Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Configuracion de Servidor Proxy en Windows Server 2003 y Suse Linux 10.1
Configuracion de Servidor Proxy en Windows Server 2003 y Suse Linux 10.1
INTRODUCCIN
El presente proyecto de investigacin titulado CONFIGURACION DE SERVIDOR
PROXY EN WINDOWS SERVER 2003 Y SUSE LINUX 10.1, se ha
desarrollado con el fin de ser orientado al diseo y posible implementacin de
un Servidor Proxy para una red de comunicacin de rea local para la
empresa BERENDSON S.A.C que permita agilizar los procesos e integrar las
diferentes reas funcionales de la organizacin
Para el desarrollo se recopilo la informacin necesaria sobre la organizacin y
requerimientos de conexin de las reas funcionales, la cual luego fue finalizada
teniendo en cuenta la ubicacin de los equipos, los recursos de hardware y
software.
Mediante el anlisis se dieron 2 propuestas para la utilizacin de un Servidor
Proxy, la primera propuesta es configurarlo en el Sistema Operativo Windows
Server 2003, la segunda propuesta es configurarlo en el Sistema Operativo Suse
Linux 10.1.
CAPITULO I
GENERALIDADES DE
LA EMPRESA
1. Generalidades de la empresa
1.1 Resea Histrica
Los comienzos
Don WBA siguiendo una vocacin interna, comenz a difundir la prctica del
deporte. Sin local propio, all por el ao 1960, los primeros cursos de judo y karate
se dictaron en el club libertad, unos meses y luego en la casa de sus suegros en la
independencia 565 (hoy banco del trabajo) hasta que en reunin con sus
hermanos Max, Magda, Sigfredo, decidieron construir el local institucional en
Zepita, esto sucedi el ao 1962 y naci la Fundacin Berendson.
En Zepita
En Zepita se amplia la oferta de disciplinas, siempre pioneros sigui
promocionando el judo, karate, esgrima, box. Por razones de salud de los nios se
muda la familia a Huanchaco, all por el ao 1965. Casi de inmediato se abre all
una sede de la fundacin Berendson cuyo principal merito fue el de organizar el
primer campeonato de caballitos de totora en dos disciplinas: acrobacia y
velocidad.
En Bolognesi
En Zepita funciona hasta el ao 1975, al ao de fallecido don WBA, doa William
decide el traslado del tatami para ser instalado en la parte superior de su casa.
Todo muy precario, pero con el mismo tesn de siempre, se siguieron dictando las
clases de judo y karate. Aqu es cuando nace la Academia Berendson.
Fue en 1985 cuando los herederos de don WBA deciden construir un nuevo local
institucional que constara con piscinas propias para la enseanza y practica de la
natacin.
Desde ese entonces hasta ahora son aos de crecimiento, esfuerzo, alegras y
sinsabores, y ahora nuestro complejo deportivo ofrece a la comunidad trujillana la
posibilidad de practicar natacin, taekwondo, karate, kun fu, basket, voley, bulbito,
tai chi, box tai, marinera, danzas modernas, aikido, en unas instalaciones
mejoradas y en un ambiente humano, calido y de calidad.
Venimos de una raz pionera, innovadora, capaz de riesgo y luchadora. LA
BERENDSON es una institucin , una familia, que debe seguir creciendo en esta
misma huella. Repetir por repetir, relajarse durmindonos en los laureles, no es
compatible con nuestros genes. No basta pertenecer a una gran institucin, hay
que ser grandes con ella.
Direccin empresarial
1.1.1 Visin
Ser lderes en el mercado trujillano, cumpliendo y mejorando los estndares
de enseanza de nuestro servicio y as poder llegar a mercados ms
competitivos a nivel nacional.
1.1.2 Misin
Ser lderes en la enseanza deportiva y competir con mejores estndares
de enseanza que la ciudad haya visto antes.
1.1.3 Objetivos empresariales
CAPITULO II
ANALISIS Y
PLANTEAMIENTO
PROBLEMATICO
Contribuir a cumplir con las polticas de trabajo entre las diferentes reas de la
organizacin.
Este proyecto servir de base y gua para los otros proyectos posteriores en
BERENSON SAC.
CAPITULO III
MARCO TEORICO
3.1.
Figura 1
Ventajas
En general (no slo en informtica), los proxys hacen posibles varias cosas
nuevas:
Ahorro. Por tanto, slo uno de los usuarios (el proxy) ha de estar equipado
para hacer el trabajo real.
Desventajas
En general (no slo en informtica), el uso de un intermediario puede provocar:
Funcionamiento
Un proxy permite a otros equipos conectarse a una red de forma indirecta a travs
de l. Cuando un equipo de la red desea acceder a una informacin o recurso, es
realmente el proxy quien realiza la comunicacin y a continuacin traslada el
resultado al equipo inicial. En unos casos esto se hace as porque no es posible la
comunicacin directa y en otros casos porque el proxy aade una funcionalidad
adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una
pgina web) en una cache que permita acelerar sucesivas consultas coincidentes.
Con esta denominacin general de proxy se agrupan diversas tcnicas.
Proxy de web / Proxy cache de web
Se trata de un proxy para una aplicacin especfica: el acceso a la web. Aparte de
la utilidad general de un proxy, proporciona una cache para las pginas web y los
contenidos descargados, que es compartida por todos los equipos de la red, con la
consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al
mismo tiempo libera la carga de los enlaces hacia Internet.
Funcionamiento
1. El cliente realiza una peticin (p.e. mediante un navegador web) de un
recurso de Internet (una pgina web o cualquier otro archivo) especificado
por una URL.
2. Cuando el proxy cach recibe la peticin, busca la URL resultante en su
cach local. Si la encuentra, devuelve el documento inmediatamente, si no
es as, lo captura del servidor remoto, lo devuelve al que lo pidi y guarda
una copia en su cach para futuras peticiones.
El cach utiliza normalmente un algoritmo para determinar cundo un documento
est obsoleto y debe ser eliminado de la cach, dependiendo de su antigedad,
tamao e histrico de acceso. Dos de esos algoritmos bsicos son el LRU (el
usado menos recientemente, en ingls "Least Recently Used") y el LFU (el usado
menos frecuentemente, "Least Frequently Used").
Los proxies web tambin pueden filtrar el contenido de las pginas Web servidas.
Algunas aplicaciones que intentan bloquear contenido Web ofensivo estn
implementadas como proxies Web. Otros tipos de proxy cambian el formato de las
pginas web para un propsito o una audiencia especfica, por ejemplo, mostrar
una pgina en un telfono mvil o una PDA. Algunos operadores de red tambin
tienen proxies para interceptar virus y otros contenidos hostiles servidos por
pginas Web remotas.
Ejemplo
Un cliente de un ISP manda una peticin a Google la peticin llega en un
inicio al servidor Proxy que tiene este ISP, no va directamente a la direccin
IP del dominio de Google. Esta pgina concreta suele ser muy solicitada
por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy
por un cierto tiempo y crea una respuesta mucho menor en tiempo. Cuando
el usuario crea una bsqueda el servidor Proxy ya no es utilizado y
megared enva su peticin y el cliente recibe su respuesta ahora s desde
Google.
Otros usos
Como mtodo extra y de ayuda en las descargas mediante aplicaciones
P2P; el cual es usado en Lphant y algunos Mods del Emule.
Ventajas
Desventajas
Almacenar las pginas y objetos que los usuarios solicitan puede suponer
una violacin de la intimidad para algunas personas.
3.2.
Protocolos.
_ Protocolo TCP/IP.
Se
han
desarrollado
diferentes
familias de
protocolos para
_ Protocolo FTP
FTP es un protocolo estndar con el STD 9. Su status es recomendado.
Se describe en el RFC 959 - FTP("File Transfer Protocol").
La copia de ficheros de una mquina a otra es una de las operaciones
ms frecuentes. La transferencia de datos entre cliente y servidor puede
producirse en cualquier direccin. El cliente puede enviar o pedir un
fichero al servidor.
Para acceder a ficheros remotos, el usuario debe identificarse al
servidor. En este punto el servidor es responsable de autentificar al
cliente antes de permitir la transferencia de ficheros.
Desde el punto de vista de un usuario de FTP, el enlace est orientado a
conexin. En otras palabras, es necesario que ambos hosts estn
activos y ejecutando TCP/IP para establecer una transferencia de
ficheros.
FTP usa TCP como protocolo de transporte para proporcionar
conexiones fiables entre los extremos. Se emplean dos conexiones: la
primera es para el login y sigue el protocolo TELNET y la segunda es
para gestionar la transferencia de datos. Como es necesario hacer un
login en el host remoto, el usuario debe tener un nombre de usuario y un
password para acceder a ficheros y a directorios. El usuario que inicia la
conexin asume la funcin de cliente, mientras que el host remoto
adopta la funcin de servidor
En ambos extremos del enlace, la aplicacin FTP se construye con
intrprete de protocolo(PI), un proceso de transferencia de datos, y una
interfaz de usuario como muestra la imagen.
3.3.
Seguridad.
La seguridad de las redes va adquiriendo importacin con el aumento del
volumen de informacin importante que se halla en las computadoras
distribuidas. En este tipo de sistemas resulta muy sencillo para un usuario
experto acceder subrepticiamente a datos de carcter confidencial.
La seguridad tambin consiste en la aplicacin de barreras fsicas y
procedimientos de control como medidas de prevencin y contramedidas
contra las amenazas a los recursos y la informacin confidencial, ya sea el
cambio constante de contraseas de administradores, utilizacin de
contraseas que contengan muchos dgitos, o evitar el acceso de personal
ajeno a sala de servidores, ya que en muchas organizaciones se suelen
tomar medidas para prevenir la accin de un atacante que intenta acceder
fsicamente a la sala de operaciones o al lugar donde se depositan las
impresiones del sistema. Esto motiva que en determinadas situaciones un
atacante se decline por aprovechar vulnerabilidad fsicas en lugar de
lgicas.
Las amenazas pueden ser diversas: sabotaje, vandalismo, terrorismo,
accidentes de distintos tipos, incendios, inundaciones, averas importantes,
3.10.2. Proxy.
Es una solucin de software que permite conectar a 2 o ms computadoras
que se encuentran en una red a un acceso simultaneo a la Internet a travs
de una sola cuenta de acceso, va modem telefnico, conexin ISDN
(RDSI), ASDL o TV cable y donde cada equipo puede utilizar los distintos
servicios de la Internet. De esta manera, en forma simple y econmica
varias PCs de su empresa pueden compartir una misma conexin y una
cuenta de acceso a la Internet, obteniendo importantes ahorros en equipos,
cuentas de acceso a la Internet y servicio local medido (SLM).
CAPITULO IV
PLANIFICACION
Unidades
1
1
1
1
Microprocesador
POP-2.8 GHZ
POP-2.8 GHZ
POP-2.8 GHZ
POP-2.8 GHZ
RAM
512 MB
256 MB
256 MB
256 MB
Disco duro
80 GB
80 GB
80 GB
80 GB
Marciales
Modelo
Lexmark
HP
Estado
Bueno
Bueno
Bueno
Bueno
CAPITULO V
CONFIGURACION DE
SERVIDOR PROXY EN
SUSE LINUX 10.1
Esta tabla define todos los cambios realizados en las direcciones de origen y
destino de los paquetes. Haciendo uso de estas funciones podr tambin recurrir
al enmascaramiento, que es un caso especial de NAT que se emplea para enlazar
una red privada a Internet.
mangle
Las reglas contenidas en esta tabla permiten manipular los valores almacenados
en los encabezados IP (como, por ejemplo, el tipo de servicio).
ENCAMINAMIENTO PREVIO
Esta cadena se aplica a los paquetes entrantes.
ENTRADA
Esta cadena se aplica a los paquetes destinados a los procesos internos del
sistema.
ENVO
Esta cadena se aplica solamente a los paquetes que se enrutan a travs del
sistema.
SALIDA
Esta cadena se aplica a los paquetes originados en el sistema.
ENCAMINAMIENTO POSTERIOR
Esta cadena se aplica a todos los paquetes salientes.
La Figura , iptables: posibles vas del paquete ilustra las vas por las que puede
desplazarse un paquete de red en un sistema dado. Por razones de simplicidad,
las ilustracin muestra las tablas como partes de las cadenas, pero en realidad
estas cadenas se sustentan en las propias tablas.
La ms sencilla de las situaciones se produce cuando un paquete de entrada
destinado al sistema llega a la interfaz eth0. En primer lugar, el paquete se deriva
a la cadena PREROUTING de la tabla mangle y, a continuacin, a la cadena
PREROUTING de la tabla nat. El siguiente paso, referido al enrutamiento del
paquete, establece que el destino real del paquete es un proceso del sistema.
Despus de pasar por las cadenas INPUT de las tablas mangle y filter, el paquete
alcanza finalmente su objetivo, debido a que las reglas de la tabla filter son
coincidentes.
5.1.4 Nociones bsicas sobre el enmascaramiento
El enmascaramiento es la forma especfica de NAT (conversin de direcciones de
red) de Linux Se puede emplear para conectar una LAN pequea (donde los hosts
utilizan direcciones IP de rango privado.
Para que los hosts de la LAN puedan conectarse a Internet, sus direcciones
privadas se traducen en direcciones oficiales. Esta operacin se realiza en el
router, que acta de gateway entre la LAN e Internet. El principio subyacente es
muy sencillo: El router tiene ms de una interfaz de red, normalmente una tarjeta
de red y una interfaz que lo conecta a Internet. Mientras que esta ltima enlaza el
router con el exterior, una o varias de las dems lo conectan a los hosts de LAN.
Con los hosts de la red local conectados a la tarjeta de red (como por ejemplo
eth0) del router, es posible enviar cualquier paquete no destinado a la red local a
su gateway o router por defecto.
IMPORTANTE: Utilizacin de la mscara de red adecuada
Cuando configure su red, asegrese de que tanto la direccin de difusin como la
mscara de red son las mismas para todos los hosts locales. Si no toma esta
precaucin, los paquetes no se enrutarn adecuadamente.
el cach del disco duro. De este modo, los clientes reciben los datos mucho ms
rpido que cuando tienen que obtenerlos desde Internet. Este procedimiento
tambin reduce el trfico de la red.
Adems del almacenamiento en cach, Squid ofrece una amplia variedad de
funciones, como la distribucin de la carga en las jerarquas de los servidores
alternos, la definicin de estrictas listas de control de acceso para todos los
clientes que accedan al alterno, el permiso o la denegacin de acceso a pginas
Web concretas (con la ayuda de otras aplicaciones) y la generacin de
estadsticas de las pginas Web visitadas con ms frecuencia con el fin de evaluar
los hbitos de navegacin de los usuarios. Squid no es un alterno genrico.
Normalmente slo ejerce sus funciones con conexiones HTTP.
Tambin es compatible con los protocolos FTP, Gopher, SSL y WAIS, pero no es
compatible con otros protocolos de Internet, como Real Audio, noticias o
videoconferencia.
Dado que Squid slo es compatible con el protocolo UDP para proporcionar
comunicaciones entre diferentes cachs, muchos otros programas multimedia
tampoco son compatibles.
5.2.1 Algunos aspectos de los cachs alternos
Squid puede utilizarse de varios modos diferentes como cach alterno. Si se
combina con un cortafuegos, puede mejorar la seguridad. Se pueden utilizar varios
alternos al mismo tiempo. Tambin es posible determinar los tipos de objetos que
deben almacenarse en cach y durante cunto tiempo.
5.2.3 Squid y la seguridad
Existe la posibilidad de utilizar Squid con un cortafuegos para proteger las redes
internas del exterior al utilizar un cach alterno. El cortafuegos deniega el acceso a
los servicios externos a todos los clientes excepto a Squid. Todas las conexiones
Web deben establecerse a travs del alterno. Con esta configuracin, Squid
controla por completo el acceso Web.
SUGERENCIA
Para evitar la duplicacin de objetos en diferentes cachs de la red, se emplean
otros protocolos ICP, como CARP (protocolo de encaminamiento de matrices de
cachs) o HTCP (protocolo de cach de hipertexto). Cuantos ms objetos se
mantengan en la red, mayores son las posibilidades de encontrar el deseado.
5.2.5 Almacenamiento en cach de objetos de Internet
No todos los objetos disponibles en la red son estticos. Hay muchas pginas CGI
generadas de forma dinmica, contadores de visitantes y documentos con
contenido cifrado mediante SSL. Estos tipos de objetos no se almacenan en
cach, dado que cambian cada vez que se accede a ellos.
La cuestin es cunto tiempo deben permanecer en cach los dems objetos
almacenados.
Para determinarlo, a todos los objetos en cach se les asigna uno de los distintos
estados posibles. Los servidores Web y alternos averiguan el estado de los
objetos aadindoles encabezados como ltima modificacin o Caduca, junto a
la fecha correspondiente.
Otros encabezados especifican que los objetos no deben almacenarse en cach.
Los objetos en cach suelen sustituirse debido a la falta de espacio disponible en
disco.
Para ello se emplean algoritmos como el de uso ms reciente (LRU).
Bsicamente, esto significa que el alterno desecha los objetos que no se han
solicitado desde hace ms tiempo.
5.2.6 Requisitos del sistema
Lo ms importante es determinar la carga mxima de red que deber soportar el
sistema.
Por lo tanto, es importante prestar ms atencin a los picos de carga, dado que
pueden ser ms de cuatro veces superiores a la media del da. Si tiene dudas, es
preferible sobrestimar los requisitos del sistema, dado que si Squid funciona cerca
de su lmite de capacidad, puede provocar una prdida importante de calidad del
servicio. En las siguientes secciones se sealan los factores del sistema por orden
de importancia.
5.2.7 Discos duros
La velocidad juega un papel importante en el proceso de almacenamiento en
cach, por lo que este factor merece una atencin especial. En el caso de los
discos duros, este parmetro se describe como tiempo de bsqueda aleatoria y se
mide en milsimas de segundo. Dado que los bloques de datos que Squid lee o
escribe en el disco duro tienden a ser bastante pequeos, el tiempo de bsqueda
del disco duro es ms importante que la capacidad para proporcionar datos. Para
los fines de un alterno, los discos duros con velocidades de rotacin elevadas son
probablemente la mejor eleccin, dado que permiten que el cabezal de lecturaescritura se coloque en el punto necesario ms rpidamente. Una posibilidad para
acelerar el sistema es utilizar varios discos al mismo tiempo o emplear matrices
RAID.
5.2.8 Tamao de cach de disco
En un cach pequeo, la probabilidad de una respuesta HIT (cuando se encuentra
el objeto solicitado almacenado en cach) es pequea, dado que el cach se llena
fcilmente y los objetos menos solicitados se sustituyen con objetos ms
recientes. Por ejemplo, si hay un GB disponible para el almacenamiento en cach
y los usuarios slo descargan unos diez MB diarios al navegar, tardarn ms de
cien das en llenar el cach.
El modo ms sencillo de determinar el tamao de cach necesario es tener en
cuenta la velocidad mxima de transferencia de la conexin. Con una conexin de
1 Mb/s, la velocidad mxima de transferencia es de 125 KB/s. Si todo este trfico
acaba en el cach, en una hora pueden llegar a aadirse hasta 450 MB y,
suponiendo que slo se genere trfico en las ocho horas laborables, el total puede
llegar a ser de hasta 3,6 GB por da. Dado que la conexin no suele utilizarse
hasta el lmite de su capacidad, puede suponerse que el volumen total de datos
gestionados por el cach ser de aproximadamente 2 GB. En nuestro ejemplo, se
telefnico con una configuracin de DNS dinmica. En este caso, debe introducir
al menos el servidor de nombres, dado que Squid no se inicia si no detecta un
servidor DNS en /etc/resolv.conf.
5.2.12 Comandos para iniciar y detener Squid
Para iniciar Squid, introduzca rcsquid start en la lnea de comandos como usuario
Root. Durante el primer inicio, deber definir primero la estructura de directorios
del cach en /var/cache/squid. El guin de inicio /etc/init.d/squid lleva a cabo
automticamente esta accin, que puede tardar unos pocos segundos o incluso
minutos. Si a la derecha aparece done (Finalizado) en verde, Squid se ha cargado
correctamente. Para probar la funcionalidad de Squid en el sistema local,
introduzca localhost como alterno (proxy) y 3128 como puerto en el navegador.
Para permitir que usuarios del sistema local y de otros sistemas puedan acceder a
Squid y a Internet, modifique la entrada del archivo de configuracin
/etc/squid/squid.conf de http_access deny all a http_access allow all. No obstante,
tenga en cuenta que si lo hace, cualquier usuario podr acceder sin restricciones a
Squid.
Por lo tanto, deber definir listas ACL que controlen el acceso al alterno.
Despus de modificar el archivo de configuracin /etc/squid/squid.conf, Squid
deber volver a cargarlo. Para ello, emplee el comando rcsquid reload. Si lo
prefiere, utilice el comando rcsquid restart para reiniciar Squid completamente.
Puede emplear el comando rcsquid status para comprobar si el alterno se est
ejecutando. El comando rcsquid stop detiene el funcionamiento de Squid. Esto
puede
tardar,
dado
que
Squid
espera
hasta
medio
minuto
(opcin
comportamiento
se
controla
mediante
el
archivo
en
la
variable
de
configuracin
del
sistema
(sysconfig)
MODIFY_NAMED_CONF_DYNAMICALLY.
Servicio DNS esttico Con el servicio DNS esttico, no se lleva a cabo ningn
ajuste automtico de DNS al establecer la conexin, por lo que no es necesario
Los valores ms adecuados oscilan entre un mnimo del 50% y un mximo del
80% del espacio disponible en disco. Debe extremar las precauciones si decide
aumentar los dos ltimos nmeros (referentes a los directorios), dado que la
existencia de demasiados directorios puede provocar problemas de rendimiento.
Si tiene varios discos que comparten el cach, introduzca varias lneas cache_dir.
cache_access_log /var/log/squid/access.log, cache_log /var/log/squid/cache.log,
cache_store_log /var/log/squid/store.log
Estas tres entradas especifican las rutas en las que Squid registra todas sus
acciones.
Normalmente no es necesario realizar ningn cambio. Si Squid experimenta una
carga de uso intensa, puede que resulte til distribuir el cach y los archivos de
registro en varios discos.
emulate_httpd_log off
Si la entrada tiene el valor on, obtendr archivos de registro legibles. No obstante,
algunos programas de evaluacin no podrn interpretarlos.
client_netmask 255.255.255.255
Esta entrada permite enmascarar las direcciones IP de los clientes en los archivos
de registro. El ltimo dgito de la direccin IP tendr el valor cero si introduce aqu
255.255.255.0. De ese modo, puede proteger la privacidad de los clientes.
ftp_user Squid@
Permite definir la contrasea que debe utilizar Squid para los inicios de sesin FTP
annimos. Puede que sea una buena idea indicar una direccin de correo
electrnico vlida, dado que algunos servidores FTP las comprueban para verificar
su validez.
cache_mgr webmaster
Una direccin de correo electrnico a la que Squid debe enviar un mensaje si se
produce un error inesperado. El valor por defecto es webmaster.
logfile_rotate 0
Si ejecuta squid -k rotate, Squid puede rotar los archivos de registro protegidos.
Los archivos se numeran durante el proceso y, al llegar al valor especificado, se
sobrescribe el archivo ms antiguo. El valor por defecto es 0, dado que el
almacenamiento y la supresin de archivos de registro en SUSE Linux se lleva a
cabo mediante un
/etc/logrotate/squid.
append_domain <dominio>
Utilice append_domain para especificar el dominio que debe adjuntarse
automticamente si no se proporciona ninguno. Normalmente se introduce su
propio dominio, por lo que al introducir www en el navegador acceder a su propio
servidor Web.
forwarded_for on
Si establece el valor off para esta entrada, Squid eliminar la direccin IP y el
nombre de sistema de los clientes de las solicitudes HTTP. De lo contrario, aadir
al encabezado una lnea similar a la siguiente:
X-Forwarded-For: 192.168.0.0
negative_ttl 5 minutes; negative_dns_ttl 5 minutes
Por lo general, no necesita efectuar ningn cambio en estos valores. No obstante,
si utiliza una conexin de acceso telefnico, en ocasiones puede que no sea
posible acceder a Internet. Squid tiene en cuenta las solicitudes fallidas y rechaza
emitir solicitudes nuevas, aunque la conexin a Internet se restablezca. Si esto
ocurre, cambie el valor de minutes (minutos) a seconds (segundos) y haga clic en
el botn de actualizacin del navegador, el proceso de marcacin debera volver a
iniciarse en unos segundos.
never_direct allow nombre_acl
Para evitar que Squid acepte solicitudes directamente de Internet, utilice el
comando anterior para forzar la conexin con otro alterno. Dicho alterno deber
haberse introducido anteriormente en cache_peer. Si especifica el valor all para la
entrada acl_name, forzar todas las solicitudes de modo que se enven
directamente al alterno principal. Esto puede resultar necesario, por ejemplo, si
emplea un proveedor que estipula de forma estricta el uso de sus alternos o
deniega al cortafuegos acceso directo a Internet.
acceso) del
archivo
/etc/squid/squid.conf. La
El valor REQUIRED tras proxy_auth puede sustituirse con una lista de nombres de
usuario permitidos o con la va a dicha lista.
ident_lookup_access allow <nombre_acl>
Permite ejecutar una solicitud de identidad para todos los clientes definidos en la
lista ACL para averiguar la identidad de cada usuario. Si incluye all en
<nombre_acl>, la solicitud ser vlida para todos los clientes. Adems, deber
haber un daemon de identidad en ejecucin en todos los clientes. En Linux, instale
el paquete pidentd. En el caso de Microsoft Windows, en Internet encontrar
software gratuito disponible para su descarga. Para garantizar que slo se
permitan los clientes con una bsqueda de identidad correcta, defina la lista ACL
correspondiente aqu:
acl identhosts ident REQUIRED
http_access allow identhosts
http_access deny all
En esta entrada tambin puede sustituir REQUIRED por una lista de nombres de
usuario permitidos. El uso de ident puede ralentizar bastante el tiempo de acceso,
dado que las bsquedas de identidad se repiten para cada solicitud.
Configuracin de Squid
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
Luego de definir las reglas debemos de reiniciar el servicio para que los
cambios en Squid surjan efecto, podemos hacerlo de 3 formas:
* Reiniciando la maquina.
* Con este Comando: gerardo@gerardo:~> sudo /etc/init.d/squid restart
root's password:
Sorry, try again.
root's password:
Shutting down WWW-proxy squid 2006/11/25 20:11:04| aclParseIpData: Bad host/IP:
'/etc/squid/pcmalignas'
2006/11/25 20:11:04| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src
/etc/squid/pcmalignas
done
Starting WWW-proxy squid
done
* Con este Comando: gerardo@gerardo:~> sudo /etc/init.d/squid reload
Reloading WWW-proxy squid 2006/11/25 20:11:19| aclParseIpData: Bad host/IP:
'/etc/squid/pcmalignas'
2006/11/25 20:11:19| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src
/etc/squid/pcmalignas
2006/11/25 20:11:21| aclParseIpData: Bad host/IP: '/etc/squid/pcmalignas'
2006/11/25 20:11:21| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src
/etc/squid/pcmalignas
CAPITULO VI
CONFIGURACION DE
SERVIDOR PROXY EN
WINDOWS SERVER
2003, Usando ISA Server
2006
Seguridad
integrada
Necesidad de hacer Mejor resistencia a la saturacin
frente
al
monitorizacin
que
Internet.
Gusanos
que
otras, la
bsicamente
perjudicar
red
mediante
un
sistema
usuarios, partners y
clientes.
Los ataques pasan Mejor
respuesta
antes
ataques
disparo de sistemas
de
alertas
de
instrumentos
detectar
para
ataques
Problemas
principales
y
adoptar
las
medidas adecuadas.
Necesidad
medidas
seguridad
para
flexibles para
combatir
contexto
ISA Server,
un abordar
una
que
gran
permiten
variedad
de
de amenazas.
Gestin eficiente
Es
preciso
localizar
rpidamente
informacin
relevante en caso de
ataque.
Control granular y Gestin y monitorizacin unificadas
creacin de informes con el Management Pack para
sobre los distintos Microsoft
Operations
Manager
control
ms
sencillo
de
la
instalacin
que
mucho
tiempo.
Acceso
seguro
rpido
de
contenidos
en
Problemas
principales
flexibles
muy
ataques
el configurables, y relaciones de
cdigo
la
actividad
de
los
usuarios
que
se
conectan en remoto.
PANTALLAS PRINCIPALES
Mas Seguridad
Funciones administrativas
ATAQUES
Deshabilite las caractersticas del servidor ISA que no utilice. Por ejemplo, si
no necesita cach, deshabiltela. Si no precisa la funcionalidad VPN del
servidor ISA, deshabilite el acceso de clientes de VPN.
LIMITACION DE ACCESOS
5.
6.
en Quitar.
Haga clic en Agregar y, a continuacin, seleccione las entidades de red
cuya conectividad desee comprobar. Se permitir todo el trfico HTTP
desde la red del host local (el equipo servidor ISA) a las entidades de red
enumeradas en la ficha A.
Lmites de conexin
El servidor ISA limita el nmero de conexin en un momento dado. Puede
configurar el lmite especificando un nmero mximo de conexiones
simultneas. Cuando se haya alcanzado el nmero mximo de conexiones, se
denegar cualquier nueva peticin de cliente para dicho servicio de escucha
Web.
Puede limitar el nmero total de creacin de sesiones UDP, ICMP y dems Raw
IP permitidas por una regla de publicacin o acceso a servidor, por segundo.
Estas limitaciones no se aplican a las conexiones TCP. Cuando se sobrepasa el
nmero especificado de conexiones, no se crearn nuevas. Las conexiones
existentes no se desconectarn.
Se recomienda configurar lmites de conexiones bajos. De este modo, se
puede limitar de forma efectiva que los hosts malintencionados consuman
recursos del equipo servidor ISA.
De forma predeterminada, los lmites para conexiones que no sean TCP estn
configurados a 1000 por segundo y regla, y a 160 conexiones por cliente. Los
lmites para conexiones TCP estn configurados en 160 por cliente. Se
recomienda no cambiar estos lmites preconfigurados. Si debe modificar los
lmites de conexiones, configure un nmero de conexiones tan pequeo como
sea posible.
Para configurar los lmites de conexiones, realice los pasos siguientes.
1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Server
y, a continuacin, haga clic en Administracin del servidor ISA.
2. En el rbol de consola de Administracin del servidor ISA, haga clic en
Microsoft ISA Server 2004, en el nombre_de_servidor, en Configuracin y,
a continuacin, en General.
3. En el panel de detalles, haga clic en Definir lmites de conexiones.
Clientes firewall
El servidor ISA admite una forma ms segura de comunicacin entre el cliente
firewall y el servidor ISA, que implica el uso de cifrado mediante un canal de
control TCP. Puede configurar el servidor ISA para aceptar conexiones
nicamente de clientes que establezcan comunicacin de esta forma segura.
No obstante, esto impide que se conecten versiones anteriores del software de
cliente firewall.
Se recomienda permitir que nicamente los clientes firewall puedan establecer
comunicacin sobre una conexin cifrada. Esto incluye todo el software de
cliente firewall para los equipos ISA Server 2004.
Para configurar clientes firewall, realice los siguientes pasos.
1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA
Server y, a continuacin, haga clic en Administracin del servidor ISA.
2. En el rbol de consola de Administracin del servidor ISA, haga clic en
Microsoft ISA Server 2004, en el nombre_de_servidor, en Configuracin
y, a continuacin, en General.
3. En el panel de detalles haga clic en Definir la configuracin del cliente
firewall.
2.
3.
4.
en Supervisin.
En el panel de detalles, haga clic en la ficha Conectividad.
En la ficha Tareas, haga clic en Crear nuevo comprobador de
conectividad.
5.
6.
Finalizar.
Si la regla de directiva del sistema que permite la comprobacin de
conectividad HTTP no est habilitada y ha activado Enviar una peticin
HTTP "Get", se le pedir que habilite la regla de directiva del sistema.
Haga
clic
en
S.
Propuesta de Servidores.
Servidores
ML570 G2
ML530 G2
ML370 G3
ML350 G3
ML110 G3
Procesador
Upgrade
Hasta 4 procesadores
Hasta 2 procesadores
Hasta 2 procesadores
Hasta 2 procesadores
Hasta 1 procesadores
Memoria
32 GB
16 GB
12 GB
hasta 8 GB
PC2
Item
4200
funcionalidad
533MHz,
ECC
de
con
serie
Unidades de
hasta 8 GB
Floppy 1.44 MB, CD-ROM 52x,
almacenamiento
HD 80.4 SCSI
HD 80.4 SCSI
HD 40 SCSI
52x, HD 40 SCSI
HD 80.4 SATA
Incorpora
Tarjeta
Wide
Wide
Wide
PCI
Ultra3,
NIC
10/100
Ultra3,
NIC
10/100
Ultra3,
RED
NC7781
de
red
10/100/1000
encajado
encajado
Gigabit
PCI-7 (64bits/100MHz)
PCI-7 (64bits/100MHz)
PCI-6 (64bits/100MHz)
LAN)
2 PCI-Express (x4 y x16) y 2
Broadcom
Gigabit
33MHz
P. Serial
P. Paralelo
2
1
1
1
2
1
1
1
1
1
PS/2
RJ-45
2
2
2
1
2
2
2
1
1
1
Video(DB-15)
USB
1
2
1
2
1
2
1
2
1
6
Cuadro N 5.10: Comparacin entre los servidores HP ML570 G2, ML370 G3 y ML350G3
Fuente: Elaboracin Propia.
5721
Nombre
Windows XP Profesional.
Microsoft Office XP
The Hacker Antivirus 6.0
Utilitarios
Nod32 v.2
WinZip 10.0
Acrobat Reader 7.0.
Otros
Nombre
Windows Server 2003
Suse Linux 10.1
BIBLIOGRAFA
INTERNET:
TESIS
T1: BAUTISTA ZIGA y NAVARRO MENDOZA Diseo de la red de
comunicaciones de datos de la empresa TRUPAL S.A Trujillo 2005
Referencias web:
Switch 3COM OC DS SWITCH 8P 10/100 RJ45
http://www.misco.es/productinformation/~404946~/3COM%20OC%20DS
%20SWITCH%208P%2010%2F100%20RJ45.htm
http://www.hzcomputer.com/l_precio.php
D-Link DES-1008D 8-Port 10/100 Dual Speed Switch
http://www.expansys.es/product.asp?code=105686
router
MODEM ROUTER ENCORE ENDSL-AR4
http://www.deremate.com.ar/Accdb/ViewItem.asp?IDI=12445271
3Com OfficeConnect Remote 812 ADSL Router
http://www.3com.es/products/adsl/
servidor
http://www.areapc.com/servidor_hp_proliant_ml110_g3__470063673__10408838_p.html