Asignatura

Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

Actividades
Trabajo: Squid
Queremos montar un servidor proxy para evitar que naveguen por sus correos personales de gmail.com,
hotmail.com, yahoo.com. Que prohba cualquier pgina que contenga las palabras: Sexo, pornografa y
desnudos. Adems queremos que no puedan conectarse de 8 a 10 de la maana, que cuando mayor
rendimiento y exigencia se les pide en la empresa. Queremos que se guarde los logs en un fichero que se llame
mensajes.log. Explica los pasos a seguir.
INTRODUCCIN.
Un proxy de conexin a Internet es un servidor que hace de intermediario entre los equipos de la red
interna y el router de conexin a Internet, de forma que cuando un usuario quiere acceder a Internet, su
Computador o equipo, realiza la peticin al servidor Proxy y es el Proxy quien realmente accede a Internet.
Posteriormente, el Proxy enviar los datos al equipo del usuario para que los muestre en su pantalla. El
Equipo del usuario no tendr conexin directa con el router, sino que acceder a Internet por medio del proxy.
Uno de los servidores proxy ms utilizados en internet es SQUID, el cual est disponible en la mayora de los
repositorios de GNU/LINUX.
Ventajas de los Proxy:

Los Equipos de los usuarios no tienen acceso al router, todas las comunicaciones exteriores pasarn
por el Proxy, lo que nos permitir tener las comunicaciones bajo control. Podemos permitir o denegar
el acceso web, FTP, email, messenger, P2P, etc.

Las pginas se cachean en la memoria temporal del proxy, lo cual acelera la descarga cuando varios
usuarios acceden a las mismas pginas a la vez.

Es fcil crear una lista de URLs prohibidas a las que el proxy denegar el acceso.

Permite crear una lista de palabras prohibidas en URL. El proxy denegar el acceso cuando se
introduzcan en formularios de bsqueda o en la barra de direcciones.

Se puede permitir o denegar el acceso a subredes o a Equipos concretos. Si diseamos la red de forma
que subred tenga un rango determinado, por ejemplo 10.10.10.x donde X es el nmero del equipo,
sera posible permitir o denegar la conexin a Internet a la subred.

TEMA 2 Actividades

Asignatura

Datos del alumno

Apellidos: Dulce Villarreal

Seguridad en
sistemas operativos

Fecha
7 de Abril de 2016

Nombre: Edgar Roberto

El proxy guarda informes de todas las conexiones que hacen los usuarios. Al principio puede ser
interesante ver a qu pginas de contenido inadecuado acceden nuestros usuarios, para agregarlas a
la lista de URLs prohibidas.

Los Equipos de nuestra red estn ms seguros de ataques externos ya que el proxy hace de barrera
cortafuegos.

DESARROLLO
Para desarrollar todo el laboratorio, se va a tener en cuenta el siguiente grfico:

TARJETA ETH0: WAN

ADAPTADOR PUENTE
IP: DHCP

TARJETA ETH1: LAN

RED INTERNA
IP: 10.10.10.1
MASCARA: 255.255.255.0

IP: 10.10.10.1
MASCARA: 255.255.255.0
GATEWAY: 10.10.10.1

WWW

Kali Linux
PROXY SQUID

Cliente Windows 7

Descripcin del grfico:

Sistema operativo:
Como Servidor: Kali Linux, instalado en VirtualBox, en el cual se va a montar SQUID como servidor
proxy, para la red LAN.

Como Cliente: Windows 7, instalado en VirtualBox

Se va instalar en el servidor KALI LINUX el programa SQUID, el cual actuara como servidor proxy para
la red LAN, que en este caso es la maquina Windows 7. Las dos mquinas estn conectadas a travs de la
red interna en VirtualBox.

TEMA 2 Actividades

Asignatura
Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

Primero, se debe actualizar la lista de repositorios de Kali Linux, ya que el paquete SQUID no se
encuentra disponible, para esto, editamos el archivo /etc/apt/sources.list, y aadimos las siguientes
lneas:

Guardamos y salimos. Despus de esto, se procede a actualizar los repositorios, con ayuda del comando
apt-get update
Primero, vamos a instalar SQUID en la maquina Kali Linux, de la siguiente forma:

Una vez instalado, nos cambiamos al directorio de configuracin de SQUID, y editamos el archivo
squid.conf, el cual se puede ver en la siguiente imagen:

Configuramos algunos parmetros bsicos de SQUID, los cuales se encuentran en el archivo de

configuracin squid.conf. Entre los parmetros tenemos:
HTTP_PORT
TEMA 2 Actividades

Asignatura
Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

Podemos ver en la siguiente imagen, que corre por el puerto 3128:

CACHE_DIR
Es el directorio en el cual se va a almacenar la cache de navegacin de los usuarios, y para el ejercicio va a
tener un tamao de 100 Mb:

SOLUCION DEL TRABAJO

1. QUEREMOS MONTAR UN SERVIDOR PROXY PARA EVITAR QUE NAVEGUEN POR
SUS CORREOS PERSONALES DE GMAIL.COM, HOTMAIL.COM, YAHOO.COM.
Para este punto, debemos crear una ACL (Access Control List), para permitir navegar a la red
LAN, en este caso la vamos a llamar redlocal, la cual apunta a las direcciones IP de la red LAN
10.10.10.0/24

Luego, creamos otra ACL para almacenar la lista de pginas de correo, para el caso la vamos a
llamar correos, de la siguiente forma:

La ACL correos, va a almacenar las URL de correos dentro del archivo correosdenegados, el cual
hay que crear e ingresar las URL deseadas:

TEMA 2 Actividades

Asignatura
Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

Luego debemos crear la REGLA DE CONTROL DE ACCESO, para permitir a la red LAN, pero
denegar el acceso a correosdenegados, de la siguiente forma:

Reiniciamos SQUID, de la siguiente forma:

Ahora, en el cliente WINDOWS7, debemos configurar el proxy en el navegador (en este caso
internet explorer), de la siguiente forma:

Guardamos y salimos.

TEMA 2 Actividades

Asignatura
Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

Abrimos el navegador, internet explorer en este caso, y buscamos uno de los dominios
denegados, para el ejemplo gmail.com, obteniendo el resultado:

Mismo resultado con Hotmail.com

Y por ltimo yahoo.com

TEMA 2 Actividades

Asignatura
Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

2. QUE PROHBA CUALQUIER PGINA QUE CONTENGA LAS PALABRAS: SEXO,

PORNOGRAFA Y DESNUDOS.
Para esto, debemos crear una ACL, que en este caso la vamos a llamar contenido_denegado, la cual
apuntara a un archivo llamado contenido.den, el cual almacenara todas las palabras que deseamos
bloquear. De la siguiente forma:

Creamos el archivo contenido.den, el cual se vera de la siguiente forma:

Creamos la REGLA DE CONTROL DE ACCESO, para esta ACL, para lo cual vamos a utilizar la misma
del punto anterior, adicionando la ACL creada contenido_denegado:

TEMA 2 Actividades

Asignatura
Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

Reiniciamos squid:

Para la prueba, vamos a abrir el sitio sexo.com, en la maquina Windows 7

Realice una bsqueda en google, relacionada con noticias de pornografa infantil, y abr una URL, la cual
fue bloqueada:

TEMA 2 Actividades

Asignatura
Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

3. ADEMS QUEREMOS QUE NO PUEDAN CONECTARSE DE 8 A 10 DE LA MAANA,

QUE CUANDO MAYOR RENDIMIENTO Y EXIGENCIA SE LES PIDE EN LA EMPRESA
Para esto, debemos crear una ACL para manejar el tiempo, que para el ejemplo se va a llamar tiempo, la
cual va a estar configurada para todos los das (DE DOMINGO A SABADO), para el horario de las 8 a 10
am, de la siguiente forma:

Aplicamos ACL en la REGLA DE CONTROL DE ACCESO anterior, de la siguiente forma:

La anterior regla se entiende como: permitir a la red local, denegar los sitios de correo y de contenido
denegado, pero en el horario restringido sea de las 8 a 10 am.
4. QUEREMOS QUE SE GUARDE LOS LOGS EN UN FICHERO QUE SE LLAME
MENSAJES.LOG. EXPLICA LOS PASOS A SEGUIR.
TEMA 2 Actividades

Asignatura
Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

Para realizar este punto, debemos editar el archivo de configuracin de SQUID, y modificar la ruta
de acceso a los log, que por defecto es /var/log/squid3/Access.log, ahora debe estar en la misma
ruta pero debe llamarse mensajes.log:

Reiniciamos SQUID:
Podemos ver el archivo mensajes.log, en la ruta indica:

En la maquina windows7, vamos a abrir la pgina www.eltiempo.com, y verificamos que se

registra en el archivo mensajes.log:
Acceso a pagina www.eltiempo.com

TEMA 2 Actividades

Asignatura
Seguridad en
sistemas operativos

Datos del alumno

Fecha

Apellidos: Dulce Villarreal

7 de Abril de 2016
Nombre: Edgar Roberto

Registro en el fichero mensajes.log:

CONCLUSIONES

BIBLIOGRAFIA
Informacin sobre SQUID
http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m6/proxy_squid.htm
Tutorial sobre SQUID
http://www.nexolinux.com/proxy-squid-control-de-accesos-acl-ii-2/

TEMA 2 Actividades