El proxy puede negarse a responder algunas peticiones si detecta

que estn prohibidas.
Modificacin. Como intermediario que es, un proxy puede falsificar

informacin, o modificarla siguiendo un algoritmo.
Anonimato. Si todos los usuarios se identifican como uno slo, es difcil

que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo,
por ejemplo cuando hay que hacer necesariamente la identificacin.
Desventajas
En general (no slo en informtica), el uso de un intermediario puede provocar:
Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y

responderlas, es posible que haga algn trabajo que no toque. Por tanto, ha
de controlar quin tiene acceso y quin no a sus servicios, cosa que

normalmente es muy difcil.
Carga. Un proxy ha de hacer el trabajo de muchos usuarios.
Intromisin. Es un paso ms entre origen y destino, y algunos usuarios

pueden no querer pasar por el proxy. Y menos si hace de cach y guarda
copias de los datos.
Incoherencia. Si hace de cach, es posible que se equivoque y d una

respuesta antigua cuando hay una ms reciente en el recurso de destino.
Irregularidad. El hecho de que el proxy represente a ms de un usuario da

problemas en muchos escenarios, en concreto los que presuponen una
comunicacin directa entre 1 emisor y 1 receptor (como TCP/IP).
Funcionamiento
Un proxy permite a otros equipos conectarse a una red de forma indirecta a travs
de l. Cuando un equipo de la red desea acceder a una informacin o recurso, es
realmente el proxy quien realiza la comunicacin y a continuacin traslada el
resultado al equipo inicial. En unos casos esto se hace as porque no es posible la
comunicacin directa y en otros casos porque el proxy aade una funcionalidad
adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una
pgina web) en una cache que permita acelerar sucesivas consultas coincidentes.
Con esta denominacin general de proxy se agrupan diversas tcnicas.
Proxy de web / Proxy cache de web
Se trata de un proxy para una aplicacin especfica: el acceso a la web. Aparte de
la utilidad general de un proxy, proporciona una cache para las pginas web y los
contenidos descargados, que es compartida por todos los equipos de la red, con la
consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al
mismo tiempo libera la carga de los enlaces hacia Internet.
Funcionamiento
1. El cliente realiza una peticin (p.e. mediante un navegador web) de un
recurso de Internet (una pgina web o cualquier otro archivo) especificado
por una URL.
2. Cuando el proxy cach recibe la peticin, busca la URL resultante en su
cach local. Si la encuentra, devuelve el documento inmediatamente, si no
es as, lo captura del servidor remoto, lo devuelve al que lo pidi y guarda
una copia en su cach para futuras peticiones.
El cach utiliza normalmente un algoritmo para determinar cundo un documento
est obsoleto y debe ser eliminado de la cach, dependiendo de su antigedad,
tamao e histrico de acceso. Dos de esos algoritmos bsicos son el LRU (el
usado menos recientemente, en ingls "Least Recently Used") y el LFU (el usado
menos frecuentemente, "Least Frequently Used").
Los proxies web tambin pueden filtrar el contenido de las pginas Web servidas.
Algunas aplicaciones que intentan bloquear contenido Web ofensivo estn
implementadas como proxies Web. Otros tipos de proxy cambian el formato de las
pginas web para un propsito o una audiencia especfica, por ejemplo, mostrar
una pgina en un telfono mvil o una PDA. Algunos operadores de red tambin
tienen proxies para interceptar virus y otros contenidos hostiles servidos por
pginas Web remotas.
Ejemplo
Un cliente de un ISP manda una peticin a Google la peticin llega en un
inicio al servidor Proxy que tiene este ISP, no va directamente a la direccin
IP del dominio de Google. Esta pgina concreta suele ser muy solicitada
por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy
por un cierto tiempo y crea una respuesta mucho menor en tiempo. Cuando
el usuario crea una bsqueda el servidor Proxy ya no es utilizado y
megared enva su peticin y el cliente recibe su respuesta ahora s desde
Google.
Otros usos
Como mtodo extra y de ayuda en las descargas mediante aplicaciones
P2P; el cual es usado en Lphant y algunos Mods del Emule.
Ventajas
Ahorro de Trfico: Las peticiones de pginas Web se hacen al servidor

Proxy y no a Internet directamente. Por lo tanto, aligera el trfico en la red y
descarga los servidores destino, a los que llegan menos peticiones.
Velocidad en Tiempo de respuesta: El servidor Proxy crea un cach que

evita transferencias idnticas de la informacin entre servidores durante un
tiempo (configurado por el administrador) as que el usuario recibe una
respuesta ms rpida.
Demanda a Usuarios: Puede cubrir a un gran nmero de usuarios, para

solicitar, a travs de l, los contenidos Web.
Filtrado de contenidos: El servidor proxy puede hacer un filtrado de

pginas o contenidos basndose en criterios de restriccin establecidos por
el administrador dependiendo valores y caractersticas de lo que no se
permite, creando una restriccin cuando sea necesario.
Modificacin de contenidos: Basndose en la misma funcin del filtrado,

y llamado Privoxy, tiene el objetivo de proteger la privacidad en Internet,
puede ser configurado para bloquear direcciones y Cookies por expresiones
regulares y modifica en la peticin el contenido.
Desventajas
Las pginas mostradas pueden no estar actualizadas si stas han sido

modificadas desde la ltima carga que realiz el proxy cach.
Un diseador de pginas web puede indicar en el contenido de su web que

los navegadores no hagan una cach de sus pginas, pero este mtodo no
funciona habitualmente para un proxy.
El hecho de acceder a Internet a travs de un Proxy, en vez de mediante

conexin directa, impide realizar operaciones avanzadas a travs de
algunos puertos o protocolos.
Almacenar las pginas y objetos que los usuarios solicitan puede suponer
una violacin de la intimidad para algunas personas.
3.2.
Protocolos.
_ Protocolo TCP/IP.
Se
han
desarrollado
diferentes
familias de
protocolos para
comunicacin por red de datos para los sistemas UNIX. El mas

ampliamente utilizado es el Internet Protocol Suite, comnmente
conocido como TCP / IP. Es un protocolo DARPA que proporciona
transmisin fiable de paquetes de datos sobre redes.
El TCP / IP es la base del Internet que sirve para enlazar computadoras
y computadoras centrales sobre redes de rea extensa. TCP/IP fue
desarrollado y demostrado por primera vez en 1972 por el departamento
de defensa de los Estados Unidos, ejecutndolo en el ARPANET una red
de rea extensa del departamento de defensa.
Ante el auge del protocolo TCP/IP, se esta adoptando la siguiente
nomenclatura para las redes basadas en este protocolo:
_ Protocolo UDP
Este protocolo es no orientado a la conexin, y por lo tanto no
proporciona ningn tipo de control de errores ni de flujo, aunque si que
utiliza mecanismos de deteccin de errores. Cuando se detecta un error
en un datagrama en lugar de entregarlo a la aplicacin se descarta.
Este protocolo se ha definido teniendo en cuenta que el protocolo del
nivel inferior (el protocolo IP) tambin es no orientado a la conexin y
puede ser interesante tener un protocolo de transporte que explote estas
caractersticas.
_ Protocolo HTTP
El protocolo de transferencia de hipertexto (HTTP, HyperText

Transfer Protocol) es el protocolo usado en cada transaccin de la Web
(WWW). El hipertexto es el contenido de las pginas web, y el protocolo
de transferencia es el sistema mediante el cual se envan las peticiones
de acceder a una pgina web, y la respuesta de esa web, remitiendo la
informacin que se ver en pantalla. Tambin sirve el protocolo para
enviar informacin adicional en ambos sentidos, como formularios con
mensajes y otros similares.
HTTP es un protocolo sin estado, es decir, que no guarda ninguna
informacin sobre conexiones anteriores. Al finalizar la transaccin todos
los datos se pierden. Por esto se popularizaron las cookies, que son
pequeos ficheros guardados en el propio ordenador que puede leer un
sitio web al establecer conexin con l, y de esta forma reconocer a un
visitante que ya estuvo en ese sitio anteriormente. Gracias a esta
identificacin, el sitio web puede almacenar gran nmero de informacin
sobre cada visitante, ofrecindole as un mejor servicio.
_ Protocolo TELNET
El protocolo TELNET proporciona una interfaz estandarizada, a travs
de la cual un programa de un host(el cliente de TELNET) puede acceder
a los recursos de otro host (el servidor de TELNET) como si el cliente
fuera una terminal local conectada al servidor.
Telnet es el nombre de un protocolo (y del programa informtico que
implementa el cliente) que sirve para acceder mediante una red a otra
mquina, para manejarla como si estuviramos sentados delante de
ella. Para que la conexin funcione, como en todos los servicios de
Internet, la mquina a la que se acceda debe tener un programa
especial que reciba y gestione las conexiones. El puerto que se utiliza
generalmente es el 23.
_ Protocolo FTP
FTP es un protocolo estndar con el STD 9. Su status es recomendado.
Se describe en el RFC 959 - FTP("File Transfer Protocol").
La copia de ficheros de una mquina a otra es una de las operaciones
ms frecuentes. La transferencia de datos entre cliente y servidor puede
producirse en cualquier direccin. El cliente puede enviar o pedir un
fichero al servidor.
Para acceder a ficheros remotos, el usuario debe identificarse al
servidor. En este punto el servidor es responsable de autentificar al
cliente antes de permitir la transferencia de ficheros.
Desde el punto de vista de un usuario de FTP, el enlace est orientado a
conexin. En otras palabras, es necesario que ambos hosts estn
activos y ejecutando TCP/IP para establecer una transferencia de
ficheros.
FTP usa TCP como protocolo de transporte para proporcionar
conexiones fiables entre los extremos. Se emplean dos conexiones: la
primera es para el login y sigue el protocolo TELNET y la segunda es
para gestionar la transferencia de datos. Como es necesario hacer un
login en el host remoto, el usuario debe tener un nombre de usuario y un
password para acceder a ficheros y a directorios. El usuario que inicia la
conexin asume la funcin de cliente, mientras que el host remoto
adopta la funcin de servidor
En ambos extremos del enlace, la aplicacin FTP se construye con
intrprete de protocolo(PI), un proceso de transferencia de datos, y una
interfaz de usuario como muestra la imagen.
3.3.
Seguridad.
La seguridad de las redes va adquiriendo importacin con el aumento del
volumen de informacin importante que se halla en las computadoras
distribuidas. En este tipo de sistemas resulta muy sencillo para un usuario
experto acceder subrepticiamente a datos de carcter confidencial.
La seguridad tambin consiste en la aplicacin de barreras fsicas y
procedimientos de control como medidas de prevencin y contramedidas
contra las amenazas a los recursos y la informacin confidencial, ya sea el
cambio constante de contraseas de administradores, utilizacin de
contraseas que contengan muchos dgitos, o evitar el acceso de personal
ajeno a sala de servidores, ya que en muchas organizaciones se suelen
tomar medidas para prevenir la accin de un atacante que intenta acceder
fsicamente a la sala de operaciones o al lugar donde se depositan las
impresiones del sistema. Esto motiva que en determinadas situaciones un
atacante se decline por aprovechar vulnerabilidad fsicas en lugar de
lgicas.
Las amenazas pueden ser diversas: sabotaje, vandalismo, terrorismo,
accidentes de distintos tipos, incendios, inundaciones, averas importantes,
derrumbamientos, explosiones, as como otros que afectan a las personas y

pueden impactar el funcionamiento de los centros.
3.10.1. Firewall.
Un Firewall en la Internet es un sistema o grupo de sistemas que impone
una poltica de seguridad entre la organizacin de red privada y la Internet.
El Firewall determina cual de los servicios de red pueden ser accesados
dentro de esta por los que estn fuera, es decir quien puede entrar para
utilizar los recursos de red pertenecientes a la organizacin. Para que un
Firewall sea efectivo, todo trfico de informacin a travs de la Internet
deber pasar a travs del mismo donde podr ser inspeccionada la
informacin. El Firewall podr nicamente autorizar el paso del trfico, y el
mismo podr ser inmune a la penetracin.
Desgraciadamente, este sistema no puede ofrecer proteccin alguna vez
que el agresor lo traspasa o permanece entorno a este.
Limitaciones de una Firewall.
Un Firewall no puede proteger acciones de los usuarios internos.
Un Firewall no puede proteger las conexiones que no pasan por el.
Un Firewall no puede enfrentar completamente nuevas amenazas.
Un Firewall no puede proteger de los virus.
3.10.2. Proxy.
Es una solucin de software que permite conectar a 2 o ms computadoras
que se encuentran en una red a un acceso simultaneo a la Internet a travs
de una sola cuenta de acceso, va modem telefnico, conexin ISDN
(RDSI), ASDL o TV cable y donde cada equipo puede utilizar los distintos
servicios de la Internet. De esta manera, en forma simple y econmica
varias PCs de su empresa pueden compartir una misma conexin y una
cuenta de acceso a la Internet, obteniendo importantes ahorros en equipos,
cuentas de acceso a la Internet y servicio local medido (SLM).
CAPITULO IV
PLANIFICACION
4. Estudio de la situacin actual del sistema

4.1 Listado de equipos de computo
rea
Administracin
Administracin
Piscina
Artes
Unidades
1
1
1
1
Microprocesador
POP-2.8 GHZ
POP-2.8 GHZ
POP-2.8 GHZ
POP-2.8 GHZ
RAM
512 MB
256 MB
256 MB
256 MB
Disco duro
80 GB
80 GB
80 GB
80 GB
Marciales
Fuente: Elaboracin propia

4.2 Listado de Impresoras
rea
Administracin
Administracin
Modelo
Lexmark
HP
Fuente: Elaboracin propia
4.3 Software y Sistemas de Informacin utilizada por la empresa

4.3.1 Office 2003
4.3.2 Windows XP Professional
4.3.3 Win Zip
4.3.4 Adobe Acrobat Reader 7.0
4.3.5 Pert Antivirus
Estado
Bueno
Bueno
Bueno
Bueno
CAPITULO V
CONFIGURACION DE
SERVIDOR PROXY EN
SUSE LINUX 10.1
5.1 Suse Linux 10.1

5.1.1 Seguridad en Linux
La funcin de enmascaramiento y el cortafuegos garantizan el control en el flujo y

el intercambio de los datos. SSH (shell seguro) permite iniciar la sesin en hots
remotos a travs de una conexin cifrada. El cifrado de archivos o de particiones
completas protege los datos en el caso de que usuarios externos consigan
acceder al sistema.
Adems de instrucciones tcnicas, se incluye informacin acerca de los aspectos
relacionados con la seguridad de las redes Linux.
5.1.2 Enmascaramiento y cortafuegos
Siempre que Linux se utiliza en un entorno de red, se pueden emplear las
funciones del ncleo que permiten la manipulacin de los paquetes de red para
conservar una separacin entre las reas de redes interna y externa. La estructura
de Linux netfilter proporciona los recursos para instalar un cortafuegos efectivo
que gestione las diferentes redes de forma distinta. Con la ayuda de iptables una
estructura genrica de tabla para la definicin de los conjuntos de tablas, controle
de forma exhaustiva los paquetes que se permite que pasen a una interfaz de red.
Este filtro de paquetes se puede configurar de forma relativamente sencilla con la
ayuda de SuSEfirewall2 y el mdulo YaST correspondiente.
5.1.3 Filtrado de paquetes con iptables
Los elementos netfilter e iptables son responsables del filtrado y de la
manipulacin de paquetes de redes, as como de la NAT (conversin de
direcciones de red). Los criterios de filtrado y cualquier accin relacionada con
ellos se almacenan en cadenas, que se agrupan una tras otra por paquetes de red
individuales cada vez que se reciben. Las cadenas que se deben ordenar se
almacenan en tablas. El comando iptables le permite alterar estas tablas y los
conjuntos de reglas.
El ncleo de Linux mantiene tres tablas, cada una de ellas destinada a una
categora determinada de funciones del filtro de paquetes:
filter
Esta tabla incluye la totalidad de las reglas de filtros, debido a que implementa el
mecanismo filtrado de paquetes en sentido estricto, lo que determina, por ejemplo,
si se permiten los paquetes (ACCEPT) o si se descartan (DROP).
nat
Esta tabla define todos los cambios realizados en las direcciones de origen y
destino de los paquetes. Haciendo uso de estas funciones podr tambin recurrir
al enmascaramiento, que es un caso especial de NAT que se emplea para enlazar
una red privada a Internet.
mangle
Las reglas contenidas en esta tabla permiten manipular los valores almacenados
en los encabezados IP (como, por ejemplo, el tipo de servicio).
Estas tablas contienen varias cadenas predefinidas para la coincidencia de

paquetes:
ENCAMINAMIENTO PREVIO
Esta cadena se aplica a los paquetes entrantes.
ENTRADA
Esta cadena se aplica a los paquetes destinados a los procesos internos del
sistema.
ENVO
Esta cadena se aplica solamente a los paquetes que se enrutan a travs del
sistema.
SALIDA
Esta cadena se aplica a los paquetes originados en el sistema.
ENCAMINAMIENTO POSTERIOR
Esta cadena se aplica a todos los paquetes salientes.
La Figura , iptables: posibles vas del paquete ilustra las vas por las que puede
desplazarse un paquete de red en un sistema dado. Por razones de simplicidad,
las ilustracin muestra las tablas como partes de las cadenas, pero en realidad
estas cadenas se sustentan en las propias tablas.
La ms sencilla de las situaciones se produce cuando un paquete de entrada
destinado al sistema llega a la interfaz eth0. En primer lugar, el paquete se deriva
a la cadena PREROUTING de la tabla mangle y, a continuacin, a la cadena
PREROUTING de la tabla nat. El siguiente paso, referido al enrutamiento del
paquete, establece que el destino real del paquete es un proceso del sistema.
Despus de pasar por las cadenas INPUT de las tablas mangle y filter, el paquete
alcanza finalmente su objetivo, debido a que las reglas de la tabla filter son
coincidentes.
5.1.4 Nociones bsicas sobre el enmascaramiento
El enmascaramiento es la forma especfica de NAT (conversin de direcciones de
red) de Linux Se puede emplear para conectar una LAN pequea (donde los hosts
utilizan direcciones IP de rango privado.
Para que los hosts de la LAN puedan conectarse a Internet, sus direcciones
privadas se traducen en direcciones oficiales. Esta operacin se realiza en el
router, que acta de gateway entre la LAN e Internet. El principio subyacente es
muy sencillo: El router tiene ms de una interfaz de red, normalmente una tarjeta
de red y una interfaz que lo conecta a Internet. Mientras que esta ltima enlaza el
router con el exterior, una o varias de las dems lo conectan a los hosts de LAN.
Con los hosts de la red local conectados a la tarjeta de red (como por ejemplo
eth0) del router, es posible enviar cualquier paquete no destinado a la red local a
su gateway o router por defecto.
IMPORTANTE: Utilizacin de la mscara de red adecuada
Cuando configure su red, asegrese de que tanto la direccin de difusin como la
mscara de red son las mismas para todos los hosts locales. Si no toma esta
precaucin, los paquetes no se enrutarn adecuadamente.
Como se ha mencionado, cuando uno de los hosts de LAN enva un paquete

destinado a una direccin de Internet, ste se dirige al router por defecto. Sin
embargo, el router debe configurarse antes de poder reenviar los paquetes. Por
razones de seguridad, SUSE Linux no habilita esta funcin en una instalacin por
defecto. Para habilitarla, fije la variable IP_FORWARD en el archivo
/etc/sysconfig/sysctl como IP_FORWARD=yes.
El host de destino de la conexin puede tener constancia de la existencia de su
router, pero no dispone de informacin acerca del host que se encuentra situado
en la red interna y que es donde se originaron los paquetes. Por esta razn esta
tcnica se denomina enmascaramiento. A consecuencia de la conversin de
direcciones, el router es el primer destino de todos los paquetes de respuesta. El
router debe identificar estos paquetes entrantes y traducir sus direcciones de
destino, de forma tal que los paquetes se reenven al host adecuado de la red
local.
Gracias al enrutamiento del trfico entrante dependiente de la tabla de
enmascaramiento, no existe ninguna manera de abrir una conexin con un host
interno desde el exterior.
Para una conexin de este tipo no habra ninguna entrada en la tabla. Adems, a
cada conexin que se encuentre establecida se le asigna una entrada de estado
en la tabla, por lo que la entrada no podr emplear ninguna otra conexin.
Como consecuencia, es posible que se produzcan problemas con un nmero
determinado de protocolos de aplicacin, tales como ICQ, cucme, IRC (DCC,
CTCP) y FTP (en modo PORT). Netscape, el programa FTP y muchos otros
programas utilizan el modo PASV. Este modo pasivo origina muchos menos
problemas en lo referente al enmascaramiento y filtrado de paquetes.
5.1.5 Nociones bsicas sobre el empleo de cortafuegos
El trmino cortafuegos es probablemente el que se emplea con mayor frecuencia
para describir un mecanismo que proporciona y gestiona un enlace entre redes al
tiempo que controla tambin el flujo de datos entre ellos. Estrictamente hablando,
el mecanismo que se describe en esta seccin se denomina filtro de paquetes. El
filtro de paquetes regula el flujo de datos de acuerdo con determinados criterios,
tales como protocolos, puertos y direcciones IP. De esta manera, es posible
bloquear paquetes que, de acuerdo con sus direcciones de origen, se pretende
que no lleguen a su red. Para permitir el acceso pblico a, por ejemplo, su servidor
Web, abra de forma explcita el puerto correspondiente. Sin embargo, el filtro de
paquetes no examina el contenido de los paquetes provenientes de direcciones
legtimas, como por ejemplo aqullos que se envan a su servidor Web. Por
ejemplo, si los paquetes entrantes estn dirigidos a modificar un programa CGI de
su servidor Web, el filtro de paquetes permitir su acceso.
Un mecanismo ms efectivo pero tambin ms complejo es la combinacin de
distintos tipos de sistemas, como por ejemplo la interaccin de un filtro de
paquetes con un gateway o alterno de aplicacin. En este caso, el filtro de
paquetes rechaza cualquier paquete que tenga como objetivo la inhabilitacin de
puertos. nicamente se aceptan los paquetes dirigidos a la gateway de aplicacin.
Esta gateway o este alterno simula ser el cliente real del servidor. En cierto modo,
dicho alterno puede considerarse un host de enmascaramiento en el nivel de
protocolo empleado por la aplicacin. Un ejemplo para un alterno de este tipo es

Squid, un servidor alterno HTTP. Para utilizar Squid, el navegador se debe
configurar para que se pueda comunicar a travs del alterno.
Cualquier pgina HTTP que se solicite se sirve a partir de la cach alterna; en
cuanto a las pginas no encontradas en la cach, stas las recupera el alterno de
Internet. En otro orden de cosas, el paquete SUSE Proxy-Suite (proxy-suite)
proporciona un alterno para el protocolo.
La siguiente seccin se centra en el filtro de paquetes que se proporciona con
SUSE Linux. Para obtener ms informacin sobre el filtrado de paquetes y el
empleo de cortafuegos, consulte el documento Firewall HOWTO, que se incluye
en el paquete howto. Si este paquete se encuentra ya instalado, lea el documento
HOWTO mediante la opcin less /usr/share/doc/howto/en/txt/Firewall-HOWTO.gz.
5.1.6 SuSEfirewall2
SuSEfirewall2 es un guin que lee las variables establecidas en /etc/sysconfig/
SuSEfirewall2 para generar un juego de reglas de iptables. Se definen tres zonas
de seguridad, aunque solamente se consideran la primera y la segunda en el
siguiente ejemplo de configuracin:
Zona externa
Debido a que no existe ninguna manera de controlar lo que sucede en la red
externa, el host necesita estar protegido de dicha red. En la mayora de los casos,
la red externa es Internet, pero tambin podra tratarse de otra red insegura, como
por ejemplo una red WLAN.
Zona interna
Hace referencia a la red privada, en la mayora de los casos una red LAN. Si los
hosts de esta red utilizan direcciones IP de rango privado, habilite la conversin de
direcciones de red (NAT), de forma tal que los hosts de la red interna puedan
acceder a la red externa.
Zona desmilitarizada (DMZ)
Mientras que se puede llegar a los hosts que se ubican en esta zona tanto desde
la red externa como interna, dichos hosts no pueden acceder a la red interna. Esta
configuracin puede emplearse para incluir una lnea adicional de defensa ante la
red interna, debido a que los sistemas DMZ estn aislados de la red interna.
Todo tipo de trfico de red no permitido de forma expresa por la regla de filtrado se
suprime por la accin de las iptables. Por lo tanto, cada una de las interfaces con
trfico de entrada deben ubicarse en una de las tres zonas. Defina los servicios o
protocolos permitidos para cada una de las zonas. La regla que se establezca se
aplica solamente a los paquetes procedentes de hosts remotos. Los paquetes
generados en la zona local no son capturados por el cortafuegos.
La configuracin se puede realizar con YaST. Tambin se puede llevar a cabo de
forma manual en el archivo /etc/sysconfig/SuSEfirewall2, que se encuentra
convenientemente comentado. En otro orden de cosas, se encuentra disponible a
modo
de
ejemplo
una
serie
de
situaciones
en
/usr/share/doc/packages/SuSEfirewall2/ EXAMPLES.
Configuracin con YaST

IMPORTANTE: Configuracin automtica del cortafuegos
Despus de la instalacin, YaST iniciar de forma automtica un cortafuegos en
todas las interfaces configuradas. Si se configura y se activa un servidor en el
sistema, YaST puede modificar la configuracin del cortafuegos que se ha
generado automticamente mediante las opciones Open Ports on Selected
Interface in Firewall (Abrir puertos en la interfaz seleccionada del cortafuegos) o
Open Ports on Firewall (Abrir puertos en el cortafuegos) de los mdulos de
configuracin del servidor. Algunos cuadros de dilogo del mdulo del servidor
incluyen un botn denominado Detalles del cortafuegos que permite activar
servicios y puertos adicionales. El mdulo de configuracin del cortafuegos de
YaST se puede utilizar para activar, desactivar o volver a configurar el cortafuegos.
Se puede acceder a los cuadros de dilogo de YaST para la configuracin grfica
a travs del Centro de Control de YaST. Seleccione Seguridad y usuarios
Cortafuegos.
La configuracin se divide en siete secciones a las que se puede acceder
directamente desde la estructura de rbol que se encuentra situada en la parte
izquierda del cuadro de dilogo.
Inicio
Defina el comportamiento de inicio en este cuadro de dilogo. Cuando se trate de
una instalacin por defecto, SuSEfirewall2 se iniciar automticamente. Tambin
puede iniciar aqu tanto el inicio como la detencin del cortafuegos. Para
implementar la nueva configuracin en un cortafuegos que se est ejecutando,
utilice la opcin Guardar la configuracin y reiniciar cortafuegos.
5.2 Squid
Servidor alterno Squid
Squid es un cach alterno (proxy) muy utilizado en plataformas Linux y UNIX. Esto
significa que almacena los objetos de Internet solicitados, como los datos de un
servidor Web o FTP, en un equipo ms cercano a la estacin de trabajo que los
solicita que el servidor original. En este captulo se describe su configuracin, los
ajustes necesarios para que funcione, cmo configurar el sistema para que el
servicio del alterno sea transparente, cmo recopilar estadsticas de uso de cach
con la ayuda de programas como Calamaris y cachemgr y cmo filtrar contenido
Web con squidGuard.
Squid acta como cach alterno (proxy). Redirige las solicitudes de objetos de los
clientes (en este caso, los navegadores Web) al servidor. Cuando los objetos
solicitados llegan del servidor, los entrega al cliente y conserva una copia en el
cach del disco duro. Una de las ventajas del almacenamiento en cach es que si
varios clientes solicitan el mismo objeto, el servicio los puede proporcionar desde
el cach del disco duro. De este modo, los clientes reciben los datos mucho ms
rpido que cuando tienen que obtenerlos desde Internet. Este procedimiento
tambin reduce el trfico de la red.
Adems del almacenamiento en cach, Squid ofrece una amplia variedad de
funciones, como la distribucin de la carga en las jerarquas de los servidores
alternos, la definicin de estrictas listas de control de acceso para todos los
clientes que accedan al alterno, el permiso o la denegacin de acceso a pginas
Web concretas (con la ayuda de otras aplicaciones) y la generacin de
estadsticas de las pginas Web visitadas con ms frecuencia con el fin de evaluar
los hbitos de navegacin de los usuarios. Squid no es un alterno genrico.
Normalmente slo ejerce sus funciones con conexiones HTTP.
Tambin es compatible con los protocolos FTP, Gopher, SSL y WAIS, pero no es
compatible con otros protocolos de Internet, como Real Audio, noticias o
videoconferencia.
Dado que Squid slo es compatible con el protocolo UDP para proporcionar
comunicaciones entre diferentes cachs, muchos otros programas multimedia
tampoco son compatibles.
5.2.1 Algunos aspectos de los cachs alternos
Squid puede utilizarse de varios modos diferentes como cach alterno. Si se
combina con un cortafuegos, puede mejorar la seguridad. Se pueden utilizar varios
alternos al mismo tiempo. Tambin es posible determinar los tipos de objetos que
deben almacenarse en cach y durante cunto tiempo.
5.2.3 Squid y la seguridad
Existe la posibilidad de utilizar Squid con un cortafuegos para proteger las redes
internas del exterior al utilizar un cach alterno. El cortafuegos deniega el acceso a
los servicios externos a todos los clientes excepto a Squid. Todas las conexiones
Web deben establecerse a travs del alterno. Con esta configuracin, Squid
controla por completo el acceso Web.
Si la configuracin del cortafuegos incluye una zona DMZ, el alterno debe

funcionar en dicha zona. Esto simplifica la configuracin de los clientes, dado que
en este caso no necesitan ninguna informacin sobre el alterno.
5.2.4 Cachs mltiples
Existe la posibilidad de configurar varias sesiones de Squid de modo que
intercambien objetos entre s. Se reduce as la carga total del sistema y aumentan
las posibilidades de encontrar un objeto que ya exista en la red local. Tambin es
posible configurar jerarquas de cach, de modo que un cach pueda enviar
solicitudes de objetos a cachs del mismo nivel o a cachs principales, de modo
que los objetos se obtengan de otro cach de la red local o directamente desde el
origen.
La seleccin de la topologa adecuada para la jerarqua de cach es muy
importante, dado que no es deseable aumentar el trfico general de la red. En una
red muy grande, puede resultar conveniente configurar un servidor alterno para
cada subred y conectarlos a un alterno principal, que a su vez est conectado al
cach alterno del proveedor de Internet.
Todas estas comunicaciones se gestionan mediante ICP (protocolo de cach de
Internet), que se ejecuta sobre el protocolo UDP. Las transferencias de datos entre
cachs se gestionan mediante HTTP (protocolo de transmisin de hipertexto)
basado en TCP.
Para encontrar el servidor ms adecuado desde el que obtener los objetos, cada
cach enva una solicitud ICP a todos los alternos del mismo nivel. stos
responden a las solicitudes mediante respuestas ICP con un cdigo HIT si se
detecta el objeto, o MISS si no es as. Si se detectan varias respuestas HIT, el
servidor alterno decide desde qu servidor desea efectuar la descarga,
dependiendo de factores como el cach que envi la respuesta ms rpida o el
que se encuentra ms cerca. Si no se recibe ninguna respuesta satisfactoria, la
solicitud se enva al cach principal.
SUGERENCIA
Para evitar la duplicacin de objetos en diferentes cachs de la red, se emplean
otros protocolos ICP, como CARP (protocolo de encaminamiento de matrices de
cachs) o HTCP (protocolo de cach de hipertexto). Cuantos ms objetos se
mantengan en la red, mayores son las posibilidades de encontrar el deseado.
5.2.5 Almacenamiento en cach de objetos de Internet
No todos los objetos disponibles en la red son estticos. Hay muchas pginas CGI
generadas de forma dinmica, contadores de visitantes y documentos con
contenido cifrado mediante SSL. Estos tipos de objetos no se almacenan en
cach, dado que cambian cada vez que se accede a ellos.
La cuestin es cunto tiempo deben permanecer en cach los dems objetos
almacenados.
Para determinarlo, a todos los objetos en cach se les asigna uno de los distintos
estados posibles. Los servidores Web y alternos averiguan el estado de los
objetos aadindoles encabezados como ltima modificacin o Caduca, junto a
la fecha correspondiente.
Otros encabezados especifican que los objetos no deben almacenarse en cach.
Los objetos en cach suelen sustituirse debido a la falta de espacio disponible en
disco.
Para ello se emplean algoritmos como el de uso ms reciente (LRU).
Bsicamente, esto significa que el alterno desecha los objetos que no se han
solicitado desde hace ms tiempo.
5.2.6 Requisitos del sistema
Lo ms importante es determinar la carga mxima de red que deber soportar el
sistema.
Por lo tanto, es importante prestar ms atencin a los picos de carga, dado que
pueden ser ms de cuatro veces superiores a la media del da. Si tiene dudas, es
preferible sobrestimar los requisitos del sistema, dado que si Squid funciona cerca
de su lmite de capacidad, puede provocar una prdida importante de calidad del
servicio. En las siguientes secciones se sealan los factores del sistema por orden
de importancia.
5.2.7 Discos duros
La velocidad juega un papel importante en el proceso de almacenamiento en
cach, por lo que este factor merece una atencin especial. En el caso de los
discos duros, este parmetro se describe como tiempo de bsqueda aleatoria y se
mide en milsimas de segundo. Dado que los bloques de datos que Squid lee o
escribe en el disco duro tienden a ser bastante pequeos, el tiempo de bsqueda
del disco duro es ms importante que la capacidad para proporcionar datos. Para
los fines de un alterno, los discos duros con velocidades de rotacin elevadas son
probablemente la mejor eleccin, dado que permiten que el cabezal de lecturaescritura se coloque en el punto necesario ms rpidamente. Una posibilidad para
acelerar el sistema es utilizar varios discos al mismo tiempo o emplear matrices
RAID.
5.2.8 Tamao de cach de disco
En un cach pequeo, la probabilidad de una respuesta HIT (cuando se encuentra
el objeto solicitado almacenado en cach) es pequea, dado que el cach se llena
fcilmente y los objetos menos solicitados se sustituyen con objetos ms
recientes. Por ejemplo, si hay un GB disponible para el almacenamiento en cach
y los usuarios slo descargan unos diez MB diarios al navegar, tardarn ms de
cien das en llenar el cach.
El modo ms sencillo de determinar el tamao de cach necesario es tener en
cuenta la velocidad mxima de transferencia de la conexin. Con una conexin de
1 Mb/s, la velocidad mxima de transferencia es de 125 KB/s. Si todo este trfico
acaba en el cach, en una hora pueden llegar a aadirse hasta 450 MB y,
suponiendo que slo se genere trfico en las ocho horas laborables, el total puede
llegar a ser de hasta 3,6 GB por da. Dado que la conexin no suele utilizarse
hasta el lmite de su capacidad, puede suponerse que el volumen total de datos
gestionados por el cach ser de aproximadamente 2 GB. En nuestro ejemplo, se
necesitaran 2 GB de espacio en disco para que Squid conserve en cach los

datos de navegacin de un da.
5.2.9 RAM
La cantidad de memoria (RAM) que Squid necesita es directamente proporcional
al nmero de objetos almacenados en cach. Squid tambin almacena en la
memoria principal referencias a los objetos en cach y los objetos solicitados con
mayor frecuencia, a fin de acelerar la recuperacin de estos datos. La memoria de
acceso aleatorio es mucho ms rpida que los discos duros.
Adems, existen otros datos que Squid debe almacenar en la memoria, como una
tabla con todas las direcciones IP gestionadas, un cach exacto de nombres de
dominio, los objetos solicitados con mayor frecuencia, listas de control de acceso,
buffers y otros elementos.
Es muy importante disponer de memoria suficiente para el proceso Squid, dado
que el rendimiento del sistema sufre una reduccin drstica si es necesario utilizar
la memoria de intercambio del disco. La herramienta cachemgr.cgi puede utilizarse
para la gestin de la memoria cach. Los sitios con un trfico de red muy intenso
deben tener en cuenta la posibilidad de utilizar sistemas AMD64 o Intel EM64T con
ms de 4 GB de memoria.
5.2.10 CPU
Squid no requiere un uso intensivo de la CPU. La carga del procesador slo
aumenta cuando se carga o comprueba el contenido del cach. El uso de un
equipo con varios procesadores no aumenta el rendimiento del sistema. Para
aumentar la eficacia, es preferible comprar discos ms rpidos o aadir ms
memoria.
5.2.11 Inicio de Squid
Squid est ya preconfigurado en SUSE Linux. Puede empezar a utilizarse en
cuanto concluye la instalacin. Para garantizar un inicio fluido, debe configurar la
red de modo que sea posible acceder al menos a Internet y a un servidor de
nombres. Pueden surgir problemas si se emplea una conexin de acceso
telefnico con una configuracin de DNS dinmica. En este caso, debe introducir
al menos el servidor de nombres, dado que Squid no se inicia si no detecta un
servidor DNS en /etc/resolv.conf.
5.2.12 Comandos para iniciar y detener Squid
Para iniciar Squid, introduzca rcsquid start en la lnea de comandos como usuario
Root. Durante el primer inicio, deber definir primero la estructura de directorios
del cach en /var/cache/squid. El guin de inicio /etc/init.d/squid lleva a cabo
automticamente esta accin, que puede tardar unos pocos segundos o incluso
minutos. Si a la derecha aparece done (Finalizado) en verde, Squid se ha cargado
correctamente. Para probar la funcionalidad de Squid en el sistema local,
introduzca localhost como alterno (proxy) y 3128 como puerto en el navegador.
Para permitir que usuarios del sistema local y de otros sistemas puedan acceder a
Squid y a Internet, modifique la entrada del archivo de configuracin
/etc/squid/squid.conf de http_access deny all a http_access allow all. No obstante,
tenga en cuenta que si lo hace, cualquier usuario podr acceder sin restricciones a
Squid.
Por lo tanto, deber definir listas ACL que controlen el acceso al alterno.
Despus de modificar el archivo de configuracin /etc/squid/squid.conf, Squid
deber volver a cargarlo. Para ello, emplee el comando rcsquid reload. Si lo
prefiere, utilice el comando rcsquid restart para reiniciar Squid completamente.
Puede emplear el comando rcsquid status para comprobar si el alterno se est
ejecutando. El comando rcsquid stop detiene el funcionamiento de Squid. Esto
puede
tardar,
dado
que
Squid
espera
hasta
medio
minuto
(opcin
shutdown_lifetime en /etc/squid/squid.conf) antes de abandonar las conexiones de

los clientes y escribir los datos en el disco.
AVISO: Cierre de Squid
El cierre de Squid con los comandos kill o killall puede daar el cach.
Para que sea posible reiniciar Squid, deber suprimir el cach daado.
Si Squid falla cuando transcurre un breve periodo de tiempo, aunque se haya
iniciado correctamente, compruebe si hay una entrada de servidor de nombres
errnea o si falta el archivo /etc/resolv.conf. Squid almacena los motivos de los
errores de inicio en el archivo /var/log/squid/cache.log. Si Squid debe cargarse

automticamente al arrancar el sistema, utilice el editor de niveles de ejecucin de
YaST para activar Squid en los niveles de ejecucin deseados.
Al desinstalar Squid no se elimina la jerarqua de cach ni los archivos de registro.
Para eliminarlos, suprima el directorio /var/cache/squid manualmente.
5.2.13 Servidor DNS local
La configuracin de un servidor DNS local puede resultar til incluso aunque no
gestione su propio dominio. En tal caso, acta simplemente como un cach de
servidor de nombres, y puede resolver solicitudes DNS mediante los servidores de
nombres races sin que sea necesaria ninguna configuracin especial. El modo en
que se puede realizar esta accin depende de si se selecciona el ajuste de
servicio de DNS dinmico durante la configuracin de la conexin a Internet.
Servicio de DNS dinmico Si se selecciona el servicio de DNS dinmico,
normalmente el proveedor de acceso define el servidor DNS al establecer la
conexin a Internet, y el archivo local /etc/resolv.conf se ajusta automticamente.
Este
comportamiento
se
controla
mediante
el
archivo
/etc/sysconfig/network/config, con la variable de configuracin del sistema

(sysconfig) MODIFY_RESOLV_CONF_DYNAMICALLY, que tiene el valor "yes"
(S).
Establezca el valor "no" para esta variable con el editor de configuracin del
sistema de YaST. A continuacin, introduzca el servidor DNS local en el archivo
/etc/resolv.conf con la direccin IP 127.0.0.1 para localhost. De este modo, Squid
siempre encontrar el servidor de nombres local al iniciarse.
Para que sea posible acceder al servidor de nombres del proveedor, introdzcalo
junto a su direccin IP en la seccin forwarders del archivo de configuracin
/etc/named.conf. Con el servicio DNS dinmico, puede hacer que este paso se
lleve a cabo automticamente al establecer la conexin, definiendo el valor YES
(S)
en
la
variable
de
configuracin
del
sistema
(sysconfig)
MODIFY_NAMED_CONF_DYNAMICALLY.
Servicio DNS esttico Con el servicio DNS esttico, no se lleva a cabo ningn
ajuste automtico de DNS al establecer la conexin, por lo que no es necesario
modificar ninguna variable de configuracin del sistema. No obstante, deber

introducir el servidor DNS local en el archivo /etc/resolv.conf, tal y como se ha
descrito anteriormente.
Adems, tambin deber introducir manualmente el servidor de nombres esttico
del proveedor y su direccin IP en la seccin forwarders del archivo /etc/
named.conf.
SUGERENCIA: DNS y cortafuegos Si utiliza un cortafuegos, compruebe que las
solicitudes DNS pueden atravesarlo.
5.2.14 Archivo de configuracin /etc/squid/squid.conf
Todos los ajustes del servidor alterno Squid se realizan en el archivo
/etc/squid/squid.conf. Para iniciar Squid por primera vez, no es necesario realizar
ningn cambio en este archivo, pero al principio se deniega el acceso a los
clientes externos.
El alterno slo est disponible para localhost. El puerto por defecto es el 3128.
El archivo de configuracin preinstalado, /etc/squid/squid.conf, proporciona
informacin detallada sobre las opciones y muchos ejemplos. Casi todas las
entradas empiezan por # (las lneas tienen comentarios) y las especificaciones
relevantes se encuentran al final de las lneas. Los valores dados normalmente se
corresponden con los valores por defecto, por lo que eliminar los signos de
comentarios sin cambiar los parmetros suele producir pocos cambios en la
mayora de los casos. Si es posible, no modifique los ejemplos e introduzca las
opciones junto a los parmetros modificados en la lnea siguiente. De este modo,
podr recuperar fcilmente los valores por defecto y compararlos con los cambios
en cualquier momento.
SUGERENCIA: Adaptacin del archivo de configuracin despus de una
actualizacin Si ha efectuado una actualizacin a partir de una versin anterior de
Squid, es recomendable editar el nuevo archivo /etc/squid/squid.conf y aplicar slo
los cambios realizados en el archivo anterior. Si intenta utilizar el archivo
squid.conf anterior, es posible que la configuracin ya no funcione, dado que a
veces se modifican las opciones y se aaden nuevos cambios.
5.2.15 Opciones de configuracin generales

(seleccin)
http_port 3128
Este es el puerto que Squid utiliza para escuchar las solicitudes de los clientes. El
puerto por defecto es el 3128, pero el 8080 tambin suele utilizarse. Si lo desea,
puede especificar varios nmeros de puerto separados por espacios.
cache_peer nombre de host tipo puerto del alterno puerto icp
Introduzca un alterno principal, por ejemplo, si desea utilizar el alterno del
proveedor de Internet. Como nombre de host, introduzca el nombre y la direccin
IP del alterno que desee utilizar y como tipo, introduzca parent. En puerto del
alterno, introduzca el nmero de puerto proporcionado por el operador del alterno
principal para su uso en el navegador, normalmente ser el 8080.
Establezca los valores 7 o 0 para el puerto icp si el puerto ICP del alterno principal
es desconocido y su uso es irrelevante para el proveedor. Tambin puede
especificar default y no-query tras los nmeros de puerto para impedir el uso del
protocolo ICP. En tal caso, Squid se comportar como un navegador normal por lo
que al alterno del proveedor respecta.
cache_mem 8 MB
Esta entrada define la cantidad de memoria que puede emplear Squid para las
respuestas ms frecuentes. El valor por defecto es 8 MB. Este valor no especifica
el uso total de memoria de Squid, por lo que es posible que el uso real sea
superior.
cache_dir ufs /var/cache/squid/ 100 16 256
La entrada cache_dir define el directorio del disco en el que se almacenan todos
los objetos. Los nmeros del final indican el espacio mximo en disco que debe
utilizarse en MB y el nmero de directorios de primer y segundo nivel. El
parmetro ufs no debe modificarse. Los valores por defecto implican 100 MB de
espacio ocupado en disco por el directorio /var/cache/squid y la creacin de 16
subdirectorios en l, cada uno de los cuales contiene 256 subdirectorios
adicionales.
Al especificar el espacio en disco que desea utilizar, reserve espacio suficiente.
Los valores ms adecuados oscilan entre un mnimo del 50% y un mximo del
80% del espacio disponible en disco. Debe extremar las precauciones si decide
aumentar los dos ltimos nmeros (referentes a los directorios), dado que la
existencia de demasiados directorios puede provocar problemas de rendimiento.
Si tiene varios discos que comparten el cach, introduzca varias lneas cache_dir.
cache_access_log /var/log/squid/access.log, cache_log /var/log/squid/cache.log,
cache_store_log /var/log/squid/store.log
Estas tres entradas especifican las rutas en las que Squid registra todas sus
acciones.
Normalmente no es necesario realizar ningn cambio. Si Squid experimenta una
carga de uso intensa, puede que resulte til distribuir el cach y los archivos de
registro en varios discos.
emulate_httpd_log off
Si la entrada tiene el valor on, obtendr archivos de registro legibles. No obstante,
algunos programas de evaluacin no podrn interpretarlos.
client_netmask 255.255.255.255
Esta entrada permite enmascarar las direcciones IP de los clientes en los archivos
de registro. El ltimo dgito de la direccin IP tendr el valor cero si introduce aqu
255.255.255.0. De ese modo, puede proteger la privacidad de los clientes.
ftp_user Squid@
Permite definir la contrasea que debe utilizar Squid para los inicios de sesin FTP
annimos. Puede que sea una buena idea indicar una direccin de correo
electrnico vlida, dado que algunos servidores FTP las comprueban para verificar
su validez.
cache_mgr webmaster
Una direccin de correo electrnico a la que Squid debe enviar un mensaje si se
produce un error inesperado. El valor por defecto es webmaster.
logfile_rotate 0
Si ejecuta squid -k rotate, Squid puede rotar los archivos de registro protegidos.
Los archivos se numeran durante el proceso y, al llegar al valor especificado, se
sobrescribe el archivo ms antiguo. El valor por defecto es 0, dado que el
almacenamiento y la supresin de archivos de registro en SUSE Linux se lleva a
cabo mediante un
cronjob establecido en el archivo de configuracin
/etc/logrotate/squid.
append_domain <dominio>
Utilice append_domain para especificar el dominio que debe adjuntarse
automticamente si no se proporciona ninguno. Normalmente se introduce su
propio dominio, por lo que al introducir www en el navegador acceder a su propio
servidor Web.
forwarded_for on
Si establece el valor off para esta entrada, Squid eliminar la direccin IP y el
nombre de sistema de los clientes de las solicitudes HTTP. De lo contrario, aadir
al encabezado una lnea similar a la siguiente:
X-Forwarded-For: 192.168.0.0
negative_ttl 5 minutes; negative_dns_ttl 5 minutes
Por lo general, no necesita efectuar ningn cambio en estos valores. No obstante,
si utiliza una conexin de acceso telefnico, en ocasiones puede que no sea
posible acceder a Internet. Squid tiene en cuenta las solicitudes fallidas y rechaza
emitir solicitudes nuevas, aunque la conexin a Internet se restablezca. Si esto
ocurre, cambie el valor de minutes (minutos) a seconds (segundos) y haga clic en
el botn de actualizacin del navegador, el proceso de marcacin debera volver a
iniciarse en unos segundos.
never_direct allow nombre_acl
Para evitar que Squid acepte solicitudes directamente de Internet, utilice el
comando anterior para forzar la conexin con otro alterno. Dicho alterno deber
haberse introducido anteriormente en cache_peer. Si especifica el valor all para la
entrada acl_name, forzar todas las solicitudes de modo que se enven
directamente al alterno principal. Esto puede resultar necesario, por ejemplo, si
emplea un proveedor que estipula de forma estricta el uso de sus alternos o
deniega al cortafuegos acceso directo a Internet.
5.2.16 Opciones de control de acceso

Squid proporciona un sistema detallado para controlar el acceso al alterno. La
configuracin de dicho sistema es muy sencilla y completa mediante la
implementacin de ACL. Esto implica listas con reglas que se procesan de forma
secuencial. Las listas ACL deben definirse antes de proceder a su uso. Algunas
listas ACL, como all y localhost, ya existen. No obstante, la definicin de una lista
ACL no implica automticamente su aplicacin. Esto slo ocurre con las reglas
http_access.
acl <nombre_acl> <tipo> <datos>
Una lista ACL requiere al menos tres especificaciones para su definicin. El
nombre <nombre_acl> puede elegirse arbitrariamente. En <tipo>, seleccione entre
la variedad de opciones diferentes que encontrar en la seccin ACCESS
CONTROLS (Controles de
acceso) del
archivo
/etc/squid/squid.conf. La
especificacin de <datos> depende del tipo de ACL individual y tambin puede

leerse desde un archivo, por ejemplo mediante nombres de hosts, direcciones IP o
direcciones URL.
A continuacin encontrar algunos ejemplos sencillos:
acl misusuarios srcdomain .midominio.com
acl profesores src 192.168.1.0/255.255.255.0
acl alumnos src 192.168.7.0-192.168.9.0/255.255.255.0
acl hora del almuerzo MTWHF 12:00-15:00
http_access allow <nombre_acl>
http_access define quin puede utilizar el alterno y quin puede acceder a qu en
Internet. Para que esto sea posible, deber proporcionar listas ACL. localhost y all
ya se han definido anteriormente y pueden permitir o denegar el acceso mediante
los valores deny (Denegar) y allow (Permitir). Puede crear una lista con cualquier
nmero de entradas http_access, que se procesarn de arriba a abajo y,
dependiendo de lo que ocurra primero, permitirn o denegarn el acceso a la
direccin URL respectiva. La ltima entrada siempre debe ser http_access deny
all. En el siguiente ejemplo localhost (host local) tiene acceso a todo, mientras que
a todos los dems hosts se les deniega el acceso completamente.
http_access allow localhost

http_access deny all
En otro ejemplo de uso de estas reglas, el grupo profesores siempre tiene acceso
a Internet. El grupo alumnos slo tiene acceso de lunes a viernes durante la hora
del almuerzo.
http_access deny localhost
http_access allow profesores
http_access allow alumnos hora del almuerzo
En beneficio de la legibilidad del archivo, la lista con las entradas http_access slo
debe introducirse en la posicin designada en el archivo /etc/squid/squid.conf. Es
decir, entre el texto
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR
# CLIENTS
y la ltima entrada
redirect_program /usr/bin/squidGuard
Esta opcin permite especificar un redireccionador como squidGuard, que permite
bloquear las direcciones URL no deseadas. El acceso a Internet se puede
controlar de forma individualizada para distintos grupos de usuarios mediante la
autenticacin de alternos y las listas ACL adecuadas. squidGuard es un paquete
aparte que puede instalarse y configurarse por separado.
auth_param basic program /usr/sbin/pam_auth
Si los usuarios deben autenticarse en el alterno, defina un programa adecuado,
como pam_auth. Al acceder a pam_auth por primera vez, el usuario ver una
ventana de inicio de sesin en la que podr introducir el nombre de usuario y la
contrasea.
Adems, sigue siendo necesaria una lista ACL, por lo que slo los clientes con un
inicio de sesin vlido podrn utilizar Internet:
acl password proxy_auth REQUIRED
http_access allow password
El valor REQUIRED tras proxy_auth puede sustituirse con una lista de nombres de
usuario permitidos o con la va a dicha lista.
ident_lookup_access allow <nombre_acl>
Permite ejecutar una solicitud de identidad para todos los clientes definidos en la
lista ACL para averiguar la identidad de cada usuario. Si incluye all en
<nombre_acl>, la solicitud ser vlida para todos los clientes. Adems, deber
haber un daemon de identidad en ejecucin en todos los clientes. En Linux, instale
el paquete pidentd. En el caso de Microsoft Windows, en Internet encontrar
software gratuito disponible para su descarga. Para garantizar que slo se
permitan los clientes con una bsqueda de identidad correcta, defina la lista ACL
correspondiente aqu:
acl identhosts ident REQUIRED
http_access allow identhosts
En esta entrada tambin puede sustituir REQUIRED por una lista de nombres de
usuario permitidos. El uso de ident puede ralentizar bastante el tiempo de acceso,
dado que las bsquedas de identidad se repiten para cada solicitud.
Configuracin de Squid
Reglas establecidas por el Proxy

SQUID.CONFIG --- REGLAS
/ETC/SQUID/SQUID.CONFG
#Examples:
#acl macaddress arp 09:00:2b:23:45:67
#acl myexample dst_as 1241
#acl password proxy_auth REQUIRED
#acl fileupload req_mime_type -i ^multipart/form-data$
#acl javascript rep_mime_type -i ^application/x-javascript$
#
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
# http
# ftp
acl Safe_ports port 443 563 # https, snews
# gopher
# wais
acl Safe_ports port 1025-65535
# unregistered ports
# http-mgmt
# gss-http
# filemaker
# multiling http
acl puertoweb port 80
acl redlocal src 190.168.1.0/255.255.255.0
acl pcmalignas src /etc/squid/pcmalignas
acl CONNECT method CONNECT
# TAG: http_access
#
Allowing or Denying access based on defined access lists
#
#
Access to the HTTP port:
#
http_access allow|deny [!]aclname ...
#
#
NOTE on default values:
#
#
If there are no "access" lines present, the default is to deny
#
the request.
#
#
If none of the "access" lines cause a match, the default is the
#
opposite of the last line in the list. If the last line was
#
deny, the default is allow. Conversely, if the last line
#
is allow, the default will be deny. For these reasons, it is a
#
good idea to have an "deny all" or "allow all" entry at the end
#
of your access lists to avoid potential confusion.
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
Luego de definir las reglas debemos de reiniciar el servicio para que los
cambios en Squid surjan efecto, podemos hacerlo de 3 formas:
* Reiniciando la maquina.
* Con este Comando: gerardo@gerardo:~> sudo /etc/init.d/squid restart
root's password:
Sorry, try again.
root's password:
Shutting down WWW-proxy squid 2006/11/25 20:11:04| aclParseIpData: Bad host/IP:
'/etc/squid/pcmalignas'
2006/11/25 20:11:04| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src
/etc/squid/pcmalignas
done
Starting WWW-proxy squid
done
* Con este Comando: gerardo@gerardo:~> sudo /etc/init.d/squid reload
Reloading WWW-proxy squid 2006/11/25 20:11:19| aclParseIpData: Bad host/IP:
'/etc/squid/pcmalignas'
2006/11/25 20:11:21| aclParseIpData: Bad host/IP: '/etc/squid/pcmalignas'
Configuracin del lado del cliente:
CAPITULO VI
CONFIGURACION DE
SERVIDOR PROXY EN
WINDOWS SERVER
2003, Usando ISA Server
2006
PROTECCIN DE ACCESO A INTERNET

En la siguiente tabla se muestra de forma resumida cmo ISA Server 2006
resuelve los principales problemas a que se enfrentan los administradores de
TI a la hora de salvaguardar su entorno.
Problemas
principales
ISA Server ofrece
Seguridad
integrada
Necesidad de hacer Mejor resistencia a la saturacin
frente
al
nmero funcionalidades para la gestin de
creciente de ataques eventos
monitorizacin
que
sobre recursos Web posibilitan una mayor resistencia a

visibles
desde ataques de denegacin de servicio
Internet.
(DOS) y DOS distribuido.
Gusanos
que
se Mayor resistencia a los gusanos
propagan entre los para mitigar el impacto que las

usuarios y de unas mquinas infectadas provocan sobre
redes
otras, la
bsicamente
perjudicar
red
mediante
un
sistema
para simplificado de agrupamiento de las

a
los alertas IP y cuotas de conexin.
usuarios, partners y
clientes.
Los ataques pasan Mejor
respuesta
inadvertidos durante mediante

horas, incluso das, completos
antes
ataques
disparo de sistemas
de
alertas
lo que hace an ms respuestas, que pueden notificar al

necesario
disponer instante a los administradores al
de
mejores detectar problemas en la red.
instrumentos
detectar
para
ataques
cuando tienen lugar
Problemas
principales
y
ISA Server ofrece
adoptar
las
medidas adecuadas.
Necesidad
de Un Kit de Desarrollo (DSK) flexible
medidas
de para el desarrollo de complementos
seguridad
para
flexibles para
combatir
contexto
ISA Server,
un abordar
una
que
gran
permiten
variedad
de
cambiante aspectos de la seguridad, como los
de amenazas.
antivirus y el filtrado de contenidos

Web.
Gestin eficiente
Es
preciso
poder Mejor control de los recursos
localizar
mediante un registro de actividad y
rpidamente
la control de consumo de memoria y
informacin
de las peticiones DNS pendientes.
relevante en caso de
ataque.
Control granular y Gestin y monitorizacin unificadas
creacin de informes con el Management Pack para
sobre los distintos Microsoft
Operations
Manager
gateways instalados (MOM) 2005, y polticas a nivel de

en la organizacin.
array y corporativas, que permiten

un
control
ms
sencillo
de
la
seguridad y las reglas de acceso en

toda la organizacin.
la
instalacin
y Herramientas de gestin sencilla
configuracin de la y fcil de aprender que simplifican

seguridad perimetral tanto la configuracin inicial como la
es una tarea de alta administracin posterior.
calificacin
requiere
que
mucho
tiempo.
Acceso
seguro
rpido
Es preciso proteger Inspeccin
de
contenidos
en
Problemas
principales
ISA Server ofrece
los activos de TI y la profundidad y a mltiples niveles,

propiedad intelectual polticas
flexibles
muy
corporativa frente a completas, filtros de protocolo

los
ataques
el configurables, y relaciones de
cdigo
enrutamiento de red para combatir
malintencionado que amenazas procedentes de Internet.

aprovechan
la
actividad
de
los
usuarios
que
se
conectan en remoto.
PANTALLAS PRINCIPALES
Creacin de Plantillas de seguridad
Para crear una plantilla de seguridad, realice los siguientes pasos.

1. Para abrir Plantillas de seguridad, haga clic en Inicio, en Ejecutar, escriba
mmc y, a continuacin, haga clic en Aceptar.
2. En el men Archivo, haga clic en Agregar o quitar complemento y, a
continuacin, haga clic en Agregar.
3. Seleccione Plantillas de seguridad, haga clic en Agregar, en Cerrar y, a
continuacin, en Aceptar.
4. En el rbol de consola, haga clic en el nodo Plantillas de seguridad, haga

clic con el botn secundario del ratn en la carpeta donde desee almacenar
la nueva plantilla y haga clic en Nueva plantilla.
5. En Nombre de plantilla, escriba el nombre de la nueva plantilla de

seguridad.
6. En Descripcin, escriba la descripcin de la nueva plantilla de seguridad y,
a continuacin, haga clic en Aceptar.
7. Expanda la nueva plantilla y, a continuacin, haga clic en Servicios del
sistema.
8. En el panel de detalles, haga clic con el botn secundario del ratn en

Sistema de sucesos COM+ y, a continuacin, haga clic en Propiedades.
9. Active Definir esta configuracin de directiva en la plantilla y, a
continuacin, haga clic en el modo de inicio. (Para Sistema de sucesos
COM+, el modo de inicio es Automtico.)
Mas Seguridad
Para aplicar la nueva plantilla al equipo servidor ISA, realice los

siguientes pasos.
1. Para abrir Plantillas de seguridad, haga clic en Inicio, en Ejecutar, escriba
mmc y, a continuacin, haga clic en Aceptar.
2. En el men Archivo, haga clic en Agregar o quitar complemento y, a
continuacin, haga clic en Agregar.
3. Seleccione Configuracin y anlisis de seguridad, haga clic en Agregar,
en Cerrar y, a continuacin, en Aceptar.
4. En el rbol de consola haga clic en Configuracin y anlisis de

seguridad.
5. Haga clic con el botn secundario del ratn en Configuracin y anlisis
de seguridad y, a continuacin, haga clic en Abrir base de datos.
6. Escriba un nuevo nombre de base de datos y, a continuacin, haga clic en
Abrir.
7. Seleccione la nueva plantilla de seguridad que desea importar y, a
continuacin, haga clic en Abrir. Seleccione la plantilla de seguridad que ha
creado anteriormente.
Funciones administrativas
Para asignar funciones administrativas, realice los siguientes pasos.

1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA
Server y, a continuacin, haga clic en Administracin del servidor ISA.
2. En el rbol de consola de Administracin del servidor ISA, haga clic en
Microsoft ISA Server 2004 y, a continuacin, en el nombre_de_servidor.
3. En la ficha Tareas, haga clic en Definir funciones administrativas.
4. En la pgina de bienvenida del Asistente para la delegacin de
administracin del servidor ISA, haga clic en Siguiente.

5. Haga clic en Agregar.
6. En Grupo (recomendado) o usuario, escriba el nombre del grupo o
usuario al que se asignarn los permisos administrativos especficos.
7. En Funcin, seleccione la funcin administrativa aplicable.
ATAQUES
Reduccin de la superficie de ataque

Para proteger todava ms el equipo servidor ISA, aplique el principio de
superficie de ataque reducida. Para reducir la cantidad de superficie de ataque,
siga estas directrices:
No ejecute aplicaciones y servicios innecesarios en el equipo servidor ISA.

Deshabilite los servicios y las funciones que no sean fundamentales para la
tarea actual, tal como se describe en la seccin Consolidacin de la
seguridad de la infraestructura de Windows.
Deshabilite las caractersticas del servidor ISA que no utilice. Por ejemplo, si
no necesita cach, deshabiltela. Si no precisa la funcionalidad VPN del
servidor ISA, deshabilite el acceso de clientes de VPN.
Identifique los servicios y tareas que no son fundamentales para el modo en

que administra la red y, a continuacin, deshabilite las reglas de directiva del
sistema asociadas.
Limite la aplicacin de las reglas de directiva del sistema nicamente a las

entidades de red requeridas. Por ejemplo, el grupo de configuracin de
directiva del sistema de Active Directory, habilitado de forma predeterminada,
se aplica a todos los equipos de la red interna. Puede limitarlo de modo que
se aplique a un grupo de Active Directory especfico de la red interna.
LIMITACION DE ACCESOS
Para limitar este acceso, realice los siguientes pasos.

Microsoft ISA Server 2004, en el nombre_de_servidor y, a continuacin,
en Directiva de firewall.
3. En la ficha Tareas, haga clic en Editar directiva del sistema.

4. En el Editor de directivas del sistema, en el rbol Grupos de configuracin,
haga clic en Comprobadores de conectividad HTTP.
5.
En la ficha A haga clic en Todas las redes (y host local) y, a continuacin,
6.
en Quitar.
Haga clic en Agregar y, a continuacin, seleccione las entidades de red
cuya conectividad desee comprobar. Se permitir todo el trfico HTTP
desde la red del host local (el equipo servidor ISA) a las entidades de red
enumeradas en la ficha A.
MODIFICACION DE SITIOS WEB
Para modificar el conjunto de direcciones URL para incluir sitios Web

adicionales, realice los siguientes pasos.
en Directiva de firewall.
3. En la ficha Herramientas haga clic en Objetos de red.
4. En Conjuntos de nombre de dominio, haga clic con el botn secundario

del ratn en Sitios permitidos de directiva del sistema y, a continuacin,
haga clic en Propiedades.
5. En la ficha General haga clic en Nuevo y, a continuacin, escriba la
direccin URL del sitio Web especfico.
El acceso HTTP y HTTPS se permitir a los sitios Web especificados.
Lmites de conexin
El servidor ISA limita el nmero de conexin en un momento dado. Puede
configurar el lmite especificando un nmero mximo de conexiones
simultneas. Cuando se haya alcanzado el nmero mximo de conexiones, se
denegar cualquier nueva peticin de cliente para dicho servicio de escucha
Web.
Puede limitar el nmero total de creacin de sesiones UDP, ICMP y dems Raw
IP permitidas por una regla de publicacin o acceso a servidor, por segundo.
Estas limitaciones no se aplican a las conexiones TCP. Cuando se sobrepasa el
nmero especificado de conexiones, no se crearn nuevas. Las conexiones
existentes no se desconectarn.
Se recomienda configurar lmites de conexiones bajos. De este modo, se
puede limitar de forma efectiva que los hosts malintencionados consuman
recursos del equipo servidor ISA.
De forma predeterminada, los lmites para conexiones que no sean TCP estn
configurados a 1000 por segundo y regla, y a 160 conexiones por cliente. Los
lmites para conexiones TCP estn configurados en 160 por cliente. Se
recomienda no cambiar estos lmites preconfigurados. Si debe modificar los
lmites de conexiones, configure un nmero de conexiones tan pequeo como
sea posible.
Para configurar los lmites de conexiones, realice los pasos siguientes.
1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Server
y, a continuacin, haga clic en Administracin del servidor ISA.
Microsoft ISA Server 2004, en el nombre_de_servidor, en Configuracin y,
a continuacin, en General.
3. En el panel de detalles, haga clic en Definir lmites de conexiones.
4. En la ficha Lmite de conexiones seleccione Limitar el nmero de

conexiones por cliente a.
5. Realice las siguientes acciones:
1. En Conexiones creadas por segundo por regla (no TCP) escriba el

nmero de conexiones permitidas por regla y segundo.
2. En Lmite de conexiones por cliente (TCP y no TCP) escriba el
nmero de conexiones permitidas por cliente.
Clientes firewall
El servidor ISA admite una forma ms segura de comunicacin entre el cliente
firewall y el servidor ISA, que implica el uso de cifrado mediante un canal de
control TCP. Puede configurar el servidor ISA para aceptar conexiones
nicamente de clientes que establezcan comunicacin de esta forma segura.
No obstante, esto impide que se conecten versiones anteriores del software de
cliente firewall.
Se recomienda permitir que nicamente los clientes firewall puedan establecer
comunicacin sobre una conexin cifrada. Esto incluye todo el software de
cliente firewall para los equipos ISA Server 2004.
Para configurar clientes firewall, realice los siguientes pasos.
Microsoft ISA Server 2004, en el nombre_de_servidor, en Configuracin
y, a continuacin, en General.
3. En el panel de detalles haga clic en Definir la configuracin del cliente
firewall.
4. En la ficha Conexin compruebe que no est activado Permitir

conexiones de cliente firewall sin usar cifrado.
CONECTIVIDAD A OTROS SERVIDORES
Comprobacin de la conectividad a servidores de autenticacin

Si utiliza un servidor RADIUS para la autenticacin, cree un comprobador de
conectividad que supervise el estado del servidor. Configure las alertas de
modo que se realice una accin adecuada cuando el servidor RADIUS no
funcione.
Para comprobar la conectividad, realice los siguientes pasos.
1.
Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA
2.

En el rbol de consola de Administracin del servidor ISA, haga clic en
3.
4.
en Supervisin.
En el panel de detalles, haga clic en la ficha Conectividad.
En la ficha Tareas, haga clic en Crear nuevo comprobador de
conectividad.
5.
En la pgina Bienvenida del asistente, escriba un nombre para el
6.
comprobador de conectividad y, a continuacin, haga clic en Siguiente.

En la pgina Detalles de comprobacin de conectividad haga lo
siguiente:
1. En Supervisar la conectividad a este servidor o direccin URL

escriba el nombre del servidor que se supervisar.
2. En Mtodo de comprobacin seleccione un mtodo para efectuar
la comprobacin. Haga clic en Siguiente y, a continuacin, en
7.
Finalizar.
Si la regla de directiva del sistema que permite la comprobacin de
conectividad HTTP no est habilitada y ha activado Enviar una peticin
HTTP "Get", se le pedir que habilite la regla de directiva del sistema.
Haga
clic
en
S.
Para obtener ms informacin acerca de las reglas de directiva del

sistema de comprobacin de conectividad HTTP, consulte la seccin
Comprobadores de conectividad.
8. En el panel de detalles, seleccione la regla que acaba de crear.
9. En la ficha Tareas haga clic en Editar comprobador seleccionado.
10. En la ficha Propiedades compruebe que est activado Desencadenar
una alerta si el servidor no responde dentro del tiempo de espera
especificado.
Propuesta de Servidores.
Servidores
ML570 G2
ML530 G2
ML370 G3
ML350 G3
ML110 G3
Procesador
Intel Xeon 3.0 L2/ L3-512
Intel Pentium 4 630 a 3GHz
Upgrade
Hasta 4 procesadores
Memoria
1 GB PC 1600 ECC DDR hasta
256 MB PC 2100 ECC DDR
512MB DIMM SDRAM DDRII
32 GB
16 GB
12 GB
hasta 8 GB
PC2
Item
4200
funcionalidad
533MHz,
ECC
de
con
serie
Unidades de
Floppy 1.44 MB, CD-ROM 52x,
Floppy 1.44 MB, CD-ROM
hasta 8 GB
almacenamiento
HD 80.4 SCSI
HD 80.4 SCSI
HD 40 SCSI
52x, HD 40 SCSI
HD 80.4 SATA
Incorpora
Controlador SCSI: dual channel
Video ATI RAGE XL 8MB,
Tarjeta
Wide
Wide
Wide
PCI
Ultra3,
NIC
10/100
Ultra3,
NIC
10/100
Ultra3,
RED
NC7781
de
red
controlador SCSI: Dual Wide
10/100/1000
encajado
encajado
Gigabit
Ultra 3, SMART ARRAY 64,
(integrada) con WOL (Wake on
PCI-7 (64bits/100MHz)
Red NC7760 Gigabit

LAN)
2 PCI-Express (x4 y x16) y 2
disponibles, 1 PCI 32 bits
Broadcom
Gigabit
PCI de 32 bits/33MHz a 3.3V
33MHz
P. Serial
P. Paralelo
2
1
1
1
2
1
1
1
1
1
PS/2
RJ-45
2
2
2
1
2
2
2
1
1
1
Video(DB-15)
USB
1
2
1
2
1
2
1
2
1
6
Cuadro N 5.10: Comparacin entre los servidores HP ML570 G2, ML370 G3 y ML350G3
Fuente: Elaboracin Propia.
5721
La tabla de comparacin, nos permiten evaluar las ventajas y desventajas que

presentan cada uno de los modelos de servidores HP as como tambin hacer
una eleccin de acuerdo con las necesidades requeridas que se ajusten al
modelo elegido.
Despus d e haber realizado las respectivas comparaciones se sugiere para la
red como de comunicaciones de datos utilizar el servidor HP Proliant ML110
G3 por ser el que da mejores soluciones al problema actual de la red.
Consideraciones de Software.
Estaciones de Trabajo.
Item
Sistema Operativo
Software Ofimtica
Antivirus
Nombre
Windows XP Profesional.
Microsoft Office XP
The Hacker Antivirus 6.0
Utilitarios
Nod32 v.2
WinZip 10.0
Acrobat Reader 7.0.
Otros
Cuadro N 3: Software propuesto par las estaciones de trabajo.

Servidores.
Item
Sistema Operativo de Red
Nombre
Windows Server 2003
Suse Linux 10.1
Administrador de Base de Datos

Correo Electrnico
SQL Server 2005

Ms Exchange Server 2003
Ms Outlook 2003
Cuadro N 4: Software propuesto para los servidores.

BIBLIOGRAFA
INTERNET:
T1: Linux para todos

Autor: Omar Guenui
http://www.linuxparatodos.net/geeklog/staticpages/index.php?
page=manuales-indice
T2: Descarga de Manuales Linux
Autor: Germn A. Infiesta
http://gluv.univalle.edu.co/paquetes/download/indexDownload.php?
%20accion=Descargas&tipo=Descargas&titulo=Descargas
T3: SuSE Linux
Autor: Julio Csar Chavz Urrea
http://www.forosuse.org/forosuse/showthread.php?
t=5822&goto=nextoldest
T4: SuSE Linux manual de Administracion
Autor: Cabletesting
http://www.polinux.upv.es/mozilla/varios/suselinux-adminguide-9.2es/index.html
T5: Protocolos
Autor : 3COM
http://neo.lcc.uma.es/evirtual/cdd/tutorial/aplicacion/ftp.html
TESIS
T1: BAUTISTA ZIGA y NAVARRO MENDOZA Diseo de la red de
comunicaciones de datos de la empresa TRUPAL S.A Trujillo 2005
Referencias web:
Switch 3COM OC DS SWITCH 8P 10/100 RJ45
http://www.misco.es/productinformation/~404946~/3COM%20OC%20DS
%20SWITCH%208P%2010%2F100%20RJ45.htm
http://www.hzcomputer.com/l_precio.php
D-Link DES-1008D 8-Port 10/100 Dual Speed Switch
http://www.expansys.es/product.asp?code=105686
router
MODEM ROUTER ENCORE ENDSL-AR4
http://www.deremate.com.ar/Accdb/ViewItem.asp?IDI=12445271
3Com OfficeConnect Remote 812 ADSL Router
http://www.3com.es/products/adsl/
servidor
http://www.areapc.com/servidor_hp_proliant_ml110_g3__470063673__10408838_p.html

Configuracion de Servidor Proxy en Windows Server 2003 y Suse Linux 10.1

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Configuracion de Servidor Proxy en Windows Server 2003 y Suse Linux 10.1

Cargado por

Copyright:

Formatos disponibles

Presentacin

El presente proyecto se encuentra basado en los conocimientos adquiridos

Trujillo, Octubre del 2006

Satisfacer las necesidades del diente.

Posicin a la ACADEMIA BERENDSON como una empresa lder.

Mejorar permanentemente la calidad de la ACADEMIA BERENDSON.

Desarrollar permanentemente nuevas estrategias de acuerdo a las

2. Anlisis de la situacin problemtica

Falta de seguridades la red, estndares internacionales.

Falta de productividad de los usuarios de oficina porque a veces entran a

Falta de soporte informtico.

Perdida de tiempo en las tareas diarias.

En base a los problemas de la empresa anteriormente mencionados, hemos

Indisponibilidad de comunicacin en forma inoportuna.

Movimiento insatisfactorio de datos a travs de toda la organizacin.

Proponer una solucin idnea de acuerdo a la magnitud de la organizacin.

Aumento del flujo de informacin.

2.3 Enunciado del problema

Configurar el Servidor Proxy para la red de datos.

Definir la topologa de red adecuada a sus necesidades para la empresa

Determinar los requerimientos de hardware y software necesarios para un

Calcular el costo de inversin para la tecnologa propuesta.

Configurar la red de datos.

2.6 Justificacin del problema

La configuracin de un Servidor Proxy para una red de comunicaciones de

El sistema propuesto cambiar de alguna manera los mtodos tradicionales de

Dotar a la institucin de una red moderna tecnolgicamente segura,

El desarrollo del proyecto nos permitir obtener una cierta especializacin en la

Portal de acceso del nivel de aplicacin (PROXY)

La palabra proxy se usa en muchas situaciones en donde tiene sentido un

Tambin existen proxys para otros protocolos, como el proxy de FTP

Control. Slo el intermediario hace el trabajo real, por tanto se pueden

Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede

Filtrado. El proxy puede negarse a responder algunas peticiones si detecta

Modificacin. Como intermediario que es, un proxy puede falsificar

Anonimato. Si todos los usuarios se identifican como uno slo, es difcil

Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y

de controlar quin tiene acceso y quin no a sus servicios, cosa que

Carga. Un proxy ha de hacer el trabajo de muchos usuarios.

Intromisin. Es un paso ms entre origen y destino, y algunos usuarios

Incoherencia. Si hace de cach, es posible que se equivoque y d una

Irregularidad. El hecho de que el proxy represente a ms de un usuario da

Ahorro de Trfico: Las peticiones de pginas Web se hacen al servidor

Velocidad en Tiempo de respuesta: El servidor Proxy crea un cach que

Demanda a Usuarios: Puede cubrir a un gran nmero de usuarios, para

Filtrado de contenidos: El servidor proxy puede hacer un filtrado de

Modificacin de contenidos: Basndose en la misma funcin del filtrado,

Las pginas mostradas pueden no estar actualizadas si stas han sido

Un diseador de pginas web puede indicar en el contenido de su web que

El hecho de acceder a Internet a travs de un Proxy, en vez de mediante

comunicacin por red de datos para los sistemas UNIX. El mas

El protocolo de transferencia de hipertexto (HTTP, HyperText

derrumbamientos, explosiones, as como otros que afectan a las personas y

Un Firewall no puede proteger acciones de los usuarios internos.

Un Firewall no puede proteger las conexiones que no pasan por el.

Un Firewall no puede enfrentar completamente nuevas amenazas.

Un Firewall no puede proteger de los virus.

4. Estudio de la situacin actual del sistema

Fuente: Elaboracin propia

Fuente: Elaboracin propia

4.3 Software y Sistemas de Informacin utilizada por la empresa

5.1 Suse Linux 10.1

La funcin de enmascaramiento y el cortafuegos garantizan el control en el flujo y

Estas tablas contienen varias cadenas predefinidas para la coincidencia de