Informe Servidores I Squid

Integrantes:

Alex Concha Jos Montes Jos Urrea Fabin Sanhueza

Docente: Seccin:

Emilio Yaez 124

ndice
Informe Servidores I ...................................................................................................................... 1 ndice ............................................................................................................................................. 2 Introduccin .................................................................................................................................. 3 Que es un Proxy ............................................................................................................................ 4 Squid .............................................................................................................................................. 5 Configuracin Previa ..................................................................................................................... 6 Configuracin e instalacin de Squid ............................................................................................ 7 Parmetro http_port: Que puerto utilizar para Squid? .......................................................... 8 Parmetro cache_mem ............................................................................................................. 8 Parmetro cache_dir: Cuanto desea almacenar de Internet en el disco duro? ..................... 9 Controles de acceso. ................................................................................................................. 9 Listas de control de acceso. .................................................................................................... 10 Reglas de Control de Acceso ................................................................................................... 11 Iniciando, reiniciando y aadiendo el servicio al arranque del sistema. ................................ 12 Restriccin de acceso a sitios Web. ........................................................................................ 13 Definiendo patrones comunes. ........................................................................................... 13 Permitiendo acceso a sitios inocentes incidentalmente bloqueados. .................................... 14 Restriccin de acceso ha contenido por extensin. ................................................................ 15 Definiendo elementos de la Lista de Control de Acceso. ........................................................ 15 Restriccin de acceso por horarios. ........................................................................................ 17 Configuracin Windows Xp. ........................................................................................................ 19 Conclusin ................................................................................................................................... 20

Introduccin
En la mayora de las empresas y organizaciones es fundamental mantener fuera del acceso de sus trabajadores ciertas paginas o contenidos que pueden ser perjudiciales para el desempeo de estos en sus labores, adems de ser posibles vctimas de ataques en la red. Para evitar estos problemas se utilizan servicios de filtrado de trfico, lo que trae como ventaja un control sobre los accesos que poseen las personas de una organizacin.

Este tutorial trata sobre la instalacin de un servicio de filtrado de trfico y cach de solicitudes DNS, este informe abarca desde su instalacin pasando por los requisitos previos a su instalacin hasta una aplicacin, denegando el acceso a una pgina web.

Que es un Proxy
Un proxy, en una red informtica, es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Esta situacin estratgica de punto intermedio suele ser aprovechada para soportar una serie de funcionalidades: proporcionar cach, control de acceso, registro del trfico, prohibir cierto tipo de trfico, etc. Es el intermediario entre tu computadora y el internet, este hace registros sobre las pginas que visitas en internet pero tambin sirve para bloquear el acceso a otras pginas web. Tambin bloquea unas pginas por misma seguridad del servidor. Esto tambin lo hace con el fin de aumentar la velocidad de acceso a estas pginas web que han sido visitadas con frecuencia y al mismo tiempo, libera la carga de los enlaces de internet. En otras palabras se puede decir que este intercepta la navegacin de los clientes por pginas web, por distintos motivos como los de seguridad, rendimiento, anonimato etc.

Squid
Squid es un servidor proxy para web con cach. Es una de las aplicaciones ms populares y de referencia para esta funcin, software libre publicado bajo licencia GPL. Entre sus utilidades est la de mejorar el rendimiento de las conexiones de empresas y particulares a Internet guardando en cach peticiones recurrentes a servidores web y DNS, acelerar el acceso a un servidor web determinado o aadir seguridad realizando filtrados de trfico.

Configuracin Previa

Antes de Comenzar se debe habilitar 2 tarjetas de red en Virtual box: Crear una red interna la cual compartir conexin con Windows Xp.

Crear la otra como NAT la cual estar conectada a internet.

Se deber configurar la Red interna con ip fija en Red Hat y en Windows xp (si se desea se puede instalar dhcp en Red Hat para asignar ip de forma dinmica al equipo Windows).

Una vez teniendo conexin en las 2 maquinas virtuales es hora de crear las excepcin en iptables para que Red Hat comparta su conexin a internet con los equipos conectados a l. Iptables F (se borran todas las reglas por defecto) $ iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (enmascara la red interna) $ iptables -A INPUT -s 192.168.0.0./24 -i eth1 -j ACCEPT (permite a la red interna tener trafico) $ echo "1" >/proc/sys/net/ipv4/ip_forward (permite el direccionamiento de trafico)

Teniendo el repositorio ya configurado es hora de instalar Squid con el comando # yum install y squid

Configuracin e instalacin de Squid

Squid utiliza el fichero de configuracin localizado en /etc/squid/squid.conf, y podr trabajar sobre este utilizando su editor de texto preferido. Existen un gran nmero de parmetros, de los cuales recomendamos configurar los siguientes: http_port cache_mem cache_dir Al menos una Lista de Control de Acceso Al menos una Regla de Control de Acceso

Parmetro http_port: Que puerto utilizar para Squid?

Squid por defecto utilizar el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto o bien que lo haga en varios puertos a la vez. En el caso de un Proxy Transparente, regularmente se utilizar el puerto 80 y se valdr del redireccionamiento de peticiones de modo tal que no habr necesidad alguna de modificar la configuracin de los navegadores Web para utilizar el servidor Proxy. Bastar con utilizar como puerta de enlace al servidor. Es importante recordar que los servidores Web, como Apache, tambin utilizan dicho puerto, por lo que ser necesario reconfigurar el servidor Web para utiliza otro puerto disponible, o bien desinstalar o deshabilitar el servidor Web. Regularmente algunos programas utilizados comnmente por los usuarios suelen traer por defecto el puerto 8080 -servicio de cacheo WWW- para utilizarse al configurar que servidor proxy utilizar. Si queremos aprovechar esto en nuestro favor y ahorrarnos el tener que dar explicaciones innecesarias al usuario, podemos especificar que Squid escuche peticiones en dicho puerto tambin. Siendo as localice la seccin de definicin de http_port, y especifique:

## You may specify multiple socket addresses on multiple lines. ## #Default: http_port 3128 http_port 3128 http_port 8080

Parmetro cache_mem
El parmetro cache_mem establece la cantidad ideal de memoria para lo siguiente: Objetos en trnsito. Objetos Hot. Objetos negativamente almacenados en el cach. Los datos de estos objetos se almacenan en bloques de 4 Kb. El parmetro cache_mem especifica un lmite mximo en el tamao total de bloques acomodados, donde los objetos en trnsito tienen mayor prioridad. Sin embargo los objetos Hot y aquellos negativamente almacenados en el cach podrn utilizar la memoria no utilizada hasta que esta sea requerida. De ser necesario, si un objeto en trnsito es mayor a la cantidad de memoria especificada, Squid exceder lo que sea necesario para satisfacer la peticin.

Por defecto se establecen 8 MB. Puede especificarse una cantidad mayor si as se considera necesario, dependiendo esto de los hbitos de los usuarios o necesidades establecidas por el administrador. Si se posee un servidor con al menos 128 MB de RAM, establezca 16 MB como valor para este parmetro:

Cache_mem 16 MB

Parmetro cache_dir: Cuanto desea almacenar de Internet en el disco duro?

Este parmetro se utiliza para establecer que tamao se desea que tenga el cache en el disco duro para Squid. Para entender esto un poco mejor, responda a esta pregunta: Cuanto desea almacenar de Internet en el disco duro? Por defecto Squid utilizar un cache de 100 MB, de modo tal que encontrar la siguiente lnea:

cache_dir ufs /var/spool/squid 100 16 256

Se puede incrementar el tamao del cache hasta donde lo desee el administrador. Mientras ms grande el cache, ms objetos de almacenarn en ste y por lo tanto se utilizar menos el ancho de banda. La siguiente lnea establece un cache de 700 MB:

cache_dir ufs /var/spool/squid 700 16 256

Los nmeros 16 y 256 significan que el directorio del cache contendr 16 subdirectorios con 256 niveles cada uno. No modifique esto nmeros, no hay necesidad de hacerlo.

Controles de acceso.
Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular. A cada lista se le asignar una Regla de Control de Acceso que permitir o denegar el acceso a Squid. Procedamos a entender cmo definir unas y otras.

Listas de control de acceso.

Regularmente una lista de control de acceso se establece siguiendo la siguiente sintaxis:

acl [nombre de la lista] src [lo que compone a la lista]

Si uno desea establecer una lista de control de acceso que defina sin mayor trabajo adicional a toda la red local definiendo la IP que corresponde a la red y la mscara de la sub-red. Por ejemplo, si se tienen una red donde las mquinas tienen direcciones IP 192.168.1.n con mscara de sub-red 255.255.255.0, podemos utilizar lo siguiente:

acl todalared src 192.168.1.0/255.255.255.0 Tambin puede definirse una Lista de Control de Acceso invocando un fichero localizado en cualquier parte del disco duro, y en el cual se en cuenta una lista de direcciones IP. Ejemplo:

acl permitidos src "/etc/squid/permitidos"

El fichero /etc/squid/permitidos contendra algo como siguiente:

192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.15 192.168.1.16 192.168.1.20 192.168.1.40

Lo anterior estara definiendo que la Lista de Control de Acceso denominada permitidos estara compuesta por las direcciones IP incluidas en el fichero /etc/squid/permitidos.

10

Reglas de Control de Acceso

Estas definen si se permite o no el acceso a Squid. Se aplican a las Listas de Control de Acceso. Deben colocarse en la seccin de reglas de control de acceso definidas por el administrador, es decir, a partir de donde se localiza la siguiente leyenda: ## INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # La sintaxis bsica es la siguiente: http_access [deny o allow] [lista de control de acceso] En el siguiente ejemplo consideramos una regla que establece acceso permitido a Squid a la Lista de Control de Acceso denominada permitidos: http_access allow permitidos

En nuestro informe se considerada toda la red.

Si dispone de una red 192.168.1.0/255.255.255.0, si se desea definir toda la red local, utilizaremos la siguiente lnea en la seccin de Listas de Control de Acceso:

acl todalared src 192.168.1.0/255.255.255.0

Habiendo hecho lo anterior, la seccin de listas de control de acceso debe quedar ms o menos el siguiente modo:

## Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl todalared src 192.168.1.0/255.255.255.0

A continuacin procedemos a aplicar la regla de control de acceso:

http_access allow todalared

11

Habiendo hecho lo anterior, la zona de reglas de control de acceso debera quedar ms o menos de este modo: ## INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS #http_access allow localhost http_access allow todalared http_access deny all La regla http_access allow todalared

Se permite el acceso a Squid a la Lista de Control de Acceso denominada todalared, la cual est conformada por 192.168.1.0/255.255.255.0. Esto significa que cualquier mquina desde 192.168.1.1 hasta 192.168.1.254 podr acceder a Squid.

Iniciando, reiniciando y aadiendo el servicio al arranque del sistema.

Una vez terminada la configuracin, ejecute el siguiente comando para iniciar por primera vez Squid: service squid start Si necesita reiniciar para probar cambios hechos en la configuracin, ejecute lo siguiente: service squid restart Si desea que Squid inicie de manera automtica la prxima vez que inicie el sistema, ejecute lo siguiente: chkconfig -level 135 squid on

12

Restriccin de acceso a sitios Web.

Denegar el acceso a ciertos sitos Web permite hacer un uso ms racional del ancho de banda con el que se dispone. El funcionamiento es verdaderamente simple, y consiste en denegar el acceso a nombres de dominio o direcciones Web que contengan patrones en comn.

Definiendo patrones comunes.

Lo primero ser generar una lista la cual contendr direcciones Web y palabras usualmente utilizadas en nombres de ciertos dominios. Ejemplos:

www.sitioporno.com www.otrositioporno.com sitioindeseable.com otrositioindeseable.com napster sex porn mp3 xxx adult warez celebri

Esta lista, la cual deber ser completada con todas las palabras (muchas de est son palabras obscenas en distintos idiomas) y direcciones Web que el administrador considere pertinentes, la guardaremos como. Vi /etc/squid/sitiosdenegados.

Debemos definir una Lista de Control de Acceso que a su vez defina al fichero /etc/squid/sitiosdenegados. Esta lista la denominaremos como "sitiosdenegados". De modo tal, la lnea correspondiente quedara del siguiente modo:

acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados" Habiendo hecho lo anterior, deberemos tener en la seccin de Listas de Control de Acceso algo como lo siguiente:

13

## Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl redlocal src 192.168.1.0/255.255.255.0 acl password proxy_auth REQUIRED acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados"

A continuacin especificaremos modificaremos una Regla de Control de Acceso existente agregando con un smbolo de ! que se denegar el acceso a la Lista de Control de Acceso denominada sitiosdenegados: http_access allow redlocal !sitiosdenegados La regla anterior permite el acceso a la Lista de Control de Acceso denominada redlocal, pero le niega el acceso a todo lo que coincida con lo especificado en la Lista de Control de Acceso denominada sitiosdenegados. Ejemplo aplicado a una Regla de Control de Acceso combinando el mtodo de autenticacin explicado en el documento Cmo configurar Squid: Acceso por Autenticacin :

Reglas de control de acceso: denegacin de sitios. ## INSERT YOUR OWN RULE(S) HERE TO allow ACCESS FROM YOUR CLIENTS #h ttp_access allow localhost http_access allow todalared !sitiosdenegados http_access deny all

Permitiendo acceso a sitios inocentes incidentalmente bloqueados.

Si por ejemplo el incluir una palabra en particular afecta el acceso a un sitio Web, tambin puede generarse una lista de dominios o palabras que contengan un patrn pero que consideraremos como apropiados. Como ejemplo: vamos a suponer que dentro de la Lista de Control de Acceso de sitios denegados est la palabra sex. Esta denegara el acceso a cualquier nombre de dominio que incluya dicha cadena de

14

caracteres, como extremesex.com. Sin embargo tambin estara bloqueando a sitios como sexualidadjovel.cl, el cual no tiene que ver en lo absoluto con pornografa, sino orientacin sexual para la juventud. Podemos aadir este nombre de dominio en un ficheros que denominaremos /etc/squid/sitios-inocentes. Este fichero ser definido en una Lista de Control de Acceso del mismo modo en que se hizo anteriormente con el fichero que contiene dominios y palabras denegadas.

acl inocentes url_regex "/etc/squid/sitios-inocentes"

Para hacer uso de el fichero, solo bastar utilizar la expresin ! en la misma lnea utilizada para la Regla de Control de Acceso establecida para denegar el mismo.

http_access allow all inocentes

La regla anterior especifica que se denegar el acceso a todo lo que comprenda la Lista de Control de Acceso denominada denegados excepto lo que comprenda la Lista de Control de Acceso denominada inocentes. es decir, se podr acceder sin dificultad a www.sexualidadjoven.cl manteniendo la restriccin para la cadena de caracteres sex.

Restriccin de acceso ha contenido por extensin.

Denegar el acceso a ciertos tipos de extensiones de fichero permite hacer un uso ms racional del ancho de banda con el que se dispone. El funcionamiento es verdaderamente simple, y consiste en denegar el acceso a ciertos tipos de extensiones que coincidan con lo establecido en una Lista de Control de Acceso.

Definiendo elementos de la Lista de Control de Acceso.

Lo primero ser generar una lista la cual contendr direcciones Web y palabras usualmente utilizadas en nombres de ciertos dominios. Ejemplos:

15

\.avi$ \.mp4$ \.mp3$ \.mp4$ \.mpg$ \.mpeg$ \.mov$ \.ra$ \.ram$ \.rm$ \.rpm$ \.vob$

Esta lista, la cual deber ser completada con todas las extensiones de fichero que el administrador considere pertinentes, la guardaremos como /etc/squid/listaextensiones.

Parmetros en /etc/squid/squid.conf
Debemos definir una Lista de Control de Acceso que a su vez defina al fichero /etc/squid/listaextensiones. Esta lista la denominaremos como "listaextensiones". De modo tal, la lnea correspondiente quedara del siguiente modo: acl listaextensiones urlpath_regex "/etc/squid/listaextensiones"

Habiendo hecho lo anterior, deberemos tener en la seccin de Listas de Control de Acceso algo como lo siguiente: ## Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl todalared src 192.168.1.0/255.255.255.0 acl password proxy_auth REQUIRED acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados" acl listaextensiones urlpath_regex "/etc/squid/listaextensiones"

A continuacin especificaremos modificaremos una Regla de Control de Acceso existente agregando con un smbolo de ! que se denegar el acceso a la Lista de Control de Acceso denominada listaextensiones: http_access allow todalared !listaextensiones

16

La regla anterior permite el acceso a la Lista de Control de Acceso denominada redlocal, pero le niega el acceso a todo lo que coincida con lo especificado en la Lista de Control de Acceso denominada listaextensiones. Ejemplo aplicado a una Regla de Control de Acceso combinando el mtodo de autenticacin explicado en el documento Cmo configurar Squid: Acceso por Autenticacin y el de denegacin hacia sitios web explicado en el documento Cmo configurar Squid: Restriccin de acceso a sitios Web:

Reglas de control de acceso: denegacin de extensiones. ## INSERT YOUR OWN RULE(S) HERE TO allow ACCESS FROM YOUR CLIENTS #http_access allow localhost http_access allow todalared !sitiosdenegados !listaextensiones http_access deny all

Restriccin de acceso por horarios.

Denegar el acceso a ciertos en ciertos horarios permite hacer un uso ms racional del ancho de banda con el que se dispone. El funcionamiento es verdaderamente simple, y consiste en denegar el acceso en horarios y das de la semana. La sintaxis para crear Listas de control de acceso que definan horarios es la siguiente:

acl [nombre del horario] time [das de la semana] hh:mm-hh:mm

Los das de la semana se definen con letras, las cuales corresponden a la primera letra del nombre en ingls, de modo que se utilizarn del siguiente modo:

S - Domingo M - Lunes T - Mastes W - Miercoles H - Jueves F - Viernes A Sbado

Ejemplo:

17

acl semana time MTWHF 09:00-21:00 Esta regla define a la lista semana, la cual comprende un horario de 09:00 a 21:00 horas desde el Lunes hasta el Viernes. Este tipo de listas se aplican en las Reglas de Control de Acceso con una mecnica similar a la siguiente: se permite o deniega el acceso en el horario definido en la Lista de Control de Acceso denominada X para las entidades definidas en la Lista de Control de Acceso denominada Y. Lo anterior expresado en una Regla de Control de Acceso, quedas del siguiente modo:

http_access [allow | deny] [nombre del horario] [lista de entidades]

Ejemplo: Se quiere establecer que los miembros de la Lista de Control de Acceso denominada clasematutina tengan permitido acceder hacia Internet en un horario que denominaremos como matutino, y que comprende de lunes a viernes de 09:00 a 15:00 horas.

La definicin para el horario correspondera a:

acl clasematutina src 192.168.1.0/255.255.255.0 acl matutino time MTWHF 09:00-15:00

La definicin de la Regla de Control de Acceso sera:

http_access allow matutino clasematutina

Lo anterior, en resumen, significa que quienes conformen clasematutina podrn acceder a Internet de Lunes a Viernes de 09:00-15:00 horas.

18

Configuracin Windows Xp.

Una vez configurado y ejecutando el servicio squid es necesario configurar Windows xp, indicndole que debe conectarse a travez del proxy.

Teniendo la configurar ya realizada squid no permite el ingreso a paginas indicadas como no permitidas.

19

Conclusin Squid es un servicio muy prctico en las organizaciones que manejan grandes flujos de datos, ya que permite filtrar contenidos no solamente por pginas web, sino que por palabras, direcciones ip, y esto hace que su uso sea mucho ms amplio, cabe destacar que para hacer funcionar este servicio se requieren ciertas condiciones posee este servicio aunque para los beneficios que trae no son muchos.

En conclusin determinamos que Squid es una aplicacin que trae muchas ventajas y permite un uso de la red enfocado al trabajo ya que la posibilidad de acceder a sitios que provoquen distraccin bajan considerablemente y esto trae como consecuencia mejores resultados en la organizacin.

20