1

Squid

PROXY Teora Introduccin

La palabra proxy se usa en muchas situaciones en donde tiene sentido un intermediario. El uso ms comn es el de servidor proxy, que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino. De ellos, el ms famoso es el servidor proxy de web (comnmente conocido solamente como proxy). Intercepta la navegacin de los clientes por pginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. Su funcionamiento es tan simple como imaginar un escenario en el que tenemos tres ordenadores, un cliente, un servidor proxy y un servidor web, cuando el cliente quiere acceder a los recursos del servidor web manda una peticin, pero esa peticin la manda al servidor proxy para que la enve l, por lo cual el servidor web no sabr que el cliente fue el que pidi el recurso originalmente, sino que pensar que fue el servidor proxy.

Squid

Aunque son muy tiles tambin tienen sus ventajas y desventajas: Ventajas En general, los proxies hacen posibles varias cosas: Control. Slo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy. Ahorro. Por tanto, slo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real. Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer cach: guardar la respuesta de una peticin para darla directamente cuando otro usuario la pida. As no tiene que volver a contactar con el destino, y acaba ms rpido. Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que estn prohibidas. Desventajas En general el uso de un intermediario puede provocar: Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible que haga algn trabajo que no deba. Por tanto, ha de controlar quin tiene acceso y quin no a sus servicios, cosa que normalmente es muy difcil. Carga. Un proxy ha de hacer el trabajo de muchos usuarios. Intromisin. Es un paso ms entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de cach y guarda copias de los datos. Incoherencia. Si hace de cach, es posible que se equivoque y d una respuesta antigua cuando hay una ms reciente en el recurso de destino. Irregularidad. El hecho de que el proxy represente a ms de un usuario da problemas en muchos escenarios, en concreto los

Squid

que presuponen una comunicacin directa entre 1 emisor y 1 receptor (como TCP/IP).

Tipos de proxy Aunque hay muchos tipos de proxies como proxy web, ftp, arp... y ms, veremos ms a fondo el proxy web, ya que es el ms usado.

Proxy de HTTP y HTTPS Utilizan el protocolo TCP que es en el que operan HTTP y HTTPS, este proxy es el ms comn y suele usarse como intermediario para mantener el anonimato en internet, o restringir el acceso a pginas web. Adems de tener todas las caractersticas propias de un proxy, este proporciona una memoria cach para el almacenamiento de las pginas web y los contenidos descargados, haciendo las conexiones ms rpidas. Proxy transparente Como los proxies que veremos ms adelante, este no es ms que una caracterstica que se le puede aplicar a los verdaderos tipos de proxies como son el proxy web y ftp. Esta caracterstica permite a los administradores controlar el acceso a la web mediante reglas de acceso sin que el usuario tenga que configurar nada y sin que se d cuenta de que est accediendo a internet mediante un proxy. Proxy cache Esta caracterstica reserva un espacio en memoria que nosotros le digamos y, mediante unos algoritmos que podemos modificar, guarda las pginas web y los contenidos descargados para acelerar futuras conexiones

Squid

Proxy inverso Esta caracterstica permite conectarse desde internet a uno de nuestros servidores en nuestra red protegindolo de posibles ataques externos ya que no lo hacemos pblico como con solo un nat esttico, sino que podemos aplicar reglas de acceso haciendo su publicacin ms segura.

Squid

Squid
Introduccin a squid Aunque haya muchos programas para configurar y manejar proxies, como Dante o el propio de Windows, Squid sigue siendo uno de los ms utilizados por su gran potencia y modulabilidad, ya que puede construir un proxy web y uno ftp en el mismo servidor sin tener que cambiar mucha configuracin lo que hace que su uso sea muy extendido. Squid usa un fichero de configuracin que est en /etc/squid/squid.conf y es donde se configuran todos y cada uno de los parmetros, es un fichero bastante largo ya que incluye el manual y la configuracin predeterminada que trae de fbrica. Las directivas de squid nunca deben llevar un espacio delante de ellas por lo que squid no las reconocera. El funcionamiento del fichero es muy fcil una vez que lo has entendido, lo bsico que debemos saber de su configuracin son la creacin de las acl (que veremos ms adelante), la aplicacin de dichas acl, con esta configuracin mnima ya podramos tener un proxy funcional y acorde a nuestras necesidades. Squid a pesar de su potencia no puede trabajar con protocolos como SMTP, POP3, TELNET, SSH, IRC, etc. Por lo que necesitaramos encontrar otras alternativas. Seguridad de Squid ACL Las acl (listas de control de acceso) son, en squid, una directiva en la que determinamos el nombre de un equipo o el nombre de un fichero que contenga palabras que luego querremos filtrar. Su sintaxis es bastante sencilla, ahora enumerar sus partes: o Acl. es la palabra clave para crear la acl o Nombre acl. es el nombre que le daremos a esa acl para poder reconocerla ya que como veremos ms adelante luego las aplicaremos haciendo referencia al nombre de la acl, este nombre puede ser el que nosotros queramos o Tipo de acl. con este tipo indicamos el tipo de datos que le introduciremos ms tarde, como podra ser una ip o red, palabras que

Squid

contenga una pgina, palabras que contenga la url o ms, para ver los distintos tipos de acl que hay podis entrar a http://dns.bdat.net/documentos/squid/x30.html o Contenido o fichero incluido. en este apartado daremos el contenido que queramos restringir o con el que queramos trabajar, podemos hacerlo directamente escribindolo en la acl misma: Ej. Acl nombre urlregex google O podemos hacerlo incluyendo un archivo creado por nosotros, puede llamarse y estar donde quiera: Ej. Acl nombre urlregex /etc/nombre (Fichero nombre) Google Http_access Esta directiva restringe el acceso al proxy o a sus listas de control de acceso. Con la directiva http_access aplicamos las acl que habamos creado

anteriormente haciendo as que se cumplan y creando restricciones, sus partes son: http_access. palabra clave para usar la directiva permiso. el permiso puede ser allow (permitir) o deny (denegar) nombre de acl. con esta referencia decimos si queremos permitir el acceso a los sitios nombrados anteriormente o si queremos denegar el acceso, tambin podemos aadir el smbolo ! para indicar que queremos lo contrario, por ejemplo, http_access deny !nombre, esta directiva denegara el accedo a todas las paginas que no estn dentro de nombre. Http_port y visible_hostname

Squid

Prctica
A lo largo de las prcticas deberemos utilizar algn visualizador multilnea para logs y as podremos controlar las pginas que visitan los usuarios. 1. Configura un proxy web Crea un escenario con un cliente, un servidor proxy y un servidor web, configura el servidor proxy como proxy web con SQUID y configurarlo para que funcione por el puerto 3167, comprobarlo, que no deje acceder a los sitios www.minijuegos.com, www.rojadirecta.me, www.marca.com, ni a los sitios que contengan la palabra juego, proxy o chat a parte de no dejar abrir o descargar ficheros .swf, .mp3 o .avi

Squid

2. Restriccin por ip Configurar el proxy para que solo salgan determinadas ips de la red 3. Configuracin proxy cach Configura el proxy cache con SQUID indicando que su mtodo de almacenamiento ser diskd, y tendr 250MB de almacenamiento, su memoria swap empezara a remplazar elementos al llegar al 85% de su capacidad y ser ms agresivo al llegar al 96%. Para comprobar que funciona nos descargamos un archivo, borramos la cache del navegador y volvemos a descargarlo, veremos que baja notablemente ms deprisa.

Squid

4. Configuracin Proxy Transparente Configuracin proxy transparente SQUID y queremos que cuando entren a pginas http y https las filtre el proxy. Comprobamos que intentamos entrar en una de las pginas prohibidas y nos da error.

10

Squid

5. Configuracin autenticacin squid (texto) Configuramos una autenticacin por fichero para el usuario X en modo texto. 6. Modificacin de la pgina de error squid Modifica la pgina de error a tu gusto. Comprobamos que funciona provocando un error de acceso denegado