Configuracin de servidores DHCP y DNS para WPAD

En esta seccin veremos como configurar los servicios DHCP y DNS tanto de ISC (Internet

System Consortium) como de Microsoft Windows Server 2003. Los clientes que son

configurados va DHCP usarn el primer mtodo y DNS aquellos con direcciones IP fija.

Configurando el servidor ISC dhcpd para WPAD

El servidor ISC dhcpd soporta el uso de la opcin 252 asignada para proveer informacin

para localizar el script de auto configuracin PAC. En la seccin de parmetros globales del

archivo de configuracin dhcpd.conf(5) defina la opcin wpad con el cdigo 252 y de

tipo text, por ejemplo:

option wpad code 252 = text;

Adems, en el bloque de las opciones de la subred, agregue el valor para la opcin wpad,

por ejemplo:

subnet 192.168.221.0 netmask 255.255.255.0 {

option subnet-mask 255.255.255.0;

option broadcast-address 192.168.221.255;

option routers 192.168.221.254;

option domain-name "example.com";

option domain-name-servers 192.168.221.254;

option wpad

"http://proxy.example.com/proxy.pac\n";

range 192.168.X.50 192.168.X.200;

}

Nota

Se agrega el carcter de salto de lnea para compensar el bug de IE 6+ que elimina el

ltimo carcter.

Valide la configuracin:

# dhcpd -t

Re inicie el servidor dhcpd para que los cambios tomen efecto:

# /etc/init.d/dhcp3-server restart

Configure los clientes web como se describen en la seccin Configuracin de parmetros

de proxy usando la deteccin automtica WPAD para validar su funcionamiento.

Configurando el servidor Microsoft DHCP para WPAD

Para proveer los parmetros del proxy automticamente usando el servidor DHCP de

Windows Server 2003 siga los siguientes pasos:

1. Entrar al men Inicio => Programas => Herramientas Administrativas => DHCP.

2. Seleccione el servidor, despus vaya al men Accin y seleccione la opcin Configurar opciones predefinidas..., en el cuadro de Valores y opciones

predefinidas haga clic sobre el botn Agregar.

3. Agregue la opcin de nombre WPAD de tipo de dato Cadena, cdigo 252 y en Descripcin Web Proxy Auto Discovery, por ejemplo:

Haga clic en Aceptar para guardar la nueva opcin.

4. Seleccione el mbito al que desea agregar el soporte WPAD, vaya al men Accin y seleccione la opcin Opciones de mbito, en pestaa General de la ventana

Opciones de mbito seleccione la opcin 252 WPAD y agregue el URL del

archivo wpad.dat, por ejemplo:

Importante

Recuerde escribir el puerto 80 explcitamente en el URL.

5. Verifique que la opcin 252 WPAD este visible en las opciones del mbito, por ejemplo:

Configure los clientes web como se describen en la seccin Configuracin de parmetros

de proxy usando la deteccin automtica WPAD para validar su funcionamiento.

Configurando el servidor ISC bind para WPAD

Si el servidor proxy tiene asignado un nombre DNS a travs de un registro A en la zona dns

local entonces se aconseja que cree un registro CNAME llamado wpad y que apunte a

nombre del servidor proxy.

Edite el archivo de la zona directa para el dominio de la red local, por ejemplo:

# vim /etc/bind/db.example.com.zone

Agregue un registro tipo CNAME apuntando al nombre del servidor proxy, por ejemplo:

proxy IN A 192.168.221.252

wpad IN CNAME proxy.example.com.

Importante

No olvide incrementar el nmero de serie de la zona.

En caso de que el servidor web en el que vaya a hospedar el script PAC se aconseja que

cree un registro A wpad apuntando a la direccin IP del servidor web, por ejemplo:

wpad IN A 192.168.221.254

Algunos clientes web localizan los parmetros de proxy haciendo consultas DNS al registro

SRV wpad.tcp, cree un registro SRV, por ejemplo:

wpad.tcp IN SRV 0 0 80 wpad.example.com.

Otra alternativa que usan algunos clientes web es localizar el URL del proxy pac va una

consulta a un registro TXT, por ejemplo:

wpad IN CNAME proxy.example.com.

wpad IN TXT "service:

wpad:!http://wpad.example.com:80/proxy.pac"

Valide el archivo de la zona:

# named-checkzone example.com /etc/bind/db.example.com.zone

Y recargue la zona:

# rndc reload example.com

Realice una consulta usando el comando host:

# host wpad.example.com

Asegurese de que desde un navegador pueda alcanzar el script usando el URL:

http://wpad.example.com/wpad.dat

Configure los clientes web como se describen en la seccin Configuracin de parmetros

de proxy usando la deteccin automtica WPAD para validar su funcionamiento.

Configurando el servidor Microsoft DNS para WPAD

Para proveer los parmetros del proxy automticamente usando el servidor DHCP de

Windows Server 2003 siga los siguientes pasos:

1. Entrar al men Inicio => Programas => Herramientas Administrativas => DNS. 2. Seleccione el servidor DNS y sobre el bloque Zonas de bsqueda directa

seleccione la zona a la que desea agregar el soporte WPAD. Vaya al men Accin y

seleccione la opcin Alias nuevo (CNAME)...

3. Cree el registro CNAME llamado wpad apuntando al host destino proxy.example.com o como sea que se llame su servidor proxy, por ejemplo:

Nota

Tambin puede agregar el recurso wpad como un registro A.

4. Verifique que el registro fue agregado exitosamente:

Como puede ver el registro CNAME wpad apunta al host proxy que tambin tiene

un registro de tipo A.

5. Adicionalmente haga una consulta al registro wpad.example.com usando el comando nslookup, por ejemplo:

Como puede ver la resolucin al host wpad.example.com apunta al host

proxy.example.com y el cual tiene la direccin IP 192.168.221.254, verifique que

los resultados correspondan con su entorno de red.

En sistemas Windows Server 2003 con la actualizacin de seguridad MS09-008 instalada

se enfrentarn con el problema que los clientes no pueden resolver e nombre de host

wpad.example.com aun cuando esta 100% seguro que el registro fue agregado, el origen del

problema es que la actualizacin de seguridad MS09-008 bloquea las peticiones DNS al

registro WPAD (tanto registros A como CNAME) mediante la funcionalidad Global Query

block list, por lo que los clientes no podrn localizar los parmetros del proxy a travs del

registro WPAD del servidor DNS.

En sistemas Windows Server 2003 DNS y la actualizacin MS09'008, la administracin de

la global query block list es a travs de la siguiente llave del registro:

HKLM\SYSTEM\CurrentControlSet\Services

\DNS\Parameters\GlobalQueryBlockList, por default estan incluidos los registros wpad

y isatap. Para permitir el uso del registro DNS WPAD edite el registro de windows y

modifique la llave HKLM\SYSTEM\CurrentControlSet\Services

\DNS\Parameters\GlobalQueryBlockList y elimine el valor wpad de la lista de valores,

reinicie el servicio DNS.

En sistemas Windows Server 2009 la Global query block list esta habilitada por default,

para permitir el registro DNS WPAD en el servicio DNS edite la global query block list con

el siguiente comando:

dnscmd /config /globalqueryblocklist isatap

El comando anterior remplaza la lista actual solo con isatap, recuerde ejecutar el comando

en todos los servidores DNS que son autoritativos para la zona especificada.

Para ms informacin sobre la actualizacin de seguridad MS09-008 vea el post en el blog

Security Research & Defense de Microsoft.

Configure los clientes web como se describen en la seccin Configuracin de parmetros

de proxy usando la deteccin automtica WPAD para validar su funcionamiento.