Documente Academic
Documente Profesional
Documente Cultură
05/11/2014
Pgina 2 de 22
Tipos de proxies.
Caso prctico
Yo creo que por ahora nos bastar con un proxy transparente.
Qu es eso?
Un tipo de proxy, puede que ninguno de ellos se entere de que
lo tenemos.
Pero les impedir el acceso a las web que nosotros
queramos?
S, eso por supuesto. Te voy a explicar los tipos de proxies
que podemos poner.
Autenticacin de usuarios.
Filtrado del trfico.
Creacin de ficheros log.
Proxy
NAT.
Proxy annimo.
Proxy Web.
Proxy inverso.
Proxy abierto.
Proxy transparente
La eleccin de cualquiera de ellos est sujeta a las necesidades del sistema, puesto que unos son ms
adecuados para acelerar las conexiones y otros para mejorar la seguridad.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre un proxy.
Caractersticas de un proxy
05/11/2014
Pgina 3 de 22
Autoevaluacin
La diferencia entre un proxy y un firewall es:
No hay diferencia.
El firewall hace de proxy.
El firewall es por software y el proxy por hardware.
El proxy puede hacer de firewall.
05/11/2014
Pgina 4 de 22
Caractersticas.
La caracterstica general de todos los proxies es que estn compuestos de tres elementos bsicos:
Elementos destino.
Elementos clientes.
Reglas de acceso.
Los elementos destino o clientes sern las mquinas relacionadas
con el proxy, y las reglas de acceso permitirn o no que los
elementos clientes se comuniquen con los elementos destino.
Un proxy NAT, enmascara las direcciones IP entre clientes y
destino, este tipo de proxy es muy til cuando se pretende compartir
una misma direccin para acceder a Internet.
En el caso del proxy annimo, los elementos destino desconocen
totalmente a los elementos clientes, se utilizan en muchos casos
para poder saltar un firewall, o las medidas de seguridad impuestas
por el administrador del sistema, para evitar que los usuarios se
conecten a sitios no permitidos en esa red, (prohibir que estudiantes
o trabajadores se conecten a sitios de carcter ldico en horario laboral).
El proxy Web o proxy cach Web almacena las pginas web de los elementos destino en memorias
intermedias para poder servirlas a los clientes bajo demanda. El uso de un proxy Web no introducir
retardos en la obtencin de la informacin, ya que si la pgina solicitada no est en la cach del proxy,
se iniciar la bsqueda normal en una fraccin de tiempo muy pequea, si la pgina se encuentra en la
memoria cach, la pgina se obtiene con la velocidad de conexin de la red local, que en cualquiera de
los casos es superior a la de Internet.
El proxy inverso se suele utilizar entre Internet y los servidores web, este tipo de proxy se utiliza para
mejorar la seguridad y distribuir la
carga sobre los servidores. Es el proxy el que soporta todas las
peticiones y las reenva a los servidores web.
El proxy abierto acepta peticiones de cualquier equipo cliente, pertenezca o no a la red. Este tipo de
proxy tiene la ventaja de eliminar problemas de configuracin los clientes pero la gran desventaja de no
poder controlar quien lo usa, esto puede llevar a un uso ilcito o molesto del mismo evadiendo
responsabilidades (envo masivo de SPAM).
El proxy transparente es una combinacin de un proxy con NAT para que las conexiones se enruten
dentro del proxy y el cliente no tenga que hacer ninguna configuracin. En la mayora de los casos en
los que se emplea esta opcin, el propio usuario desconoce que se est utilizando un proxy. Los
administradores pueden emplearlos como una medida de seguridad o para agilizar la conexin.
Se podra decir que los proxies actan de manera similar a las pasarelas o
dos redes diferentes, pero con una diferencia:
gateways comunicando
Son capaces de trabajar con protocolos de nivel aplicacin, por lo que pueden entender
contenidos y otras caractersticas valiosas en cuestiones de seguridad.
05/11/2014
Pgina 5 de 22
Funciones.
Un proxy puede desempear las siguientes funciones:
Filtro de contenidos.
Memoria cach de pginas web.
Servidor de direcciones IP.
Firewall.
La primera de las funciones enumeradas, que hace que un proxy sea un filtro de contenidos, se da
cuando el proxy puede seleccionar el tipo de contenidos accedidos por las estaciones de trabajo.
La segunda funcin, quiz sea una de las ms desempeadas, donde un proxy es capaz de almacenar
las pginas consultadas por las estaciones de trabajo en una memoria cach, con esto acelera las
conexiones sucesivas y es capaz de servir dichas pginas si se pierde la conexin a Internet de
manera momentnea.
Tambin un proxy es capaz de asignar direcciones IP a las estaciones de trabajo utilizando un
servidor
DHCP. Y por ltimo, si el proxy es un intermediario que recoge conexiones y es capaz de
interrumpirlas o continuarlas, es evidente que puede funcionar como un firewall del sistema.
Autoevaluacin
La diferencia entre un proxy transparente y un proxy annimo:
El annimo permite ver la ip del emisor.
El annimo no implica ninguna configuracin en el cliente.
El transparente implica que el cliente configure el navegador para poder utilizarle.
El uso de un proxy annimo implica que el cliente debe conocer los datos de ese proxy.
05/11/2014
Pgina 6 de 22
05/11/2014
Pgina 7 de 22
Los clientes proxies se pueden configurar en cualquier navegador especificando la direccin del
servidor proxy que se quiere utilizar.
En el caso de preferir que los clientes utilicen el proxy como transparente y no tener que configurar el
navegador, se puede poner como puerta de enlace del cliente la direccin IP del proxy y en el servidor
proxy crear una regla iptables del tipo:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Donde eth0 es la interfaz del proxy conectada a internet, eth1 es la interfaz del proxy conectada a la
LAN, 3128 es el puerto del proxy y 192.168.1.1 es la IP interna del proxy.
Con esta regla se le ordena al proxy que todo lo que venga por la interfaz eth0 dirigido al puerto 80 lo
redireccione al puerto 3128, que es donde estar el servidor Squid escuchando las peticiones. Con
esto se conseguir que los clientes tengan acceso a Internet a travs del proxy.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre la configuracin de clientes y
servidores proxies.
Configuracin clientes y servidores proxies.
05/11/2014
Pgina 8 de 22
Autoevaluacin
Un cliente de un proxy transparente:
Tiene qu configurar el navegador.
Necesita configurar como puerta de enlace la IP del servidor proxy.
No tienen que configurar nada.
Necesita poner como puerta de enlace la IP del router de salida a Internet.
05/11/2014
Pgina 9 de 22
05/11/2014
Pgina 10 de 22
En este caso 1 mes, la eleccin depender de cada caso particular, un tiempo demasiado
bajo puede desaprovechar las prestaciones y demasiado alto puede saturar la memoria.
05/11/2014
Pgina 11 de 22
Configuracin de filtros.
Caso prctico
Cmo es capaz el proxy de evitar que se visiten
esas direcciones?
Se especifican en el proxy, recuerda que un
ordenador hace lo que le manden.
Dnde? Cmo?
Con reglas de filtrado, vers.
Mara va a explicar a Juan ahora cmo se crean las
reglas y dnde se colocan en el fichero de
configuracin del proxy.
Una de las ventajas de utilizar un proxy es la posibilidad de utilizar filtros de contenidos para poder
discriminar los sitios a los que tienen acceso los clientes del servidor. Estos filtros se pueden crear
mediante listas de control de acceso al proxy, permitiendo el paso por el proxy a las peticiones de
conexin aceptadas por la poltica de seguridad y denegando las dems. En el servidor Squid una lista
de control de acceso tiene la sintaxis:
acl nombre_lista tipo_de_filtrado parmetros
El tipo de filtrado que puede realizar una acl se puede especificar con parmetros:
Para especificar la red local:
acl red-local src 192.168.1.0/24
La lista denominada red-local incluye a todos los equipos que estn en la red 192.168.1.0
Para especificar una red destino:
acl destino dst 192.168.0.0/24
La lista destino es la que tiene como equipos en la red 192.168.0.0
Para especificar una franja horaria:
acl horario time M W F 8:00-14:00
La lista horario especifica una franja horaria entre las 8 y las 14.
Comprobar el nombre del dominio:
acl prohibidas dstdomain alisal.com
La lista prohibidas comprueba el dominio alisal.com
Ejemplos de reglas de este tipo son:
Especificar todos los equipos de la red:
acl todos src 0.0.0.0/0.0.0.0
Especificar a nuestro equipo como origen de las conexiones:
acl localhost src 127.0.0.1/255.255.255.255
Especificar a nuestro equipo como destino de las conexiones:
acl localhost_destino dst 127.0.0.0/8
05/11/2014
Pgina 12 de 22
Una vez definida la lista de control es necesario activarla y para ello se emplea el parmetro
http_access:
http_access allow/deny nombre_lista
Si se utiliza el modificador ! delante del nombre de la lista, la lista no se verifica.
http_access allow ! horario
http_access deny horario
La primera regla permite el acceso fuera de las condiciones de la lista horario. La segunda regla
deniega el acceso en las condiciones de la lista horario.
05/11/2014
Pgina 13 de 22
Un proxy puede exigir que un usuario se autentique antes de poder permitir el acceso. Esta opcin
permite controlar a los usuarios que hacen uso del proxy, mejorando la seguridad.
El servidor Squid tambin ofrece esta funcionalidad y para ello dispone de parmetros de configuracin
auth_param en el fichero squid.conf, por defecto aparecen entre otros muchos los siguientes:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/claves
auth_param basic children 5
auth_param basic realm Squid proxy-caching web Server
auth_param basic credentialsttl 2 hours
acl passwd proxy_auth REQUIRED
El primer parmetro indica el mdulo de software utilizado en la autenticacin y la ruta que lo contiene,
as como la ruta del archivo que contendr las contraseas de los usuarios. El segundo parmetro
indica el nmero de procesos de autenticacin que se van a producir. El tercer parmetro indica cul
ser el mensaje que aparecer cuando se requiera el usuario y la contrasea. El cuarto parmetro
especifica el tiempo que tardar el proxy en especificar de nuevo la clave a los usuarios. La ltima lnea
crea una lista de control con la que se activa la solicitud de autenticacin de los usuarios.
Para aadir los distintos usuarios que tienen acceso al proxy se utiliza el comando htpasswd, para
aadir un usuario del servidor denominado usuario-proxy:
htpasswd -c /etc/squid/claves usuario-proxy
Autoevaluacin
htpasswd c passwd passwd:
Es un parmetro del squid.conf.
Cambia la contrasea de un usuario del proxy.
Asigna el nombre de usuario passwd al usuario passwd.
Nos dice que el fichero donde estn los usuarios autorizados se llama passwd.
05/11/2014
Pgina 14 de 22
05/11/2014
Pgina 15 de 22
Proxy inverso.
Caso prctico
Con todo esto estamos controlando a nuestros
usuarios Y los que acceden desde el exterior a
nuestro servidor?
Para esos se pueden utilizar los proxies inversos.
Funcionan igual?
S, pero hay que hacer una configuracin nueva.
Mara explicar a Juan que hay que hacer para
configurar un proxy como inverso y donde habra
que situarle.
Para saber ms
En el siguiente video puedes ver como se hace una configuracin de un proxy en Linux.
05/11/2014
Pgina 16 de 22
05/11/2014
Pgina 17 de 22
Proxy encadenado.
Caso prctico
Hoy he estado hablando con un amigo de los
proxies.
Qu le ha parecido la idea?
Pues bien, pero me ha dicho que un proxy
tambin se emplea para hacer que un usuario sea
annimo en Internet.
S, claro. Esto se puede emplear en las dos
direcciones. Hay una tcnica que es encadenar
proxies pblicos situados en Internet para
enmascarar a los usuarios.
Y si lo hacen aqu?
Aqu me podra enterar yo cuando revise los equipos.
Mara explicar a Juan la tcnica de encadenar proxies y alguna aplicacin empleada para
ello.
Autoevaluacin
En el archivo proxychains.conf, si quiero navegar de manera que el encadenamiento de
los proxies sea siempre el mismo utilizar:
05/11/2014
Pgina 18 de 22
dynamic_chain.
#strict_chain.
random_chain.
http 192.168.89.3 8080.
05/11/2014
Pgina 19 de 22
Pruebas de funcionamiento.
Caso prctico
Cmo sabremos que funciona esto del proxy?
Muy fcil, probando a infringir las reglas y ver que pasa.
Vale, pero no hay alguna forma de que cada cierto tiempo
veamos si alguien ha intentado una conexin no permitida.
S, podemos configurar el proxy para que cree archivos log.
Mara va a ensear a Juan donde encontrar el archivo log y
como descifrarlo.
05/11/2014
Pgina 20 de 22
Herramientas grficas.
Caso prctico
Pues s que me gusta lo que hace el proxy pero
veo que es un poco difcil de manejar.
Por qu?
Pues porque todo son comandos y rdenes.
Tranquilo, existen aplicaciones grficas que
hacen que sea ms fcil
Juan va a aprender como instalar una aplicacin
para poder manejar el proxy y otros servicios de
manera grfica.
Existen herramientas grficas que permiten gestionar los servicios de una red, incluyendo el proxy. Una
de estas herramientas de cdigo abierto es Zentyal.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre la herramienta grfica Zentyal
Zentyal
Zentyal es un servidor de red que entre otros servicios proporciona el servicio servidor proxy. Para
instalar Zentyal, se puede hacer desde el gestor de paquetes buscando ebox (Zentyal es la evolucin
de evox).
Una vez instalado, se accede a su configuracin con un explorador, poniendo en la barra de
direcciones la direccin del equipo donde est instalado. Si est en el propio equipo donde se est
trabajando, bastara con escribir como URL:
https://localhost/ebox/
El explorador responde pidiendo un usuario y una contrasea, esta clave que se requiere al inicio se ha
escogido durante la instalacin, una vez autenticados se accede a una pantalla de control con mltiples
opciones, una de ellas es HTTP proxy.
05/11/2014
Pgina 21 de 22
Autora: mallox.
Licencia: CC by.
Procedencia:
http://www.flickr.com/photos/mallox/4128788818/sizes/m/in/photostream/
05/11/2014
Pgina 22 de 22
05/11/2014