Implementacin de Firewall Proxy-cache, filtrado de acceso web y

herramientas de reportes
Squid: Es un Servidor Intermediario de alto desempeo que se ha venido desarrollando desde
hace varios aos y es hoy en da un muy popular y ampliamente utilizado entre los sistemas
operativos como GNU/Linux y derivados de Unix. Es muy confiable, robusto y verstil y se
distribuye bajo los trminos de la Licencia Pblica General GNU (GNU/GPL). Siendo
equipamiento lgico libre, est disponible el cdigo fuente para quien as lo requiera.
Procederemos a la descarga e instalacin del squid a travs de la siguiente lnea de comando:
yum install squid
Una vez instalado procederemos a la configuracin. El archivo de configuracin del squid se
encuentra ubicado en la siguiente ruta: /etc/squid/squid.conf. A continuacin se muestra la
configuracin que tendr el squid para las necesidades de nuestra red.
Por defecto squid habilita todas las redes definidas en el RFC1918, lo cual deshabilitaremos
comentando las siguientes lneas:

Squid posee una innumerable lista de opciones a modificar de las cuales tomaremos en cuenta
para su correcto funcionamiento las siguientes
Creacin de listas de acceso:

Creacin de reglas y asignacin de puertos a nuestras redes:

Creacin de memoria cache, registro de actividad y mensajes de error:

Iniciamos y aadimos el servicio al arranque del sistema a travs de las siguientes lneas de
comando:
service squid start
chkconfig squid on


Filtro de contenido web (Dansguardian):
Dansguardian permite filtrar contenido web con gran facilidad y ayuda mucho al servicio squid
en el bloqueo efectivo de sitios web, palabras, fotos, archivos, etc.
Iniciamos con la instalacin, para ellos se necesita tener instalado el squid adems del
repositorio rpmforge, el cual descargaremos del siguiente enlace
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpm
Luego se instala,
rpm -Uvh rpmforge-release-0.5.2-2.el5.rf.i686.rpm
Ahora podremos instalar el dansguardian a travs de la siguiente lnea de comando:
yum install dansguardian
Procederemos a la configuracin del dansguardian, su archivo de configuracin se encuentra
en /etc/dansguardian/dansguardian.conf, modificamos ciertos parmetros para que el servicio
quede funcional:
Cambiamos el idioma y el valor del parmetro loglevel,

Des comentamos el log para observar la actividad del dansguardian, adems la ip por donde
escucha,

Asignamos el puerto de escucha del dansguardian por defecto el 8080, adems indicamos la ip
de nuestro servidor proxy as como la puerta por donde escucha, en nuestro caso el puerto
3128.

Iniciamos y agregamos nuestro servicio al arranque del sistema,
service dansguardian start
chkconfig dansguardian on
Los archivos para la administracin del dansguardian se encuentran en
/etc/dansguardian/lists/, algunos de los archivos que podemos configurar son:
Bannedextensionlist: En este archivo de configuracin vamos a poner todas las extensiones de
archivos que vamos a restringir, por defecto vienen una lista de extensiones bloqueadas.
Bannediplist: En este archivo de configuracin vamos a poner las IP que vamos a restringir,
podemos poner tanto una IP, como una red completa (192.168.1.0/24).
Bannedphraselist: En este archivo vamos a configurar las listas de frases a utilizar para el
escaneo de contenidos.
Otra forma de controlar el contenido web es mediante una Blacklist (lista negra) que es un
fichero con un lista de sitio de Internet que se consideran peligrosos. Dansguardian
proporciona una lista negra, aunque un poco antigua, si queremos una lista negra ms
actualizada en el siguiente enlace podemos conseguirla:
wget http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist
Descargamos y descomprimimos el archivo en la ruta /etc/dansguardian/list/blacklist/

Para aplicar los filtros obtenidos de las black list se modifican los archivos de configuracin
bannedsitelist (para bloquear dominios) y bannedurllist (para bloquear sitios web).
Quitamos el comentario de las categoras que deseamos bloquear.

Por ultimo agregamos la regla a nuestro firewall para redireccionar las peticiones al puerto 80
hacia puerto 8080 del dansguardian. Para ello ingresaremos una nueva regla al archivo de
configuracin del shorewall /etc/shorewall/rules.



Sarg: Es la ms completa y fcil de utilizar herramienta para la generacin de reportes a partir
de las bitcoras de Squid. Permite ver con detalle la actividad de todos los equipos y/o
usuarios dentro de la red de rea local, registrada en la bitcora de Squid.
Para el uso de sarg es necesario tener instalado un servidor web, iniciamos la instalacin del
sarg y http:
yum install sarg
yum install httpd
El archivo de configuracin del sarg se encuentra en la ruta /etc/sarg/sarg.conf, en el
modificaremos algunos parmetros para el correcto funcionamiento del servicio. Comenzamos
modificando el idioma:

Editamos el archivo /etc/httpd/conf.d/sarg.conf

Se modific el archivo de modo que solo tengan acceso usuarios autorizados que se
autenticaran a travs del archivo /var/www/claves-sarg. A continuacin se mostraran las lneas
de comando utilizadas para la generacin de usuarios autorizados.
Se genera el mandato touch: touch /var/www/claves-sarg
Generamos persimos de escritura y lectura: chmod 0600 /var/www/claves-sarg
Agregamos el archivo al grupo y usuario apache: chown apache:apache /var/www/claves-sarg
Utilizamos el comando htpasswd para generar un usuario virtual: htpasswd /var/www/claves-
sarg administrador
Finalmente iniciamos los servicios httpd y sarg:
chkconfig http on
service httpd start
sarg
chkconfig cron don
service crond start

Ingresamos desde un cliente y comprobamos que funcione adecuadamente, con la
autenticacin de usuarios.