Documente Academic
Documente Profesional
Documente Cultură
Fernando Quintero
Regional Antioquia
2010
1
INDICE
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Objetivos . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Instalación SQUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Configuración SQUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2
INTRODUCCION
Este documento tiene como finalidad introducirnos en los mecanismos que utilizan las organizaciones
en el campo de las telecomunicaciones, para proteger su infraestructura interna como las redes de datos
y equipos que almacenan información de vital importancia para la compañía contra ataques externos
realzados por personas ajenas a la organización o internos causados por el personal de la compañía.
Algunos de estos mecanismos son firewlall, sistemas de monitoreo IDS, proxys, sistemas de
autenticación entre otros. Pues bien el presente documento se centra en el Proxy, su instalacion,
configuración y uso para controlar y filtrar el contenido al que los usuarios tiene acceso en internet.
3
OBJETIVOS
• Realizar la implementación del del Servidor proxy SQUID sobre el sistema operativo
UBUNTU (linux) en un entorno virtualizado para comprobar su funcionamiento.
4
¿ Que es un proxy ?
Este puede ser un dispositivo hardware o software que se instala en una red como un mecanismo de
control y que suele tener varias funciones como: filtrado de contenido web, optimización de ancho de
banda, traducción de direcciones IP (NAT) entre otras.
Proxy cache :
La funciona de este es mejorar el rendimiento ya que almacena las consultas web hechas por los
usuarios en un espacio llamado memoria cache, esta se sutilizada cuando la consulta hecha por el
usuario se encuentra almacenada allí esta se le entrega al usuario sin necesidad de descargarla
nuevamente desde internet optimizando el ancho de banda utilizado.
Este tiene como función hacer traducción de direcciones ip (NAT), como enmascarar una dirección IP
de una red privada en una dirección IP publica para salir a internet, esto contribuye a mantener oculto el
direccionamiento interno y por ende mejorar la seguridad de los equipos que se encuentren en nuestra
red.
Proxy Transparente:
5
Instalación de SQUID
Una vez terminada la instalación squid se reiniciara si todo va bien no sacara ningún error
Ahora configuramos la interfaz de red con la dirección de nuestro servidor proxy, para ello editamos el
archivo /network/interfaces de la siguiente manera
Modo de la tarjeta
Nombre de la tarjeta
Direccion IP
Mascara
Reiniciamos la interfaz de red con el siguiente comando para que tome los cambios
6
Verificamos que la tarjeta haya tomado el nuevo direccionamiento con el comando ifconfig
Ahora crearemos un scrip para nuestro firewall en el que ingresaremos unas reglas para la salida a
internet de nuestra red local, este archivo lo crearemos con un editor de texto en este caso (nano) mas el
nombre del archivo.
Paquetes de entrada
Paquetes de salida
Agregamos la regla que permita hacer NAT ( traducción de direcciones ) a nuestra red privada para
Salir a la red externa ( INTERNET )
7
Finalizada la tarea guardamos los cambios del archivo y le damos permisos de ejecución a nuestro scrip
de la siguiente manera
Configuración de SQUID
Lo primero que haremos es configurar los parámetros básicos como la memoria cache y puerto por el
cual escuchara el proxy, ubicamos la linea cache _mem y definimos el tamaño de nuestra memoria
cache
configuramos el espacio que deseamos utilizar para almacenar información de internet.En este punto
debemos tener precaución de no asignar mayor espacio del disponible ya que esto bloqueara el squid
Configuramos el puerto por el cual escuchara nuestro proxy, el puerto que utiliza squid es el 3128
8
Configuración de Listas de Acceso
Para empezar a utilizar nuestro proxy debemos definir una ACL ( lista de control de acceso ) y una
regla para dicha lista, para hacerlo buscamos la sección acl y agregamos nuestra configuración.
Agregamos nuestra IP
Red de Origen
Sitios a Restringir
NOTA: la lista restringidos la crearemos posteriormente con los sitios que queremos bloquear
A continuación configuraremos el acceso a las ACL que acabamos de definir, esto lo hacemos en la
sección http_access colocando nombre ACL con la opción deny/allow ( permitir o denegar )
Anteriormente definimos una ACL llamada /etc/restringidos, pues bien esta lista aun no esta creada por
lo que debemos guardar los cambios hechos en el squid.conf y crear dicha lista. Lo podemos hacer de
la siguiente manera nano /etc/restringidos y agregamos los dominios o expresiones a filtrar
9
Guardamos los cambios de los archivos y reiniciamos el squid ejecutando el siguiente comando
/etc/init.d/squid restart, si todo va bien no debe salir el siguiente mensaje
Ahora configuraremos el direccionamiento IP de nuestro cliente ( win XP ), para lo cual nos dirigimos
a panel de control – conexiones de red – protocolo TCP/IP – propiedades
IP del cliente
Servidor Proxy
10
Desde la consola ejecutaremos el comando ( ping ), para probar conectividad con nuestro servidor y la
salida a internet
para verificar si nuestro proxy esta funcionado correctamente abrimos el navegador y ingresamos una
de las direcciones restringidas en nuestra lista ( taringa.net)
11
Como podemos ver nos deja ingresar normalmente. Esto se debe a que debemos hacer una
configuración adicional en el navegador para que utilice el proxy.
Procedimiento:
12
Después de aplicar esta configuración recargamos la pagina para verificar el funcionamiento del proxy
Como podemos ver el proxy ya nos esta haciendo el filtrado del contenido que decidimos bloquear en
este caso taringa.net uno de los dominios bloqueados.
De igual manera que en el ejemplo anterior crearemos una nueva ACL pero esta ves para controlar el
acceso a internet por horarios. La sintaxis a utilizar es la siguiente:
acl nombre time ( días abreviados ej= S, M, T.....) horas de acceso ( h1:m1-h2:m2), para aplicar esta
regla volvemos nuevamente al archivo de configuración de squid en /etc/squid.conf y agregamos la
siguientes lineas en acl
13
y en http_ access lo siguiente
NOTA: al agregar reglas de filtrado en squid debemos tener cuidado en el orden que las colocamos, ya
que el las evalúa en forma descendente esto quiere decir decir que si definimos una regla para permitir
algo y después lo denegamos esta segunda regla no sera tenida en cuenta.
Ahora para que los cambios tengan efecto debemos reiniciar el squid
14
Bloqueo por Extensión de los Archivos
Ahora crearemos una nueva ACL para denegar archivos por su tipo de extensión como: exe, mp3, avi.
Para hacer esto creamos un archivo que contenga las extensiones que queremos bloquear, después
modificamos el archivo squid.conf para agregar la lista y denegar el acceso
15
Para verificar que esta funcionando la restricción abrimos el navegador web e intentamos descargar un
archivo ejecutable (.exe) lo cual no debe permitir el proxy
16
Configuración de Proxy Transparente
Para configurar el proxy en modo transparente debemos realizar dos configuraciones una la haremos en
el firewall y otra en el archivo de configuración del squid. La configuración es la siguiente:
Con esta linea hacemos que las petciones web de los usuarios al salir
de sus equipos al llegar al firewall se reenvien al servidor porxy
Reiniciamos el scrip
17
Guardamos los cambios y reiniciamos el SQUID con el comando /etc/init.d /squid restart. Con esta
configuración no es necesario añadir la configuración del proxy en el navegador web como lo hicimos
inicialmente.
Con esto terminamos la configuración básica del servidor proxy con SQUID
18
CONCLUSION
Después de de hacer la implementación del servidor proxy SQUID y ver su funcionamiento podemos,
darnos cuenta de la necesidad de su implementación debido su gran utilidad ya que nos permite
administrar y controlar el contenido que los usuarios descargan y acceden en internet de una forma
centralizada.
19