RESUMEN SQUID La palabra proxy significa intermediario en ingls.

Un proxy, en una red informtica, es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Est situacin estratgica de punto intermedio suele ser aprovechada para soportar una serie de funcionalidades: proporcionar cach, control de acceso, registro del trfico, prohibir cierto tipo de trfico etctera. De ellos, el ms famoso es el servidor proxy web (comnmente conocido solamente como proxy).Intercepta la navegacin de los clientes por pginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. Tipos de proxy: proxy local: En este caso el que quiere implementar la poltica es el mismo que hace la peticin. Por eso se le llama local. Suelen estar en la misma mquina que el cliente que hace las peticiones. Son muy usados para que el cliente pueda controlar el trfico y pueda establecer reglas de filtrado que por ejemplo pueden asegurar que no se revela informacin privada (Proxys de filtrado para mejora de la privacidad). Proxy externo: El que quiere implementar la poltica del proxy es una entidad externa. Por eso se le llama externo. Se suelen usar para implementar cacheos, bloquear contenidos, control del trfico, compartir IP, etc. Ventajas En general (no slo en informtica), los proxies hacen posible: Control: slo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy. Ahorro. Slo uno de los usuarios (el proxy) ha de estar preparado para hacer el trabajo real. Con estar preparado queremos decir que es el nico que necesita los recursos necesarios para hacer esa funcionalidad. Ejemplos de recursos necesarios para hacer la funcin pueden ser la capacidad y lgica de cmputo o la direccin de red externa (IP). Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer cach: guardar la respuesta de una peticin para darla directamente cuando otro usuario la pida. As no tiene que volver a contactar con el destino, y acaba ms rpido. Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que estn prohibidas. Modificacin. Como intermediario que es, un proxy puede falsificar informacin, o modificarla siguiendo un algoritmo. Anonimato. Si todos los usuarios se identifican como uno slo, es difcil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificacin.

Desventajas En general (no slo en informtica), el uso de un intermediario puede provocar: Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible que haga algn trabajo que no toque. Por tanto, ha de controlar quin tiene acceso y quin no a sus servicios, cosa que normalmente es muy difcil. Carga. Un proxy ha de hacer el trabajo de muchos usuarios. Intromisin. Es un paso ms entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de cach y guarda copias de los datos. Incoherencia. Si hace de cach, es posible que se equivoque y d una respuesta antigua cuando hay una ms reciente en el recurso de destino. En realidad este problema no existe con los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar que la versin que tiene en cache sigue siendo la misma que la existente en el servidor remoto. Irregularidad. El hecho de que el proxy represente a ms de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicacin directa entre 1 emisor y 1 receptor (como TCP/IP). SQUID permite realizar autenticacin mediante diferentes mtodos, Basic, Digest y NTLM. Estos mtodos especifican como SQUID recibe el nombre de usuario y la clave desde los clientes. Por cada mtodo, SQUID provee varios mdulos de autenticacin (helpers) que sern los encargados de realizar la validacin (NCSA, PAM, SASL, YP y SMB). Aqu veremos como configurar Basic utilizando el modulo NCSA. Creacin de usuarios Desde la lnea de comandos, creamos un archivo en el directorio /etc/squid/claves: #touch /etc/squid/claves y luego los usuarios: # htpasswd2 /etc/squid/claves usuario1 Luego se solicitara la clave y la confirmacin de la misma. Hay que tener en cuenta que htpasswd2 Debe estar instalado (pertenece a Apache2). 5 Configuracin En el archivo /etc/squid/squid.conf se debe configurar el tipo de autenticacin (basic), la ruta del modulo NCSA y la ruta del archivo que contiene los usuarios y sus passwords. auth_param basic program /usr/sbin/ncsa_auth /etc/squid/claves

Luego se debe crear una acl que al ser invocada en una regla de control de acceso solicitara el usuario y la clave: acl con_clave proxy_auth REQUIRED Para comprender como se utiliza la acl que definimos veremos un ejemplo. Si se desea que todas las Personas que accedan al sitio www.ociosos.com ingresen un usuario y clave, y que para el resto de las paginas no haya restriccin alguna: acl all src 0.0.0.0/0.0.0.0 acl ocio dstdomain www.ociosos.com acl con_clave proxy_auth REQUIRED http_access allow ocio con_clave http_access allow all Si en cambio, quisieramos que para navergar por el proxy todos los usuarios de la red tengan que ingresar usuario y clave, dentro de las reglas de control de accesso basta con poner: http_access allow all con_clave La combinacin de diferentes acl nos otorga gran flexibilidad, teniendo en cuenta que agregando a cualquier regla de control de accesso la acl con_clave obligamos a validar contra SQUID para permitir el acceso a un determinado sitio, ip, en algun rango horario, etc. Autenticacin por grupos La autenticacin que vimos en el punto anterior tiene una deficiencia, supongamos que quisiramos subdividir un cierto grupo de usuarios para que tengan diferentes permisos de acceso a sitios web. Por ejemplo, el grupo de comunicacin deber poder acceder a leer los diarios, no as el grupo de desarrollo que solo tiene permitido ingresar al sitio www.lawebdelprogramador.com. Con lo visto anteriormente no podramos hacerlo ya que tenemos todos los usuarios y sus correspondientes claves en un mismo archivo. Para solucionar este inconveniente deberamos realizar pequeas modificaciones a las listas de Control de acceso. La definicin de los usuarios con sus claves sera exactamente igual que en el punto anterior, a diferencia que ahora podremos definir en un nuevo archivo los usuarios que pertenecen a un determinado grupo. Con el siguiente ejemplo quedara mas claro. acl all src 0.0.0.0/0.0.0.0 acl diario dstdomain www.litoral.com.ar acl web_programar dstdomain www.lawebdelprogramador.com acl con_clave proxy_auth REQUIRED acl comunicacion proxy_auth /etc/squid/comunicacion acl desarrolladores proxy_auth /etc/squid/desarrolladores http_access allow desarrolladores web_programar

http_access allow comunicacion diario Cada usuario que pertenezca a un grupo debera encontrarse en una unica linea ya sea para el grupo de comunicacin ( /etc/squid/comunicacion) como para el grupo de desarrolladores (/etc/squid/desarrolladores ). Y tambin debera estar creado mediante el comando htpasswd2 al igual que en el punto anterior en /etc/squid/claves. En conclusion, todos los usuarios por mas que pertenezcan a diferentes grupos deben ser creados en un archivo utilizando htpasswd2, la division de grupos se realizara guardando los nombres de los usuarios en diferentes archivos, uno por linea y luego se aplicaran como se vio en el ejemplo mediante las acl y las reglas de control de acceso (http_access ). 6 3.5. Verificacion de logs SQUID almacena en el directorio /var/log/squid informacion sobre los accesos, dialogos con otros servidores SQUID, etc. Existen varios archivos de logs, el que nos brinda informacion sobre el acceso al servidor es access.log. Cuando se entrega a un cliente un objeto que se encontraba almacenado, se produce un HIT y si el objeto debe ser consultado hacia internet entonces es un MISS. El analisis de los logs por lo general se realiza con herramientas de software independientes de SQUID. Dos de las mas utilizadas son SARG (Squid Analysis Report Grpahics) y Webalizer, las mismas generan reportes graficos con estadsticas en un archivo html. Son una excelente herramienta para llevar un control detallado sobre la utilizacion de la navegacion web. 3.6. Un ejemplo simple Una servidor proxy simple podra definirse de la siguiente manera:

Listas de control de acceso: #---parametros globales---# visible_hostname squid1 http_port 3128 icp_port 3130 cache_dir ufs /var/cache/squid 400 16 256 #---consulta de caches---# #cache_peer <host> <type> <http_port> <icp_port> <options> cache_peer 192.168.1.252 parent 3128 7 no-query default cache_peer 192.168.1.108 sibling 3128 3130 proxy-only #--- ACL---# acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl webserver dst 192.168.1.10/255.255.255.255 acl todalared src 192.168.1.0/255.255.255.0 #--- Reglas de control de acceso---# http_access allow manager localhost http_access deny manager never_direct allow !webserver http_access allow todalared http_access deny all icp_access allow all

Squid es un sistema de admistracion que est bajo la distribucin de Linux este nos permite tener un control de usuarios conectados a la red local Una de las funciones principales de un

servidor proxy es actuar como cache de contenido principalmente Web (http). Esto mejora el desempeo de una red consumiendo menos recursos, debido que frente a un Nuevo pedido de un sitio que ya ha sido realizado, en vez de generar trfico hacia internet se entrega El sitio cuyo contenido se encuentra almacenado en el servidor.

Squid es el software para servidor Proxy ms popular y extendido entre los sistemas operativos basados sobre UNIX. Es muy confiable, robusto y verstil. Al ser software libre, adems de estar disponible el cdigo fuente, est libre del pago de costosas licencias por uso o con restriccin a un uso con determinado nmero de usuarios.