1

IMPLEMENTACIN DE SERVIDOR PROXY WEB/CACH.

NILSON ANDRS LONDOO HERNANDEZ.

CAMILA MARTNEZ LPEZ.

GERSON ZAPATA AGUDELO.

Tecnologa en Gestin de Redes de Datos.

Ficha: 455596.

Instructor.

Isabel Yepes Ocampo

SERVICIO NACIONAL DE APRENDIZAJE (SENA)

CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL (CESGE)

MEDELLN ANTIOQUIA

2014

2

Contenido

Introduccin. .................................................................................................................... 3

Topologa. ....................................................................................................................... 4

Requerimientos de hardware. ......................................................................................... 4

Instalacin. ...................................................................................................................... 5

Creacin de backup. ....................................................................................................... 6

Editando archivo de configuracin. ................................................................................. 6

Pruebas desde equipos cliente. .................................................................................... 10

Probando el servidor squid como servidor web/cach. ................................................. 13

Webgrafa. ..................................................................................................................... 16

Conclusiones. ................................................................................................................ 17

3

Introduccin.

Un proxy es un equipo o dispositivo que acta como intermediario entre el usuario final

e Internet, la funcin del proxy es filtrar el contenido que pueden ver los usuarios en

pginas y sitios de Internet adems de registrar el uso de Internet.

El servidor proxy otorga grandes ventajas respecto a la seguridad y centralizacin en

cierta medida del control de la red.

Existen varias aplicaciones a las que se pueden orientar los proxies:

Proxy cach, Proxy de web, Proxy SOCKS, Proxies transparentes, Proxy inverso,

Proxy NAT, Proxy abierto y Cross Domain Proxy.

El servidor proxy que se va a utilizar en la siguiente actividad es Squid el cual es una

de las aplicaciones Open Source ms populares y funciona como servidor proxy para

web con cach, es decir, almacena el contenido al que que acceden los usuarios en su

memoria cach, y as cuando los usuarios hagan de nuevo una peticin a la misma

pgina, el servidor no tendr que ir de nuevo hasta Internet si no que la entrega desde

su cach.

Squid posee muchas caractersticas como por ejemplo:

Proxy con cach de HTTP, HTTPS y FTP.

Proxy para SSL.

Jerarquas de cachs.

Cach transparente Aceleracin de servidores HTTP

Puerto 3128 SNMP

WCCP Cach de resolucin DNS

Control de acceso

Gestin de trfico

4

Topologa.

La topologa de red a implementar ser bastante sencilla, una red LAN, un servidor

proxy y un servicio a Internet simulado para probar el almacenamiento cach del

servidor squid, aunque ms adelante se probar el servidor squid con Internet real.

Requerimientos de hardware.

Los requerimientos de hardware para la implementacin de squid son los siguientes:

CPU: Squid no es un programa que consuma mucho CPU. Solamente al arrancar y

comprobar el contenido del cach es cuando se trabaja ms intensamente con el

procesador. El uso de mquinas con multiprocesador tampoco incrementa el

rendimiento del sistema. Para obtener una mayor efectividad, es preferible aumentar la

cantidad de memoria RAM o bien utilizar discos ms rpidos antes que cambiar el

procesador por otro ms potente.

Memoria : 1MB de RAM por cada 1GB asignado a cache_dir.

Disco duro y sistema de archivos. Cuando se trata de cachs, la velocidad es un

parmetro importantsimo. En los discos duros este parmetro se mide mediante su

tiempo medio de acceso en milisegundos, que debe ser lo ms bajo posible. Para

lograr una velocidad elevada se recomienda utilizar discos duros rpidos

5

Instalacin.

El sistema operativo en el que se va a implementar el servidor proxy web/cach ser

Red Hat Enterprise 6.2, por ende el gestor de paquetes ser yum, mediante el

comando yum install squid -y, la versin de squid que se instal en esta ocasin fue

la 3.1

El directorio por defecto del servidor squid es /etc/squid, dentro de este directorio

estn todos los archivos pertinentes a la configuracin de la aplicacin, pero existe uno

de suma importancia el cual es el squid.conf, este es el archivo principal de

configuracin.

6

Creacin de backup. Antes de hacer modificaciones en el archivo principal de configuracin, por seguridad

es necesario crear un backup, para ello copiamos el archivo de configuracin original.

Para restaurar la copia de seguridad del archivo de configuracin implementamos el

comando mv o cp con el mismo nombre del archivo original squid.conf

Editando archivo de configuracin.

El prximo paso consiste en editar el archivo de configuracin principal del squid, para

esto, lo abrimos con nuestro editor favorito, ya sea vi, nano, emacs, mcedit entre

muchos otros que podemos escoger de los repositorios de nuestro sistema operativo.

Podemos navegar un poco con el archivo de configuracin para irnos familiarizando

con el mismo. El primer paso que haremos ser comentar las lneas que aparecen

resaltadas en la siguiente imagen, ellas pertenecen a las listas de acceso por defecto

del squid y lo que se est haciendo en ellas es creando acls cuando el origen del

paquete provenga de cualquiera de las posibles redes internas definidas por RFC1918.

Para comentar las lneas aadimos el smbolo # al principio de la lnea.

7

De esta manera deben quedar comentadas las acls por defecto del servidor appliance

squid.

En las reglas por defecto el servidor squid PERMITE las listas de control de acceso o

acls que crea por defecto.

8

Comentaremos estas lneas debido a que son innecesarias y adems ya no se tienen

listas de acceso para respaldar las reglas.

Aunque existe una excepcin con la regla http_access allow localhost, la acl

correspondiente a esta regla se encuentra en las primeras lneas del archivo de

configuracin, y en nuestro caso no afecta la finalidad de la topologa por el

direccionamiento utilizado.

Por defecto el servidor squid trabaja utilizando el puerto 3128

Dentro del directorio de squid por orden se crear otro directorio llamado listas el cual

contendr todos los archivos en los que se denegarn los contenidos, palabras,

dominios y dems aspectos.

La primera denegacin que haremos ser la de el dominio adultos.gusfraba.int, esta

pgina se encuentra en el servidor de Internet simulado. Para crear el archivo podemos

hacerlo mediante el comando touch o simplemente con el editor de texto.

Ingresamos el dominio que se denegar y cerramos el editor de texto, en este caso vi

mediante :x para cerrar el archivo.

9

Lo prximo por negar sern patrones de bsqueda, el procedimiento es exactamente el

mismo que con el de denegacin de dominios.

Creamos un nuevo archivo de configuracin dentro del directorio listas, en este caso

ser conocido el fichero de configuracin como patrones.

Algunos de los patrones o palabras claves que se denegarn son los siguientes, esto

depende de las necesidades de nuestra red, por ejemplo, normalmente se deniegn

redes sociales no corporativas, pginas de juegos en lnea...

Abrimos de nuevo el archivo de configuracin para agregar las listas de acceso y las

reglas.

Dentro del archivo de configuracin se aade la lista de acceso, la sintaxis para la

creacin de las listas es la siguiente [acl nombre_acl tipo ruta de archivo de

configuracin ]

Para que las listas de acceso tengan efecto se deben crear las reglas de denegacin o

acceso.

La sintaxis es la siguiente [http_access deny | allow nombre_de_lista_de_acceso ]

10

Es de vital importancia saber que las reglas en el servidor squid se leen de arriba hacia

abajo, es decir, si se tiene en la primera lnea de las reglas http_access allow all se

permitir todo tipo de contenido y no se aplicarn las reglas de denegacin que estn

despus de la primera, por ello, primero se ingresan las reglas de denegacin y luego

de permitir, esto siempre y cuando se este permitiendo explcitamente.

Las primeras configuraciones del archivo ya estn hechas y el prximo paso consiste

en reiniciar el servicio para aplicar los cambios.

Pruebas desde equipos cliente.

En el equipo cliente de la LAN ingresamos al navegador del equipo, aqu utilizaremos

Mozilla Firefox, la mayora de navegadores tienen maneras diferentes de configurar el

parmetro de proxy, aqu seguiremos estos pasos Edit > Preferences > Advanced

Settings.

11

En las configuraciones de conexin seleccionamos Manual proxy configuration: e

ingresamos la direccin IP privada del proxy con el puerto por el que configuramos la

escucha del proxy, por defecto squid trabaja con el 3128, pero esto puede variar si el

usuario administrador del servicio lo prefiere.

Finalizamos con OK.

12

El subdominio que denegaremos ser el de adultos.gusfraba.net

Los subdominios youtube.gusfraba.net y web.gusfraba.net tendrn acceso

normalmente.

Ingresamos a web.gusfraba.net

Ahora, ingresamos a youtube.gusfraba.net

Luego, para probar la denegacin ingresamos a adultos.gusfraba.net

13

Probando el servidor squid como servidor

web/cach.

El servidor squid tiene un cach de todas las pginas que se alojan, as, cada vez que

un cliente accede a una pgina que ya est registrada en su cach no tiene que ir

hasta Internet u otras redes externas, es slo cuestin de buscar dentro de su cach y

entregarle el resultado de la pgina, para probar este funcionamiento bajamos el

servicio http en el servidor externo.

En el navegador del equipo cliente limpiamos la memoria cach local del navegador.

14

E ingresamos de nuevo a las pginas.

15

Efectivamente el contenido de las pginas se est almacenando en el servidor squid.

Ahora, accedemos al servidor ftp de la red externa, con la cual tenemos conexin.

NOTA: Es posible que debamos agregar una regla de habilitacin de conexiones hacia

ftp en la configuracin del servidor squid.

16

Webgrafa.

Wiki oficial de squid

Solucin problema de acceso FTP.

Habilitar FTP en squid

Manual de administracin de squid SUSELINUX

17

Conclusiones.

Un servidor proxy dentro de una red ayuda a aumentar la seguridad de la

misma, ya que filtra el contenido de las conexiones de acuerdo a las reglas que

se establecieron en la organizacin.

El proxy de una red ayuda a aumentar las finanzas de la organizacin debido a

que los usuarios finales no perdern tiempo navegando por sitios indebidos.

Un servidor proxy transparente es una solucin totalmente invisible para los

usuarios finales lo que ayuda a que los mismos no tengan idea de que su trfico

se est filtrando, adems no pueden tomar ningn tipo de excepciones del

mismo.

Squid es una de las plataformas open source ms utilizadas mundialmente como

solucin de proxy.

El servidor proxy web/cache mejora el rendimiento de la red, as como el ancho

de banda, debido a que cada peticin que el usuario hace no tiene que ir

directamente hacia redes externas, slo llega hasta el proxy, luego el proxy se

encarga de hacer la peticin de nuevo a las redes externas y almacenar el

contenido de la pgina o sitio en su cach, entregando al usuario final el

contenido de la cach.