instalacion de servidor-proxy
TRANSCRIPT
SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA SEGURIDAD DE REDES CENTRO COMM
01/02/2011 ING. GIOVANNI BRACHO T. E3T UIS
INSTALACION DE SERVIDOR-PROXY Un servidor proxy es en principio un equipo que actúa como intermediario entre los equipos de una red de área local (a veces mediante protocolos, con excepción del protocolo TCP/IP) e Internet. Generalmente el servidor proxy se utiliza para la Web. Se trata entonces de un proxy HTTP. Sin embargo, puede haber servidores proxy para cada protocolo de aplicación (FTP, etc.).
PRINCIPIO OPERATIVO DE UN SERVIDOR PROXY El principio operativo básico de un servidor proxy es bastante sencillo: se trata de un servidor que actúa como "representante" de una aplicación efectuando solicitudes en Internet en su lugar. De esta manera, cuando un usuario se conecta a Internet con una aplicación del cliente configurada para utilizar un servidor proxy, la aplicación primero se conectará con el servidor proxy y le dará la solicitud. El servidor proxy se conecta entonces al servidor al que la aplicación del cliente desea conectarse y le envía la solicitud. Después, el servidor le envía la respuesta al proxy, el cual a su vez la envía a la aplicación del cliente.
CARACTERÍSTICAS DE UN SERVIDOR PROXY En lo sucesivo, con la utilización de TCP/IP dentro de redes de área local, la función de retransmisión del servidor proxy está directamente asegurada por pasarelas y routers. Sin
SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA SEGURIDAD DE REDES CENTRO COMM
01/02/2011 ING. GIOVANNI BRACHO T. E3T UIS
embargo, los servidores proxy siguen utilizándose ya que cuentan con cierto número de funciones que poseen otras características. ALMACENAMIENTO EN CACHÉ La mayoría de los proxys tienen una caché, es decir, la capacidad de guardar en memoria (“en caché”) las páginas que los usuarios de la red de área local visitan comúnmente para poder proporcionarlas lo más rápido posible. De hecho, el término "caché" se utiliza con frecuencia en informática para referirse al espacio de almacenamiento temporal de datos (a veces también denominado "búfer"). Un servidor proxy con la capacidad de tener información en caché (neologismo que significa: poner en memoria oculta) generalmente se denomina servidor "proxy-caché". FILTRADO Por otra parte, al utilizar un servidor proxy, las conexiones pueden rastrearse al crear registros de actividad (logs) para guardar sistemáticamente las peticiones de los usuarios cuando solicitan conexiones a Internet. Gracias a esto, las conexiones de Internet pueden filtrarse al analizar tanto las solicitudes del cliente como las respuestas del servidor. El filtrado que se realiza comparando la solicitud del cliente con una lista de solicitudes autorizadas se denomina lista blanca; y el filtrado que se realiza con una lista de sitios prohibidos se denomina lista negra. Finalmente, el análisis de las respuestas del servidor que cumplen con una lista de criterios (como palabras clave) se denomina filtrado de contenido. AUTENTICACIÓN Como el proxy es una herramienta intermediaria indispensable para los usuarios de una red interna que quieren acceder a recursos externos, a veces se lo puede utilizar para autenticar usuarios, es decir, pedirles que se identifiquen con un nombre de usuario y una contraseña. También es fácil otorgarles acceso a recursos externos sólo a las personas autorizadas y registrar cada uso del recurso externo en archivos de registro de los accesos identificados. Este tipo de mecanismo, cuando se implementa, obviamente genera diversos problemas relacionados con las libertades individuales y los derechos personales. SERVIDORES DE PROXY INVERSOS Un proxy inverso es un servidor proxy-caché "al revés". Es un servidor proxy que, en lugar de permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos.
SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA SEGURIDAD DE REDES CENTRO COMM
01/02/2011 ING. GIOVANNI BRACHO T. E3T UIS
El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que desean acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy inverso, el servidor web está protegido de ataques externos directos, lo cual fortalece la red interna. Además, la función caché de un proxy inverso puede disminuir la carga de trabajo del servidor asignado, razón por la cual se lo denomina en ocasiones acelerador de servidor. Finalmente, con algoritmos perfeccionados, el proxy inverso puede distribuir la carga de trabajo mediante la redirección de las solicitudes a otros servidores similares. Este proceso se denomina equilibrio de carga. SERVIDORES PROXY Este tipo de servidor lleva a cabo algunas funciones como representante de otros clientes (computadoras) en la red para incrementar el rendimiento de ciertas operaciones (por ejemplo, servir como caché de documentos y otros datos) o para servir como barrera de seguridad (por ejemplo, navegación anónima, o filtrado de los datos de entrada peligrosos). Los servidores proxy no permiten un tráfico directo entre las partes. FUNCIONAN COMO SERVIDOR DE SEGURIDAD Y COMO FILTRO DE CONTENIDOS. Son un mecanismo de seguridad implementado por el ISP o los administradores de la red en un entorno de Intranet para desactivar el acceso o filtrar las solicitudes de contenido para ciertas sedes Web consideradas ofensivas o dañinas para la red y los usuarios. MEJORAN EL RENDIMIENTO. Guardan en la memoria caché las páginas Web a las que acceden los sistemas de la red durante un cierto tiempo. Cuando un sistema solicita la misma página web, el servidor proxy utiliza la información guardada en la memoria caché en lugar de recuperarla del proveedor de contenidos. De esta forma, se accede con más rapidez a las páginas Web. Esta característica, implementada en algunos servidores proxy, se utiliza para disminuir tanto el uso de ancho de banda en Internet como el tiempo de acceso a los documentos de los usuarios. Sin embargo, para lograr esto, el proxy debe comparar los datos que almacena en la memoria caché con los datos remotos de manera regular para garantizar que los datos en caché sean válidos. PROXY-WEB Un proxy web es utilizado para interceptar la navegación de páginas web por motivos de seguridad, anonimato, rendimiento, etc. Un proxy web se puede acceder por una dirección IP, gratuito o de pago, que es agregada a un navegador (también existen programas proxy para evitar el proceso de configuración). Cuando
SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA SEGURIDAD DE REDES CENTRO COMM
01/02/2011 ING. GIOVANNI BRACHO T. E3T UIS
alguien utiliza el navegador, todo lo que se haga en el mismo pasa primero por el proxy primero (el servidor proxy). O sea, si se pide una página web el proxy remoto se encarga de buscarla y enviarla a nuestra computadora. En este paso intermedio el proxy puede servir para: NAVEGACIÓN ANÓNIMA: Si el proxy está configurado de esta manera, todo aquel que navegue a través de ese proxy lo hará de forma anónima, las páginas destino no podrán saber la dirección IP (la identificación) de la computadora que navega; sólo verán la dirección IP del proxy. Si un proxy no está configurado para ser anónimo se dice que es de navegación transparente. NAVEGACIÓN SEGURA: un proxy se encarga de filtrar o alertar sobre aquellas páginas web inseguras o filtran el contenido indeseado (como contenido adulto). NAVEGACIÓN MÁS RÁPIDA: ya sea porque el proxy tiene una mejor conexión a internet y envía al navegador más rápido los datos, o porque el proxy funciona como caché, guardando las páginas más visitadas (o las visitadas recientemente). CONTROL DEL TRÁFICO: existen programas espías y otros malwares que configuran la computadora para que todo el tráfico web pase primero por un proxy. Este proxy se encarga de espiar el tráfico, pudiendo sacar todo tipo de información del usuario. Si los datos (como claves y tarjetas de crédito) no están cifrados, cualquiera puede leerlos. Este tipo de proxy también puede enviar publicidad a las computadoras infectadas (publicidad que no existe en las páginas web originales).
CONFIGURACIÓN DE UN SERVIDOR PROXY Sin duda, el proxy más utilizado es Squid, un software de uso libre y gratuito, disponible para diversas plataformas que incluyen a Windows y Linux.
SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA SEGURIDAD DE REDES CENTRO COMM
01/02/2011 ING. GIOVANNI BRACHO T. E3T UIS
En Windows, existen diferentes programas para configurar un servidor proxy en una red de área local a un bajo costo: WINGATE Es la solución más común (pero no es gratuito). La configuración de un proxy con un servidor Jana cada vez es más común Windows 2000 incluye Microsoft Proxy Server (MSP), que funciona con Microsoft Proxy Client. SERVIDOR PROXY –SQUID Squid es el software para servidor Proxy, más popular y extendido entre los sistemas operativos basados sobre UNIX. Es muy confiable, robusto y versátil. Al ser software libre, además de estar disponible el código fuente, está libre del pago de costosas licencias por uso o con restricción a un uso con determinado número de usuarios. ¿COMO FUNCIONA ESTE SERVICIO? Existen dos tipos de servidores proxy
Servidores proxy de aplicación Servidores proxy SOCKS SERVIDOR PROXY DE APLICACIÓN: Con un servidor proxy de aplicación el proceso se automatiza. El servidor proxy establece la comunicación con el servidor que ha solicitado (el mundo exterior) y le devuelve los datos. SERVIDOR PROXY DE SOCKS: Se parece bastante a un panel de conmutación. Tan sólo establece la conexión entre su sistema y otro sistema externo. La mayoría de los servidores SOCKS presentan el inconveniente de que sólo trabajan con conexiones del tipo TCP y como cortafuegos no suministran autenticación para los usuarios. Sin embargo, su ventaja es que registran los sitios a los que cada usuario se ha conectado. ¿CUALES SON LOS BENEFICIOS AL INSTALAR UN SERVIDOR PROXY EN LINUX? Acceso transparente a Internet, por medio de cualquier programa, y a cualquier servicio (Netscape, Opera, Internet Explorer, CuteFTP...). Mayor velocidad en la navegación: aquellas páginas que hayan sido visitadas serán guardadas en el servidor para que no haya que solicitarlas de Internet salvo que hayan cambiado. Optimización de uno o varios accesos ADSL que disponga. Posibilidad de un control absoluto de los accesos a Internet, por fecha, hora, lugar, e incluso persona. Capacidad de control de Paginas prohibidas
SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA SEGURIDAD DE REDES CENTRO COMM
01/02/2011 ING. GIOVANNI BRACHO T. E3T UIS
¿SOFTWARE REQUERIDO? Squid-3 o SUPERIOR Httpd-2.0.x (Apache) Todos los parches de seguridad disponibles para la versión del sistema operativo que esté utilizando. ¿HARDWARE REQUERIDO? Requerimientos mínimos: Servidor a 250 Mhz, 256 MB RAM, 8 GB disco duro ¿DONDE PUEDO ENCONTRAR MAYOR INFORMACIÓN? http://www.squid-cache.org/
PROCEDIMIENTO DE INSTALACION Y CONFIGURACION Primero debemos ingresar al sistema y autenticarnos como superusuario PRIMERO INSTALAMOS EL SQUID sudo aptitude install squid3 AHORA SE EDITA EL ARCHIVO DE CONFIGURACION nano /etc/squid3/squid.conf COMO EL ARCHIVO ES MUY GRANDE AHORA MOVEMOS EL ARCHIVO A OTRA UBICACION PARA PREVENIR UNA EQUIVOCACION mv /etc/squid3/squid.conf /etc/squid3/squid.conf_viejo AHORA CREAMOS EL NUEVO ARCHIVO nano /etc/squid3/squid.conf Este archivo está vacío lo que nos facilita la configuración SE ASIGNA EL NOMBRE DEL SERVIDOR PROXY QUE VERAN EN AVISOS LOS USUARIOS visible_hostname joseproxy EL PASO SIGUIENTE ES DARLE ACCESO A INTERNET A TODA LA RED CONECTADA AL PROXY
SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA SEGURIDAD DE REDES CENTRO COMM
01/02/2011 ING. GIOVANNI BRACHO T. E3T UIS
acl all src 0.0.0.0/0.0.0.0 SE ASIGNA EL PUERTO DE ESCUCHA DEL PROXY http_port 8080 SE ASIGNA LA DIRECCION DEL DIRECTORIO DONDE ESTAN LAS PALABRAS RESTRINGIDAS acl no permitidos url_regex “/etc/squid3/palabrasrestringidas” AHORA SE ASIGNAN LOS PERMISOS Y SE AUTORIZA O NIEGA EL ACCESO http_access deny nopermitidos Guardamos ctrl+o y ctrl +x para salir CREAMOS EL ARCHIVO PALABRAS RESTRINGIDAS nano /etc/squid3/palabrasrestringidas EN ESTE ARCHIVOS ESCRIBIMOS LAS PALABRAS QUE QUEREMOS BLOQUEAR Ejemplo: xxx taringa Guardamos ctrl + o y ctrl +x para salir REINICIAMOS EL SERVICIO /etc/init.d/squid3/ restart CONFIGURAMOS NUESTRA TARJETA DE RED PRIMARIA nano /etc/network/interfaces ASIGNAMOS LA IP DE FORMA ESTATICA Y COLOCAMOS LA DIRECCION Y RED auto eth0 iface lo inet static address 192.168.1.11 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 gateway 192.168.1.1
SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA SEGURIDAD DE REDES CENTRO COMM
01/02/2011 ING. GIOVANNI BRACHO T. E3T UIS
Guardamos y salimos REINICIAMOS LA INTERFAZ /etc/init.d/networking restart VERIFICAMOS NUESTRA TARJETA PARA VER SI HAN SURTIDO EFECTO LOS CAMBIOS APLICADOS Ifconfig VOLVEMOS AL ARCHIVO DEL PRINCIPIO nano /etc/squid3/squid.conf AÑADIMOS DOS NUEVAS LINEAS ESTA ACL VA A RESTRINGIR DOMINIOS DE DIRECCIONES WEB acl nowebs dstdomain “/etc/squid3/webrestringidas” Y ESTA ACL BLOQUEA EL ACCESO A LAS PAGINAS QUE SE ENCUENTREN EN EL ARCHIVO http_access deny nowebs AHORA CREAMOS EL ARCHIVO DONDE VAMOS A RESTRINGIR nano /etc/squid3/webrestringidas ESCRIBIMOS LAS PAGINAS QUE QUEREMOS RESTRINGIR www.taringa.net www.youtube.com Guardamos y reiniciamos los servicios /etc/init.d/squid3 restart Y ahora hay que probar que el servicio corra en el usuario