Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Integrantes:
Docente: Seccin:
ndice
Informe Servidores I ...................................................................................................................... 1 ndice ............................................................................................................................................. 2 Introduccin .................................................................................................................................. 3 Que es un Proxy ............................................................................................................................ 4 Squid .............................................................................................................................................. 5 Configuracin Previa ..................................................................................................................... 6 Configuracin e instalacin de Squid ............................................................................................ 7 Parmetro http_port: Que puerto utilizar para Squid? .......................................................... 8 Parmetro cache_mem ............................................................................................................. 8 Parmetro cache_dir: Cuanto desea almacenar de Internet en el disco duro? ..................... 9 Controles de acceso. ................................................................................................................. 9 Listas de control de acceso. .................................................................................................... 10 Reglas de Control de Acceso ................................................................................................... 11 Iniciando, reiniciando y aadiendo el servicio al arranque del sistema. ................................ 12 Restriccin de acceso a sitios Web. ........................................................................................ 13 Definiendo patrones comunes. ........................................................................................... 13 Permitiendo acceso a sitios inocentes incidentalmente bloqueados. .................................... 14 Restriccin de acceso ha contenido por extensin. ................................................................ 15 Definiendo elementos de la Lista de Control de Acceso. ........................................................ 15 Restriccin de acceso por horarios. ........................................................................................ 17 Configuracin Windows Xp. ........................................................................................................ 19 Conclusin ................................................................................................................................... 20
Introduccin
En la mayora de las empresas y organizaciones es fundamental mantener fuera del acceso de sus trabajadores ciertas paginas o contenidos que pueden ser perjudiciales para el desempeo de estos en sus labores, adems de ser posibles vctimas de ataques en la red. Para evitar estos problemas se utilizan servicios de filtrado de trfico, lo que trae como ventaja un control sobre los accesos que poseen las personas de una organizacin.
Este tutorial trata sobre la instalacin de un servicio de filtrado de trfico y cach de solicitudes DNS, este informe abarca desde su instalacin pasando por los requisitos previos a su instalacin hasta una aplicacin, denegando el acceso a una pgina web.
Que es un Proxy
Un proxy, en una red informtica, es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Esta situacin estratgica de punto intermedio suele ser aprovechada para soportar una serie de funcionalidades: proporcionar cach, control de acceso, registro del trfico, prohibir cierto tipo de trfico, etc. Es el intermediario entre tu computadora y el internet, este hace registros sobre las pginas que visitas en internet pero tambin sirve para bloquear el acceso a otras pginas web. Tambin bloquea unas pginas por misma seguridad del servidor. Esto tambin lo hace con el fin de aumentar la velocidad de acceso a estas pginas web que han sido visitadas con frecuencia y al mismo tiempo, libera la carga de los enlaces de internet. En otras palabras se puede decir que este intercepta la navegacin de los clientes por pginas web, por distintos motivos como los de seguridad, rendimiento, anonimato etc.
Squid
Squid es un servidor proxy para web con cach. Es una de las aplicaciones ms populares y de referencia para esta funcin, software libre publicado bajo licencia GPL. Entre sus utilidades est la de mejorar el rendimiento de las conexiones de empresas y particulares a Internet guardando en cach peticiones recurrentes a servidores web y DNS, acelerar el acceso a un servidor web determinado o aadir seguridad realizando filtrados de trfico.
Configuracin Previa
Antes de Comenzar se debe habilitar 2 tarjetas de red en Virtual box: Crear una red interna la cual compartir conexin con Windows Xp.
Se deber configurar la Red interna con ip fija en Red Hat y en Windows xp (si se desea se puede instalar dhcp en Red Hat para asignar ip de forma dinmica al equipo Windows).
Una vez teniendo conexin en las 2 maquinas virtuales es hora de crear las excepcin en iptables para que Red Hat comparta su conexin a internet con los equipos conectados a l. Iptables F (se borran todas las reglas por defecto) $ iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (enmascara la red interna) $ iptables -A INPUT -s 192.168.0.0./24 -i eth1 -j ACCEPT (permite a la red interna tener trafico) $ echo "1" >/proc/sys/net/ipv4/ip_forward (permite el direccionamiento de trafico)
Teniendo el repositorio ya configurado es hora de instalar Squid con el comando # yum install y squid
Squid por defecto utilizar el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto o bien que lo haga en varios puertos a la vez. En el caso de un Proxy Transparente, regularmente se utilizar el puerto 80 y se valdr del redireccionamiento de peticiones de modo tal que no habr necesidad alguna de modificar la configuracin de los navegadores Web para utilizar el servidor Proxy. Bastar con utilizar como puerta de enlace al servidor. Es importante recordar que los servidores Web, como Apache, tambin utilizan dicho puerto, por lo que ser necesario reconfigurar el servidor Web para utiliza otro puerto disponible, o bien desinstalar o deshabilitar el servidor Web. Regularmente algunos programas utilizados comnmente por los usuarios suelen traer por defecto el puerto 8080 -servicio de cacheo WWW- para utilizarse al configurar que servidor proxy utilizar. Si queremos aprovechar esto en nuestro favor y ahorrarnos el tener que dar explicaciones innecesarias al usuario, podemos especificar que Squid escuche peticiones en dicho puerto tambin. Siendo as localice la seccin de definicin de http_port, y especifique:
## You may specify multiple socket addresses on multiple lines. ## #Default: http_port 3128 http_port 3128 http_port 8080
Parmetro cache_mem
El parmetro cache_mem establece la cantidad ideal de memoria para lo siguiente: Objetos en trnsito. Objetos Hot. Objetos negativamente almacenados en el cach. Los datos de estos objetos se almacenan en bloques de 4 Kb. El parmetro cache_mem especifica un lmite mximo en el tamao total de bloques acomodados, donde los objetos en trnsito tienen mayor prioridad. Sin embargo los objetos Hot y aquellos negativamente almacenados en el cach podrn utilizar la memoria no utilizada hasta que esta sea requerida. De ser necesario, si un objeto en trnsito es mayor a la cantidad de memoria especificada, Squid exceder lo que sea necesario para satisfacer la peticin.
Por defecto se establecen 8 MB. Puede especificarse una cantidad mayor si as se considera necesario, dependiendo esto de los hbitos de los usuarios o necesidades establecidas por el administrador. Si se posee un servidor con al menos 128 MB de RAM, establezca 16 MB como valor para este parmetro:
Cache_mem 16 MB
Se puede incrementar el tamao del cache hasta donde lo desee el administrador. Mientras ms grande el cache, ms objetos de almacenarn en ste y por lo tanto se utilizar menos el ancho de banda. La siguiente lnea establece un cache de 700 MB:
Los nmeros 16 y 256 significan que el directorio del cache contendr 16 subdirectorios con 256 niveles cada uno. No modifique esto nmeros, no hay necesidad de hacerlo.
Controles de acceso.
Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular. A cada lista se le asignar una Regla de Control de Acceso que permitir o denegar el acceso a Squid. Procedamos a entender cmo definir unas y otras.
Si uno desea establecer una lista de control de acceso que defina sin mayor trabajo adicional a toda la red local definiendo la IP que corresponde a la red y la mscara de la sub-red. Por ejemplo, si se tienen una red donde las mquinas tienen direcciones IP 192.168.1.n con mscara de sub-red 255.255.255.0, podemos utilizar lo siguiente:
acl todalared src 192.168.1.0/255.255.255.0 Tambin puede definirse una Lista de Control de Acceso invocando un fichero localizado en cualquier parte del disco duro, y en el cual se en cuenta una lista de direcciones IP. Ejemplo:
Lo anterior estara definiendo que la Lista de Control de Acceso denominada permitidos estara compuesta por las direcciones IP incluidas en el fichero /etc/squid/permitidos.
10
Si dispone de una red 192.168.1.0/255.255.255.0, si se desea definir toda la red local, utilizaremos la siguiente lnea en la seccin de Listas de Control de Acceso:
Habiendo hecho lo anterior, la seccin de listas de control de acceso debe quedar ms o menos el siguiente modo:
## Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl todalared src 192.168.1.0/255.255.255.0
11
Habiendo hecho lo anterior, la zona de reglas de control de acceso debera quedar ms o menos de este modo: ## INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS #http_access allow localhost http_access allow todalared http_access deny all La regla http_access allow todalared
Se permite el acceso a Squid a la Lista de Control de Acceso denominada todalared, la cual est conformada por 192.168.1.0/255.255.255.0. Esto significa que cualquier mquina desde 192.168.1.1 hasta 192.168.1.254 podr acceder a Squid.
12
www.sitioporno.com www.otrositioporno.com sitioindeseable.com otrositioindeseable.com napster sex porn mp3 xxx adult warez celebri
Esta lista, la cual deber ser completada con todas las palabras (muchas de est son palabras obscenas en distintos idiomas) y direcciones Web que el administrador considere pertinentes, la guardaremos como. Vi /etc/squid/sitiosdenegados.
Debemos definir una Lista de Control de Acceso que a su vez defina al fichero /etc/squid/sitiosdenegados. Esta lista la denominaremos como "sitiosdenegados". De modo tal, la lnea correspondiente quedara del siguiente modo:
acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados" Habiendo hecho lo anterior, deberemos tener en la seccin de Listas de Control de Acceso algo como lo siguiente:
13
## Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl redlocal src 192.168.1.0/255.255.255.0 acl password proxy_auth REQUIRED acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados"
A continuacin especificaremos modificaremos una Regla de Control de Acceso existente agregando con un smbolo de ! que se denegar el acceso a la Lista de Control de Acceso denominada sitiosdenegados: http_access allow redlocal !sitiosdenegados La regla anterior permite el acceso a la Lista de Control de Acceso denominada redlocal, pero le niega el acceso a todo lo que coincida con lo especificado en la Lista de Control de Acceso denominada sitiosdenegados. Ejemplo aplicado a una Regla de Control de Acceso combinando el mtodo de autenticacin explicado en el documento Cmo configurar Squid: Acceso por Autenticacin :
Reglas de control de acceso: denegacin de sitios. ## INSERT YOUR OWN RULE(S) HERE TO allow ACCESS FROM YOUR CLIENTS #h ttp_access allow localhost http_access allow todalared !sitiosdenegados http_access deny all
14
caracteres, como extremesex.com. Sin embargo tambin estara bloqueando a sitios como sexualidadjovel.cl, el cual no tiene que ver en lo absoluto con pornografa, sino orientacin sexual para la juventud. Podemos aadir este nombre de dominio en un ficheros que denominaremos /etc/squid/sitios-inocentes. Este fichero ser definido en una Lista de Control de Acceso del mismo modo en que se hizo anteriormente con el fichero que contiene dominios y palabras denegadas.
Para hacer uso de el fichero, solo bastar utilizar la expresin ! en la misma lnea utilizada para la Regla de Control de Acceso establecida para denegar el mismo.
La regla anterior especifica que se denegar el acceso a todo lo que comprenda la Lista de Control de Acceso denominada denegados excepto lo que comprenda la Lista de Control de Acceso denominada inocentes. es decir, se podr acceder sin dificultad a www.sexualidadjoven.cl manteniendo la restriccin para la cadena de caracteres sex.
15
\.avi$ \.mp4$ \.mp3$ \.mp4$ \.mpg$ \.mpeg$ \.mov$ \.ra$ \.ram$ \.rm$ \.rpm$ \.vob$
Esta lista, la cual deber ser completada con todas las extensiones de fichero que el administrador considere pertinentes, la guardaremos como /etc/squid/listaextensiones.
Parmetros en /etc/squid/squid.conf
Debemos definir una Lista de Control de Acceso que a su vez defina al fichero /etc/squid/listaextensiones. Esta lista la denominaremos como "listaextensiones". De modo tal, la lnea correspondiente quedara del siguiente modo: acl listaextensiones urlpath_regex "/etc/squid/listaextensiones"
Habiendo hecho lo anterior, deberemos tener en la seccin de Listas de Control de Acceso algo como lo siguiente: ## Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl todalared src 192.168.1.0/255.255.255.0 acl password proxy_auth REQUIRED acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados" acl listaextensiones urlpath_regex "/etc/squid/listaextensiones"
A continuacin especificaremos modificaremos una Regla de Control de Acceso existente agregando con un smbolo de ! que se denegar el acceso a la Lista de Control de Acceso denominada listaextensiones: http_access allow todalared !listaextensiones
16
La regla anterior permite el acceso a la Lista de Control de Acceso denominada redlocal, pero le niega el acceso a todo lo que coincida con lo especificado en la Lista de Control de Acceso denominada listaextensiones. Ejemplo aplicado a una Regla de Control de Acceso combinando el mtodo de autenticacin explicado en el documento Cmo configurar Squid: Acceso por Autenticacin y el de denegacin hacia sitios web explicado en el documento Cmo configurar Squid: Restriccin de acceso a sitios Web:
Reglas de control de acceso: denegacin de extensiones. ## INSERT YOUR OWN RULE(S) HERE TO allow ACCESS FROM YOUR CLIENTS #http_access allow localhost http_access allow todalared !sitiosdenegados !listaextensiones http_access deny all
Los das de la semana se definen con letras, las cuales corresponden a la primera letra del nombre en ingls, de modo que se utilizarn del siguiente modo:
Ejemplo:
17
acl semana time MTWHF 09:00-21:00 Esta regla define a la lista semana, la cual comprende un horario de 09:00 a 21:00 horas desde el Lunes hasta el Viernes. Este tipo de listas se aplican en las Reglas de Control de Acceso con una mecnica similar a la siguiente: se permite o deniega el acceso en el horario definido en la Lista de Control de Acceso denominada X para las entidades definidas en la Lista de Control de Acceso denominada Y. Lo anterior expresado en una Regla de Control de Acceso, quedas del siguiente modo:
Ejemplo: Se quiere establecer que los miembros de la Lista de Control de Acceso denominada clasematutina tengan permitido acceder hacia Internet en un horario que denominaremos como matutino, y que comprende de lunes a viernes de 09:00 a 15:00 horas.
Lo anterior, en resumen, significa que quienes conformen clasematutina podrn acceder a Internet de Lunes a Viernes de 09:00-15:00 horas.
18
Teniendo la configurar ya realizada squid no permite el ingreso a paginas indicadas como no permitidas.
19
Conclusin Squid es un servicio muy prctico en las organizaciones que manejan grandes flujos de datos, ya que permite filtrar contenidos no solamente por pginas web, sino que por palabras, direcciones ip, y esto hace que su uso sea mucho ms amplio, cabe destacar que para hacer funcionar este servicio se requieren ciertas condiciones posee este servicio aunque para los beneficios que trae no son muchos.
En conclusin determinamos que Squid es una aplicacin que trae muchas ventajas y permite un uso de la red enfocado al trabajo ya que la posibilidad de acceder a sitios que provoquen distraccin bajan considerablemente y esto trae como consecuencia mejores resultados en la organizacin.
20