TEMA 7:

SERVIDOR PROXY-CACH

QUE ES UN PROXY

Proxy: equipo que centraliza el trfico de internet

Funciones:

Evita la necesidad de conexin directa

Evita entradas desde el exterior no permitidas

Transforma las direcciones

Dos interfaces de red

Red local

Internet

Analiza los paquetes antes de reenviarlos

QUE ES UN PROXY-CACH

Es un servidor proxy que ofrece servicios de cach

Zona cach: zona de memoria que almacena datos

que previsiblemente se van a usar en ms de una
ocasin

Pueden formar redes de servidores proxy-cach de

modo que un usuario puede acceder a los datos de
todos los servidores de la red

PROXY-CACH: FUNCIONES

Permitir acceso web a mquinas privadas

Controlar el acceso web segn mquina, pgina, da,

hora, ...

Registrar el trfico de la red local al exterior

Controlar el contenido visitado y descargado para

detectar ataques (virus, gusanos, troyanos, ...)

Controlar la seguridad de la red local ante ataques

externos

Cach de pginas web

PROXY-CACH: VENTAJAS

Mayor velocidad de navegacin. Si la pgina est

cacheada no es necesario volver a descargarla

Uso ms eficiente de la conexin a internet

Cortafuegos

Filtrado de servicios

Transparente para el usuario si el proxy es del ISP

PROXY-CACH:
FUNCIONAMIENTO

Se configura el cliente para que acceda a travs del

proxy usando:

Puerta de enlace

Configuracin del navegador

El navegador pide una pgina o un fichero a un

servidor, pero internamente se la est pidiendo al
proxy

El proxy recibe la peticin y busca en su cach por

si tuviera los datos almacenados

PROXY-CACH:
FUNCIONAMIENTO

Si no est almacenada en el proxy:

Se reenva la peticin al servidor web

Se recoge la respuesta y se almacena en la cach

Se enva la respuesta al usuario que hizo la peticin

Si est almacenada en el proxy:

Se pide al servidor la cabecera de la pgina

Se comprueba la fecha de la ltima actualizacin

Si es necesario se actualiza la pgina en la cach del

proxy

Se envia la respuesta al usuario que hizo la peticin

PROXY-CACH: REQUISITOS

Bastante espacio en el disco duro

Disco duro bastante rpido. SCSI > SATA > IDE

Raid 0 o Raid 5 para permitir accesos simultaneos

Mucha RAM y entre ms rpida mejor

Norma: 100 MB HD --> 1 MB RAM

Requerimientos de procesador normales

PROXY TRANSPARENTE

No se configura en el navagador

Obliga a los usuarios a usarlo sin ser conscientes

Se instala el proxy en la puerta de enlace

Si la puerta de enlace es un router se puede indicar

que redireccione el trfico web a la mquina que
queramos que haga de proxy

La redireccin implica la instalacin de un

cortafuegos

CONFIGURACION EN
NAVEGADORES

Internet Explorer:

Herramientas / Opciones de Internet / Conexiones /

Configuracion Lan

Marcar <<Usar servidor proxy>>

Introducir IP y puerto

Mozilla Firefox:

Editar / Preferencias / General / Configuracin de la

conexin

Marcar <<Configuracin manual del proxy>>

Introducir IP, puerto y FTP si se desea

SQUID

Proxy-cach para Linux o Windows

Puede hacer filtrado de datos

Segn URL

Franja horaria

IP origen o destino

Protocolo

/etc/squid3/squid.conf es el fichero de configuracin

SQUID: INSTALACION

Necesitamos una mquina con dos tarjetas de red

que separe dos redes

Esta mquina ser la puerta de enlace de las

mquinas de la LAN

Tendr configurada la interfaz WAN para

conectarse a internet

Se debe configurar la conexin compartida a

internet

Windows Compartir conexin de red

Linux - Firestarter

SQUID: INSTALACIN

Instalamos squid mediante synaptic o

descomprimiendo el zip en Windows

Editamos el fichero squid3.conf

Abrimos el puerto configurado en el cortafuegos

Configuramos el cliente para que use el proxy

Si hacemos nuestro proxy transparente no es

necesario configurar el cliente, pero es necesario
configurar el cortafuegos para que antes de enrutar
redirija el trfico web al proxy

Comprobamos con el cliente que todo funciona

SQUID.CONF

http_port puerto de escucha (8080 o 3128)

Cache_dir ruta de la carpeta donde se almacenarn

las pginas y tamao mximo de la misma

cache_mem memoria que usar el squid

cache_mgr email del encargado

access_log, cache_log, cache_store_log rutas de

almacenamiento de los ficheros de log

ftp_user usuario para conexiones annimas FTP

error_directory carpeta con las pginas de error

visible_hostname nombre del servidor

maximum_object_size tamao mximo de los

objetos cacheables

minimum_object_size tamao mnimo de los

objetos cacheables

SQUID.CONF

Acl control de acceso

Acl nombre tipo

Nombre: nombre de la clausula

Tipo:

Src clientes

Time horario

Srcdomain dominio

Dstdomain dominio

url_regex [-i] patron

Maxconn limite

http_access [deny | allow] [!] [nombre_acl]

/e!/"#$e%&$e$/'%e$()*%

Fichero para enrutamiento en proxy transparente

En squid.conf http_port puerto transparent

El fichero user_post debe tener permisos 440. Para

modificarlo hay que cambiarlos modificarlo
ponerlos otra vez al original

/sbin/iptables -t nat -A PREROUTING -i wlan0 -s

192.168.0.1/255.255.255.0 -p tcp --dport 80 -j
REDIRECT --to-port 8080

SARG

Es un analizador del fichero access.log

Instalar desde synaptic

Configurar sarg.conf

Ejecutar el comando sarg

Visualizar y analizar los ficheros html resultantes

EJERCICIOS

TEMA 8 Seguridad:

Instalacin y configuracin de squid

Reglas que proponga el profesor

Apartado 7.4

Prctica con SARG