SERVIDOR PROXY CON AUTENTICACION DE USUARIOS DE SERVICIO DE DIRECTORIO
Erica Yolima Uribe Marcela Martínez Vanessa Valenzuela Richar Alexander Salazar Jonatan ostau de la Font Martinez
Presentado a: Prof: Andrés Mauricio Ortiz
Servicio Nacional de Aprendizaje “SENA” Regional Antioquia Centro de Servicios y Gestión Empresarial 2009
1
INDICE
1.INTRODUCCION 2.OBJETIVOS 2.1 OBJETIVO GENERAL 2.2 OBJETIVOS ESPECIFICOS 3. MARCO CONCEPTUAL 3.1.seguridad informática 3.4 servidor Proxy 3.5 Funcionamiento 3.6 CLASES DE PROXIES 3.6.1 Proxy NAT 3.6.2 Proxy Cache 3.6.3 Proxy Transparente 3.6.4 Proxy Reverse 3.6.5 Proxy Abierto 3.7 Squid. 4. SERVIDOR PROXY CON AUTENTICACIÓN DE USUARIOS DE SERVICIO DE DIRECTORIO. 5. INSTALACION Y CONFIGURACION DE EL SQUID CON AUTENTICACION CON ACTIVE DIRECTORY. 6. AUTENTICACION PROXY CON ACTIVE DIRECTORY 7. ARCHIVO DE CONFIGURACION COMPLETO DE EL SQUID. 8.ANALIZADOR DE TRÁFICO PARA GENERAR REPORTES ESTADÍSTICOS. 9.VENTAJAS. 10. DESVENTAJAS.
2
11.CONCLUSIÓN 12. CIBERGRAFIA.
3
INTRODUCCION
Hoy en día para un administrador de red es indispensable implementar la seguridad y tener especial cuidado en los accesos de los usuarios hacia la red externa o Internet, por ello es necesaria la implementación de un servidor como el “PROXY” desde una intranet que vigile el tráfico de red y gestione todo tipo de accesos por medio del filtro de contenidos. Con este mecanismo de seguridad implementado por el ISP se podrá desactivar el acceso o filtrar las solicitudes de contenido para ciertas sedes Web consideradas ofensivas o dañinas para la red y los usuarios podrán Mejoran el rendimiento y hacer que el trabajo de los usuarios en la sea mas productivo y no allá modo de distracción.
4
OBJETIVOS OBJETIVO GENERAL Configurar un Servidor Proxy con autenticación de usuarios de servicio de directorio y analizar el tráfico generado. OBJETIVOS ESPECIFICOS. Utilizar los conocimientos requeridos para el montaje de un servidor proxy y su configuración. Reconocer los diferentes analizadores de tráfico para el squid, Mejora el trabajo en grupo.
5
MARCO CONCEPTUAL Seguridad Informática Es asegurar que los recursos del sistema de información (material informático o programas) de una empresa sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
Servidor Proxy Un Proxy es una aplicación o un dispositivo hardware que hace de intermediario entre los usuarios, normalmente de una red local, e Internet. Su finalidad es implementar la seguridad en un intranet, es un punto intermedio entre un ordenador conectado a Internet y el servidor al que se está accediendo a este se dirigen las peticiones de los usuarios y este las redirecciona (deniega o permite) según su configuración.
Funcionamiento Un Proxy, como dijimos anteriormente, hace de intermediario entre varios Equipos de una red, de forma que estos conecten indirectamente a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el Proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el Proxy añade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (Ej.: una página Web) en una cache que permita acelerar sucesivas consultas coincidentes, consiguiendo así una mejora del rendimiento y evitando saturaciones cuando se realizan muchas consultas en poco tiempo. Se usan Diversas técnicas.
6
CLASES DE PROXIES -Proxy NAT (Network Address Translation) Enmascaramiento La traducción de direcciones de red (NAT, Network Address Translation) también es conocida como enmascaramiento de IPs. Es una técnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ahí el "enmascaramiento"). Esto es lo que ocurre cuando varios usuarios comparten una única conexión a Internet y Se dispone de una única dirección IP pública, que tiene que ser compartida. Dentro de la red de área local (LAN) los equipos emplean direcciones IP reservadas para uso privado y será el Proxy el encargado de traducir las direcciones privadas a esa única dirección pública para realizar las peticiones, así como de distribuir las páginas recibidas a aquel usuario interno que la solicitó. -Proxy de Web / Proxy cache de Web 7
Este es para el acceso a la Web especifico, proporciona una cache (el cache es una memoria especialmente rápida, unas 5 veces la memoria RAM) para las páginas Web y los contenidos descargados, que es compartida por todos los equipos de la red, con la consiguiente mejora en los tiempos de acceso para consultas coincidentes. Esto evita la sobrecarga en la red y mejora el rendimiento al liberar de trabajo al servidor real. 1. El cliente realiza una petición (p.ej. mediante un navegador Web) de un recurso de Internet (una página Web o cualquier otro archivo) especificado por una URL. 2. Cuando el Proxy caché recibe la petición, busca la URL resultante en su caché local. Si la encuentra, devuelve el documento inmediatamente, si no es así, lo captura del servidor remoto, lo devuelve al que lo pidió y guarda una copia en su caché para futuras peticiones.
-PROXY TRANSPARENTE Este implemente un refuerzo de las políticas de uso de la red y proporciona la seguridad y servicios de caché. Normalmente, un Proxy Web o NAT no es transparente a la aplicación cliente: debe ser configurada para usar el Proxy, manualmente. Por lo tanto, el usuario puede evadir el Proxy cambiando simplemente la configuración. Una ventaja de tal es que se puede usar para redes de empresa y proveedores de servicios de Internet (ISP). -REVERSE PROXY Un reverse Proxy es un servidor Proxy instalado en el domicilio de uno o más servidores Web. Todo el tráfico entrante de Internet y con el destino de uno de esos servidores Web pasa a través del servidor Proxy
8
Este proporciona mejoras como • •
•
•
Seguridad: el servidor Proxy es una capa adicional de defensa y por lo tanto protege los servidores Web. Cifrado / Aceleración SSL: cuando se crea un sitio Web seguro, habitualmente el cifrado SSL no lo hace el mismo servidor Web, sino que es realizado por el "reverse Proxy", el cual está equipado con un hardware de aceleración SSL (Security Sockets Layer). Distribución de Carga: el "reverse Proxy" puede distribuir la carga entre varios servidores Web. En ese caso, el "reverse Proxy" puede necesitar reescribir las URL de cada página Web (traducción de la URL externa a la URL interna correspondiente, según en qué servidor se encuentre la información solicitada). Caché de contenido estático: Un "reverse Proxy" puede descargar los servidores Web almacenando contenido estático como imágenes u otro contenido gráfico.
-Proxy Abierto Este tipo de Proxy que acepta peticiones desde cualquier ordenador, esté o no conectado a su red. Este tiene una configuración que permitirá ejecutar cualquier petición de cualquier ordenador que pueda conectarse a él, realizándola como si fuera una petición del Proxy. Por lo que permite que este tipo de Proxy se use como pasarela para el envío masivo de correos de spam Un Proxy se usa, normalmente, para almacenar y redirigir servicios como el DNS o la navegación Web, mediante el cacheo de peticiones en el servidor Proxy, lo que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuración "abierta" a todo Internet, se convierte en una herramienta para su uso indebido. SQUID Squid es un popular programa de software libre que implementa un servidor Proxy y un demonio para caché de páginas Web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un servidor Web, guardando en caché peticiones repetidas a DNS y otras búsquedas para un grupo de gente que comparte recursos de la red, hasta caché de Web, además de añadir seguridad filtrando el tráfico. Está especialmente diseñado para ejecutarse bajo entornos tipo Unix, Aunque también tiene gran funcionalidad en Windows Squid ha sido desarrollado durante muchos años y se le considera muy completo y robusto. Aunque orientado a principalmente a HTTP y FTP y es compatible con modalidades de cifrado como TLS, SSL, y HTTPS.
9
SERVIDOR PROXY CON AUTENTICACIÓN DE USUARIOS DE SERVICIO DE DIRECTORIO.
INSTALACION ACTIVE DIRECTORY Primero se instalara directorio activo para crear los usuarios que se necesitan para la autenticación con el servidor proxy. Antes de instalar Active Directory y el DNS recuerde poner su dirección estática.
Aceptar. Desde “Ejecutar” escribimos dcpromo y le damos “Aceptar”.
10
Aparecerá el “Asistente para instalación de Active Directoy” da clic en “Siguiente”.
Aquí aparece el tipo de controlador que se desea instalar. En esta ocasión será un controlador de dominio para un dominio nuevo. Y pulsamos siguiente.
11
En la opción crear un nuevo dominio elegimos la opción que se desee en esta ocasión será, Dominio en un nuevo bosque.
Siguiente > 12
Se especifica el nombre de el dominio que se va a utilizar el de nosotros será proxy57.com
Siguiente > En el asistente aparece el nombre de la NetBIOS del dominio, se deja por defecto PROXY57
13
En este pantallazo aparecen las carpetas de la base de datos y registros. Se pueden dejar por defecto.
Siguiente > Se deja por defecto la ruta que aparece en este asistente.
Siguiente > 14
Aparece el diagnostico de registro de DNS, escogemos la opción se que deseemos. Hoy elegiremos la segunda ya que no tenemos un DNS instalado aun.
En el asistente de permisos se elige la segunda opción la cual es se está refiriendo al sistema operativo en cual se está trabajando.
15
.“Contraseña de administrador. Del modo de restauración de servicios de directorio” Escriba la contraseña que desee.
Siguiente >
16
“Resumen” para terminar aparece un resumen de todo lo que se hizo. Selecciona “Siguiente”.
Aparece un cuadro de dialogo de Asistente para instalación de Active Directoy, en este tiempo se está registrando la configuración que acabas de hacer.
Y por ultimo reiniciamos el equipo para que surtan efecto los cambios.
17
ya que instalado el active directory
Al reiniciar vamos a herramientas administrativas > usuarios y equipos de Active Diretory.
18
Aquí muestra el dominio creado para active directory. Nos ubicamos en el dominio y le damos clic derecho elegimos la opción nuevo > unidad organizativa.
Escribimos el nombre la unidad organizativa. Aceptar
19
Cuando esta la unidad organizativa creada, dentro de ella creamos los usuarios con los cuales se van a utilizar para que se autentique con el squid.
Le escribimos su contraseña respectiva. Siguiente >
20
Y finalizar. Así sucesivamente se van creando los usuarios con los permisos que se deseen.
Aquí muestran los usuarios creados dentro de la unidad organizativa PROXY. 21
INSTALACION Y CONFIGURACION DE EL SQUID CON AUTENTICACION CON ACTIVE DIRECTORY. Primero se descarga el squid la versión que se desee, podría ser de la siguiente pagina. http://squid.acmeconsulting.it/download/dl-squid.html Lo descomprimimos dentro del disco C Cuando ya esté descomprimido entramos a c:\squid\etc. Estos son los archivos de configuración.
Los renombramos y recuerde dejar un respaldo para futuras referencias. Debe quedar de la siguiente manera.
22
CONFIGURACIÓN DE SQUID BASICO Este instala el servicio de Proxy en la lista de servicios de Windows NT. Escribimos squid –i
Con el Worpad o el editor de textos de tu preferencia abre el archivo squid.conf 23
y busca los siguientes comandos y realiza las modificaciones siguientes. http_port 3128 Squid por defecto utilizará el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto o bien que lo haga en varios puertos a la vez. cache_mem 32 MB El parámetro cache_mem establece la cantidad ideal de memoria para lo siguiente: • Objetos en tránsito. • Objetos Hot. • Objetos negativamente almacenados en el caché. Los datos de estos objetos se almacenan en bloques de 4 Kb. El parámetro cache_mem especifica Un límite máximo en el tamaño total de bloques acomodados, donde los objetos en tránsito tienen mayor prioridad. Sin embargo los objetos Hot y aquellos negativamente almacenados en el caché podrán utilizar la memoria no utilizada hasta que esta sea requerida. De ser necesario, si un objeto en tránsito es mayor a la cantidad de memoria especificada, Squid excederá lo que sea necesario para satisfacer la petición. cache_dir ufs c: /squid/var/cache 100 16 256 Este parámetro se utiliza para establecer que tamaño se desea que tenga el cache en el disco duro Para Squid. Por defecto Squid utilizará un cache de 100 MB. Los números 16 y 256 significan que el directorio del cache contendrá 16 subdirectorios con 256 niveles cada uno. No modifique esto números, no hay necesidad de hacerlo. Controles de acceso. Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular. A cada lista se le asignará una Regla de Control de Acceso que permitirá o denegará el acceso a Squid. Procedamos a entender cómo definir unas y otras. Listas de control de acceso. Regularmente una lista de control de acceso se establece siguiendo la siguiente sintaxis: Acl [nombre de la lista] src [lo que compone a la lista]
24
Busca el siguiente grupo de líneas: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT Aquí podras agregar tus acls De momento bastara con que agregues la siguiente línea acl net src 172.20.0.0/255.255.0.0 Donde 172.20.0.0 representa el segmento de red en la que estas. Buscas la siguiente línea: http_access allow manager localhost y justo debajo de ella agregas la siguiente. http_access allow net Donde net representa a tu red, esta instrucción está dando permisos a la red en la que estas de usar tu proxy. Después agregas esta línea al final del archivo visible_hostname localhost Busca esta línea y desconténtala, (elimina el símbolo de número antes de la misma). ACLs Ahora crearemos diferentes archivos donde estarán las restricciones y las 25
páginas de acceso para el público. En estos se pondrán en las rutas de las acls, estos archivos podremos ubicarlos donde queramos siempre y cuando la ruta este correcta en la acl. Por ejemplo: c:/squid/etc/denegados marcexchange.blogspot.com richarsalazar.blogspot.com redes.com ostau2008.blogspot.com servidoresyseguridad.blospot.com vanny27.blogspot.com Ejemplo acl: Acl denegados dstdomain "c:/squid/etc/denegados" c:/squid/etc/listas/palabrasNO.acl porno Juego Video Peli Macizorras Sexo c:/squid/etc/listas/ficherosNo.acl .mp3$ .avi$ .jpeg$ mp3 avi Jpeg Juegos games .jpg$ .png$ .jif$ c:/squid/etc/listas/BLACKprox.acl aquí está las listas negras 12.144.83.2:80 12.32.88.30:80 152.88.1.13:80 26
155.229.204.25:80 155.229.77.2:8080 167.206.112.85:80 168.95.19.27:8080 192.84.155.28:80 195.117.39.16:3128 195.168.84.16:80 195.83.249.62:80 200.161.5.229:8080 200.27.138.94:80 202.156.2.83:8080 202.54.13.146:80 202.57.125.40:80 202.57.125.41:8080 202.57.221.111:80 202.79.160.4:80 203.130.206.194:3128 203.17.102.19:8080 203.52.233.2:8080 205.162.223.74:8080 205.168.2.230:80 205.205.143.254:8002 205.213.2.2:8080 205.214.211.194:80 205.216.196.66:80 205.238.79.145:80 205.247.166.233:80 205.252.224.66:8080 207.136.80.236:81 207.15.44.62:80 207.150.137.130:8000 207.166.1.25:8080 207.173.172.98:8000 207.208.169.67:80 207.226.253.3:80 207.232.162.22:80 207.243.156.9:80 207.3.112.250:8080 207.30.224.108:80 207.6.138.170:80 207.61.234.99:80 207.61.37.218:80 207.61.38.67:8000 207.63.170.2:80 207.7.58.111:8000 207.70.158.2:80 207.86.145.51:80 207.96.1.42:80 209.113.184.98:8080 209.205.19.122:3128 27
211-23-199-103.hinet-ip.hinet.net:80 211.11.212.99:80 212.234.239.205:8080 213.140.5.195:80 216.155.175.188:8080 216.245.172.3:8080 217.6.124.34:8080 217.6.135.122:3128 217.6.171.35:80 217.6.180.2:80 217.6.192.146:8080 217.6.27.2:3128 217.6.85.165:8080 24.153.177.210:8080 24.166.67.119:8080 62.2.157.242:3128 62.30.231.155:8080 62.30.40.22:3128 62.30.62.73:8080 63.68.93.166:80 64.9.10.226:80 80.105.188.180:3128 Bess-proxy2.maine207.k12.il.us:80 cache.voicenet.com:80 cache1.powertolearn.net:80 cartman.sunbeach.net:3128 dhcp024-166-067-119.neo.rr.com:8080 family.look.ca:81 filter.clean4all.com:8983 ipac.wfpl.net:80 ipserv1.central-lee.k12.ia.us:8000 isaic.crlibrary.org:8000 jupiter.mripa.org:80 mail.britain-info.org:80 mail.ndhsb.org:80 mail.uastpa.com:80 mail.woodland-container.com:8000 mail2.ayrnet.com:80 mchr01.erols.com:8080 metafix.com:80 ns1.moline.lth2.k12.il.us:80 orocache.bcoe.butte.k12.ca.us:80 pluto-e0.in.bellnexxia.net:8080 proxy.psrc.schoollink.net:80 proxy.robeson.k12.nc.us:80 proxy.schoollink.net:80 rrcs-central-24-123-80-138.biz.rr.com:80 rrcs-sw-24-153-177-210.biz.rr.com:8080 ruby.look.ca:81 schools.ci.burbank.ca.us:8080 28
sms.edu.gd:80 sun2.sunworks.com:8000 ts.care.org:80 w162.z064221053.det-mi.dsl.cnc.net:8080 watnet.watkinson.org:80 www.antigua.com:80 www.sfis.k12.nm.us:80 www.walsingham.org:80 www.westwood.k12.ia.us:80 207.60.**.** and 207.61.**.** - FBI Linux servers used to trap scanners 6.*.*.* - Army Information Systems Center 21.*.*.* - US Defense Information Systems Agency Here is a little more info.... 6.*.*.* - Army Information Systems Center 21.*.*.* - US Defense Information Systems Agency 22.*.*.* - Defense Information Systems Agency 26.*.*.* - Defense Information Systems Agency 29.*.*.* - Defense Information Systems Agency 30.*.*.* - Defense Information Systems Agency 49.*.*.* - Joint Tactical Command 50.*.*.* - Joint Tactical Command 55.*.*.* - Army National Guard Bureau CanXit 22.*.*.* - Defense Information Systems Agency 26.*.*.* - Defense Information Systems Agency 29.*.*.* - Defense Information Systems Agency 30.*.*.* - Defense Information Systems Agency 49.*.*.* - Joint Tactical Command 50.*.*.* - Joint Tactical Command 55.*.*.* - Army National Guard Bureau 62.0.0.1 - 62.30.255.255 ######.*.* 64.225.*.* 64.226.*.* 195.10.* 205.96.* - 205.103.* 207.30.* - 207.120.* 207.60.* - 207.61.* 209.35.*.* 216.25.* <-- REAL DANGEROUS 216.247.* <-- REAL DANGEROUS 217.6.*.* 155.7.0.0 American Forces Information (NET-AFISHQ-NET1) 155.8.0.0 U.S. ArmyFort Gordon (NET-GORDON-NET5) 155.9.0.0 United States Army Information Systems Command (NET-LWOODNET2) 155.74.0.0 PEO STAMIS (NET-CEAP2) 155.75.0.0 US Army Corps of Engineers (NET-CEAP3) 155.76.0.0 PEO STAMIS (NET-CEAP4) 155.77.0.0 PEO STAMIS (NET-CEAP5) 29
155.78.0.0 PEO STAMIS (NET-CEAP6) 155.79.0.0 US Army Corps of Engineers (NET-CEAP7) 155.80.0.0 PEO STAMIS (NET-CEAP8) 155.81.0.0 PEO STAMIS (NET-CEAP9) 155.82.0.0 PEO STAMIS (NET-CEAP10) 155.83.0.0 US Army Corps of Enginers (NET-CEAP11) 155.84.0.0 PEO STAMIS (NET-CEAP12) 155.85.0.0 PEO STAMIS (NET-CEAP13) 155.86.0.0 US Army Corps of Engineers (NET-CEAP14) 155.87.0.0 PEO STAMIS (NET-CEAP15) 155.88.0.0 PEO STAMIS (NET-CEAP16) 155.178.0.0 Federal Aviation Administration (NET-FAA) 155.213.0.0 USAISC Fort Benning (NET-FTBENNNET3) 155.214.0.0 Director of Information Management (NET-CARSON-TCACC ) 155.215.0.0 USAISC-FT DRUM (NET-DRUM-TCACCIS) 155.216.0.0 TCACCIS Project Management Office (NET-FTDIX-TCACCI) 155.217.0.0 Directorate of Information Management (NET- EUSTIS-EMH1) 155.218.0.0 USAISC (NET-WVA-EMH2) 155.219.0.0 DOIM/USAISC Fort Sill (NET-SILL-TCACCIS) 155.220.0.0 USAISC-DOIM (NET-FTKNOX-NET4) 155.221.0.0 USAISC-Ft Ord (NET-FTORD-NET2) 128.47.0.0 Army Communications Electronics Command (NET-TACTNET) 128.50.0.0 Department of Defense (NET-COINS) 128.51.0.0 Department of Defense (NET-COINSTNET) 128.56.0.0 U.S. Naval Academy (NET-USNA-NET) 128.63.0.0 Army Ballistics Research Laboratory (NET-BRL-SUBNET) 128.80.0.0 Army Communications Electronics Command (CECOM) (NETCECOMNET) 128.98.0.0 - 128.98.255.255 Defence Evaluation and Research Agency (NETDERA-UK) 128.154.0.0 NASA Wallops Flight Facility (NET-WFF-NET) 128.155.0.0 NASA Langley Research Center (NET-LARC-NET) 128.156.0.0 NASA Lewis Network Control Center (NET- LERC) 128.157.0.0 NASA Johnson Space Center (NET-JSC-NET) 128.158.0.0 NASA Ames Research Center (NET-MSFC-NET) 128.159.0.0 NASA Ames Research Center (NET-KSC-NET) 128.160.0.0 Naval Research Laboratory (NET- SSCNET) 128.161.0.0 NASA Ames Research Center (NET-NSN-NET) 128.183.0.0 NASA Goddard Space Flight Center (NET-GSFC) 128.216.0.0 MacDill Air Force Base (NET-CC-PRNET) 128.217.0.0 NASA Kennedy Space Center (NET-NASA-KSC-OIS) 128.236.0.0 U.S. Air Force Academy (NET-USAFA-NET) ASÍ QUEDARA EL ARCHIVO CON NUESTRA CONFIGURACIÓN. http_port 172.20.0.12:3128 icp_port 0 cache_mem 32 MB cache_dir ufs c:/squid/var/cache 100 16 256
30
# POLITICAS DE ACCESO #ACL URLs acl denegados dstdomain "c:/squid/etc/denegados" acl correo dst www.hotmail.com acl noquiero dst www.yahoo.com #ACL PALABRAS acl palabras url_regex "c:/squid/etc/listas/palabrasNO.acl" #ACL EXTENCIONES DE ARCHIVOS acl ficherosNo urlpath_regex "c:/squid/etc/listas/ficherosNo.acl"
-i
#ACL MIME_TYPE acl javascript rep_mime_type -i ^application/x-javascript$ acl ejecutables rep_mime_type -i ^application/octet-stream$ acl audiompeg rep_mime_type -i ^audio/mpeg$ #ACL HORARIOS acl restriccion time SMTWHFA 13:00-13:3 acl equipo2 time F 08:00-12:00 172.20.0.16 #LISTAS NEGRAS acl ln1 url_regex "c:/squid/etc/listas/BLACKprox.acl" #CON AUTENTICACION DE USUARIOS POR SERVICIO DE DIRECTORIO acl password proxy_auth REQUIRED #ID DE RED acl all src 0.0.0.0/0.0.0.0 acl red src 172.20.0.0/255.255.255.0 visible_hostname localhost #RESTRINCIONES Y ACCESOS #DENEGAMOS ACCESA A URLs http_access deny correo http_access deny noquiero http_access deny denegados #RESTRINCCION POR PALABRAS http_access deny palabras #DENEGAMOS LAS EXTENCIONES DE ARCHIVO http_access deny ficherosNO #DENEGAMOS LOS MIME_TYPES 31
http_access deny javascript http_access deny ejecutables http_access deny audiompeg #IMPLEMENTAMOS EL ACCESO POR HORARIO /DENEGAMOS http_access deny restriccion #LISTAS NEGRAS PARA EL CONTROL DE ACCESO /DENEGAMOS http_access deny ln1 #PERMITIMOS LA AUTENTICACION DE USUARIOS http_access allow password #PERMITIMOS NUESTRO RANGO DE RED /ACCESO PROXY http_access allow red http_access deny all request_header_max_size 10 KB request_body_max_size 512 KB Guardamos todo lo que se hizo. Vamos a ejecutar y escribimos CMD para que se ejecute la consola.
Cuando estemos en la consola vamos a la ruta del squid para ejecutarlo. Cd \squid\sbin
32
Lo reiniciaremos con el comando squid –z Si no marca errores significa que as hecho todo bien.
NOTA: Es importante que siempre que hagamos cambios paremos el servicio y luego lo iniciemos para que estos surtan efecto.
Debemos poner en nuestro navegador la dirección de nuestro squid y tratar de ingresar. 33
Los agregaremos de la siguiente forma: Para el Internet Explorer Herramientas > opciones de Internet > conexiones > Configuración de LAN
En Firefox Herramientas > Opciones > Avanzado > Red >configuración
34
PROBANDO LA CONFIGURACION Esta pagina la hemos agregado en denegados, lo que indica que hemos hecho una buena configuración.
AUTENTICACION PROXY CON ACTIVE DIRECTORY Al inicio de el archivo de configuración de el squid agregamos las siguientes líneas en donde mswin_auth.exe será nuestro método de autenticación y PROXY57 auth_param basic program c:/squid/libexec/mswin_auth.exe children 5 auth_param basic program c:/squid/libexec/mswin_auth.exe realm Squid proxy-caching web server auth_param basic program c:/squid/libexec/mswin_auth.exe credentialsttl 1 minute auth_param basic program c:/squid/libexec/mswin_auth.exe casesensitive off
-O PROXY57 -O PROXY57 -O PROXY57 -O PROXY57
35
Una vez hecho esto buscamos nuestra lista de acl´s y agregamos la siguiente. acl password proxy_auth REQUIRED Donde password es el nombre que le daremos a la acl de autenticación. - A continuación vamos a nuestras reglas de acceso y usamos la autenticación donde queramos. Por ejemplo así queremos que no deje navegar a nadie si no esta autenticado ponemos antes de todas nuestras reglas de acceso la restricción. Es indispensable que este comando este antes de todas las instrucciones http_access que tengas implementadas para lograr este efecto si se desea . http_access deny ¡password Pero en nuestro caso deberemos permitirlas para que todos los usuarios puedan acceder http_acces allow password Para poner en funcionamiento la autenticación no olvide reiniciar el servicio de SquidNT con el comando squid –z después de implementar este manual. Así nos queda el archivo de configuración del squid terminado con la autenticación. ARCHIVO DE CONFIGURACION COMPLETO auth_param basic program c:/squid/libexec/mswin_auth.exe children 5 auth_param basic program c:/squid/libexec/mswin_auth.exe realm Squid proxy-caching web server auth_param basic program c:/squid/libexec/mswin_auth.exe credentialsttl 1 minute auth_param basic program c:/squid/libexec/mswin_auth.exe casesensitive off
-O PROXY57 -O PROXY57 -O PROXY57 -O PROXY57
http_port 172.20.0.12:3128 icp_port 0 cache_mem 32 MB cache_dir ufs c:/squid/var/cache 100 16 256 # POLITICAS DE ACCESO #ACL URLs acl denegados dstdomain "c:/squid/etc/denegados" 36
acl correo dst www.hotmail.com acl noquiero dst www.yahoo.com #ACL PALABRAS acl palabras url_regex "c:/squid/etc/listas/palabrasNO.acl" #ACL EXTENCIONES DE ARCHIVOS acl ficherosNo urlpath_regex -i "/squid/etc/listas/ficherosNo.acl" #ACL MIME_TYPE acl javascript rep_mime_type -i ^application/x-javascript$ acl ejecutables rep_mime_type -i ^application/octet-stream$ acl audiompeg rep_mime_type -i ^audio/mpeg$ #ACL HORARIOS acl restriccion time SMTWHFA 13:00-13:3 acl equipo2 time F 08:00-12:00 172.20.0.16 #LISTAS NEGRAS acl ln1 url_regex "c:/squid/etc/listas/BLACKprox.acl" #CON AUTENTICACION DE USUARIOS POR SERVICIO DE DIRECTORIO acl password proxy_auth REQUIRED #ID DE RED acl all src 0.0.0.0/0.0.0.0 acl red src 172.20.0.0/255.255.255.0 visible_hostname localhost #RESTRINCIONES Y ACCESOS #DENEGAMOS ACCESA A URLs http_access deny correo http_access deny noquiero http_access deny denegados #RESTRINCCION POR PALABRAS http_access deny palabras #DENEGAMOS LAS EXTENCIONES DE ARCHIVO http_access deny ficherosNO #DENEGAMOS LOS MIME_TYPES http_access deny javascript http_access deny ejecutables http_access deny audiompeg #IMPLEMENTAMOS EL ACCESO POR HORARIO /DENEGAMOS http_access deny restriccion 37
#LISTAS NEGRAS PARA EL CONTROL DE ACCESO /DENEGAMOS http_access deny ln1 #PERMITIMOS LA AUTENTICACION DE USUARIOS http_access allow password #PERMITIMOS NUESTRO RANGO DE RED /ACCESO PROXY http_access allow red http_access deny all request_header_max_size 10 KB request_body_max_size 512 KB
PROBAREMOS EL FUNCIONAMIENTO DESDE EL NAVEGADOR Ahora nos tendremos que logear para el ingreso. Recuerde limpiar la cache para que se pueda se pueda logear.
Ingresamos el usuario y contraseña creados en active director debe acceder perfectamente
38
ANALIZADOR DE TRÁFICO PARA GENERAR REPORTES ESTADÍSTICOS. Se utilizo en analizador de tráfico llamado SARG (Squid Analysis Report Generator) SARG: es una herramienta que permite saber dónde han estado navegando los usuarios en Internet , a través del análisis del fichero de log “access.log” del proxy Squid. El poder de esta herramienta es increíble, pudiendo saber qué Usuarios accedieron a qué sitios, a qué horas, cuantos bytes han sido descargados, relación de sitios denegados ,errores de autentificación...entre otros.. Descargamos el SARG para Windows puede ser de la siguiente página: http://translate.google.com.co/translate?hl=es&sl=en&u=http://sourceforge.net/p roject/showfiles.php%3Fgroup_id%3D68910&ei=cK_TSaKCDqPflQe8_pz7Cw& sa=X&oi=translate&resnum=3&ct=result&prev=/search%3Fq%3Dsarg%2B%25 2B%2Bwindows%26hl%3Des%26client%3Dfirefox-a%26rls%3Dorg.mozilla:esES:official%26hs%3D6ck%26sa%3DG lo descomprimimos dentro del disco C:
No vamos configurar nada simplemente lo ponemos a correr de la siguiente manera por consola desde la ruta donde esta descomprimido. 39
Cd \ sarg\sbin Luego de estar allí escribimos: Sarg.exe
Esto genera un reporte en el c:\sarg\reports Recuerde esta ruta ya que la necesitaremos más adelante.
40
Se necesita montar un servidor web puede ser IIS o apache para que el sarg muestre la parte grafica. Vamos a Administre su servidor > agregar o quitar función
41
Siguiente>
En este asistente escogemos la opción Servidor de aplicaciones ( IIS, ASP NET)
Le damos siguiente sin señalar ninguna opción. 42
Damos siguiente después que nos muestra el resumen de lo que acabamos de hacer.
Finalizar > Al terminar la instalación de el servicio nos dirigimos a >sitios web
43
Cuando estemos ubicados en sitios web damos clic derecho y elegimos la opción > nuevo > sitio web
Comienza el asistente para crear el sitio web. 44
Siguiente >
Se hace una pequeña
descripción del sitio web, siguiente >
Se llenan los espacios con la información que se desee, en la primera casilla se escribe la dirección de mi equipo y en el segundo el puerto por donde va a correr en servicio web, el cual vienen por defecto. 45
Siguiente >
Se acuerdan que más delante en el documento les dice que no olvidaran la ruta C:\sarg\reports Esta se utilizara para que el servidor web la vea como una página. Damos clic en examinar y buscamos esa ruta. Siguiente >
46
En los permisos se pueden seleccionar los que usted desee en este caso solo los usuarios podrán leer el sitio web. Siguiente >
finalizar después de esto regresamos de nuevo a sitios web y observamos que ya esta nuestro sitio llamado sarg damos clic derecho sobre este y clic en propiedades, elegimos la pestaña Documentos
47
Agregar,,, y escribimos el nombre da la página index.html Aplicar y aceptar Si entramos por el navegador no nos va a dar ya que no se ha hecho el registro del servidor web. Hay que terminar de configurar el DNS así: Vamos a inicio > Administre su servidor > administrar el DNS
48
clic derecho sobre zona de búsqueda inversa > crear nueva zona. Seguimos el asistente.
Siguiente >
49
Elegimos el tipo de zona esta será una zona principal por eso señalamos la primera opción.
En el ámbito de replicación elegimos la opción que queremos que se repliquen los datos de zona para todos los servidores DNS en el bosque proxy57.com de Active Directory. 50
Siguiente >
Escribimos en id de la red la de nosotros es 172.20.0.X Siguiente >
51
Permitimos las actualizaciones dinámicas seguras. Siguiente >
Y finalizamos viendo el resumen de la zona inversa creada. Ahora creamos la zona directa, después de tenerla creada registramos el servidor web. Sobre la zona directa damos clic derecho en Host nuevo.
52
En el primer espacio escribimos www y creamos el PTR de una vez.
Reiniciamos todo. Vamos al navegador y escribimos la dirección de nuestro dominio.
53
Debe aparecer este pantallazo. ACCESO SEGURO PARA LA VISUALIZACION DE LOS REPORTES. Nos dirigimos a servidor de aplicaciones > sitios web > sarg
54
Clic derecho > propiedades seleccionamos la pestaña seguridad de directorios. Autenticación y control de acceso, clic en modificar.
55
Se le agrega un nombre de usuario > elegimos el nombre de el usuario para que autentique por un usuario de active directory.
Aceptar > aplicar > aceptar. Le habilitamos la contraseña y la confirmamos.
56
De nuevo nos dirigimos al navegador, asegúrese que el proxy este puesto y entramos al dominio creado. www.proxy57.com
Escribimos el usuario con que se desea ingresar.
57
Aparece la parte grafica de SARG, con cada los usuarios que se han registrado.
58
VENTAJAS Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo tanto, aligera el tráfico en la red y descarga los servidores destino, a los que llegan menos peticiones. Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que evita transferencias idénticas de la información entre servidores durante un tiempo (configurado por el administrador) así que el usuario recibe una respuesta más rápida. Demanda a Usuarios: Puede cubrir a un gran número de usuarios, para solicitar, a través de él, los contenidos Web. Filtrado de contenidos: El servidor Proxy puede hacer un filtrado de páginas o contenidos basándose en criterios de restricción establecidos por el administrador dependiendo valores y características de lo que no se permite, creando una restricción cuando sea necesario. Modificación de contenidos: Basándose en la misma función del filtrado, y llamado Privoxy tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para bloquear direcciones y Cookies por expresiones regulares y modifica en la petición el contenido.
59
DESVENTAJAS Las páginas mostradas pueden no estar actualizadas si éstas han sido modificadas desde la última carga que realizó el Proxy caché. Almacenar las páginas y objetos que los usuarios solicitan puede Un diseñador de páginas Web puede indicar en el contenido de su Web que los navegadores no hagan una caché de sus páginas, pero este método no funciona habitualmente para un Proxy. El hecho de acceder a Internet a través de un Proxy, en vez de mediante conexión directa, impide realizar operaciones avanzadas a través de suponer una violación de la intimidad para algunas personas. Algunos puertos o protocolos.
60
CONCLUSIONES
El Servidor Proxy es una forma de mantener nuestra red segura ya que podemos prohibir el acceso a los sitios no deseados o prohibidos, puede ser en una empresa o en cualquier lugar donde se instale un servidor donde se determine el acceso a los horarios que estén permitíos entrar diferente grupo de personas. Las ACLs y una http Access es una parte esencial para la instalación de un Servidor Proxy y también son parte esencial para poder crear políticas de seguridad las cuales nos permiten el acceso o la denegación de una pagina,. Las listas negras hacen parte de la seguridad en Servidores Proxy ya que estas listas tienen dominios donde se encuentran alojados los spam, virus u otras cosas que pueden hacerle daño a nuestra información.
61
CIBERGRAFIA
http://www.puppisoft.com/node/47 http://www.taringa.net/posts/ebooks-tutoriales/1512234/Squid-en-Windows.html http://sarg.sourceforge.net/sarg.php http://www.freedownloadmanager.org/es/downloads/Analizador_de_Eficiencia_ de_Calamar_20673_p/ http://rubioq.blogspot.com/2006/05/squidnt-restriccin-por-autenticacin.html
62