Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Practica Squid 2 Miguel Angel Gonzalez Gonzalez

    Încărcat de

    Miguel Gonzalez
    4K vizualizări26 pagini
    Manual Squid

    Drepturi de autor

    © Attribution Non-Commercial (BY-NC)

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    Manual Squid

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    4K vizualizări26 pagini

    Practica Squid 2 Miguel Angel Gonzalez Gonzalez

    Încărcat de

    Miguel Gonzalez
    Manual Squid

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 26

    Prctica Seguridad: Proxy 2

    Miguel ngel Gonzlez Gonzlez

    Miguel ngel Gonzlez Gonzlez

    ndice
    Objetivos .................................................................................................... 2 Autenticacin Bsica de usuario ................................................................. 3 Comprobacin ......................................................................................... 6 Filtro de contenidos con Dansguardian ....................................................... 7 Instalacin y Configuracin .................................................................... 8 Comprobacin ....................................................................................... 12 Estadsticas Web con Sarg........................................................................ 12 Instalacin ............................................................................................. 12 Configuracin ....................................................................................... 13 Creacin Manual de los reportes con Sarg .......................................... 14 Generacin Automtica de reportes con Sarg ..................................... 17 Proxy Transparente .................................................................................. 21 Fuentes ..................................................................................................... 25

    Miguel ngel Gonzlez Gonzlez

    Objetivos

    Modifica la configuracin del cortafuegos para que incluya: - Autenticacin bsica de usuario - Filtro de contenidos con dansguardian - Estadsticas web con sarg - Proxy transparente (hay que deshabilitar la autenticacin ya que son incompatibles).

    Miguel ngel Gonzlez Gonzlez

    Autenticacin Bsica de usuario


    Es muy til el poder establecer un sistema de autenticacin para poder acceder hacia Internet, pues esto permite controlar quienes si y quienes no accedern a Internet sin importar desde que mquina de la red local lo hagan. Sera de modo tal que tendremos un doble control, primero por direccin IP y segundo por nombre de usuario y clave de acceso. Para implementar este sistema de autenticacin bsica de usuario mediante el proxy es necesario tener instalado Squid y Apache.

    Primero debemos crear un fichero que contendr los nombres de usuarios y sus claves de acceso (cifradas). Crearemos el fichero en el directorio de squid:

    Le daremos los siguientes permisos:

    A continuacin daremos de alta las cuentas que sean necesarias usando el comando htpasswd que viene incluido en Apache.En este caso he creado un usuario llamado prueba y slo con l podremos acceder a las pginas restringidas por el Proxy:

    Ahora en el fichero /etc/squid/squid.conf deberemos especificar el programa de autenticacin que utilizaremos:

    Miguel ngel Gonzlez Gonzlez

    El siguiente paso corresponde a la definicin de una Lista de Control de Acceso. Especificaremos una denominada passwd la cual se configurar para utilizar obligatoriamente la autenticacin para poder acceder a Squid. Debe localizarse la seccin de Listas de Control de Acceso y aadirse la siguiente lnea:

    Una vez realizada dicha configuracin deberemos tener en la seccin de Listas de Control de Acceso lo siguiente:

    Miguel ngel Gonzlez Gonzlez

    Procederemos entonces a modificar la regla de control de accesos que ya tenamos para permitir el acceso a internet. Donde antes tenamos lo siguiente: -http_access allow localhost Debemos aadir password , lo cual, requiere utilizar clave de acceso:

    Una vez realizado lo anterior debemos reiniciar Squid:

    Miguel ngel Gonzlez Gonzlez

    Ahora si intentamos acceder a una pgina restringida en el proxy en la red 192.168.10.0, que es la que hemos configurado nos pedir introducir un usuario que hayamos agregado a Squid, en este caso hemos agregamos como ya vimos anteriormente el usuario prueba.

    Comprobacin
    Intentamos acceder a una pgina restringida desde la mquina de la red interna 192.168.10.2 y vemos como nos pide un usuario:

    Una vez lo introduzcamos ya podremos navegar libremente:

    Miguel ngel Gonzlez Gonzlez

    Filtro de contenidos con Dansguardian


    La herramienta DansGuardian es cdigo abierto .Al instalar el paquete la configuracin por defecto ya limita las visitas a pginas prohibidas para menores, pero dispone de gran cantidad de archivos de configuracin para llevar a cabo un ajuste del servicio mas personalizado. El mecanismo es el siguiente: los clientes mediante sus navegadores web hacen peticiones de pginas que son recibidas por DansGuardian y slo son redireccionadas al servidor proxy SQUID aquellas que superan la fase de filtrado. Por lo tanto, cuando una peticin entra por el puerto 8080, DansGuardian la filtra y la pasa al proxy SQUID por el puerto 3128. Es importante, en consecuencia, que ningn otro servicio est utilizando el puerto 8080.

    Miguel ngel Gonzlez Gonzlez

    Instalacin y Configuracin
    Para instalar Dansguardian ejecutamos el siguiente comando:

    El archivo de configuracin de Dansguardian es /etc/dansguardian/dansguardian.conf, y en l debemos llevar a cabo las siguientes modificaciones:

    -Debemos comentar la siguiente lnea una vez instalado:

    -Cambiamos la configuracin de las siguientes lneas de acuerdo a nuestra configuracin de red: Filterip: Es donde escucha dansguardian.

    Miguel ngel Gonzlez Gonzlez

    -Tambin cambiaremos el idioma :

    Una vez realizados estos pasos debemos aadir las siguientes reglas iptables, ya que alguien que no ataque o pase por el puerto 8080 no usar el filtro de Dansguardian, por lo tanto, debemos forzar a que el trfico http sea redirigido al puerto 8080.

    Miguel ngel Gonzlez Gonzlez

    *NOTA: El final que aparece cortado en ambas reglas terminara as:

    --to-port 8080 --to-port 8080

    Una vez realizados dichos pasos nos dirigimos al cliente que tendr acceso a internet y configuraremos el proxy para aadir el puerto que usa dansguardian:

    10

    Miguel ngel Gonzlez Gonzlez

    Ahora reiniciamos en la mquina donde tenemos instalado squid y dansguardians ambos servicios:

    11

    Miguel ngel Gonzlez Gonzlez

    Comprobacin
    Si ahora accedemos en una mquina de la red 192.168.10.0, que es a la que le hemos aplicado el filtro, a una pgina no apta para menores nos denegar el acceso, tal y como vemos en la siguiente imagen:

    Estadsticas Web con Sarg


    Sarg se encarga de generar informes a partir de los logs de Squid. Esto es muy til para saber donde se ha metido cada usuario y en que momento. Aunque hay que instalarlo en modo texto (consola) y se puede ejecutar perfectamente en consola. Hay que reconocer que es ms dinmico desde webmin.

    Instalacin
    Para instalar sarg ejecutamos el siguiente comando:

    12

    Miguel ngel Gonzlez Gonzlez

    Configuracin
    Una vez instalado, accederemos al fichero de configuracin de sarg en /etc/sarg/sarg.conf y definiremos la ruta predeterminada para generar los reportes html:

    Agregaremos la informacin del generador de los reportes sarg:

    Creamos el directorio para almacenar los reportes HTML de sarg:

    13

    Miguel ngel Gonzlez Gonzlez

    Creacin Manual de los reportes con Sarg

    Para generar un reporte de todas las entradas en el archivo /var/log/squid/access.log, ejecutamos:

    Los reportes que son generados manualmente desde la lnea de comandos son almacenados en el directorio /var/www/squidreports/Manual, por lo tanto, si accedemos desde otra mquina a dicha ruta podremos ver los reportes generados:

    14

    Miguel ngel Gonzlez Gonzlez

    Si accedemos al reporte del da 11 de Febrero de 2012 veremos toda la informacin acerca de los sitios ms visitados, descargas, accesos denegados, etc, tal y como podemos ver en la siguiente imagen:

    Para generar un reporte de una fecha especifica, o rango de fechas en especfico usaremos el parmetro -d, por ejemplo:

    15

    Miguel ngel Gonzlez Gonzlez

    Para generar un reporte entre distintas fechas:

    Para generar un reporte a una hora especfica sera:

    Para generar un reporte de un usuario especfico usamos:

    Por ltimo para generar un reporte de un dominio determinado sera:

    Si queremos obtener ms informacin acerca del reporte podemos hacer uso de la orden -x.

    16

    Miguel ngel Gonzlez Gonzlez

    Generacin Automtica de reportes con Sarg


    Si accedemos a httpd://Ipservidor/squid-reports veremos una pantalla como la siguiente, en la cual, podremos ver los reportes diarios,semanales y mensuales:

    Sarg crea automticamente los scripts necesarios para obtener estos reportes diarios,semanales y mensuales en los siguientes directorios:

    17

    Miguel ngel Gonzlez Gonzlez

    -/etc/cron.daily (diarios) -/etc/cron.weekly (semanales) -/etc/cron.monthly (mensuales)

    Para actualizar los reports diarios, por ejemplo, simplemente debemos acceder al directorio /etc/cron.daily y ejecutar el script:

    Ahora volveremos a ejecutar sarg:

    Si accedemos de nuevo a la direccin httpd://Ipservidor/squidreports y vemos los reportes diarios veremos como se nos aparece el reporte que se acaba de crear al ejecutar el script:

    18

    Miguel ngel Gonzlez Gonzlez

    Si probamos a ejecutar el script de la semana, veremos como nos da tambin podemos ver los reportes:

    19

    Miguel ngel Gonzlez Gonzlez

    20

    Miguel ngel Gonzlez Gonzlez

    Proxy Transparente
    Para poder realizar esta configuracin es necesario desactivar la autenticacin, ya que no son compatibles.

    21

    Miguel ngel Gonzlez Gonzlez

    Una vez comentadas las lneas para quitar la autenticacin, reiniciaremos Squid:

    Con esto ya podremos acceder desde el cliente al navegador sin autenticacin.

    Una vez eliminada la autenticacin procederemos a configurar el proxy transparente, para ello debemos acceder al fichero /etc/squid/squid.conf:

    22

    Miguel ngel Gonzlez Gonzlez

    Ahora reiniciamos el Squid:

    Si probamos a acceder a un navegador cualquiera del cliente en el que no hayamos configurado opciones de proxy veremos como se aplican todas las restriccines de DansGuardian y Squid:

    23

    Miguel ngel Gonzlez Gonzlez

    Tambin podemos probar a acceder con el navegador que hemos utilizado durante las prcticas y quitar las opciones de Proxy para comprobarlo:

    Comprobamos si funciona Squid y DansGuardian:

    24

    Miguel ngel Gonzlez Gonzlez

    Fuentes
    Autenticacin Bsica de usuario: http://www.redes-linux.com/manuales/proxy/squid_lpt.pdf http://www.punto-libre.org/2010/09/configurar-squid-basico-con.html Dansguardian: http://www.taringa.net/posts/linux/7109114/Instalacion-y-configuracionde-proxy-Dansguardian-en-linux.html http://recursostic.educacion.es/observatorio/web/es/software/softwaregeneral/524-dansguardian-filtro-de-contenidos Sarg: http://tuxjm.net/docs/Manual_de_Instalacion_de_Servidor_Proxy_Web_co n_Ubuntu_Server_y_Squid/html-multiples/ch07s07.html

    Modo transparente: http://josemanuelruizbaena.blogspot.com/2008/01/squid-transparente.html http://www.punto-libre.org/2010/11/guia-para-configurar-dansguardianen.html

    25

    S-ar putea să vă placă și