View
4.739
Download
6
Category
Preview:
Citation preview
Instalación y Configuración de un Servidor Proxy en Ubuntu
Juan Camilo RestrepoJuan Camilo Muñoz
Vanessa Gomez DeosaCristian Camilo Sepulveda
Marvin SantiagoAlexander Javier Henao Montoya
Administrador de Redes de Computadores
Fernando Quintero
Servicio Nacional de Aprendizaje SENA
Regional Antioquia
Centro de Servicios y Gestión Empresarial
2010
1
INDICE
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Objetivos . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Instalación SQUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Configuración SQUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2
INTRODUCCION
Este documento tiene como finalidad introducirnos en los mecanismos que utilizan las organizaciones en el campo de las telecomunicaciones, para proteger su infraestructura interna como las redes de datos y equipos que almacenan información de vital importancia para la compañía contra ataques externos realzados por personas ajenas a la organización o internos causados por el personal de la compañía.
Algunos de estos mecanismos son firewlall, sistemas de monitoreo IDS, proxys, sistemas de autenticación entre otros. Pues bien el presente documento se centra en el Proxy, su instalacion, configuración y uso para controlar y filtrar el contenido al que los usuarios tiene acceso en internet.
3
OBJETIVOS
• Comprender el funcionamiento de un servidor proxy y la necesidad de implementarlo en una Organización
• Realizar la implementación del del Servidor proxy SQUID sobre el sistema operativo UBUNTU (linux) en un entorno virtualizado para comprobar su funcionamiento.
• Realizar manual de implementación como evidencia de aprendizaje
4
¿ Que es un proxy ?
Este puede ser un dispositivo hardware o software que se instala en una red como un mecanismo de control y que suele tener varias funciones como: filtrado de contenido web, optimización de ancho de banda, traducción de direcciones IP (NAT) entre otras.
Proxy cache :
La funciona de este es mejorar el rendimiento ya que almacena las consultas web hechas por los usuarios en un espacio llamado memoria cache, esta se sutilizada cuando la consulta hecha por el usuario se encuentra almacenada allí esta se le entrega al usuario sin necesidad de descargarla nuevamente desde internet optimizando el ancho de banda utilizado.
Proxy NAT o Enmascaramiento:
Este tiene como función hacer traducción de direcciones ip (NAT), como enmascarar una dirección IP de una red privada en una dirección IP publica para salir a internet, esto contribuye a mantener oculto el direccionamiento interno y por ende mejorar la seguridad de los equipos que se encuentren en nuestra red.
Proxy Transparente:
Bastante importante ya que trabaja en conjunto con el firewall y no requiere configuración en el navegador web lo que supone una gran ventaja al no tener que configurarlo en cada equipo que tengamos en nuestra red, además de evitar que los usuarios puedan deshabilitarlo en su navegador también evita que sepan que sus conexiones a internet son filtradas por el .
5
Instalación de SQUID
Para instalar SQUID ejecutamos desde la terminal el siguiente comando
Una vez terminada la instalación squid se reiniciara si todo va bien no sacara ningún error
Ahora configuramos la interfaz de red con la dirección de nuestro servidor proxy, para ello editamos el archivo /network/interfaces de la siguiente manera
Reiniciamos la interfaz de red con el siguiente comando para que tome los cambios
6
Modo de la tarjeta Nombre de la tarjeta Direccion IPMascara
Verificamos que la tarjeta haya tomado el nuevo direccionamiento con el comando ifconfig
Ahora crearemos un scrip para nuestro firewall en el que ingresaremos unas reglas para la salida a internet de nuestra red local, este archivo lo crearemos con un editor de texto en este caso (nano) mas el nombre del archivo.
Configuraremos las reglas de nuestro firewall por defecto en aceptar
Agregamos la regla que permita hacer NAT ( traducción de direcciones ) a nuestra red privada para Salir a la red externa ( INTERNET )
7
Reglas para borrado
Paquetes de entrada
Paquetes de salida
Paquetes para reenvio
Con esto habilitamos el reenvio de paquetes
Finalizada la tarea guardamos los cambios del archivo y le damos permisos de ejecución a nuestro scrip de la siguiente manera
Ejecutamos el scrip para aplicar las reglas a nuestro firewall.
Configuración de SQUID
Para configurar el squid nos dirigimos a /etc/squid y modificamos el archivo de configuración Squid.conf, es recomendable hacer una copia de este archivo antes de hacer cualquier modificación para esto utilizamos el comando cp [ nombre del archivo a copiar ] y ruta donde queremos guardar la copia.
Lo primero que haremos es configurar los parámetros básicos como la memoria cache y puerto por el cual escuchara el proxy, ubicamos la linea cache _mem y definimos el tamaño de nuestra memoria cache
configuramos el espacio que deseamos utilizar para almacenar información de internet.En este punto debemos tener precaución de no asignar mayor espacio del disponible ya que esto bloqueara el squid
Configuramos el puerto por el cual escuchara nuestro proxy, el puerto que utiliza squid es el 3128
8
El 16 y 256 especifican numero de directorios y los niveles que tendrá cada uno
Configuración de Listas de Acceso
Para empezar a utilizar nuestro proxy debemos definir una ACL ( lista de control de acceso ) y una regla para dicha lista, para hacerlo buscamos la sección acl y agregamos nuestra configuración.
NOTA: la lista restringidos la crearemos posteriormente con los sitios que queremos bloquear
A continuación configuraremos el acceso a las ACL que acabamos de definir, esto lo hacemos en la sección http_access colocando nombre ACL con la opción deny/allow ( permitir o denegar )
Anteriormente definimos una ACL llamada /etc/restringidos, pues bien esta lista aun no esta creada por lo que debemos guardar los cambios hechos en el squid.conf y crear dicha lista. Lo podemos hacer de la siguiente manera nano /etc/restringidos y agregamos los dominios o expresiones a filtrar
9
Agregamos nuestra IP
Red de Origen Sitios a Restringir
Permitimos acceso a la lan menos a restringidosDenegamos a restringidos
Finalizamos denegando todo
Guardamos los cambios de los archivos y reiniciamos el squid ejecutando el siguiente comando /etc/init.d/squid restart, si todo va bien no debe salir el siguiente mensaje
Finalmente configuraremos nuestro cliente y probaremos el funcionamiento del squid.
Configuración del Cliente
Ahora configuraremos el direccionamiento IP de nuestro cliente ( win XP ), para lo cual nos dirigimos a panel de control – conexiones de red – protocolo TCP/IP – propiedades
En el menú inicio ejecutar abrimos una consola y tecleamos cmd
10
IP del cliente
Servidor Proxy
DNS: Resolucion de nombres
Desde la consola ejecutaremos el comando ( ping ), para probar conectividad con nuestro servidor y la salida a internet
para verificar si nuestro proxy esta funcionado correctamente abrimos el navegador y ingresamos una de las direcciones restringidas en nuestra lista ( taringa.net)
11
Como podemos ver nos deja ingresar normalmente. Esto se debe a que debemos hacer una configuración adicional en el navegador para que utilice el proxy.
Procedimiento:
En el navegador nos dirigimos al botón herramientas o editar preferencias- avanzado- red – configuración y damos cilc en aceptar
En la siguiente cuadro de dialogo ingresamos la configuración del proxy a utilizar y guardamos
12
Después de aplicar esta configuración recargamos la pagina para verificar el funcionamiento del proxy
Como podemos ver el proxy ya nos esta haciendo el filtrado del contenido que decidimos bloquear en este caso taringa.net uno de los dominios bloqueados.
Bloqueo acceso a internet por horarios
De igual manera que en el ejemplo anterior crearemos una nueva ACL pero esta ves para controlar el acceso a internet por horarios. La sintaxis a utilizar es la siguiente:
acl nombre time ( días abreviados ej= S, M, T.....) horas de acceso ( h1:m1-h2:m2), para aplicar esta regla volvemos nuevamente al archivo de configuración de squid en /etc/squid.conf y agregamos la siguientes lineas en acl
13
Días y horario permitido para navegar
y en http_ access lo siguiente
NOTA: al agregar reglas de filtrado en squid debemos tener cuidado en el orden que las colocamos, ya que el las evalúa en forma descendente esto quiere decir decir que si definimos una regla para permitir algo y después lo denegamos esta segunda regla no sera tenida en cuenta.
Ahora para que los cambios tengan efecto debemos reiniciar el squid
Verificamos si la regla que acabamos de aplicar esta funcionando.
14
Bloqueo por Extensión de los Archivos
Ahora crearemos una nueva ACL para denegar archivos por su tipo de extensión como: exe, mp3, avi. Para hacer esto creamos un archivo que contenga las extensiones que queremos bloquear, después modificamos el archivo squid.conf para agregar la lista y denegar el acceso
Creamos el archivo con algún editor de texto ( nano /etc/extendeny).
Ahora editamos el archivo squid.conf para agregar la acl
Denegamos el acceso a lo que contiene la acl
Finalizados los cambios guardamos y reiniciamos el SQUID
15
Para verificar que esta funcionando la restricción abrimos el navegador web e intentamos descargar un archivo ejecutable (.exe) lo cual no debe permitir el proxy
16
Configuración de Proxy Transparente
Para configurar el proxy en modo transparente debemos realizar dos configuraciones una la haremos en el firewall y otra en el archivo de configuración del squid. La configuración es la siguiente:
añadimos la siguiente linea en el scrip que creamos llamado reglas.sh:
Guardamos los cambios y reiniciamos el scrip para aplicar los cambios
Reiniciamos el scrip
En el archivo squid.conf agregamos lo siguiente al frente de la linea http_port
17
Con esta linea hacemos que las petciones web de los usuarios al salir de sus equipos al llegar al firewall se reenvien al servidor porxy
Guardamos los cambios y reiniciamos el SQUID con el comando /etc/init.d /squid restart. Con esta configuración no es necesario añadir la configuración del proxy en el navegador web como lo hicimos inicialmente.
Con esto terminamos la configuración básica del servidor proxy con SQUID
18
CONCLUSION
Después de de hacer la implementación del servidor proxy SQUID y ver su funcionamiento podemos, darnos cuenta de la necesidad de su implementación debido su gran utilidad ya que nos permite administrar y controlar el contenido que los usuarios descargan y acceden en internet de una forma centralizada.
19
Recommended