Download - Manual de configuracion de proxy SQUID

Transcript
Page 1: Manual de configuracion de proxy SQUID

1

IMPLEMENTACIÓN DE SERVIDOR PROXY WEB/CACHÉ.

NILSON ANDRÉS LONDOÑO HERNANDEZ.

CAMILA MARTÍNEZ LÓPEZ.

GERSON ZAPATA AGUDELO.

Tecnología en Gestión de Redes de Datos.

Ficha: 455596.

Instructor.

Isabel Yepes Ocampo

SERVICIO NACIONAL DE APRENDIZAJE (SENA)

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL (CESGE)

MEDELLÍN – ANTIOQUIA

2014

Page 2: Manual de configuracion de proxy SQUID

2

Contenido

Introducción. .................................................................................................................... 3

Topología. ....................................................................................................................... 4

Requerimientos de hardware. ......................................................................................... 4

Instalación. ...................................................................................................................... 5

Creación de backup. ....................................................................................................... 6

Editando archivo de configuración. ................................................................................. 6

Pruebas desde equipos cliente. .................................................................................... 10

Probando el servidor squid como servidor web/caché. ................................................. 13

Webgrafía. ..................................................................................................................... 16

Conclusiones. ................................................................................................................ 17

Page 3: Manual de configuracion de proxy SQUID

3

Introducción.

Un proxy es un equipo o dispositivo que actúa como intermediario entre el usuario final

e Internet, la función del proxy es filtrar el contenido que pueden ver los usuarios en

páginas y sitios de Internet además de registrar el uso de Internet.

El servidor proxy otorga grandes ventajas respecto a la seguridad y centralización en

cierta medida del control de la red.

Existen varias aplicaciones a las que se pueden orientar los proxies:

Proxy caché, Proxy de web, Proxy SOCKS, Proxies transparentes, Proxy inverso,

Proxy NAT, Proxy abierto y Cross Domain Proxy.

El servidor proxy que se va a utilizar en la siguiente actividad es Squid el cual es una

de las aplicaciones Open Source más populares y funciona como servidor proxy para

web con caché, es decir, almacena el contenido al que que acceden los usuarios en su

memoria caché, y así cuando los usuarios hagan de nuevo una petición a la misma

página, el servidor no tendrá que ir de nuevo hasta Internet si no que la entrega desde

su caché.

Squid posee muchas características como por ejemplo:

Proxy con caché de HTTP, HTTPS y FTP.

Proxy para SSL.

Jerarquías de cachés.

Caché transparente Aceleración de servidores HTTP

Puerto 3128 SNMP

WCCP Caché de resolución DNS

Control de acceso

Gestión de tráfico

Page 4: Manual de configuracion de proxy SQUID

4

Topología.

La topología de red a implementar será bastante sencilla, una red LAN, un servidor

proxy y un servicio a Internet simulado para probar el almacenamiento caché del

servidor squid, aunque más adelante se probará el servidor squid con Internet real.

Requerimientos de hardware.

Los requerimientos de hardware para la implementación de squid son los siguientes:

CPU: Squid no es un programa que consuma mucho CPU. Solamente al arrancar y

comprobar el contenido del caché es cuando se trabaja más intensamente con el

procesador. El uso de máquinas con multiprocesador tampoco incrementa el

rendimiento del sistema. Para obtener una mayor efectividad, es preferible aumentar la

cantidad de memoria RAM o bien utilizar discos más rápidos antes que cambiar el

procesador por otro más potente.

Memoria : 1MB de RAM por cada 1GB asignado a cache_dir.

Disco duro y sistema de archivos. Cuando se trata de cachés, la velocidad es un

parámetro importantísimo. En los discos duros este parámetro se mide mediante su

“tiempo medio de acceso” en milisegundos, que debe ser lo más bajo posible. Para

lograr una velocidad elevada se recomienda utilizar discos duros rápidos

Page 5: Manual de configuracion de proxy SQUID

5

Instalación.

El sistema operativo en el que se va a implementar el servidor proxy web/caché será

Red Hat Enterprise 6.2, por ende el gestor de paquetes será yum, mediante el

comando yum install squid -y, la versión de squid que se instaló en esta ocasión fue

la 3.1

El directorio por defecto del servidor squid es /etc/squid, dentro de este directorio

están todos los archivos pertinentes a la configuración de la aplicación, pero existe uno

de suma importancia el cual es el squid.conf, este es el archivo principal de

configuración.

Page 6: Manual de configuracion de proxy SQUID

6

Creación de backup. Antes de hacer modificaciones en el archivo principal de configuración, por seguridad

es necesario crear un backup, para ello copiamos el archivo de configuración original.

Para restaurar la copia de seguridad del archivo de configuración implementamos el

comando mv o cp con el mismo nombre del archivo original squid.conf

Editando archivo de configuración.

El próximo paso consiste en editar el archivo de configuración principal del squid, para

esto, lo abrimos con nuestro editor favorito, ya sea vi, nano, emacs, mcedit entre

muchos otros que podemos escoger de los repositorios de nuestro sistema operativo.

Podemos navegar un poco con el archivo de configuración para irnos familiarizando

con el mismo. El primer paso que haremos será comentar las líneas que aparecen

resaltadas en la siguiente imagen, ellas pertenecen a las listas de acceso por defecto

del squid y lo que se está haciendo en ellas es creando acls cuando el origen del

paquete provenga de cualquiera de las posibles redes internas definidas por RFC1918.

Para comentar las líneas añadimos el símbolo “#” al principio de la línea.

Page 7: Manual de configuracion de proxy SQUID

7

De esta manera deben quedar comentadas las acls por defecto del servidor appliance

squid.

En las reglas por defecto el servidor squid PERMITE las listas de control de acceso o

acls que crea por defecto.

Page 8: Manual de configuracion de proxy SQUID

8

Comentaremos estas líneas debido a que son innecesarias y además ya no se tienen

listas de acceso para respaldar las reglas.

Aunque existe una excepción con la regla http_access allow localhost, la acl

correspondiente a esta regla se encuentra en las primeras líneas del archivo de

configuración, y en nuestro caso no afecta la finalidad de la topología por el

direccionamiento utilizado.

Por defecto el servidor squid trabaja utilizando el puerto 3128

Dentro del directorio de squid por orden se creará otro directorio llamado listas el cual

contendrá todos los archivos en los que se denegarán los contenidos, palabras,

dominios y demás aspectos.

La primera denegación que haremos será la de el dominio adultos.gusfraba.int, esta

página se encuentra en el servidor de Internet simulado. Para crear el archivo podemos

hacerlo mediante el comando touch o simplemente con el editor de texto.

Ingresamos el dominio que se denegará y cerramos el editor de texto, en este caso vi

mediante :x para cerrar el archivo.

Page 9: Manual de configuracion de proxy SQUID

9

Lo próximo por negar serán patrones de búsqueda, el procedimiento es exactamente el

mismo que con el de denegación de dominios.

Creamos un nuevo archivo de configuración dentro del directorio listas, en este caso

será conocido el fichero de configuración como patrones.

Algunos de los patrones o palabras claves que se denegarán son los siguientes, esto

depende de las necesidades de nuestra red, por ejemplo, normalmente se deniegán

redes sociales no corporativas, páginas de juegos en línea...

Abrimos de nuevo el archivo de configuración para agregar las listas de acceso y las

reglas.

Dentro del archivo de configuración se añade la lista de acceso, la sintaxis para la

creación de las listas es la siguiente [acl nombre_acl tipo “ruta de archivo de

configuración” ]

Para que las listas de acceso tengan efecto se deben crear las reglas de denegación o

acceso.

La sintaxis es la siguiente [http_access deny | allow nombre_de_lista_de_acceso ]

Page 10: Manual de configuracion de proxy SQUID

10

Es de vital importancia saber que las reglas en el servidor squid se leen de arriba hacia

abajo, es decir, si se tiene en la primera línea de las reglas http_access allow all se

permitirá todo tipo de contenido y no se aplicarán las reglas de denegación que están

después de la primera, por ello, primero se ingresan las reglas de denegación y luego

de permitir, esto siempre y cuando se este permitiendo explícitamente.

Las primeras configuraciones del archivo ya están hechas y el próximo paso consiste

en reiniciar el servicio para aplicar los cambios.

Pruebas desde equipos cliente.

En el equipo cliente de la LAN ingresamos al navegador del equipo, aquí utilizaremos

Mozilla Firefox, la mayoría de navegadores tienen maneras diferentes de configurar el

parámetro de proxy, aquí seguiremos estos pasos Edit > Preferences > Advanced

Settings.

Page 11: Manual de configuracion de proxy SQUID

11

En las configuraciones de conexión seleccionamos Manual proxy configuration: e

ingresamos la dirección IP privada del proxy con el puerto por el que configuramos la

escucha del proxy, por defecto squid trabaja con el 3128, pero esto puede variar si el

usuario administrador del servicio lo prefiere.

Finalizamos con OK.

Page 12: Manual de configuracion de proxy SQUID

12

El subdominio que denegaremos será el de adultos.gusfraba.net

Los subdominios youtube.gusfraba.net y web.gusfraba.net tendrán acceso

normalmente.

Ingresamos a web.gusfraba.net

Ahora, ingresamos a youtube.gusfraba.net

Luego, para probar la denegación ingresamos a adultos.gusfraba.net

Page 13: Manual de configuracion de proxy SQUID

13

Probando el servidor squid como servidor

web/caché.

El servidor squid tiene un caché de todas las páginas que se alojan, así, cada vez que

un cliente accede a una página que ya está registrada en su caché no tiene que ir

hasta Internet u otras redes externas, es sólo cuestión de buscar dentro de su caché y

entregarle el resultado de la página, para probar este funcionamiento bajamos el

servicio http en el servidor externo.

En el navegador del equipo cliente limpiamos la memoria caché local del navegador.

Page 14: Manual de configuracion de proxy SQUID

14

E ingresamos de nuevo a las páginas.

Page 15: Manual de configuracion de proxy SQUID

15

Efectivamente el contenido de las páginas se está almacenando en el servidor squid.

Ahora, accedemos al servidor ftp de la red externa, con la cual tenemos conexión.

NOTA: Es posible que debamos agregar una regla de habilitación de conexiones hacia

ftp en la configuración del servidor squid.

Page 17: Manual de configuracion de proxy SQUID

17

Conclusiones.

Un servidor proxy dentro de una red ayuda a aumentar la seguridad de la

misma, ya que filtra el contenido de las conexiones de acuerdo a las reglas que

se establecieron en la organización.

El proxy de una red ayuda a aumentar las finanzas de la organización debido a

que los usuarios finales no perderán tiempo navegando por sitios indebidos.

Un servidor proxy transparente es una solución totalmente invisible para los

usuarios finales lo que ayuda a que los mismos no tengan idea de que su tráfico

se está filtrando, además no pueden tomar ningún tipo de excepciones del

mismo.

Squid es una de las plataformas open source más utilizadas mundialmente como

solución de proxy.

El servidor proxy web/cache mejora el rendimiento de la red, así como el ancho

de banda, debido a que cada petición que el usuario hace no tiene que ir

directamente hacia redes externas, sólo llega hasta el proxy, luego el proxy se

encarga de hacer la petición de nuevo a las redes externas y almacenar el

contenido de la página o sitio en su caché, entregando al usuario final el

contenido de la caché.