TEMA 7: SERVIDOR PROXY-CACHÉ
QUE ES UN PROXY Proxy: equipo que centraliza el tráfico de internet Funciones: Evita la necesidad de conexión directa Evita entradas desde el exterior no permitidas Transforma las direcciones Dos interfaces de red Red local Internet Analiza los paquetes antes de reenviarlos
QUE ES UN PROXY-CACHÉ Es un servidor proxy que ofrece servicios de caché Zona caché: zona de memoria que almacena datos que previsiblemente se van a usar en más de una ocasión Pueden formar redes de servidores proxy caché de modo que un usuario puede acceder a los datos de todos los servidores de la red
PROXY-CACHÉ: FUNCIONES Permitir acceso web a máquinas privadas Controlar el acceso web según máquina, página, día, hora,... Registrar el tráfico de la red local al exterior Controlar el contenido visitado y descargado para detectar ataques (virus, gusanos, troyanos,...) Controlar la seguridad de la red local ante ataques externos Caché de páginas web
PROXY-CACHÉ: VENTAJAS Mayor velocidad de navegación. Si la página está cacheada no es necesario volver a descargarla Uso más eficiente de la conexión a internet Cortafuegos Filtrado de servicios Transparente para el usuario si el proxy es del ISP
PROXY-CACHÉ: FUNCIONAMIENTO Se configura el cliente para que acceda a través del proxy usando: Puerta de enlace Configuración del navegador El navegador pide una página o un fichero a un servidor, pero internamente se la está pidiendo al proxy El proxy recibe la petición y busca en su caché por si tuviera los datos almacenados
PROXY-CACHÉ: FUNCIONAMIENTO Si no está almacenada en el proxy: Se reenvía la petición al servidor web Se recoge la respuesta y se almacena en la caché Se envía la respuesta al usuario que hizo la petición Si está almacenada en el proxy: Se pide al servidor la cabecera de la página Se comprueba la fecha de la última actualización Si es necesario se actualiza la página en la caché del proxy Se envia la respuesta al usuario que hizo la petición
PROXY-CACHÉ: REQUISITOS Bastante espacio en el disco duro Disco duro bastante rápido. SCSI > SATA > IDE Raid 0 o Raid 5 para permitir accesos simultaneos Mucha RAM y entre más rápida mejor Norma: 100 MB HD > 1 MB RAM Requerimientos de procesador normales
PROXY TRANSPARENTE No se configura en el navagador Obliga a los usuarios a usarlo sin ser conscientes Se instala el proxy en la puerta de enlace Si la puerta de enlace es un router se puede indicar que redireccione el tráfico web a la máquina que queramos que haga de proxy La redirección implica la instalación de un cortafuegos
CONFIGURACION EN Internet Explorer: NAVEGADORES Herramientas / Opciones de Internet / Conexiones / Configuracion Lan Marcar <<Usar servidor proxy>> Introducir IP y puerto Mozilla Firefox: Editar / Preferencias / General / Configuración de la conexión Marcar <<Configuración manual del proxy>> Introducir IP, puerto y FTP si se desea
SQUID Proxy caché para Linux o Windows Puede hacer filtrado de datos Según URL Franja horaria IP origen o destino Protocolo /etc/squid3/squid.conf es el fichero de configuración
SQUID: INSTALACION Necesitamos una máquina con dos tarjetas de red que separe dos redes Esta máquina será la puerta de enlace de las máquinas de la LAN Tendrá configurada la interfaz WAN para conectarse a internet Se debe configurar la conexión compartida a internet Windows Compartir conexión de red Linux Firestarter
SQUID: INSTALACIÓN Instalamos squid mediante synaptic o descomprimiendo el zip en Windows Editamos el fichero squid3.conf Abrimos el puerto configurado en el cortafuegos Configuramos el cliente para que use el proxy Si hacemos nuestro proxy transparente no es necesario configurar el cliente, pero es necesario configurar el cortafuegos para que antes de enrutar redirija el tráfico web al proxy Comprobamos con el cliente que todo funciona
SQUID.CONF http_port puerto de escucha (8080 o 3128) Cache_dir ruta de la carpeta donde se almacenarán las páginas y tamaño máximo de la misma cache_mem memoria que usará el squid cache_mgr email del encargado access_log, cache_log, cache_store_log rutas de almacenamiento de los ficheros de log ftp_user usuario para conexiones anónimas FTP error_directory carpeta con las páginas de error
visible_hostname nombre del servidor maximum_object_size tamaño máximo de los objetos cacheables minimum_object_size tamaño mínimo de los objetos cacheables
SQUID.CONF Acl control de acceso Acl nombre tipo Nombre: nombre de la clausula Tipo: Src clientes Time horario Srcdomain dominio Dstdomain dominio url_regex [ i] patron Maxconn limite http_access [deny allow] [!] [nombre_acl]
/etc/firestarter/user_post Fichero para enrutamiento en proxy transparente En squid.conf http_port puerto transparent El fichero user_post debe tener permisos 440. Para modificarlo hay que cambiarlos modificarlo ponerlos otra vez al original /sbin/iptables t nat A PREROUTING i wlan0 s 192.168.0.1/255.255.255.0 p tcp dport 80 j REDIRECT to port 8080
SARG Es un analizador del fichero access.log Instalar desde synaptic Configurar sarg.conf Ejecutar el comando sarg Visualizar y analizar los ficheros html resultantes
EJERCICIOS TEMA 8 Seguridad: Instalación y configuración de squid Reglas que proponga el profesor Apartado 7.4 Práctica con SARG