Escolar Documentos
Profissional Documentos
Cultura Documentos
El servidor proxy cach Squid es una solucin excelente para una variedad de
necesidades de proxy y servidor de almacenamiento en cach, y las escalas de la
sucursal a las redes a nivel empresarial y ofrecer mecanismos de control de amplio
acceso, granular y control de los parmetros crticos a travs del Simple Network
Management Protocol ( SNMP). Al seleccionar un sistema informtico para su uso como
un servidor proxy cach Squid dedicado para muchos usuarios asegurarse de que est
configurado con una gran cantidad de memoria fsica como Squid mantiene una cach
en memoria para un mayor rendimiento.
El Servidor Proxy dar servicio a todos los ordenadores de su Red Local, sean estos
Windows 3.11, Windows 95, Macintosh, UNIX, o cualquier otro sistema operativo. Esto
es posible ya que el protocolo de red TCP/IP fue creado precisamente para permitir la
interconexin de redes y sistemas heterogneos.
Un Servidor Proxy puede, por lo tanto, ahorrar mucho dinero a su empresa ya que le
ahorra:
Lneas de Telfono o RDSI adicionales
Mdem o Tarjetas RDSI adicionales
Cuentas de Acceso a internet adicionales
Ancho de Banda, mediante el almacenamiento en disco de pginas ya visitadas
Los Servidores Proxy son una pieza fundamental en la creacin de una intranet de bajo
coste. Los Servidores Proxy reciben distintos nombres dependiendo de la casa de
software que los comercializa; pero en el mundo internet siempre han sido conocidos
como ``Proxy Servers''. Aprenda a reconocer esos Servidores Proxy por los servicios
que proporcionan, y no por el nombre ms o menos espectacular que reciban.
Hablando de Servidores Proxy, hay pocos secretos por descubrir; las grandes casas de
software le ofrecern productos comparativamente ms caros, y con iguales o menores
Un Servidor Proxy proporciona a los Puestos de una Red Local los mismos servicios que
estos Puestos de Trabajo de la Red Local tendran disponibles si estuviesen
directamente conectados a internet a travs de un mdem o tarjeta RDSI.
Concretamente, instalando un Servidor Proxy en su Red Local usted har posible que
desde cualquier Puesto de Trabajo de su Red Local se pueda:
Compartir una nica lnea telefnica, un nico mdem, y una nica cuenta de
conexin a internet de manera simultnea entre todos los Puestos de Trabajo
de su Red Local
Navegar por internet accediendo a Pginas Web
Escribir Correo Electrnico (conectarse a Servidores SMTP)
Recibir Correo Electrnico (conectarse a Servidores POP)
Conectarse a Servidores de Noticias NEWS (NNTP)
Conectarse a Servidores de Ficheros FTP
Conectarse a Ordenadores Remotos que compatibles con TELNET
Conectarse a Servidores de Chat IRC
Conectarse a Servidores Gopher
Entre otras cosas, Squid puede hacer Proxy y cache con los protocolos HTTP, FTP,
GOPHER y WAIS, Proxy de SSL, cache transparente, WWCP, aceleracin HTTP, cache de
consultas DNS y otras muchas ms como filtracin de contenido y control de acceso por
IP y por usuario.
Es importante destacar que Squid no puede funcionar como proxy para servicios como
SMTP, POP3, TELNET, SSH, etc. Si se requiere hacer proxy para cualquier cosa distinta
a HTTP, HTTPS, FTP, GOPHER y WAIS se requerir o bien implementar
enmascaramiento de IP a travs de un NAT (Network Address Translation) o bien hacer
uso de un servidor SOCKS como Dante.
INSTALACIN DEL SOFTWARE
Para empezar con la instalacin de nuestro Proxy Squid abrimos una terminal, lo
creamos como sper usuario escribiendo en la terminal, el comando sudo su para no
tener que estar escribiendo el sudo en todo momento ya que tendremos que trabajar
con varios ficheros. Podemos apreciar en la siguiente imagen:
CONFIGURACIN BSICA.
Squid utiliza el fichero de configuracin localizado en /etc/squid3/squid.conf; y podr
trabajar sobre este utilizando su editor de texto preferido, en mi caso utilice el editor de
texto gedit. Existen un gran nmero de parmetros, de los cuales recomendamos
configurar solamente los siguientes:
http_port
cache_mem
cache_dir
Parmetro http_port
Luego nos vamos a la lnea de bsqueda y escribimos el fichero http_port para que nos traslade
hasta la ubicacin del mismo; este fichero es el puerto de conexin de nuestro proxy. Podemos ver
la imagen que nos queda de la siguiente manera:
Squid por defecto utilizar el puerto 3128 para atender peticiones, sin embargo se puede especificar
que lo haga en cualquier otro puerto o bien que lo haga en varios puertos a la vez.
Parmetro cache_mem
Es la memoria cache del servidor Squid, predeterminadamente viene con 256 MB es un dato
que debemos de recordar para las prximas configuraciones del fichero.
Parmetro cache_dir
Con este parmetro podemos decir que es un conjunto de directorios donde irn guardadas
nuestras pginas visitadas, para no tener que volver a entrar y cargar las pginas desde el
router sino con este fichero se har una pequea copia. En el buscador de la terminal
escribimos cache_dir. Este parmetro se utiliza para establecer que tamao se desea que
tenga el cache en el disco duro para Squid. Por defecto Squid utilizar un cache de 100 MB,
de modo tal que encontrar la siguiente lnea:
cache_dir ufs /var/spool/squid3 100 16 256
Se puede incrementar el tamao del cache hasta donde lo desee el administrador; mientras
ms grande el cache, ms objetos de almacenarn en ste y por lo tanto se utilizar menos
el ancho de banda. La siguiente lnea establece un cache de 300 MB:
lo ponemos en comilla y tecleamos la direccin del fichero tal y como esta en el siguiente comando
/etc/squid3/noperm.
Despus de haber agregados los comandos sealados tal y como nos mostr la imagen solo nos
queda Guardar y Cerrar.
Una vez guardado todo regresamos a la terminal y nos vamos a la ruta gedit /etc/squid3/noperm.
Lo podemos apreciar en la imagen siguiente:
Despus de teclear la ruta anterior nos aparecer un fichero donde incluir las palabras que me
filtrara el proxy. En la siguiente imagen se puede apreciar que ya tengo algunas palabras si se gusta
se pueden agregar ms y as tener una lista amplia de restriccin.
Al terminar todos estos pasos sin haber dado ningn tipo de error ya tendremos todas las
configuraciones de nuestro proxy. Solo nos queda reiniciar el servidor Squid con el comando sudo
service squid restart
Terminado este paso solo nos queda configurar el navegador web del proxy. Entramos a nuestro
navegador en mi caso tengo el Mozilla Firefox, le damos clic en Edit (Editar) y luego en Preferences
(Preferencias) tal y como vemos a continuacin:
Damos clic en Settings (Configuraciones) lo cual abrir otra ventana que les muestro a continuacin:
Seleccionamos Manual proxy configuration (Configuracion Manual del proxy)
Ahora escribimos la direccin de IP del servidor proxy en este caso 10.0.2.15 y el puerto donde el
servidor proxy Squid atiende las peticiones, en mi caso es el 3128.
HTTP Proxy: 10.0.2.15
Port: 3128
Aceptamos y cerramos el
explorador
para estar completamente seguros de que los cambios harn efecto. Terminado esto ya podemos
gozar de nuestro SERVIDOR PROXY.
Como podemos ver aqu tenemos una prueba de que este servidor si funciona tal y como nos lo
muestra el tutorial:
SEGURIDAD
Al tiempo que simplifica enormemente la configuracin de los
navegadores web de una organizacin, el protocolo WPAD
tiene que ser usado con cuidado: errores simples pueden abrir
puertas para los atacantes para cambiar lo que aparece en el
navegador del usuario:
Un atacante dentro de una red puede configurar un
servidor DHCP que reparte la URL de un script
malicioso PAC.
Si la red es 'company.co.uk' y la http://wpad.company.co.uk/wpad.dat archivo no se sirve,
los navegadores se van a solicitar http://wpad.co.uk /wpad.dat. El navegador no determina
si esto sigue siendo dentro de la organizacin. Ver http://wpad.com/ para un ejemplo.
El mismo mtodo se ha utilizado con http://wpad.org.uk. Esto sola servir un archivo
wpad.dat que redirigir todo el trfico del usuario a un sitio de subastas de Internet.
ISPs que han implementado secuestro DNS pueden romper la bsqueda de DNS del
protocolo WPAD por dirigir a los usuarios a un host que no es un servidor proxy.
A travs del archivo WPAD, el atacante puede sealar los navegadores de los usuarios a sus propios
servidores proxy y de intercepcin y modificar todo el trfico de Internet. Aunque una solucin
simplista para el manejo de Windows WPAD se aplic en 2005, slo se solucion el problema para
el dominio .com. Una presentacin en Kiwicon mostr que el resto del mundo segua siendo
crticamente vulnerables a este agujero de seguridad, con un dominio de la muestra registrada en
Nueva Zelanda para realizar pruebas de recibir solicitudes de proxy de todo el pas a razn de varios
segundos.
salida hacia los puertos 53/UDP y 53/TCP, tambin se puede bloquear con xito a programas como
Tor Browser.
ACERCA DE WPAD.
WPAD (Web Proxy Auto-Discovery protocol) es un mtodo utilizado por
los clientes de servidores Proxy para localizar el URI de un archivo de
configuracin, valindose de mtodos de descubrimiento a travs de
DHCP y DNS.
Los clientes descargan y ejecutan un archivo, que debe denominarse wpad.dat, utilizando el formato
de auto-configuracin de proxy (PAC, Proxy Auto-Config) diseado por Netscape en 1996 para
Netscape Navigator 2.0.
El borrador del protocolo WPAD, el cual expir en 1999, fue elaborado por un consorcio de empresas
que incluan a Inktomi Corp., Microsoft, Real Networks Inc. y Sun Microsystems Inc. A pesar de
tratarse de un borrador que ha expirado, la mayora de los navegadores modernos incluyen soporte
para este protocolo.
El anuncio del archivo wpad.dat hacia la red de rea local slo puede hacerse a travs de uno de los
dos siguientes mtodos:
a. A travs de un servidor DHCP.
b. A travs de un servidor DNS.
Se puede utilizar indistintamente uno u otro mtodo. Jams combine ambos mtodos porque los
anuncios seran ignorados por los navegadores. El mtodo ms estndar es el anuncio a travs de
un servidor DHCP. Ambos mtodos requieren aadir registros en zonas de reenvo estticas o
dinmicas del servidor de DNS utilizado por la red de rea local.
Recuerde que este mtodo jams debe combinarse con el del anuncio del archivo wpad.dat a
travs de servidor DHCP.
Desde el intrprete de mandatos de nsupdate, ejecute lo siguiente para aadir los registros
necesarios:
Comprobaciones.
Si todo lo anterior concluy sin errores, slo resta verificar que la configuracin de los anfitriones
con Windows. Vaya a Opciones de Internet Conexiones Conguracin LAN y verique que
est habilitada la casilla Autodetectar configuracin de proxy. En algunos casos es posible que se
tenga que definir tambin el URI del archivo de configuracin http://wpad.redlocal.net/wpad.dat).
Para los anfitriones con GNU/Linux con GNOME 2 como escritorio slo hay que establecer
Configuracin automtica del Proxyen las Preferencias de Proxy de la red. Deje vaco el campo de
URL de configuracin automtica para forzar la deteccin del archivo wpad.dat anunciado.
Tambin se ha encontrado una manera diferente de hacer una configuracin automtica la cual se
presenta a continuacin:
Este archivo, lo podemos guardar en nuestro desktop aunque la forma ms correcta ser ubicarlo
en un servidor Web (Apache/Tomcat/etc.) y configurar nuestro clientes para que accedan a l, a
continuacin puedes ver un ejemplo de configuracin en FireFox
Funciones FindProxyForURL