Presentación

El presente proyecto se encuentra basado en los conocimientos adquiridos

durante el curso de Taller de Redes y ahora el curso de Telemática, en la consulta

bibliográfica y en la información recibida por parte de la empresa BERENDSON

S.A.C, con el deseo de brindar un aporte que sirva de base para mayores estudios

e investigaciones

Esperando sepan disculpar los vacíos u omisiones involuntarios que el proyecto

presente y en espera de su justo criterio, anticipamos a usted nuestro sincero

agradecimiento por todas las enseñanzas brindadas hacia nuestras personas

Trujillo, Octubre del 2006

INTRODUCCIÓN

El presente proyecto de investigación titulado “CONFIGURACION DE SERVIDOR

PROXY EN WINDOWS SERVER 2003 Y SUSE LINUX 10.1”, se ha desarrollado

con el fin de ser orientado al diseño y posible implementación de un Servidor

Proxy para una red de comunicación de área local para la empresa BERENDSON

S.A.C que permita agilizar los procesos e integrar las diferentes áreas funcionales

de la organización

Para el desarrollo se recopilo la información necesaria sobre la organización y

requerimientos de conexión de las áreas funcionales, la cual luego fue finalizada

teniendo en cuenta la ubicación de los equipos, los recursos de hardware y

software.

Mediante el análisis se dieron 2 propuestas para la utilización de un Servidor

Proxy, la primera propuesta es configurarlo en el Sistema Operativo Windows

Server 2003, la segunda propuesta es configurarlo en el Sistema Operativo Suse

Linux 10.1.

CAPITULO I

GENERALIDADES DE

LA EMPRESA

1. Generalidades de la empresa

1.1Reseña Histórica

Los comienzos

Don WBA siguiendo una vocación interna, comenzó a difundir la práctica del

deporte. Sin local propio, allá por el año 1960, los primeros cursos de judo y karate

se dictaron en el club libertad, unos meses y luego en la casa de sus suegros en la

independencia 565 (hoy banco del trabajo) hasta que… en reunión con sus

hermanos Max, Magda, Sigfredo, decidieron construir el local institucional en

Zepita, esto sucedió el año 1962 y nació la Fundación Berendson.

En Zepita

En Zepita se amplia la oferta de disciplinas, siempre pioneros siguió

promocionando el judo, karate, esgrima, box. Por razones de salud de los niños se

muda la familia a Huanchaco, allá por el año 1965. Casi de inmediato se abre allí

una sede de la fundación Berendson cuyo principal merito fue el de organizar el

primer campeonato de caballitos de totora en dos disciplinas: acrobacia y

velocidad.

En Bolognesi

En Zepita funciona hasta el año 1975, al año de fallecido don WBA, doña William

decide el traslado del tatami para ser instalado en la parte superior de su casa.

Todo muy precario, pero con el mismo tesón de siempre, se siguieron dictando las

clases de judo y karate. Aquí es cuando nace la Academia Berendson.

Fue en 1985 cuando los herederos de don WBA deciden construir un nuevo local

institucional que constara con piscinas propias para la enseñanza y practica de la

natación.

Desde ese entonces hasta ahora son años de crecimiento, esfuerzo, alegrías y

sinsabores, y ahora nuestro complejo deportivo ofrece a la comunidad trujillana la

posibilidad de practicar natación, taekwondo, karate, kun fu, basket, voley, bulbito,

tai chi, box tai, marinera, danzas modernas, aikido, en unas instalaciones

mejoradas y en un ambiente humano, calido y de calidad.

Venimos de una raíz pionera, innovadora, capaz de riesgo y luchadora. LA

BERENDSON es una institución , una familia, que debe seguir creciendo en esta

misma huella. Repetir por repetir, relajarse durmiéndonos en los “laureles”, no es

compatible con nuestros “genes”. No basta pertenecer a una gran institución, hay

que ser grandes con ella.

Dirección empresarial

1.1.1 Visión

Ser líderes en el mercado trujillano, cumpliendo y mejorando los estándares

de enseñanza de nuestro servicio y así poder llegar a mercados más

competitivos a nivel nacional.

1.1.2 Misión

Ser líderes en la enseñanza deportiva y competir con mejores estándares

de enseñanza que la ciudad haya visto antes.

1.1.3 Objetivos empresariales

Satisfacer las necesidades del diente.

Posición a la ACADEMIA BERENDSON como una empresa líder.

Mejorar permanentemente la calidad de la ACADEMIA BERENDSON.

Haciendo cada vez mas nadadores de más alto nivel competitivo.

Desarrollar permanentemente nuevas estrategias de acuerdo a las

necesidades del cliente.

CAPITULO II

ANALISIS Y

PLANTEAMIENTO

PROBLEMATICO

2. Análisis de la situación problemática

2.1 Realidad problemática

BERENDSON SAC dedicada a la enseñanza de distintas disciplinas deportivas,

desarrolla sus actividades en el Jr. Bolognesi 239 ubicada en la ciudad de Trujillo,

departamento de La Libertad, dicha empresa cuenta con una red la cual permite

conectar el conjunto de computadoras distribuidas en las diferentes áreas de la

empresa, comparten recursos e información.

De acuerdo a la técnica para la recopilación de información (cuestionarios) se

determinaron los siguientes problemas:

Falta de seguridades la red, estándares internacionales.

Falta de productividad de los usuarios de oficina porque a veces entran a

paginas donde se distraen (Hotmail, Yahoo, etc).

Falta de soporte informático.

Perdida de tiempo en las tareas diarias.

En base a los problemas de la empresa anteriormente mencionados, hemos

considerado como alternativa de solución del problema configurar un servidor

Proxy para la red de comunicación de datos.

2.2 Análisis del problema

Indisponibilidad de comunicación en forma inoportuna.

Movimiento insatisfactorio de datos a través de toda la organización.

Proponer una solución idónea de acuerdo a la magnitud de la organización.

Contribuir a cumplir con las políticas de trabajo entre las diferentes áreas de la

organización.

Aumento del flujo de información.

2.3 Enunciado del problema

¿Cómo integrar y agilizar los procesos de las diferentes áreas funcionales de la

empresa BERENDSON SAC?

2.4 Hipótesis

La configuración de un Servidor Proxy para la red de comunicación de datos que

permita agilizar los procesos e integrar las diferentes áreas funcionales de la

empresa BERENDSON SAC.

2.5 Objetivos

2.5.1 Objetivos generales

Configurar un Servidor Proxy para la red de comunicación de datos para la

empresa BERENDSON SAC con la finalidad de asegurar los procesos e integrar

sus diferentes áreas funcionales optimizando la productividad de los usuarios de la

organización.

2.5.2 Objetivos específicos

Configurar el Servidor Proxy para la red de datos.

Definir la topología de red adecuada a sus necesidades para la empresa

BERENDSON SAC.

Determinar los requerimientos de hardware y software necesarios para un

buen funcionamiento del Servidor Proxy.

Calcular el costo de inversión para la tecnología propuesta.

Configurar la red de datos.

2.6 Justificación del problema

La configuración de un Servidor Proxy para una red de comunicaciones de

datos permitirá agilizar los procesos e integrar sus diferentes áreas de la

organización.

El sistema propuesto cambiará de alguna manera los métodos tradicionales de

trabajo, la rapidez de las operaciones y la facilidad de interconectar información

con otras áreas.

Dotará a la institución de una red moderna tecnológicamente segura,

incrementando su prestigio e imagen, tan necesario en el medio competitivo de

los negocios y de acuerdo a las actuales exigencias de los usuarios de este

tipo de instituciones.

El desarrollo del proyecto nos permitirá obtener una cierta especialización en la

configuración de Servidores Proxy para una red de comunicaciones de datos.

Este proyecto servirá de base y guía para los otros proyectos posteriores en

BERENSON SAC.

CAPITULO III

MARCO TEORICO

3.1. Portal de acceso del nivel de aplicación (PROXY)

Un portal de acceso del nivel de aplicación es a menudo llamado un Proxy.

Un portal de acceso del nivel de aplicación provee control nivelado más alto

en el tráfico entre dos redes en que los contenidos de un servicio particular

pueden ser monitoreados y filtrados según la política de seguridad de la

red. Por consiguiente, para cualquier aplicación deseada, el código

correspondiente del apoderado debe ser instalado en el portal de acceso

para manejar ese servicio específico de paso a través del portal de acceso

(vea a Figure 1).

Figura 1

La palabra proxy se usa en muchas situaciones en donde tiene sentido un intermediario:

El uso más común es el de servidor proxy, que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino.

De ellos, el más famoso es el servidor proxy de web (comúnmente conocido solamente como "proxy"). Intercepta la navegación de los clientes por páginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc.

También existen proxys para otros protocolos, como el proxy de FTP El proxy ARP puede hacer de enrutador en una red, ya que hace de

intermediario entre ordenadores. El Proxy ARP es una técnica para usar el

ARP para proporcionar un mecanismo de enrutamiento ad hoc.

Ventajas

En general (no sólo en informática), los proxys hacen posibles varias cosas

nuevas:

Control. Sólo el intermediario hace el trabajo real, por tanto se pueden

limitar y restringir los derechos de los usuarios, y dar permisos sólo al

proxy.

Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar equipado

para hacer el trabajo real.

Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede

hacer caché: guardar la respuesta de una petición para darla directamente

cuando otro usuario la pida. Así no tiene que volver a contactar con el

destino, y acaba más rápido.

Filtrado. El proxy puede negarse a responder algunas peticiones si detecta

que están prohibidas.

Modificación. Como intermediario que es, un proxy puede falsificar

información, o modificarla siguiendo un algoritmo.

Anonimato. Si todos los usuarios se identifican como uno sólo, es difícil

que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo,

por ejemplo cuando hay que hacer necesariamente la identificación.

Desventajas

En general (no sólo en informática), el uso de un intermediario puede provocar:

Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y

responderlas, es posible que haga algún trabajo que no toque. Por tanto, ha

de controlar quién tiene acceso y quién no a sus servicios, cosa que

normalmente es muy difícil.

Carga. Un proxy ha de hacer el trabajo de muchos usuarios.

Intromisión. Es un paso más entre origen y destino, y algunos usuarios

pueden no querer pasar por el proxy. Y menos si hace de caché y guarda

copias de los datos.

Incoherencia. Si hace de caché, es posible que se equivoque y dé una

respuesta antigua cuando hay una más reciente en el recurso de destino.

Irregularidad. El hecho de que el proxy represente a más de un usuario da

problemas en muchos escenarios, en concreto los que presuponen una

comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).

Funcionamiento

Un proxy permite a otros equipos conectarse a una red de forma indirecta a través

de él. Cuando un equipo de la red desea acceder a una información o recurso, es

realmente el proxy quien realiza la comunicación y a continuación traslada el

resultado al equipo inicial. En unos casos esto se hace así porque no es posible la

comunicación directa y en otros casos porque el proxy añade una funcionalidad

adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una

página web) en una cache que permita acelerar sucesivas consultas coincidentes.

Con esta denominación general de proxy se agrupan diversas técnicas.

Proxy de web / Proxy cache de web

Se trata de un proxy para una aplicación específica: el acceso a la web. Aparte de

la utilidad general de un proxy, proporciona una cache para las páginas web y los

contenidos descargados, que es compartida por todos los equipos de la red, con la

consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al

mismo tiempo libera la carga de los enlaces hacia Internet.

Funcionamiento

1. El cliente realiza una petición (p.e. mediante un navegador web) de un

recurso de Internet (una página web o cualquier otro archivo) especificado

por una URL.

2. Cuando el proxy caché recibe la petición, busca la URL resultante en su

caché local. Si la encuentra, devuelve el documento inmediatamente, si no

es así, lo captura del servidor remoto, lo devuelve al que lo pidió y guarda

una copia en su caché para futuras peticiones.

El caché utiliza normalmente un algoritmo para determinar cuándo un documento

está obsoleto y debe ser eliminado de la caché, dependiendo de su antigüedad,

tamaño e histórico de acceso. Dos de esos algoritmos básicos son el LRU (el

usado menos recientemente, en inglés "Least Recently Used") y el LFU (el usado

menos frecuentemente, "Least Frequently Used").

Los proxies web también pueden filtrar el contenido de las páginas Web servidas.

Algunas aplicaciones que intentan bloquear contenido Web ofensivo están

implementadas como proxies Web. Otros tipos de proxy cambian el formato de las

páginas web para un propósito o una audiencia específica, por ejemplo, mostrar

una página en un teléfono móvil o una PDA. Algunos operadores de red también

tienen proxies para interceptar virus y otros contenidos hostiles servidos por

páginas Web remotas.

Ejemplo

Un cliente de un ISP manda una petición a Google la petición llega en un

inicio al servidor Proxy que tiene este ISP, no va directamente a la dirección

IP del dominio de Google. Esta página concreta suele ser muy solicitada

por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy

por un cierto tiempo y crea una respuesta mucho menor en tiempo. Cuando

el usuario crea una búsqueda el servidor Proxy ya no es utilizado y

megared envía su petición y el cliente recibe su respuesta ahora sí desde

Google.

Otros usos

Como método extra y de ayuda en las descargas mediante aplicaciones

P2P; el cual es usado en Lphant y algunos Mods del Emule.

Ventajas

Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor

Proxy y no a Internet directamente. Por lo tanto, aligera el tráfico en la red y

descarga los servidores destino, a los que llegan menos peticiones.

Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que

evita transferencias idénticas de la información entre servidores durante un

tiempo (configurado por el administrador) así que el usuario recibe una

respuesta más rápida.

Demanda a Usuarios: Puede cubrir a un gran número de usuarios, para

solicitar, a través de él, los contenidos Web.

Filtrado de contenidos: El servidor proxy puede hacer un filtrado de

páginas o contenidos basándose en criterios de restricción establecidos por

el administrador dependiendo valores y características de lo que no se

permite, creando una restricción cuando sea necesario.

Modificación de contenidos: Basándose en la misma función del filtrado,

y llamado Privoxy, tiene el objetivo de proteger la privacidad en Internet,

puede ser configurado para bloquear direcciones y Cookies por expresiones

regulares y modifica en la petición el contenido.

Desventajas

Las páginas mostradas pueden no estar actualizadas si éstas han sido

modificadas desde la última carga que realizó el proxy caché.

Un diseñador de páginas web puede indicar en el contenido de su web que

los navegadores no hagan una caché de sus páginas, pero este método no

funciona habitualmente para un proxy.

El hecho de acceder a Internet a través de un Proxy, en vez de mediante

conexión directa, impide realizar operaciones avanzadas a través de

algunos puertos o protocolos.

Almacenar las páginas y objetos que los usuarios solicitan puede suponer

una violación de la intimidad para algunas personas.

3.2. Protocolos.

_ Protocolo TCP/IP.

Se han desarrollado diferentes familias de protocolos para

comunicación por red de datos para los sistemas UNIX. El mas

ampliamente utilizado es el Internet Protocol Suite, comúnmente

conocido como TCP / IP. Es un protocolo DARPA que proporciona

transmisión fiable de paquetes de datos sobre redes.

El TCP / IP es la base del Internet que sirve para enlazar computadoras

y computadoras centrales sobre redes de área extensa. TCP/IP fue

desarrollado y demostrado por primera vez en 1972 por el departamento

de defensa de los Estados Unidos, ejecutándolo en el ARPANET una

red de área extensa del departamento de defensa.

Ante el auge del protocolo TCP/IP, se esta adoptando la siguiente

nomenclatura para las redes basadas en este protocolo:

_ Protocolo UDP

Este protocolo es no orientado a la conexión, y por lo tanto no

proporciona ningún tipo de control de errores ni de flujo, aunque si que

utiliza mecanismos de detección de errores. Cuando se detecta un error

en un datagrama en lugar de entregarlo a la aplicación se descarta.

Este protocolo se ha definido teniendo en cuenta que el protocolo del

nivel inferior (el protocolo IP) también es no orientado a la conexión y

puede ser interesante tener un protocolo de transporte que explote estas

características.

_ Protocolo HTTP

El protocolo de transferencia de hipertexto (HTTP, HyperText

Transfer Protocol) es el protocolo usado en cada transacción de la Web

(WWW). El hipertexto es el contenido de las páginas web, y el protocolo

de transferencia es el sistema mediante el cual se envían las peticiones

de acceder a una página web, y la respuesta de esa web, remitiendo la

información que se verá en pantalla. También sirve el protocolo para

enviar información adicional en ambos sentidos, como formularios con

mensajes y otros similares.

HTTP es un protocolo sin estado, es decir, que no guarda ninguna

información sobre conexiones anteriores. Al finalizar la transacción

todos los datos se pierden. Por esto se popularizaron las cookies, que

son pequeños ficheros guardados en el propio ordenador que puede

leer un sitio web al establecer conexión con él, y de esta forma

reconocer a un visitante que ya estuvo en ese sitio anteriormente.

Gracias a esta identificación, el sitio web puede almacenar gran número

de información sobre cada visitante, ofreciéndole así un mejor servicio.

_ Protocolo TELNET

El protocolo TELNET proporciona una interfaz estandarizada, a través

de la cual un programa de un host(el cliente de TELNET) puede acceder

a los recursos de otro host (el servidor de TELNET) como si el cliente

fuera una terminal local conectada al servidor.

Telnet es el nombre de un protocolo (y del programa informático que

implementa el cliente) que sirve para acceder mediante una red a otra

máquina, para manejarla como si estuviéramos sentados delante de

ella. Para que la conexión funcione, como en todos los servicios de

Internet, la máquina a la que se acceda debe tener un programa

especial que reciba y gestione las conexiones. El puerto que se utiliza

generalmente es el 23.

_ Protocolo FTP

FTP es un protocolo estándar con el STD 9. Su status es recomendado. Se describe en el RFC 959 - FTP("File Transfer Protocol").

La copia de ficheros de una máquina a otra es una de las operaciones más frecuentes. La transferencia de datos entre cliente y servidor puede

producirse en cualquier dirección. El cliente puede enviar o pedir un fichero al servidor.

Para acceder a ficheros remotos, el usuario debe identificarse al servidor. En este punto el servidor es responsable de autentificar al cliente antes de permitir la transferencia de ficheros.

Desde el punto de vista de un usuario de FTP, el enlace está orientado a conexión. En otras palabras, es necesario que ambos hosts estén activos y ejecutando TCP/IP para establecer una transferencia de ficheros.

FTP usa TCP como protocolo de transporte para proporcionar conexiones fiables entre los extremos. Se emplean dos conexiones: la primera es para el login y sigue el protocolo TELNET y la segunda es para gestionar la transferencia de datos. Como es necesario hacer un login en el host remoto, el usuario debe tener un nombre de usuario y un password para acceder a ficheros y a directorios. El usuario que inicia la conexión asume la función de cliente, mientras que el host remoto adopta la función de servidor

En ambos extremos del enlace, la aplicación FTP se construye con intérprete de protocolo(PI), un proceso de transferencia de datos, y una interfaz de usuario como muestra la imagen.

3.3. Seguridad.

La seguridad de las redes va adquiriendo importación con el aumento del

volumen de información importante que se halla en las computadoras

distribuidas. En este tipo de sistemas resulta muy sencillo para un usuario

experto acceder subrepticiamente a datos de carácter confidencial.

La seguridad también consiste en la aplicación de barreras físicas y

procedimientos de control como medidas de prevención y contramedidas

contra las amenazas a los recursos y la información confidencial, ya sea el

cambio constante de contraseñas de administradores, utilización de

contraseñas que contengan muchos dígitos, o evitar el acceso de personal

ajeno a sala de servidores, ya que en muchas organizaciones se suelen

tomar medidas para prevenir la acción de un atacante que intenta acceder

físicamente a la sala de operaciones o al lugar donde se depositan las

impresiones del sistema. Esto motiva que en determinadas situaciones un

atacante se decline por aprovechar vulnerabilidad físicas en lugar de

lógicas.

Las amenazas pueden ser diversas: sabotaje, vandalismo, terrorismo,

accidentes de distintos tipos, incendios, inundaciones, averías importantes,

derrumbamientos, explosiones, así como otros que afectan a las personas y

pueden impactar el funcionamiento de los centros.

3.10.1. Firewall.

Un Firewall en la Internet es un sistema o grupo de sistemas que impone

una política de seguridad entre la organización de red privada y la Internet.

El Firewall determina cual de los servicios de red pueden ser accesados

dentro de esta por los que están fuera, es decir quien puede entrar para

utilizar los recursos de red pertenecientes a la organización. Para que un

Firewall sea efectivo, todo tráfico de información a través de la Internet

deberá pasar a través del mismo donde podrá ser inspeccionada la

información. El Firewall podrá únicamente autorizar el paso del tráfico, y el

mismo podrá ser inmune a la penetración.

Desgraciadamente, este sistema no puede ofrecer protección alguna vez

que el agresor lo traspasa o permanece entorno a este.

Limitaciones de una Firewall.

Un Firewall no puede proteger acciones de los usuarios internos.

Un Firewall no puede proteger las conexiones que no pasan por el.

Un Firewall no puede enfrentar completamente nuevas amenazas.

Un Firewall no puede proteger de los virus.

3.10.2. Proxy.

Es una solución de software que permite conectar a 2 o más computadoras

que se encuentran en una red a un acceso simultaneo a la Internet a través

de una sola cuenta de acceso, vía modem telefónico, conexión ISDN

(RDSI), ASDL o TV cable y donde cada equipo puede utilizar los distintos

servicios de la Internet. De esta manera, en forma simple y económica

varias PC’s de su empresa pueden compartir una misma conexión y una

cuenta de acceso a la Internet, obteniendo importantes ahorros en equipos,

cuentas de acceso a la Internet y servicio local medido (SLM).

CAPITULO IV

PLANIFICACION

4. Estudio de la situación actual del sistema

4.1 Listado de equipos de computo

Área Unidades Microprocesador RAM Disco duro Estado

Administración 1 POP-2.8 GHZ 512 MB 80 GB Bueno

Administración 1 POP-2.8 GHZ 256 MB 80 GB Bueno

Piscina 1 POP-2.8 GHZ 256 MB 80 GB Bueno

Artes

Marciales

1 POP-2.8 GHZ 256 MB 80 GB Bueno

Fuente: Elaboración propia

4.2 Listado de Impresoras

Área Modelo

Administración Lexmark

Administración HP

Fuente: Elaboración propia

4.3 Software y Sistemas de Información utilizada por la empresa

4.3.1 Office 2003

4.3.2 Windows XP Professional

4.3.3 Win Zip

4.3.4 Adobe Acrobat Reader 7.0

4.3.5 Pert Antivirus

CAPITULO V

CONFIGURACION DE

SERVIDOR PROXY EN

SUSE LINUX 10.1

5.1 Suse Linux 10.1

5.1.1 Seguridad en Linux

La función de enmascaramiento y el cortafuegos garantizan el control en el flujo y

el intercambio de los datos. SSH (shell seguro) permite iniciar la sesión en hots

remotos a través de una conexión cifrada. El cifrado de archivos o de particiones

completas protege los datos en el caso de que usuarios externos consigan

acceder al sistema.

Además de instrucciones técnicas, se incluye información acerca de los aspectos

relacionados con la seguridad de las redes Linux.

5.1.2 Enmascaramiento y cortafuegos

Siempre que Linux se utiliza en un entorno de red, se pueden emplear las

funciones del núcleo que permiten la manipulación de los paquetes de red para

conservar una separación entre las áreas de redes interna y externa. La estructura

de Linux netfilter proporciona los recursos para instalar un cortafuegos efectivo

que gestione las diferentes redes de forma distinta. Con la ayuda de iptables una

estructura genérica de tabla para la definición de los conjuntos de tablas, controle

de forma exhaustiva los paquetes que se permite que pasen a una interfaz de red.

Este filtro de paquetes se puede configurar de forma relativamente sencilla con la

ayuda de SuSEfirewall2 y el módulo YaST correspondiente.

5.1.3 Filtrado de paquetes con iptables

Los elementos netfilter e iptables son responsables del filtrado y de la

manipulación de paquetes de redes, así como de la NAT (conversión de

direcciones de red). Los criterios de filtrado y cualquier acción relacionada con

ellos se almacenan en cadenas, que se agrupan una tras otra por paquetes de red

individuales cada vez que se reciben. Las cadenas que se deben ordenar se

almacenan en tablas. El comando iptables le permite alterar estas tablas y los

conjuntos de reglas.

El núcleo de Linux mantiene tres tablas, cada una de ellas destinada a una

categoría determinada de funciones del filtro de paquetes:

filter

Esta tabla incluye la totalidad de las reglas de filtros, debido a que implementa el

mecanismo filtrado de paquetes en sentido estricto, lo que determina, por ejemplo,

si se permiten los paquetes (ACCEPT) o si se descartan (DROP).

nat

Esta tabla define todos los cambios realizados en las direcciones de origen y

destino de los paquetes. Haciendo uso de estas funciones podrá también recurrir

al enmascaramiento, que es un caso especial de NAT que se emplea para enlazar

una red privada a Internet.

mangle

Las reglas contenidas en esta tabla permiten manipular los valores almacenados

en los encabezados IP (como, por ejemplo, el tipo de servicio).

Estas tablas contienen varias cadenas predefinidas para la coincidencia de paquetes:

ENCAMINAMIENTO PREVIOEsta cadena se aplica a los paquetes entrantes.

ENTRADAEsta cadena se aplica a los paquetes destinados a los procesos internos del sistema.

ENVÍOEsta cadena se aplica solamente a los paquetes que se enrutan a través del sistema.

SALIDAEsta cadena se aplica a los paquetes originados en el sistema.

ENCAMINAMIENTO POSTERIOREsta cadena se aplica a todos los paquetes salientes.La Figura , “iptables: posibles vías del paquete” ilustra las vías por las que puede desplazarse un paquete de red en un sistema dado. Por razones de simplicidad, las ilustración muestra las tablas como partes de las cadenas, pero en realidad estas cadenas se sustentan en las propias tablas.La más sencilla de las situaciones se produce cuando un paquete de entrada destinado al sistema llega a la interfaz eth0. En primer lugar, el paquete se deriva a la cadena PREROUTING de la tabla mangle y, a continuación, a la cadena PREROUTING de la tabla nat. El siguiente paso, referido al enrutamiento del paquete, establece que el destino real del paquete es un proceso del sistema. Después de pasar por las cadenas INPUT de las tablas mangle y filter, el paquete alcanza finalmente su objetivo, debido a que las reglas de la tabla filter son coincidentes.

5.1.4 Nociones básicas sobre el enmascaramientoEl enmascaramiento es la forma específica de NAT (conversión de direcciones de red) de Linux Se puede emplear para conectar una LAN pequeña (donde los hosts utilizan direcciones IP de rango privado.Para que los hosts de la LAN puedan conectarse a Internet, sus direcciones privadas se traducen en direcciones oficiales. Esta operación se realiza en el router, que actúa de gateway entre la LAN e Internet. El principio subyacente es muy sencillo: El router tiene más de una interfaz de red, normalmente una tarjeta de red y una interfaz que lo conecta a Internet. Mientras que esta última enlaza el router con el exterior, una o varias de las demás lo conectan a los hosts de LAN. Con los hosts de la red local conectados a la tarjeta de red (como por ejemplo eth0) del router, es posible enviar cualquier paquete no destinado a la red local a su gateway o router por defecto.

IMPORTANTE: Utilización de la máscara de red adecuadaCuando configure su red, asegúrese de que tanto la dirección de difusión como la máscara de red son las mismas para todos los hosts locales. Si no toma esta precaución, los paquetes no se enrutarán adecuadamente.

Como se ha mencionado, cuando uno de los hosts de LAN envía un paquete destinado a una dirección de Internet, éste se dirige al router por defecto. Sin embargo, el router debe configurarse antes de poder reenviar los paquetes. Por razones de seguridad, SUSE Linux no habilita esta función en una instalación por defecto. Para habilitarla, fije la variable IP_FORWARD en el archivo /etc/sysconfig/sysctl como IP_FORWARD=yes.El host de destino de la conexión puede tener constancia de la existencia de su router, pero no dispone de información acerca del host que se encuentra situado en la red interna y que es donde se originaron los paquetes. Por esta razón esta técnica se denomina enmascaramiento. A consecuencia de la conversión de direcciones, el router es el primer destino de todos los paquetes de respuesta. El router debe identificar estos paquetes entrantes y traducir sus direcciones de destino, de forma tal que los paquetes se reenvíen al host adecuado de la red local.Gracias al enrutamiento del tráfico entrante dependiente de la tabla de enmascaramiento, no existe ninguna manera de abrir una conexión con un host interno desde el exterior.Para una conexión de este tipo no habría ninguna entrada en la tabla. Además, a cada conexión que se encuentre establecida se le asigna una entrada de estado en la tabla, por lo que la entrada no podrá emplear ninguna otra conexión.Como consecuencia, es posible que se produzcan problemas con un número determinado de protocolos de aplicación, tales como ICQ, cucme, IRC (DCC, CTCP) y FTP (en modo PORT). Netscape, el programa FTP y muchos otros programas utilizan el modo PASV. Este modo pasivo origina muchos menos problemas en lo referente al enmascaramiento y filtrado de paquetes.

5.1.5 Nociones básicas sobre el empleo de cortafuegosEl término cortafuegos es probablemente el que se emplea con mayor frecuencia para describir un mecanismo que proporciona y gestiona un enlace entre redes al tiempo que controla también el flujo de datos entre ellos. Estrictamente hablando, el mecanismo que se describe en esta sección se denomina filtro de paquetes. El filtro de paquetes regula el flujo de datos de acuerdo con determinados criterios, tales como protocolos, puertos y direcciones IP. De esta manera, es posible bloquear paquetes que, de acuerdo con sus direcciones de origen, se pretende que no lleguen a su red. Para permitir el acceso público a, por ejemplo, su servidor Web, abra de forma explícita el puerto correspondiente. Sin embargo, el filtro de paquetes no examina el contenido de los paquetes provenientes de direcciones legítimas, como por ejemplo aquéllos que se envían a su servidor Web. Por ejemplo, si los paquetes entrantes están dirigidos a modificar un programa CGI de su servidor Web, el filtro de paquetes permitirá su acceso.Un mecanismo más efectivo pero también más complejo es la combinación de distintos tipos de sistemas, como por ejemplo la interacción de un filtro de paquetes con un gateway o alterno de aplicación. En este caso, el filtro de paquetes rechaza cualquier paquete que tenga como objetivo la inhabilitación de puertos. Únicamente se aceptan los paquetes dirigidos a la gateway de aplicación. Esta gateway o este alterno simula ser el cliente real del servidor. En cierto modo, dicho alterno puede considerarse un host de enmascaramiento en el nivel de

protocolo empleado por la aplicación. Un ejemplo para un alterno de este tipo es Squid, un servidor alterno HTTP. Para utilizar Squid, el navegador se debe configurar para que se pueda comunicar a través del alterno.Cualquier página HTTP que se solicite se sirve a partir de la caché alterna; en cuanto a las páginas no encontradas en la caché, éstas las recupera el alterno de Internet. En otro orden de cosas, el paquete SUSE Proxy-Suite (proxy-suite) proporciona un alterno para el protocolo.La siguiente sección se centra en el filtro de paquetes que se proporciona con SUSE Linux. Para obtener más información sobre el filtrado de paquetes y el empleo de cortafuegos, consulte el documento Firewall HOWTO, que se incluye en el paquete howto. Si este paquete se encuentra ya instalado, lea el documento HOWTO mediante la opción less /usr/share/doc/howto/en/txt/Firewall-HOWTO.gz.

5.1.6 SuSEfirewall2SuSEfirewall2 es un guión que lee las variables establecidas en /etc/sysconfig/ SuSEfirewall2 para generar un juego de reglas de iptables. Se definen tres zonasde seguridad, aunque solamente se consideran la primera y la segunda en el siguiente ejemplo de configuración:Zona externaDebido a que no existe ninguna manera de controlar lo que sucede en la red externa, el host necesita estar protegido de dicha red. En la mayoría de los casos, la red externa es Internet, pero también podría tratarse de otra red insegura, como por ejemplo una red WLAN. Zona internaHace referencia a la red privada, en la mayoría de los casos una red LAN. Si los hosts de esta red utilizan direcciones IP de rango privado, habilite la conversión de direcciones de red (NAT), de forma tal que los hosts de la red interna puedan acceder a la red externa.Zona desmilitarizada (DMZ)Mientras que se puede llegar a los hosts que se ubican en esta zona tanto desde la red externa como interna, dichos hosts no pueden acceder a la red interna. Esta configuración puede emplearse para incluir una línea adicional de defensa ante la red interna, debido a que los sistemas DMZ están aislados de la red interna.Todo tipo de tráfico de red no permitido de forma expresa por la regla de filtrado se suprime por la acción de las iptables. Por lo tanto, cada una de las interfaces con tráfico de entrada deben ubicarse en una de las tres zonas. Defina los servicios o protocolos permitidos para cada una de las zonas. La regla que se establezca se aplica solamente a los paquetes procedentes de hosts remotos. Los paquetes generados en la zona local no son capturados por el cortafuegos.La configuración se puede realizar con YaST. También se puede llevar a cabo de forma manual en el archivo /etc/sysconfig/SuSEfirewall2, que se encuentra convenientemente comentado. En otro orden de cosas, se encuentra disponible a modo de ejemplo una serie de situaciones en /usr/share/doc/packages/SuSEfirewall2/ EXAMPLES.

Configuración con YaSTIMPORTANTE: Configuración automática del cortafuegosDespués de la instalación, YaST iniciará de forma automática un cortafuegos en todas las interfaces configuradas. Si se configura y se activa un servidor en el sistema, YaST puede modificar la configuración del cortafuegos que se ha generado automáticamente mediante las opciones Open Ports on Selected Interface in Firewall (Abrir puertos en la interfaz seleccionada del cortafuegos) o Open Ports on Firewall (Abrir puertos en el cortafuegos) de los módulos de configuración del servidor. Algunos cuadros de diálogo del módulo del servidor incluyen un botón denominado Detalles del cortafuegos que permite activar servicios y puertos adicionales. El módulo de configuración del cortafuegos de YaST se puede utilizar para activar, desactivar o volver a configurar el cortafuegos.Se puede acceder a los cuadros de diálogo de YaST para la configuración gráfica a través del Centro de Control de YaST. Seleccione Seguridad y usuarios → Cortafuegos.La configuración se divide en siete secciones a las que se puede acceder directamente desde la estructura de árbol que se encuentra situada en la parte izquierda del cuadro de diálogo.InicioDefina el comportamiento de inicio en este cuadro de diálogo. Cuando se trate de una instalación por defecto, SuSEfirewall2 se iniciará automáticamente. También puede iniciar aquí tanto el inicio como la detención del cortafuegos. Para implementar la nueva configuración en un cortafuegos que se esté ejecutando, utilice la opción Guardar la configuración y reiniciar cortafuegos.

5.2 Squid

Servidor alterno Squid

Squid es un caché alterno (proxy) muy utilizado en plataformas Linux y UNIX. Esto

significa que almacena los objetos de Internet solicitados, como los datos de un

servidor Web o FTP, en un equipo más cercano a la estación de trabajo que los

solicita que el servidor original. En este capítulo se describe su configuración, los

ajustes necesarios para que funcione, cómo configurar el sistema para que el

servicio del alterno sea transparente, cómo recopilar estadísticas de uso de caché

con la ayuda de programas como Calamaris y cachemgr y cómo filtrar contenido

Web con squidGuard.

Squid actúa como caché alterno (proxy). Redirige las solicitudes de objetos de los

clientes (en este caso, los navegadores Web) al servidor. Cuando los objetos

solicitados llegan del servidor, los entrega al cliente y conserva una copia en el

caché del disco duro. Una de las ventajas del almacenamiento en caché es que si

varios clientes solicitan el mismo objeto, el servicio los puede proporcionar desde

el caché del disco duro. De este modo, los clientes reciben los datos mucho más

rápido que cuando tienen que obtenerlos desde Internet. Este procedimiento

también reduce el tráfico de la red.

Además del almacenamiento en caché, Squid ofrece una amplia variedad de

funciones, como la distribución de la carga en las jerarquías de los servidores

alternos, la definición de estrictas listas de control de acceso para todos los

clientes que accedan al alterno, el permiso o la denegación de acceso a páginas

Web concretas (con la ayuda de otras aplicaciones) y la generación de

estadísticas de las páginas Web visitadas con más frecuencia con el fin de evaluar

los hábitos de navegación de los usuarios. Squid no es un alterno genérico.

Normalmente sólo ejerce sus funciones con conexiones HTTP.

También es compatible con los protocolos FTP, Gopher, SSL y WAIS, pero no es

compatible con otros protocolos de Internet, como Real Audio, noticias o

videoconferencia.

Dado que Squid sólo es compatible con el protocolo UDP para proporcionar

comunicaciones entre diferentes cachés, muchos otros programas multimedia

tampoco son compatibles.

5.2.1 Algunos aspectos de los cachés alternos

Squid puede utilizarse de varios modos diferentes como caché alterno. Si se

combina con un cortafuegos, puede mejorar la seguridad. Se pueden utilizar varios

alternos al mismo tiempo. También es posible determinar los tipos de objetos que

deben almacenarse en caché y durante cuánto tiempo.

5.2.3 Squid y la seguridad

Existe la posibilidad de utilizar Squid con un cortafuegos para proteger las redes

internas del exterior al utilizar un caché alterno. El cortafuegos deniega el acceso a

los servicios externos a todos los clientes excepto a Squid. Todas las conexiones

Web deben establecerse a través del alterno. Con esta configuración, Squid

controla por completo el acceso Web.

Si la configuración del cortafuegos incluye una zona DMZ, el alterno debe

funcionar en dicha zona. Esto simplifica la configuración de los clientes, dado que

en este caso no necesitan ninguna información sobre el alterno.

5.2.4 Cachés múltiples

Existe la posibilidad de configurar varias sesiones de Squid de modo que

intercambien objetos entre sí. Se reduce así la carga total del sistema y aumentan

las posibilidades de encontrar un objeto que ya exista en la red local. También es

posible configurar jerarquías de caché, de modo que un caché pueda enviar

solicitudes de objetos a cachés del mismo nivel o a cachés principales, de modo

que los objetos se obtengan de otro caché de la red local o directamente desde el

origen.

La selección de la topología adecuada para la jerarquía de caché es muy

importante, dado que no es deseable aumentar el tráfico general de la red. En una

red muy grande, puede resultar conveniente configurar un servidor alterno para

cada subred y conectarlos a un alterno principal, que a su vez esté conectado al

caché alterno del proveedor de Internet.

Todas estas comunicaciones se gestionan mediante ICP (protocolo de caché de

Internet), que se ejecuta sobre el protocolo UDP. Las transferencias de datos entre

cachés se gestionan mediante HTTP (protocolo de transmisión de hipertexto)

basado en TCP.

Para encontrar el servidor más adecuado desde el que obtener los objetos, cada

caché envía una solicitud ICP a todos los alternos del mismo nivel. Éstos

responden a las solicitudes mediante respuestas ICP con un código HIT si se

detecta el objeto, o MISS si no es así. Si se detectan varias respuestas HIT, el

servidor alterno decide desde qué servidor desea efectuar la descarga,

dependiendo de factores como el caché que envió la respuesta más rápida o el

que se encuentra más cerca. Si no se recibe ninguna respuesta satisfactoria, la

solicitud se envía al caché principal.

SUGERENCIA

Para evitar la duplicación de objetos en diferentes cachés de la red, se emplean

otros protocolos ICP, como CARP (protocolo de encaminamiento de matrices de

cachés) o HTCP (protocolo de caché de hipertexto). Cuantos más objetos se

mantengan en la red, mayores son las posibilidades de encontrar el deseado.

5.2.5 Almacenamiento en caché de objetos de Internet

No todos los objetos disponibles en la red son estáticos. Hay muchas páginas CGI

generadas de forma dinámica, contadores de visitantes y documentos con

contenido cifrado mediante SSL. Estos tipos de objetos no se almacenan en

caché, dado que cambian cada vez que se accede a ellos.

La cuestión es cuánto tiempo deben permanecer en caché los demás objetos

almacenados.

Para determinarlo, a todos los objetos en caché se les asigna uno de los distintos

estados posibles. Los servidores Web y alternos averiguan el estado de los

objetos añadiéndoles encabezados como “Última modificación” o “Caduca”, junto a

la fecha correspondiente.

Otros encabezados especifican que los objetos no deben almacenarse en caché.

Los objetos en caché suelen sustituirse debido a la falta de espacio disponible en

disco.

Para ello se emplean algoritmos como el de uso más reciente (LRU).

Básicamente, esto significa que el alterno desecha los objetos que no se han

solicitado desde hace más tiempo.

5.2.6 Requisitos del sistema

Lo más importante es determinar la carga máxima de red que deberá soportar el

sistema.

Por lo tanto, es importante prestar más atención a los picos de carga, dado que

pueden ser más de cuatro veces superiores a la media del día. Si tiene dudas, es

preferible sobrestimar los requisitos del sistema, dado que si Squid funciona cerca

de su límite de capacidad, puede provocar una pérdida importante de calidad del

servicio. En las siguientes secciones se señalan los factores del sistema por orden

de importancia.

5.2.7 Discos duros

La velocidad juega un papel importante en el proceso de almacenamiento en

caché, por lo que este factor merece una atención especial. En el caso de los

discos duros, este parámetro se describe como tiempo de búsqueda aleatoria y se

mide en milésimas de segundo. Dado que los bloques de datos que Squid lee o

escribe en el disco duro tienden a ser bastante pequeños, el tiempo de búsqueda

del disco duro es más importante que la capacidad para proporcionar datos. Para

los fines de un alterno, los discos duros con velocidades de rotación elevadas son

probablemente la mejor elección, dado que permiten que el cabezal de lectura-

escritura se coloque en el punto necesario más rápidamente. Una posibilidad para

acelerar el sistema es utilizar varios discos al mismo tiempo o emplear matrices

RAID.

5.2.8 Tamaño de caché de disco

En un caché pequeño, la probabilidad de una respuesta HIT (cuando se encuentra

el objeto solicitado almacenado en caché) es pequeña, dado que el caché se llena

fácilmente y los objetos menos solicitados se sustituyen con objetos más

recientes. Por ejemplo, si hay un GB disponible para el almacenamiento en caché

y los usuarios sólo descargan unos diez MB diarios al navegar, tardarán más de

cien días en llenar el caché.

El modo más sencillo de determinar el tamaño de caché necesario es tener en

cuenta la velocidad máxima de transferencia de la conexión. Con una conexión de

1 Mb/s, la velocidad máxima de transferencia es de 125 KB/s. Si todo este tráfico

acaba en el caché, en una hora pueden llegar a añadirse hasta 450 MB y,

suponiendo que sólo se genere tráfico en las ocho horas laborables, el total puede

llegar a ser de hasta 3,6 GB por día. Dado que la conexión no suele utilizarse

hasta el límite de su capacidad, puede suponerse que el volumen total de datos

gestionados por el caché será de aproximadamente 2 GB. En nuestro ejemplo, se

necesitarían 2 GB de espacio en disco para que Squid conserve en caché los

datos de navegación de un día.

5.2.9 RAM

La cantidad de memoria (RAM) que Squid necesita es directamente proporcional

al número de objetos almacenados en caché. Squid también almacena en la

memoria principal referencias a los objetos en caché y los objetos solicitados con

mayor frecuencia, a fin de acelerar la recuperación de estos datos. La memoria de

acceso aleatorio es mucho más rápida que los discos duros.

Además, existen otros datos que Squid debe almacenar en la memoria, como una

tabla con todas las direcciones IP gestionadas, un caché exacto de nombres de

dominio, los objetos solicitados con mayor frecuencia, listas de control de acceso,

buffers y otros elementos.

Es muy importante disponer de memoria suficiente para el proceso Squid, dado

que el rendimiento del sistema sufre una reducción drástica si es necesario utilizar

la memoria de intercambio del disco. La herramienta cachemgr.cgi puede utilizarse

para la gestión de la memoria caché. Los sitios con un tráfico de red muy intenso

deben tener en cuenta la posibilidad de utilizar sistemas AMD64 o Intel EM64T

con más de 4 GB de memoria.

5.2.10 CPU

Squid no requiere un uso intensivo de la CPU. La carga del procesador sólo

aumenta cuando se carga o comprueba el contenido del caché. El uso de un

equipo con varios procesadores no aumenta el rendimiento del sistema. Para

aumentar la eficacia, es preferible comprar discos más rápidos o añadir más

memoria.

5.2.11 Inicio de Squid

Squid está ya preconfigurado en SUSE Linux. Puede empezar a utilizarse en

cuanto concluye la instalación. Para garantizar un inicio fluido, debe configurar la

red de modo que sea posible acceder al menos a Internet y a un servidor de

nombres. Pueden surgir problemas si se emplea una conexión de acceso

telefónico con una configuración de DNS dinámica. En este caso, debe introducir

al menos el servidor de nombres, dado que Squid no se inicia si no detecta un

servidor DNS en /etc/resolv.conf.

5.2.12 Comandos para iniciar y detener Squid

Para iniciar Squid, introduzca rcsquid start en la línea de comandos como usuario

Root. Durante el primer inicio, deberá definir primero la estructura de directorios

del caché en /var/cache/squid. El guión de inicio /etc/init.d/squid lleva a cabo

automáticamente esta acción, que puede tardar unos pocos segundos o incluso

minutos. Si a la derecha aparece done (Finalizado) en verde, Squid se ha cargado

correctamente. Para probar la funcionalidad de Squid en el sistema local,

introduzca localhost como alterno (proxy) y 3128 como puerto en el navegador.

Para permitir que usuarios del sistema local y de otros sistemas puedan acceder a

Squid y a Internet, modifique la entrada del archivo de configuración

/etc/squid/squid.conf de http_access deny all a http_access allow all. No obstante,

tenga en cuenta que si lo hace, cualquier usuario podrá acceder sin restricciones a

Squid.

Por lo tanto, deberá definir listas ACL que controlen el acceso al alterno.

Después de modificar el archivo de configuración /etc/squid/squid.conf, Squid

deberá volver a cargarlo. Para ello, emplee el comando rcsquid reload. Si lo

prefiere, utilice el comando rcsquid restart para reiniciar Squid completamente.

Puede emplear el comando rcsquid status para comprobar si el alterno se está

ejecutando. El comando rcsquid stop detiene el funcionamiento de Squid. Esto

puede tardar, dado que Squid espera hasta medio minuto (opción

shutdown_lifetime en /etc/squid/squid.conf) antes de abandonar las conexiones de

los clientes y escribir los datos en el disco.

AVISO: Cierre de Squid

El cierre de Squid con los comandos kill o killall puede dañar el caché.

Para que sea posible reiniciar Squid, deberá suprimir el caché dañado.

Si Squid falla cuando transcurre un breve periodo de tiempo, aunque se haya

iniciado correctamente, compruebe si hay una entrada de servidor de nombres

errónea o si falta el archivo /etc/resolv.conf. Squid almacena los motivos de los

errores de inicio en el archivo /var/log/squid/cache.log. Si Squid debe cargarse

automáticamente al arrancar el sistema, utilice el editor de niveles de ejecución de

YaST para activar Squid en los niveles de ejecución deseados.

Al desinstalar Squid no se elimina la jerarquía de caché ni los archivos de registro.

Para eliminarlos, suprima el directorio /var/cache/squid manualmente.

5.2.13 Servidor DNS local

La configuración de un servidor DNS local puede resultar útil incluso aunque no

gestione su propio dominio. En tal caso, actúa simplemente como un caché de

servidor de nombres, y puede resolver solicitudes DNS mediante los servidores de

nombres raíces sin que sea necesaria ninguna configuración especial. El modo en

que se puede realizar esta acción depende de si se selecciona el ajuste de

servicio de DNS dinámico durante la configuración de la conexión a Internet.

Servicio de DNS dinámico Si se selecciona el servicio de DNS dinámico,

normalmente el proveedor de acceso define el servidor DNS al establecer la

conexión a Internet, y el archivo local /etc/resolv.conf se ajusta automáticamente.

Este comportamiento se controla mediante el archivo

/etc/sysconfig/network/config, con la variable de configuración del sistema

(sysconfig) MODIFY_RESOLV_CONF_DYNAMICALLY, que tiene el valor "yes"

(Sí).

Establezca el valor "no" para esta variable con el editor de configuración del

sistema de YaST. A continuación, introduzca el servidor DNS local en el archivo

/etc/resolv.conf con la dirección IP 127.0.0.1 para localhost. De este modo, Squid

siempre encontrará el servidor de nombres local al iniciarse.

Para que sea posible acceder al servidor de nombres del proveedor, introdúzcalo

junto a su dirección IP en la sección forwarders del archivo de configuración

/etc/named.conf. Con el servicio DNS dinámico, puede hacer que este paso se

lleve a cabo automáticamente al establecer la conexión, definiendo el valor YES

(Sí) en la variable de configuración del sistema (sysconfig)

MODIFY_NAMED_CONF_DYNAMICALLY.

Servicio DNS estático Con el servicio DNS estático, no se lleva a cabo ningún

ajuste automático de DNS al establecer la conexión, por lo que no es necesario

modificar ninguna variable de configuración del sistema. No obstante, deberá

introducir el servidor DNS local en el archivo /etc/resolv.conf, tal y como se ha

descrito anteriormente.

Además, también deberá introducir manualmente el servidor de nombres estático

del proveedor y su dirección IP en la sección forwarders del archivo /etc/

named.conf.

SUGERENCIA: DNS y cortafuegos Si utiliza un cortafuegos, compruebe que las

solicitudes DNS pueden atravesarlo.

5.2.14 Archivo de configuración /etc/squid/squid.conf

Todos los ajustes del servidor alterno Squid se realizan en el archivo

/etc/squid/squid.conf. Para iniciar Squid por primera vez, no es necesario realizar

ningún cambio en este archivo, pero al principio se deniega el acceso a los

clientes externos.

El alterno sólo está disponible para localhost. El puerto por defecto es el 3128.

El archivo de configuración preinstalado, /etc/squid/squid.conf, proporciona

información detallada sobre las opciones y muchos ejemplos. Casi todas las

entradas empiezan por # (las líneas tienen comentarios) y las especificaciones

relevantes se encuentran al final de las líneas. Los valores dados normalmente se

corresponden con los valores por defecto, por lo que eliminar los signos de

comentarios sin cambiar los parámetros suele producir pocos cambios en la

mayoría de los casos. Si es posible, no modifique los ejemplos e introduzca las

opciones junto a los parámetros modificados en la línea siguiente. De este modo,

podrá recuperar fácilmente los valores por defecto y compararlos con los cambios

en cualquier momento.

SUGERENCIA: Adaptación del archivo de configuración después de una

actualización Si ha efectuado una actualización a partir de una versión anterior de

Squid, es recomendable editar el nuevo archivo /etc/squid/squid.conf y aplicar sólo

los cambios realizados en el archivo anterior. Si intenta utilizar el archivo

squid.conf anterior, es posible que la configuración ya no funcione, dado que a

veces se modifican las opciones y se añaden nuevos cambios.

5.2.15 Opciones de configuración generales

(selección)

http_port 3128

Este es el puerto que Squid utiliza para escuchar las solicitudes de los clientes. El

puerto por defecto es el 3128, pero el 8080 también suele utilizarse. Si lo desea,

puede especificar varios números de puerto separados por espacios.

cache_peer nombre de host tipo puerto del alterno puerto icp

Introduzca un alterno principal, por ejemplo, si desea utilizar el alterno del

proveedor de Internet. Como nombre de host, introduzca el nombre y la dirección

IP del alterno que desee utilizar y como tipo, introduzca parent. En puerto del

alterno, introduzca el número de puerto proporcionado por el operador del alterno

principal para su uso en el navegador, normalmente será el 8080.

Establezca los valores 7 o 0 para el puerto icp si el puerto ICP del alterno principal

es desconocido y su uso es irrelevante para el proveedor. También puede

especificar default y no-query tras los números de puerto para impedir el uso del

protocolo ICP. En tal caso, Squid se comportará como un navegador normal por lo

que al alterno del proveedor respecta.

cache_mem 8 MB

Esta entrada define la cantidad de memoria que puede emplear Squid para las

respuestas más frecuentes. El valor por defecto es 8 MB. Este valor no especifica

el uso total de memoria de Squid, por lo que es posible que el uso real sea

superior.

cache_dir ufs /var/cache/squid/ 100 16 256

La entrada cache_dir define el directorio del disco en el que se almacenan todos

los objetos. Los números del final indican el espacio máximo en disco que debe

utilizarse en MB y el número de directorios de primer y segundo nivel. El

parámetro ufs no debe modificarse. Los valores por defecto implican 100 MB de

espacio ocupado en disco por el directorio /var/cache/squid y la creación de 16

subdirectorios en él, cada uno de los cuales contiene 256 subdirectorios

adicionales.

Al especificar el espacio en disco que desea utilizar, reserve espacio suficiente.

Los valores más adecuados oscilan entre un mínimo del 50% y un máximo del

80% del espacio disponible en disco. Debe extremar las precauciones si decide

aumentar los dos últimos números (referentes a los directorios), dado que la

existencia de demasiados directorios puede provocar problemas de rendimiento.

Si tiene varios discos que comparten el caché, introduzca varias líneas cache_dir.

cache_access_log /var/log/squid/access.log, cache_log /var/log/squid/cache.log,

cache_store_log /var/log/squid/store.log

Estas tres entradas especifican las rutas en las que Squid registra todas sus

acciones.

Normalmente no es necesario realizar ningún cambio. Si Squid experimenta una

carga de uso intensa, puede que resulte útil distribuir el caché y los archivos de

registro en varios discos.

emulate_httpd_log off

Si la entrada tiene el valor on, obtendrá archivos de registro legibles. No obstante,

algunos programas de evaluación no podrán interpretarlos.

client_netmask 255.255.255.255

Esta entrada permite enmascarar las direcciones IP de los clientes en los archivos

de registro. El último dígito de la dirección IP tendrá el valor cero si introduce aquí

255.255.255.0. De ese modo, puede proteger la privacidad de los clientes.

ftp_user Squid@

Permite definir la contraseña que debe utilizar Squid para los inicios de sesión FTP

anónimos. Puede que sea una buena idea indicar una dirección de correo

electrónico válida, dado que algunos servidores FTP las comprueban para verificar

su validez.

cache_mgr webmaster

Una dirección de correo electrónico a la que Squid debe enviar un mensaje si se

produce un error inesperado. El valor por defecto es webmaster.

logfile_rotate 0

Si ejecuta squid -k rotate, Squid puede rotar los archivos de registro protegidos.

Los archivos se numeran durante el proceso y, al llegar al valor especificado, se

sobrescribe el archivo más antiguo. El valor por defecto es 0, dado que el

almacenamiento y la supresión de archivos de registro en SUSE Linux se lleva a

cabo mediante un cronjob establecido en el archivo de configuración

/etc/logrotate/squid.

append_domain <dominio>

Utilice append_domain para especificar el dominio que debe adjuntarse

automáticamente si no se proporciona ninguno. Normalmente se introduce su

propio dominio, por lo que al introducir www en el navegador accederá a su propio

servidor Web.

forwarded_for on

Si establece el valor off para esta entrada, Squid eliminará la dirección IP y el

nombre de sistema de los clientes de las solicitudes HTTP. De lo contrario,

añadirá al encabezado una línea similar a la siguiente:

X-Forwarded-For: 192.168.0.0

negative_ttl 5 minutes; negative_dns_ttl 5 minutes

Por lo general, no necesita efectuar ningún cambio en estos valores. No obstante,

si utiliza una conexión de acceso telefónico, en ocasiones puede que no sea

posible acceder a Internet. Squid tiene en cuenta las solicitudes fallidas y rechaza

emitir solicitudes nuevas, aunque la conexión a Internet se restablezca. Si esto

ocurre, cambie el valor de minutes (minutos) a seconds (segundos) y haga clic en

el botón de actualización del navegador, el proceso de marcación debería volver a

iniciarse en unos segundos.

never_direct allow nombre_acl

Para evitar que Squid acepte solicitudes directamente de Internet, utilice el

comando anterior para forzar la conexión con otro alterno. Dicho alterno deberá

haberse introducido anteriormente en cache_peer. Si especifica el valor all para la

entrada acl_name, forzará todas las solicitudes de modo que se envíen

directamente al alterno principal. Esto puede resultar necesario, por ejemplo, si

emplea un proveedor que estipula de forma estricta el uso de sus alternos o

deniega al cortafuegos acceso directo a Internet.

5.2.16 Opciones de control de acceso

Squid proporciona un sistema detallado para controlar el acceso al alterno. La

configuración de dicho sistema es muy sencilla y completa mediante la

implementación de ACL. Esto implica listas con reglas que se procesan de forma

secuencial. Las listas ACL deben definirse antes de proceder a su uso. Algunas

listas ACL, como all y localhost, ya existen. No obstante, la definición de una lista

ACL no implica automáticamente su aplicación. Esto sólo ocurre con las reglas

http_access.

acl <nombre_acl> <tipo> <datos>

Una lista ACL requiere al menos tres especificaciones para su definición. El

nombre <nombre_acl> puede elegirse arbitrariamente. En <tipo>, seleccione entre

la variedad de opciones diferentes que encontrará en la sección ACCESS

CONTROLS (Controles de acceso) del archivo /etc/squid/squid.conf. La

especificación de <datos> depende del tipo de ACL individual y también puede

leerse desde un archivo, por ejemplo mediante nombres de hosts, direcciones IP o

direcciones URL.

A continuación encontrará algunos ejemplos sencillos:

acl misusuarios srcdomain .midominio.com

acl profesores src 192.168.1.0/255.255.255.0

acl alumnos src 192.168.7.0-192.168.9.0/255.255.255.0

acl hora del almuerzo MTWHF 12:00-15:00

http_access allow <nombre_acl>

http_access define quién puede utilizar el alterno y quién puede acceder a qué en

Internet. Para que esto sea posible, deberá proporcionar listas ACL. localhost y all

ya se han definido anteriormente y pueden permitir o denegar el acceso mediante

los valores deny (Denegar) y allow (Permitir). Puede crear una lista con cualquier

número de entradas http_access, que se procesarán de arriba a abajo y,

dependiendo de lo que ocurra primero, permitirán o denegarán el acceso a la

dirección URL respectiva. La última entrada siempre debe ser http_access deny

all. En el siguiente ejemplo localhost (host local) tiene acceso a todo, mientras que

a todos los demás hosts se les deniega el acceso completamente.

http_access allow localhost

http_access deny all

En otro ejemplo de uso de estas reglas, el grupo profesores siempre tiene acceso

a Internet. El grupo alumnos sólo tiene acceso de lunes a viernes durante la hora

del almuerzo.

http_access deny localhost

http_access allow profesores

http_access allow alumnos hora del almuerzo

http_access deny all

En beneficio de la legibilidad del archivo, la lista con las entradas http_access sólo

debe introducirse en la posición designada en el archivo /etc/squid/squid.conf. Es

decir, entre el texto

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR

# CLIENTS

y la última entrada

http_access deny all

redirect_program /usr/bin/squidGuard

Esta opción permite especificar un redireccionador como squidGuard, que permite

bloquear las direcciones URL no deseadas. El acceso a Internet se puede

controlar de forma individualizada para distintos grupos de usuarios mediante la

autenticación de alternos y las listas ACL adecuadas. squidGuard es un paquete

aparte que puede instalarse y configurarse por separado.

auth_param basic program /usr/sbin/pam_auth

Si los usuarios deben autenticarse en el alterno, defina un programa adecuado,

como pam_auth. Al acceder a pam_auth por primera vez, el usuario verá una

ventana de inicio de sesión en la que podrá introducir el nombre de usuario y la

contraseña.

Además, sigue siendo necesaria una lista ACL, por lo que sólo los clientes con un

inicio de sesión válido podrán utilizar Internet:

acl password proxy_auth REQUIRED

http_access allow password

http_access deny all

El valor REQUIRED tras proxy_auth puede sustituirse con una lista de nombres de

usuario permitidos o con la vía a dicha lista.

ident_lookup_access allow <nombre_acl>

Permite ejecutar una solicitud de identidad para todos los clientes definidos en la

lista ACL para averiguar la identidad de cada usuario. Si incluye all en

<nombre_acl>, la solicitud será válida para todos los clientes. Además, deberá

haber un daemon de identidad en ejecución en todos los clientes. En Linux, instale

el paquete pidentd. En el caso de Microsoft Windows, en Internet encontrará

software gratuito disponible para su descarga. Para garantizar que sólo se

permitan los clientes con una búsqueda de identidad correcta, defina la lista ACL

correspondiente aquí:

acl identhosts ident REQUIRED

http_access allow identhosts

http_access deny all

En esta entrada también puede sustituir REQUIRED por una lista de nombres de

usuario permitidos. El uso de ident puede ralentizar bastante el tiempo de acceso,

dado que las búsquedas de identidad se repiten para cada solicitud.

Configuración de Squid

Reglas establecidas por el Proxy

SQUID.CONFIG --- REGLAS/ETC/SQUID/SQUID.CONFG

#Examples:#acl macaddress arp 09:00:2b:23:45:67#acl myexample dst_as 1241#acl password proxy_auth REQUIRED#acl fileupload req_mime_type -i ^multipart/form-data$#acl javascript rep_mime_type -i ^application/x-javascript$##Recommended minimum configuration:acl all src 0.0.0.0/0.0.0.0acl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl puertoweb port 80acl redlocal src 190.168.1.0/255.255.255.0acl pcmalignas src /etc/squid/pcmalignasacl CONNECT method CONNECT

# TAG: http_access# Allowing or Denying access based on defined access lists## Access to the HTTP port:# http_access allow|deny [!]aclname ...## NOTE on default values:## If there are no "access" lines present, the default is to deny# the request.## If none of the "access" lines cause a match, the default is the# opposite of the last line in the list. If the last line was# deny, the default is allow. Conversely, if the last line# is allow, the default will be deny. For these reasons, it is a# good idea to have an "deny all" or "allow all" entry at the end# of your access lists to avoid potential confusion.

##Default:# http_access deny all##Recommended minimum configuration:## Only allow cachemgr access from localhosthttp_access allow manager localhosthttp_access deny manager# Deny requests to unknown portshttp_access deny !Safe_ports# Deny CONNECT to other than SSL portshttp_access deny CONNECT !SSL_ports#Luego de definir las reglas debemos de reiniciar el servicio para que los

cambios en Squid surjan efecto, podemos hacerlo de 3 formas:

* Reiniciando la maquina.

* Con este Comando: gerardo@gerardo:~> sudo /etc/init.d/squid restartroot's password:Sorry, try again.root's password:Shutting down WWW-proxy squid 2006/11/25 20:11:04| aclParseIpData: Bad host/IP:'/etc/squid/pcmalignas'2006/11/25 20:11:04| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src/etc/squid/pcmalignas doneStarting WWW-proxy squid done

* Con este Comando: gerardo@gerardo:~> sudo /etc/init.d/squid reloadReloading WWW-proxy squid 2006/11/25 20:11:19| aclParseIpData: Bad host/IP:'/etc/squid/pcmalignas'2006/11/25 20:11:19| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src/etc/squid/pcmalignas2006/11/25 20:11:21| aclParseIpData: Bad host/IP: '/etc/squid/pcmalignas'2006/11/25 20:11:21| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src/etc/squid/pcmalignas

Configuración del lado del cliente:

CAPITULO VI

CONFIGURACION DE

SERVIDOR PROXY EN

WINDOWS SERVER

2003, Usando ISA Server

2006

PROTECCIÓN DE ACCESO A INTERNET

En la siguiente tabla se muestra de forma resumida cómo ISA Server 2006 resuelve los principales problemas a que se enfrentan los administradores de TI a la hora de salvaguardar su entorno.

Problemas principales

ISA Server ofrece

Seguridad integrada

 

Necesidad de hacer

frente al número

creciente de

ataques sobre

recursos Web

visibles desde

Internet.

Mejor resistencia a la saturación

funcionalidades para la gestión de

eventos y monitorización que

posibilitan una mayor resistencia a

ataques de denegación de servicio

(DOS) y DOS distribuido.

Gusanos que se

propagan entre los

usuarios y de unas

redes a otras,

básicamente para

perjudicar a los

usuarios, partners y

clientes.

Mayor resistencia a los gusanos

para mitigar el impacto que las

máquinas infectadas provocan

sobre la red mediante un sistema

simplificado de agrupamiento de

las alertas IP y cuotas de

conexión.

Los ataques pasan

inadvertidos durante

horas, incluso días,

lo que hace aún

más necesario

disponer de mejores

instrumentos para

Mejor respuesta antes ataques

mediante disparo de sistemas

completos de alertas y

respuestas, que pueden notificar

al instante a los administradores al

detectar problemas en la red.

Problemas principales

ISA Server ofrece

detectar ataques

cuando tienen lugar

y adoptar las

medidas

adecuadas.

Necesidad de

medidas de

seguridad flexibles

para combatir un

contexto cambiante

de amenazas.

Un Kit de Desarrollo (DSK)

flexible para el desarrollo de

complementos para ISA Server,

que permiten abordar una gran

variedad de aspectos de la

seguridad, como los antivirus y el

filtrado de contenidos Web.

Gestión eficiente  

Es preciso poder

localizar

rápidamente la

información

relevante en caso

de ataque.

Mejor control de los recursos

mediante un registro de actividad y

control de consumo de memoria y

de las peticiones DNS pendientes.

Control granular y

creación de

informes sobre los

distintos gateways

instalados en la

organización.

Gestión y monitorización

unificadas con el Management

Pack para Microsoft Operations

Manager (MOM) 2005, y políticas

a nivel de array y corporativas,

que permiten un control más

sencillo de la seguridad y las

reglas de acceso en toda la

organización.

la instalación y

configuración de la

seguridad perimetral

es una tarea de alta

Herramientas de gestión

sencilla y fácil de aprender que

simplifican tanto la configuración

inicial como la administración

Problemas principales

ISA Server ofrece

calificación y que

requiere mucho

tiempo.

posterior.

Acceso rápido y seguro

 

Es preciso proteger

los activos de TI y la

propiedad

intelectual

corporativa frente a

los ataques y el

código

malintencionado

que aprovechan la

actividad de los

usuarios que se

conectan en remoto.

Inspección de contenidos en

profundidad y a múltiples

niveles, políticas flexibles y muy

completas, filtros de protocolo

configurables, y relaciones de

enrutamiento de red para

combatir amenazas procedentes

de Internet.

P A N T A L L A S P R I N C I P A L E S

Creación de Plantillas de seguridad

Para crear una plantilla de seguridad, realice los siguientes pasos.

1. Para abrir Plantillas de seguridad, haga clic en Inicio, en Ejecutar, escriba

mmc y, a continuación, haga clic en Aceptar.

2. En el menú Archivo, haga clic en Agregar o quitar complemento y, a

continuación, haga clic en Agregar.

3. Seleccione Plantillas de seguridad, haga clic en Agregar, en Cerrar y, a

continuación, en Aceptar.

4. En el árbol de consola, haga clic en el nodo Plantillas de seguridad, haga

clic con el botón secundario del ratón en la carpeta donde desee almacenar

la nueva plantilla y haga clic en Nueva plantilla.

5. En Nombre de plantilla, escriba el nombre de la nueva plantilla de

seguridad.

6. En Descripción, escriba la descripción de la nueva plantilla de seguridad y,

a continuación, haga clic en Aceptar.

7. Expanda la nueva plantilla y, a continuación, haga clic en Servicios del

sistema.

8. En el panel de detalles, haga clic con el botón secundario del ratón en

Sistema de sucesos COM+ y, a continuación, haga clic en Propiedades.

9. Active Definir esta configuración de directiva en la plantilla y, a

continuación, haga clic en el modo de inicio. (Para Sistema de sucesos

COM+, el modo de inicio es Automático.)

Mas Seguridad

Para aplicar la nueva plantilla al equipo servidor ISA, realice los siguientes pasos.

1. Para abrir Plantillas de seguridad, haga clic en Inicio, en Ejecutar, escriba

mmc y, a continuación, haga clic en Aceptar.

2. En el menú Archivo, haga clic en Agregar o quitar complemento y, a

continuación, haga clic en Agregar.

3. Seleccione Configuración y análisis de seguridad, haga clic en Agregar,

en Cerrar y, a continuación, en Aceptar.

4. En el árbol de consola haga clic en Configuración y análisis de

seguridad.

5. Haga clic con el botón secundario del ratón en Configuración y análisis

de seguridad y, a continuación, haga clic en Abrir base de datos.

6. Escriba un nuevo nombre de base de datos y, a continuación, haga clic en

Abrir.

7. Seleccione la nueva plantilla de seguridad que desea importar y, a

continuación, haga clic en Abrir. Seleccione la plantilla de seguridad que ha

creado anteriormente.

Funciones administrativas

Para asignar funciones administrativas, realice los siguientes pasos.

1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA

Server y, a continuación, haga clic en Administración del servidor ISA.

2. En el árbol de consola de Administración del servidor ISA, haga clic en

Microsoft ISA Server 2004 y, a continuación, en el nombre_de_servidor.

3. En la ficha Tareas, haga clic en Definir funciones administrativas.

4. En la página de bienvenida del Asistente para la delegación de

administración del servidor ISA, haga clic en Siguiente.

5. Haga clic en Agregar.

6. En Grupo (recomendado) o usuario, escriba el nombre del grupo o

usuario al que se asignarán los permisos administrativos específicos.

7. En Función, seleccione la función administrativa aplicable.

ATAQUES

Reducción de la superficie de ataque

Para proteger todavía más el equipo servidor ISA, aplique el principio de superficie de ataque reducida. Para reducir la cantidad de superficie de ataque, siga estas directrices:

•No ejecute aplicaciones y servicios innecesarios en el equipo servidor ISA. Deshabilite los servicios y las funciones que no sean fundamentales para la tarea actual, tal como se describe en la sección Consolidación de la seguridad de la infraestructura de Windows.

•Deshabilite las características del servidor ISA que no utilice. Por ejemplo, si no necesita caché, deshabilítela. Si no precisa la funcionalidad VPN del servidor ISA, deshabilite el acceso de clientes de VPN.

•Identifique los servicios y tareas que no son fundamentales para el modo en que administra la red y, a continuación, deshabilite las reglas de directiva del sistema asociadas.

•Limite la aplicación de las reglas de directiva del sistema únicamente a las entidades de red requeridas. Por ejemplo, el grupo de configuración de directiva del sistema de Active Directory, habilitado de forma predeterminada, se aplica a todos los equipos de la red interna. Puede limitarlo de modo que se aplique a un grupo de Active Directory específico de la red interna.

LIMITACION DE ACCESOS

Para limitar este acceso, realice los siguientes pasos.

1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA

Server y, a continuación, haga clic en Administración del servidor ISA.

2. En el árbol de consola de Administración del servidor ISA, haga clic en

Microsoft ISA Server 2004, en el nombre_de_servidor y, a continuación,

en Directiva de firewall.

3. En la ficha Tareas, haga clic en Editar directiva del sistema.

4. En el Editor de directivas del sistema, en el árbol Grupos de configuración,

haga clic en Comprobadores de conectividad HTTP.

5. En la ficha A haga clic en Todas las redes (y host local) y, a continuación,

en Quitar.6. Haga clic en Agregar y, a continuación, seleccione las entidades de red

cuya conectividad desee comprobar. Se permitirá todo el tráfico HTTP

desde la red del host local (el equipo servidor ISA) a las entidades de red

enumeradas en la ficha A.

MODIFICACION DE SITIOS WEB

Para modificar el conjunto de direcciones URL para incluir sitios Web adicionales, realice los siguientes pasos.

1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA

Server y, a continuación, haga clic en Administración del servidor ISA.

2. En el árbol de consola de Administración del servidor ISA, haga clic en

Microsoft ISA Server 2004, en el nombre_de_servidor y, a continuación,

en Directiva de firewall.

3. En la ficha Herramientas haga clic en Objetos de red.

4. En Conjuntos de nombre de dominio, haga clic con el botón secundario

del ratón en Sitios permitidos de directiva del sistema y, a continuación,

haga clic en Propiedades.

5. En la ficha General haga clic en Nuevo y, a continuación, escriba la

dirección URL del sitio Web específico.

El acceso HTTP y HTTPS se permitirá a los sitios Web especificados.

Límites de conexión

El servidor ISA limita el número de conexión en un momento dado. Puede configurar el límite especificando un número máximo de conexiones simultáneas. Cuando se haya alcanzado el número máximo de conexiones, se denegará cualquier nueva petición de cliente para dicho servicio de escucha Web.

Puede limitar el número total de creación de sesiones UDP, ICMP y demás Raw IP permitidas por una regla de publicación o acceso a servidor, por segundo. Estas limitaciones no se aplican a las conexiones TCP. Cuando se sobrepasa el número especificado de conexiones, no se crearán nuevas. Las conexiones existentes no se desconectarán.

Se recomienda configurar límites de conexiones bajos. De este modo, se puede limitar de forma efectiva que los hosts malintencionados consuman recursos del equipo servidor ISA.

De forma predeterminada, los límites para conexiones que no sean TCP están configurados a 1000 por segundo y regla, y a 160 conexiones por cliente. Los límites para conexiones TCP están configurados en 160 por cliente. Se recomienda no cambiar estos límites preconfigurados. Si debe modificar los límites de conexiones, configure un número de conexiones tan pequeño como sea posible.

Para configurar los límites de conexiones, realice los pasos siguientes.

1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Server

y, a continuación, haga clic en Administración del servidor ISA.

2. En el árbol de consola de Administración del servidor ISA, haga clic en

Microsoft ISA Server 2004, en el nombre_de_servidor, en Configuración y,

a continuación, en General.

3. En el panel de detalles, haga clic en Definir límites de conexiones.

4. En la ficha Límite de conexiones seleccione Limitar el número de

conexiones por cliente a.

5. Realice las siguientes acciones:

1. En Conexiones creadas por segundo por regla (no TCP) escriba el

número de conexiones permitidas por regla y segundo.

2. En Límite de conexiones por cliente (TCP y no TCP) escriba el

número de conexiones permitidas por cliente.

Clientes firewall

El servidor ISA admite una forma más segura de comunicación entre el cliente firewall y el servidor ISA, que implica el uso de cifrado mediante un canal de control TCP. Puede configurar el servidor ISA para aceptar conexiones únicamente de clientes que establezcan comunicación de esta forma segura. No obstante, esto impide que se conecten versiones anteriores del software de cliente firewall.

Se recomienda permitir que únicamente los clientes firewall puedan establecer comunicación sobre una conexión cifrada. Esto incluye todo el software de cliente firewall para los equipos ISA Server 2004.

Para configurar clientes firewall, realice los siguientes pasos.

1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA

Server y, a continuación, haga clic en Administración del servidor ISA.

2. En el árbol de consola de Administración del servidor ISA, haga clic en

Microsoft ISA Server 2004, en el nombre_de_servidor, en Configuración

y, a continuación, en General.

3. En el panel de detalles haga clic en Definir la configuración del cliente

firewall.

4. En la ficha Conexión compruebe que no está activado Permitir

conexiones de cliente firewall sin usar cifrado.

CONECTIVIDAD A OTROS SERVIDORES

Comprobación de la conectividad a servidores de autenticación

Si utiliza un servidor RADIUS para la autenticación, cree un comprobador de conectividad que supervise el estado del servidor. Configure las alertas de modo que se realice una acción adecuada cuando el servidor RADIUS no funcione.

Para comprobar la conectividad, realice los siguientes pasos.

1. Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA

Server y, a continuación, haga clic en Administración del servidor ISA.

2. En el árbol de consola de Administración del servidor ISA, haga clic en

Microsoft ISA Server 2004, en el nombre_de_servidor y, a continuación,

en Supervisión.

3. En el panel de detalles, haga clic en la ficha Conectividad.

4. En la ficha Tareas, haga clic en Crear nuevo comprobador de

conectividad.

5. En la página Bienvenida del asistente, escriba un nombre para el

comprobador de conectividad y, a continuación, haga clic en Siguiente.

6. En la página Detalles de comprobación de conectividad haga lo

siguiente:

1. En Supervisar la conectividad a este servidor o dirección URL

escriba el nombre del servidor que se supervisará.

2. En Método de comprobación seleccione un método para efectuar

la comprobación. Haga clic en Siguiente y, a continuación, en

Finalizar.

7. Si la regla de directiva del sistema que permite la comprobación de

conectividad HTTP no está habilitada y ha activado Enviar una petición

HTTP "Get", se le pedirá que habilite la regla de directiva del sistema.

Haga clic en Sí.

Para obtener más información acerca de las reglas de directiva del

sistema de comprobación de conectividad HTTP, consulte la sección

Comprobadores de conectividad.

8. En el panel de detalles, seleccione la regla que acaba de crear.

9. En la ficha Tareas haga clic en Editar comprobador seleccionado.

10. En la ficha Propiedades compruebe que está activado Desencadenar

una alerta si el servidor no responde dentro del tiempo de espera

especificado.

Propuesta de Servidores.

Servidores ML570 G2 ML530 G2 ML370 G3 ML350 G3 ML110 G3

Item

Procesador Intel Xeon 3.0 L2/ L3-512 Intel Xeon 3.0 L2/ L3-512 Intel Xeon 3.0 L2/ L3-512 Intel Xeon 3.0 L2/ L3-512 Intel® Pentium® 4 630 a 3GHz

Upgrade Hasta 4 procesadores Hasta 2 procesadores Hasta 2 procesadores Hasta 2 procesadores Hasta 1 procesadores

Memoria 1 GB PC 1600 ECC DDR hasta

32 GB

1 GB PC 1600 ECC DDR hasta

16 GB

1 GB PC 2100 ECC DDR hasta

12 GB

256 MB PC 2100 ECC DDR

hasta 8 GB

512MB DIMM SDRAM DDRII

PC2 4200 a 533MHz, con

funcionalidad ECC de serie

hasta 8 GB

Unidades de

almacenamiento

Floppy 1.44 MB, CD-ROM 52x,

HD 80.4 SCSI

Floppy 1.44 MB, CD-ROM 52x,

HD 80.4 SCSI

Floppy 1.44 MB, CD-ROM 52x,

HD 40 SCSI

Floppy 1.44 MB, CD-ROM

52x, HD 40 SCSI

Floppy 1.44 MB, CD-ROM 52x,

HD 80.4 SATA

Incorpora Controlador SCSI: dual channel

Wide Ultra3, NIC 10/100

encajado

Controlador SCSI: dual channel

Wide Ultra3, NIC 10/100

encajado

Controlador SCSI: dual channel

Wide Ultra3, RED NC7781

Gigabit

Video ATI RAGE XL 8MB,

controlador SCSI: Dual Wide

Ultra 3, SMART ARRAY 64,

Red NC7760 Gigabit

Tarjeta de red Gigabit

10/100/1000 Broadcom 5721

(integrada) con WOL (Wake on

LAN)

PCI PCI-7 (64bits/100MHz) PCI-7 (64bits/100MHz) PCI-6 (64bits/100MHz) PCI-6 (64bits/100MHz) 3

disponibles, 1 PCI 32 bits

33MHz

2 PCI-Express (x4 y x16) y 2

PCI de 32 bits/33MHz a 3.3V

P. Serial 2 1 2 1 1

P. Paralelo 1 1 1 1 1

PS/2 2 2 2 2 1

RJ-45 2 1 2 1 1

Video(DB-15) 1 1 1 1 1

USB 2 2 2 2 6

Cuadro N° 5.10: Comparación entre los servidores HP ML570 G2, ML370 G3 y ML350G3

Fuente: Elaboración Propia.

La tabla de comparación, nos permiten evaluar las ventajas y desventajas que

presentan cada uno de los modelos de servidores HP así como también hacer

una elección de acuerdo con las necesidades requeridas que se ajusten al

modelo elegido.

Después d e haber realizado las respectivas comparaciones se sugiere para la

red como de comunicaciones de datos utilizar el servidor HP Proliant ML110

G3 por ser el que da mejores soluciones al problema actual de la red.

Consideraciones de Software.

Estaciones de Trabajo.

Item Nombre

Sistema Operativo Windows XP Profesional.

Software Ofimática Microsoft Office XP

Antivirus The Hacker Antivirus 6.0

Nod32 v.2

Utilitarios WinZip 10.0

Acrobat Reader 7.0.

Otros

Cuadro N° 3: Software propuesto par las estaciones de trabajo.

Fuente: Elaboración Propia.

Servidores.

Item Nombre

Sistema Operativo de Red Windows Server 2003

Suse Linux 10.1

Administrador de Base de Datos SQL Server 2005

Correo Electrónico Ms Exchange Server 2003

Ms Outlook 2003

Cuadro Nº 4: Software propuesto para los servidores.

Fuente: Elaboración Propia.

BIBLIOGRAFÍA

INTERNET:

T1: Linux para todos

Autor: Omar Guenui

http://www.linuxparatodos.net/geeklog/staticpages/index.php?

page=manuales-indice

T2: Descarga de Manuales Linux

Autor: Germán A. Infiesta

http://gluv.univalle.edu.co/paquetes/download/indexDownload.php?

%20accion=Descargas&tipo=Descargas&titulo=Descargas

T3: SuSE Linux

Autor: Julio César Chavéz Urrea

http://www.forosuse.org/forosuse/showthread.php?

t=5822&goto=nextoldest

T4: SuSE Linux manual de Administracion

Autor: Cabletesting

http://www.polinux.upv.es/mozilla/varios/suselinux-adminguide-9.2-es/

index.html

T5: Protocolos

Autor : 3COM

http://neo.lcc.uma.es/evirtual/cdd/tutorial/aplicacion/ftp.html

TESIS

T1: BAUTISTA ZÚÑIGA y NAVARRO MENDOZA Diseño de la red de

comunicaciones de datos de la empresa TRUPAL S.A Trujillo 2005

Referencias web:

Switch 3COM OC DS SWITCH 8P 10/100 RJ45http://www.misco.es/productinformation/~404946~/3COM%20OC%20DS%20SWITCH%208P%2010%2F100%20RJ45.htm

http://www.hzcomputer.com/l_precio.php

D-Link DES-1008D 8-Port 10/100 Dual Speed Switchhttp://www.expansys.es/product.asp?code=105686

routerMODEM ROUTER ENCORE ENDSL-AR4 http://www.deremate.com.ar/Accdb/ViewItem.asp?IDI=12445271

3Com® OfficeConnect® Remote 812 ADSL Routerhttp://www.3com.es/products/adsl/

servidorhttp://www.areapc.com/servidor_hp_proliant_ml110_g3__470063-673__10408838_p.html