Jorge Garca Delgado

1.- Servidores proxy:

1.1.- Tipos de proxy. 1.2.- Caractersticas. 1.3.- Funcionamiento. 1.4.- Instalacin de servidores proxy. 1.5.- Configuracin del almacenamiento en la cach de un proxy. 1.6.- Configuracin de filtros. 1.7.- Mtodos de autenticacin en un proxy. 1.8.- Proxys inversos. 1.9.- Proxys encadenados. 1.10.- Pruebas de funcionamiento. Herramientas grficas.

Jorge Garca Delgado

Un servidor proxy es un equipo intermediario situado entre el sistema del usuario e Internet. Puede utilizarse para registrar el uso de Internet y tambin para bloquear el acceso a una sede Web. Un servidor proxy funciona como cortafuegos y como filtro de contenidos. Los servidores proxy ayudan a mejorar el rendimiento en Internet ya que almacenan una copia de las pginas web ms utilizadas. Cuando un explorador solicita una pgina web almacenada en la coleccin (su cach) del servidor proxy, el servidor proxy la proporciona, lo que resulta ms rpido que consultar la Web.

1.1.- Tipos de proxy. Proxy web: Su funcionamiento se basa en el del Proxy HTTP y HTTPs, pero la diferencia fundamental es que la peticin se realiza mediante una Aplicacin Web situada en un Servidor HTTP al que se accede mediante una direccin DNS, esto es, una pgina web que permite estos servicios. Proxy cach: Su mtodo de funcionamiento es similar al de un proxy HTTP o HTTPs. Su funcin es precargar el contenido web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma informacin de la misma mquina u otras. Proxies transparentes: Un proxy transparente combina un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP). Revela todos tus datos, solamente se utiliza para mejorar la velocidad de descarga. Reverse-Proxy/ Proxy inverso Un reverse proxy es un servidor proxy instalado en el domicilio de uno o ms servidores web. Todo el trfico entrante de Internet y con el destino de uno de esos servidores web pasa a travs del servidor proxy. Proxy NAT/ Enmascaramiento. Otro mecanismo para hacer de intermediario en una red es el NAT. La traduccin de direcciones de red (NAT, Network Address Translation) tambin es conocida como enmascaramiento de IPs. Es una tcnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ah el "enmascaramiento"). Esto es lo que ocurre cuando varios usuarios comparten una nica conexin a Internet. Se dispone de una nica direccin IP pblica, que tiene que ser compartida. Dentro de la red de rea local (LAN) los equipos emplean direcciones IP reservadas para uso privado y ser el proxy el encargado de traducir las direcciones privadas a esa nica direccin pblica para realizar las peticiones, as como de distribuir las pginas recibidas a aquel usuario interno que la solicit. Estas direcciones privadas se suelen elegir en rangos prohibidos para su uso en Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x

Jorge Garca Delgado

Esta situacin es muy comn en empresas y domicilios con varios ordenadores en red y un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta seguridad, puesto que en realidad no hay conexin directa entre el exterior y la red privada, y as nuestros equipos no estn expuestos a ataques directos desde el exterior. Mediante NAT tambin se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan al proxy sean dirigidas a una mquina concreta que haya sido determinada para tal fin en el propio proxy. La funcin de NAT reside en los Cortafuegos y resulta muy cmoda porque no necesita de ninguna configuracin especial en los equipos de la red privada que pueden acceder a travs de l como si fuera un mero encaminador. Proxy Abierto. Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est o no conectado a su red. En esta configuracin el proxy ejecutar cualquier peticin de cualquier ordenador que pueda conectarse a l, realizndola como si fuera una peticin del proxy. Por lo que permite que este tipo de proxy se use como pasarela para el envo masivo de correos de spam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como el DNS o la navegacin Web, mediante el cacheo de peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuracin "abierta" a todo internet, se convierte en una herramienta para su uso indebido. Debido a lo anterior, muchos servidores, como los de IRC, o correo electrnicos, deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras ("BlackList"). Cross-domain Proxy. Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc) que tienen restricciones para establecer una comunicacin entre elementos localizados en distintos dominios. En el caso de Ajax, por seguridad slo se permite acceder al mismo dominio origen de la pgina web que realiza la peticin. Si se necesita acceder a otros servicios localizados en otros dominios, se instala un Cross-Domain proxy en el dominio origen que recibe las peticiones ajax y las reenva a los dominios externos. En el caso de flash, tambin han solucionado creando la revisin de archivos xml de CrossDomain, que permiten o no el acceso a ese dominio o subdominio. Proxies annimos: Estos proxies ocultan la direccin ip del cliente proporcionando una forma de navegar annima, (No enva ninguna variable mostrando tu IP, pero si avisa que estas utilizando un proxy). La forma en que ocultan la direccin ip del cliente hace que un proxy se clasifique en una de las siguientes categoras: o Simples: No se oculta el hecho de que se est utilizando un proxy, nicamente se guarda la direccin ip del proxy en ambos cabeceras, sin que aparezca por ningn sitio la del cliente. Proxys ruidosos: Son similares al anterior caso con la salvedad de que en vez de guardar su direccin ip, guardan una generada aleatoriamente. Proxys de alta anonimicidad: Este tipo de proxys oculta el hecho de que se est utilizando un proxy para realizar la peticin. Para ello sustituyen la direccin IP existente y no lo indican mediante ninguna otra cabecera, por lo que no es posible saber que se est utilizando un proxy (No envan ninguna variable de ningn tipo a nadie).

o o

Jorge Garca Delgado

Proxy encadenado

Cadena de proxys (unin de varios proxys) que permitan ocultar la direccin ip del cliente proporcionando una forma de navegar annima. Proxy inverso

Un proxy inverso es un servidor proxy-cach "al revs". Es un servidor proxy que, en lugar de permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos. El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que desean acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy inverso, el servidor web est protegido de ataques externos directos, lo cual fortalece la red interna. Adems, la funcin cach de un proxy inverso puede disminuir la carga de trabajo del servidor asignado, razn por la cual se lo denomina en ocasiones acelerador de servidor. Finalmente, con algoritmos perfeccionados, el proxy inverso puede distribuir la carga de trabajo mediante la redireccin de las solicitudes a otros servidores similares. Este proceso se denomina equilibrio de carga.

1.2.- Caractersticas. El uso ms comn es el de servidor proxy, que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino.

De ellos, el ms famoso es el servidor proxy web (comnmente conocido solamente como proxy). Intercepta la navegacin de los clientes por pginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. Tambin existen proxies para otros protocolos, como el proxy de FTP. El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre ordenadores.

Proxy tambin es un patrn de diseo (actua como intermediario para controlar su acceso) con el mismo esquema que el proxy de red. Un componente hardware tambin puede actuar como intermediario (proxy)para otros.

Las caractersticas ms importantes son: Permite definir los permisos que tienen los usuarios de la red interna sobre los servicios, dominios, IP externas. Todos los usuarios de la red interna comparten una nica direccin IP de forma que desde el exterior no se puede diferenciar a unos de otros. Puesto que todo el trfico que circula de la red interna hacia internet y viceversa pasa por el proxy, se puede auditar el uso que se hace de internet. Permite almacenar las pginas recientemente consultadas en una cache para aumentar el rendimiento de la red. Por ejemplo, la pgina que se almacena en la cach de un proxy para que al recibir la peticin cargue ms rpido.

Jorge Garca Delgado

Ventajas

Control: slo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy. Ahorro. Por tanto, slo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real. Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer cach: guardar la respuesta de una peticin para darla directamente cuando otro usuario la pida. As no tiene que volver a contactar con el destino, y acaba ms rpido. Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que estn prohibidas. Modificacin. Como intermediario que es, un proxy puede falsificar informacin, o modificarla siguiendo un algoritmo. Anonimato. Si todos los usuarios se identifican como uno slo, es difcil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificacin.

Desventajas

Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible que haga algn trabajo que no toque. Por tanto, ha de controlar quin tiene acceso y quin no a sus servicios, cosa que normalmente es muy difcil. Carga. Un proxy ha de hacer el trabajo de muchos usuarios. Intromisin. Es un paso ms entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de cach y guarda copias de los datos.

1.3.- Funcionamiento. Un proxy permite a otros equipos conectarse a una red de forma indirecta a travs de l. Cuando un equipo de la red desea acceder a una informacin o recurso, es realmente el proxy quien realiza la comunicacin y a continuacin traslada el resultado al equipo inicial. En unos casos esto se hace as porque no es posible la comunicacin directa y en otros casos porque el proxy aade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una pgina web) en una cach que permita acelerar sucesivas consultas coincidentes. Con esta denominacin general de proxy se agrupan diversas tcnicas. Est basado en el modelo Cliente-Servidor. A grandes rasgos, un usuario (cliente) hace una solicitud (peticin de un archivo) al Servidor, que devolver una respuesta (el archivo). Para ello, el servidor web requiere una informacin adicional. Esta informacin es transmitida al servidor por un navegador o un servidor proxy.

Jorge Garca Delgado

Funcionamiento de un proxy cach Web. Se trata de un proxy para una aplicacin especfica; el acceso a la web. Aparte de la utilidad general de un proxy, proporciona una cach para las pginas web y los contenidos descargados, que es compartida por todos los equipos de la red, con la consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al mismo tiempo libera la carga de los enlaces hacia Internet. 1. El cliente realiza una peticin (p. ej. mediante un navegador web) de un recurso de Internet (una pgina web o cualquier otro archivo) especificado por una URL. 2. Cuando el proxy cach recibe la peticin, busca la URL resultante en su cach local. Si la encuentra, contrasta la fecha y hora de la versin de la pgina demanda con el servidor remoto. Si la pgina no ha cambiado desde que se cargo en cach la devuelve inmediatamente, ahorrndose de esta manera mucho trfico pues slo intercambia un paquete para comprobar la versin. Si la versin es antigua o simplemente no se encuentra en la cach, lo captura del servidor remoto, lo devuelve al que lo pidi y guarda o actualiza una copia en su cach para futuras peticiones.

1.4.- Instalacin de servidores proxy. Ejemplo de instalacin en Linux. 1. Para instalar Squid escribe en un terminal: #sudo aptitude install squid 2. La configuracin de Squid se hace editando el archivo /etc/squid/squid.conf . Para editar este archivo, presiona Alt+F2 y: gksu gedit /etc/squid/squid.conf . 3. Squid necesita conocer el nombre de la mquina. Para ello, ubica la lnea visible_hostname. Por ejemplo, si la mquina se llama ubuntu, ponemos: visible_hostname ubuntu 4. Por defecto, el puerto de escucha del servidor proxy ser 3128. Para elegir otro puerto, ubica la lnea: http_port 3128 Y cambia el nmero de puerto, por ejemplo: http_port 3177. 5. Por defecto el servidor proxy escucha por todas las interfaces. Por razones de seguridad, slo debes hacer que escuche en tu red local. Por ejemplo si la tarjeta de red ligada a tu LAN tiene el IP 10.0.0.1, modifica la lnea a: http_port 10.0.0.1:3177 . 6. Por defecto, nadie est autorizado a conectarse al servidor proxy, excepto tu mquina.Entonces hay que crear una lista de autorizacin. Por ejemplo vamos a definir un grupo que abarca toda la red local. Ubica la lnea del archivo que comienza por acl localhost. Al final de la seccin, agrega: acl lanhome src 10.0.0.0/255.255.255.0 7. Ahora que el grupo est definido, vamos a autorizar para que utilice el proxy. Ubica la lnea http_access allow. Y agrega debajo (antes de la lnea http_access deny all) http_access allow lanhome .

Jorge Garca Delgado

8. Por defecto, Squid slo autoriza el trafico HTTP en algunos puertos (80, etc.) Esto puede ocasionar problemas a algunas pginas web que utilizan otros puertos.Ejemplo: http://toto.com/: 81/images/titi.png seria bloqueado por Squid. Para evitar que lo bloquee, encuentra la lnea: http_access deny !Safe_ports Y agrega un comentario: #http_access deny !Safe_ports.

9. Reinicia el proxy para que tome en cuenta la nueva configuracin que acabamos de realizar. Escribe: sudo /etc/init.d/squid restart A partir de ahora el proxy debera funcionar. Slo hay que configurar los diversos programas para que lo utilicen. 10. Los logs del proxy se encuentran en /var/log/squid/access.log 11. Por defecto, el cach de Squid est activado, lo que permite que las pginas se carguen ms rpido. El tamao por defecto es de 100 Mo (ubicado en /var/spool/squid). Para cambiar su tamao, modifica el archivo /etc/squid/squid.conf Encuentra la lnea: # cache_dir ufs /var/spool/squid 100 16 256 Modifcala, puedes cambiar el valor de 100 por el valor que desees (por ejemplo 200 para 200 Mo) cache_dir ufs /var/spool/squid 200 16 256.

Ejemplo de instalacin en Windows. Los clientes proxy web son aplicaciones que realizan solicitudes de descarga HTTP, HTTPS o FTP a travs de HTTP al puerto TCP en el que Forefront TMG escucha las solicitudes web salientes de la red del cliente. A diferencia de los clientes de Firewall, los clientes de proxy Web no requieren la instalacin de ningn software de cliente. Slo hay que configurar el explorador Web. El explorador Web transmite la informacin de autenticacin. Los equipos cliente de Firewall y de SecureNAT tambin pueden ser clientes de proxy Web si sus exploradores se configuran para ello. Para configurar el explorador Web Microsoft Internet Explorer 6.0 como cliente de proxy Web. 1. En el men Herramientas de Internet Explorer, haga clic en Opciones de Internet, haga clic en la ficha Conexiones y haga clic en Configuracin LAN. 2. En Servidor proxy, active la casilla Utilizar un servidor proxy para su LAN. 3. En el cuadro Direccin, escriba la direccin IP del servidor ISA. 4. En el cuadro Puerto, escriba el nmero de puerto que utiliza el servidor ISA para las conexiones de cliente (de forma predeterminada, 8080). 5. Puede activar la casilla No usar servidor proxy para direcciones locales si no desea utilizar el equipo ISA Server al conectarse a un equipo de la red local (esto puede acelerar el rendimiento). 6. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin LAN. 7. Haga clic en Aceptar de nuevo para cerrar el cuadro de dilogo Opciones de Internet.

Jorge Garca Delgado

1.5.- Configuracin del almacenamiento en la cach de un proxy. Su mtodo de funcionamiento es similar al de un proxy HTTP o HTTPs. Su funcin es precargar el contenido web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma informacin de la misma mquina u otras. La mayora de los navegadores permiten entre sus opciones especificar el servidor proxy-cach o alterno mediante el cual acceder a Internet por tanto slo hay que indicarles como acceder a la mquina que actuar de servidor proxy-cach. Se explica a continuacin cmo realizar la configuracin automtica (recomendada) de los navegadores ms usados. Agregando directorios cach En su configuracin por defecto de Squid utiliza un solo directorio para almacenar pginas en cach. En la mayora de 100 MB de datos se almacenan en este directorio, que no es probable que sea suficiente si acta un gran nmero de clientes activos. Si su sistema tiene ms de un disco duro, tiene sentido para difundir la memoria cach a travs de mltiples discos para mejorar el rendimiento. Esto puede hacerse mediante la especificacin de varios directorios, cada una con su propio tamao mximo. En un sistema que se dedica a ejecutar un servidor Proxy, el importe mximo de cach en cada directorio debe ser aproximadamente el 90% del espacio disponible. Es imprudente o configurar Squid para permitir utilizar todo el espacio libre en disco, ya que muchos sistemas de ficheros sufren menor rendimiento. Para aadir un nuevo directorio de memoria cach y especificar el tamao mximo de la ya existente, siga estos pasos: 1. Haga clic en el icono Opciones de cach en el mdulo de la pgina principal de educar a la forma en que la captura de pantalla a continuacin. 2. En el campo de cach directorios, seleccione la opcin de publicacin. Si fue elegido por defecto antes, Squid se han estado utilizando el nico compilado en cach por defecto en el directorio que aparece entre parntesis. Si desea seguir utilizando este directorio, debe ser explcitamente incluido en el cuadro. El tamao predeterminado es de 100 MB, y utiliza 16 1 y 2 nivel de 256 directorios. Cada fila de la tabla se especifica un nico directorio de memoria cach. Todos los directorios existentes (aparte de por defecto) se enumeran de manera que se puede editar, seguida de una sola fila en blanco. Cada fila tiene campos en las siguientes columnas: Directorio: Directorio de la ruta completa al ms alto nivel directorio de memoria cach, por ejemplo, /var/spool/squid/ o disk2/cache. Este directorio debe existir y ser propiedad de la utilizacin que se ejecuta como Squid (generalmente llamado Squid) - el mdulo no lo va a crear para usted. Almacenamiento: El tipo de almacenamiento de tipo de las utilizadas en el directorio. Siempre debe seleccionar UFS aqu. Tamao (MB): La mxima cantidad de datos que contendr, en megabytes. Una vez se alcanza este lmite, la ms antigua-pidi a los archivos sern sustituidos por otros nuevos.

Jorge Garca Delgado

1er nivel dirs: El nmero de subdirectorios que se crear bajo el directorio de memoria cach. El valor predeterminado de 16 es por lo general bien, pero es posible que desee aumentar este caso de grandes alijos. 2 nivel dirs: El nmero de subdirectorios que sern creados en virtud de cada una de primer nivel de directorio. Usted debe entrar slo 256 menos que su cach va a ser muy grandes. Opciones: Deje este campo en blanco - slo se utiliza para otros tipos de directorios. Si se preguntan por qu Squid tiene que crear dos niveles en virtud de los subdirectorios de cada directorio de memoria cach, la razn es el bajo rendimiento de muchos sistemas de ficheros cuando un directorio contiene una gran cantidad de archivos. Dado que cada pgina HTML en cach o la imagen se almacena en un archivo separado, el nmero de archivos en un sistema ocupado Proxy puede ser enorme. Difundir a travs de varios directorios resuelve este problema.

3. Despus de aadir un directorio, haga clic en el botn Guardar en la parte inferior de la pgina. Si desea aadir ms de uno tendr que hacer clic en el icono Opciones de cach de nuevo para volver a mostrar la tabla con una nueva fila vaca. 4. Cuando haya terminado de definir los directorios, regreso al mdulo de la pgina principal. Si uno nuevo se ha aadido, un mensaje de error al igual que su cache Squid directorios no han sido inicializadas se mostrar. Haga clic en el botn Iniciar Cache Squid para tener crear todas las subdirectorios en los nuevos directorios de cach. El servidor se apaga durante el proceso, y volver a comenzar cuando se ha completado. 5. Despus de la inicializacin est completa, haga clic en Aplicar cambios el vnculo en cualquier pgina para empezar a utilizar sus nuevos directorios.

Edicin de opciones caching proxy Squid tiene numerosos ajustes que limitan el tamao de cach de objetos, el tamao de las peticiones de los clientes y los tipos de pginas de cach. Para editar las opciones de almacenamiento en cach, siga estos pasos: 1. Haga clic en el icono Opciones de cach de la pgina principal para mostrar el formulario para mostrar una vez ms por encima. 2. Para definir el tamao mximo de archivos que ha subido, seleccionar la segunda opcin en la mxima solicitud tamao corporal sobre el terreno, introducir un nmero en el cuadro de texto y seleccionar algunas unidades en el men. 3. MB debera ser ms que suficiente para cualquiera. 4. Para detener la descarga de clientes archivos de gran tamao, a llenar la mxima respuesta tamao corporal sobre el terreno de la misma manera. Esto podra ser usado por impedir el uso indebido de su red de clientes la descarga de grandes pelculas o archivos ISO, pero a menudo puede ser subvertido por la descarga de un archivo grande en trozos. 5. Si desea establecer un lmite superior en el archivo de una pgina que puede ser almacenada en la cach, rellene el tiempo mximo de cach de campo en vez de dejar que los predeterminados.

Jorge Garca Delgado

De lo contrario los datos se almacenan en cach para un mximo de un ao, o hasta que expire la fecha fijada por el servidor de origen. 6. As como la memoria cach los archivos descargados, Squid recordarn los mensajes de error de servidores y devolverlos a los clientes que soliciten la misma pgina. Puede cambiar la cantidad de tiempo que los errores se guardan en cach por introducir un nmero y la seleccin de unidades de la solicitud Error cach tiempo sobre el terreno. Si se elige por defecto, los errores se almacenan en cach durante 5 minutos. Incluso esto puede ser molesto mucho si usted acaba de fijarse un error en un sitio Web aunque. 7. Squid cachea de las respuestas a las bsquedas de host para reducir la cantidad de DNS actividad, independientemente de la TTLS que el suministro de servidores DNS. Si est seleccionado por defecto en la cach de DNS lookup tiempo sobre el terreno, las respuestas ser recordado por 6 horas. Si esto parece mucho para usted, seleccione el segundo botn y escriba su propia cach tiempo su lugar. 8. El No cach URL para ACLs campo puede ser usado para prevenir completamente la memoria cach para ciertos URL, servidores Web o clientes. Toda solicitud que coincide con una de las ACLs comprobado en este mbito nunca sern cach, y, por tanto, siempre ser descargue directamente. Puede utilizar esta funcin para bloquear el caching de pginas generadas dinmicamente mediante la creacin de una ruta de URL para REGEXP ACL. Cgi o cgi-bin y seleccionando aqu. Vase el Uso de listas de control de acceso seccin para ms detalles sobre cmo ACLs trabajo y puede ser definido. 9. Pulse el botn Guardar en la parte inferior de la pgina, para volver al men principal. Dado que algunas opciones adicionales se deposita en la memoria y el uso de disco, haga clic en el icono Uso de la memoria para mostrar que. 10. Para limitar la cantidad de memoria que va a utilizar Squid, rellene el uso de memoria lmite de campo. Tenga en cuenta que este lmite slo efectos el mximo de memoria utilizada para el almacenamiento en trnsito y con frecuencia acceder a los archivos, y las respuestas negativas. Porque Squid utiliza la memoria para otros fines, sin duda, consumen ms de lo que entre aqu. Si se selecciona por defecto, un lmite de 8 MB a ser aplicada, que es probablemente demasiado baja para un servidor ocupado. 11. Para evitar el almacenamiento en cach de archivos grandes, llenar en el mximo tamao de cach objeto sobre el terreno. El valor por defecto es slo de 4 MB, as que si usted tiene un montn de espacio en disco que debera ser aumentado. 12. Pulse el botn Guardar en la parte inferior del formulario y luego la Aplicar cambios enlace en la pgina principal de activar todos los de su nueva configuracin.

Jorge Garca Delgado

1.6.- Configuracin de filtros. Cuando un ordenador se conecta a Internet, no lo hace de forma directa, sino a travs de equipos intermedios. Por un lado estn los switches y routers, y por otro los servidores, ordenadores configurados para proporcionar servicios de red (descarga de archivos, obtencin de IPs, resolucin de nombres de dominio, etc). El tipo de servidor que se analiza en este tutorial es el servidor proxy(o proxy a secas). El proxy puede controlar completamente la conexin de red de los equipos que dependan de l. Y esto nos lleva al filtro de contenidos. Un filtro de contenidos es un proxy configurado para limitar el acceso a la red de sus equipos clientes en base a unos parmetros preestablecidos, mediante una aplicacin de filtrado. DansGuardian es un filtro directo que se ubica entre el el cliente Web (web browser) y el Servidor Proxy Squid. Dansguardian acepta conexiones en el puerto 8080 y se conecta a squid en el puerto 3128. Por lo tanto, es importante que no haya otro servicio utilizando el puerto 8080. Al instalar el paquete la configuracin por defecto ya limita las visitas a pginas prohibidas para menores, pero dispone de gran cantidad de archivos de configuracin para llevar a cabo un ajuste del servicio ms personalizado. El mecanismo es el siguiente: los clientes mediante sus navegadores web hacen peticiones de pginas que son recibidas por DansGuardian y slo son redireccionadas al servidor proxy SQUID aquellas que superan la fase de filtrado. cliente web -> DansGuardian -> Squid -> servidor En realidad DansGuardian se ejecuta como un demonio independiente del proxy, acepta peticiones en el puerto 8080 y las redirecciona al proxy SQUID, que escucha en el puerto 3128. Por lo tanto, cuando una peticin entra por el puerto 8080, DansGuardian la filtra y la pasa al proxy SQUID por el puerto 3128. Es importante, en consecuencia, que ningn otro servicio est utilizando el puerto 8080. Si el resultado del filtrado (dependiendo de los filtros configurados) es una denegacin de acceso a una determinada pgina web se muestra al usuario el mensaje correspondiente al 'Acceso Denegado'. Si DansGuardian est en la mquina que hace de cortafuegos y se configura un proxy transparente1 en SQUID, habr que redireccionar todo el trfico saliente en el cortafuegos del puerto 80 al puerto 8080. Es decir, se capturan todas las peticiones que se hagan a un servidor http (peticin de pginas web) y se envan a DansGuardian (8080) para que se encargue del filtrado.

Instalacin y configuracin 1. En primer lugar vamos a instalar Dansguardian en nuestra mquina, desde un terminal tecleamos: sudo apt-get install dansguardian Ya tenemos Dansguardian instalado en nuestra mquina. 2. Una vez instalado, pasamos a configurarlo. Para ello abrimos el fichero /etc/dansguardian/dansguardian.conf. sudo gedit /etc/dansguardian/dansguardian.conf En primer lugar vamos a ponerlo en castellano, buscamos la directiva language, y la dejamos as: language = 'spanish'

Jorge Garca Delgado

3. Ahora vamos a comentar una lnea del archivo, en la que indicamos a Dansguardian que ya est configurado por nosotros, el hecho de no comentar esta lnea supone un modesto recordatorio cuando reiniciamos Dansguardian. La lnea en concreto es la siguiente: # UNCONFIGURED - Please remove this line after configuration Debemos dejarla como en la imagen, con # delante. Eso har que la lnea est comentada, y por lo tanto omitida para Dansguardian.

Otras directivas a tener en cuenta Hay otras directivas importantes, que no vamos a configurar, pero que si vamos a comentar porque hay que tenerlas muy en cuenta a la hora de configurar Dansguardian. Dichas directivas son: filterport = 8080: Esta directiva define el puerto que usar Dansguardian para filtrar. proxyip = 127.0.0.1: Esta directiva define la direccin IP de nuestro proxy. proxyport = 3128: Esta directiva define el puerto que usa nuestro proxy.

Restringiendo contenidos Ahora vamos a restringir el contenido de una pgina web, de un formato y de un lmite de palabras prohibidas. Esto ser lo que vamos a prohibir: www.minijuegos.com formato *.exe juegos

1. Pasemos a prohibir la pgina web, en primer lugar abrimos con un editor de textos el fichero/etc/dansguardian/lists/bannedsitelist. 2. Cuando tenemos el archivo abierto, nos vamos a la zona #List other sites to block: y aadimos la pgina web que queremos bloquear, en nuestro caso,www.minijuegos.com. 3. Ahora vamos a prohibir la descarga de archivos .exe. Las extensiones prohibidas estn en el fichero /etc/dansguardian/lists/bannedextensionlist. 4. En ese archivo tenemos todas las extensiones para los archivos que Dansguardian no permite descargar. Por defecto vienen la gran mayora prohibidos, lo que vamos a hacer es comentarlos todos menos el que queremos prohibir, la extensin .exe. 5. Ya tenemos prohibidas las descargas de archivos .exe, vamos ahora a prohibir la entrada a pginas que contengan la expresin juegos. Desde un terminal abrimos el archivo /etc/dansguardian/lists/bannedphraselist 6. Ahora nos vamos al final del fichero, y aadimos la palabra que queremos prohibir, guardamos los cambios y listo. 7. Ahora toca reiniciar Dansguardian para que los cambios surtan efecto, desde un terminal tecleamos: sudo /etc/init.d/dansguardian restart

Jorge Garca Delgado

1.7.- Mtodos de autenticacin en un proxy. Como el proxy es una herramienta intermediaria indispensable para los usuarios de una red interna que quieren acceder a recursos externos, a veces se lo puede utilizar para autenticar usuarios, es decir, pedirles que se identifiquen con un nombre de usuario y una contrasea. Tambin es fcil otorgarles acceso a recursos externos slo a las personas autorizadas y registrar cada uso del recurso externo en archivos de registro de los accesos identificados. Este tipo de mecanismo, cuando se implementa, obviamente genera diversos problemas relacionados con las libertades individuales y los derechos personales. Mtodos de Autenticacin Auto: el modo default es seleccionado basndonos en la peticin que haga el cliente. Auto puede seleccionar cualquier de las opciones, proxy, origin, origin-ip, o origin-cookieredirect dependiendo en el tipo de conexin (explicita o transparente) y la configuracin de la cookie de autenticacin en modo transparente. Proxy-IP: El proxy utiliza un desafo en forma explcita y la IP del cliente como credenciales sustitutas. Proxy-IP especfica un forward proxy inseguro. En algunos casos el desafo del proxy no funciona por lo que origin desafos deben de ser generados. Origin: El proxy acta como una OCS y genera desafos OCS. La conexin autenticada sirve como credenciales sustitutas. Origin-IP: el proxy acta como una OCS y genera desafos OCS. La direccin del cliente es usada como credenciales sustitutas. Origin-IP es usado para soportar autenticacin por IWA cuando el cliente no puede manejar credenciales por cookies. Origin-Cookie: El ProxySG actual como un servidor de origen y genera una cookie es como credenciales sustitutas. Origin-Cookie es usado en forward proxies para soportar autenticacin pass-through de manera ms segura que Origen-IP. Origin-cookie-redirect: El cliente es redirigido a una URL Virtual para ser autenticado, y las cookies son usadas como credenciales sustitutas. SG2: Este modo es seleccionado automticamente, basando en la peticin, y usa las reglas definidas del SGOS 2.x. From-IP: una forma es presentada para recolectar las credenciales del usuario. La forma es presentada cada vez que el cach de las credenciales del usuario expiren. From-Cookie: Una forma es presentada para colectar las credenciales del usuario. Las cookies son sitiadas en el dominio OCS solamente y el usuario es presentado con una nueva forma para cada dominio. From-Cookie-Redirect: El usuario es re direccionado a la URL Virtual antes de ser presentada la forma. La cookie de autenticacin es sitiada en ambos, la URL Virtual y el dominio OSC. El usuario es desafiado solamente cuando el cache de las credenciales expira. From-IP-Redirect: Este es similar a From-IP con la excepcin que el usuario es re direccionado a la URL Virtual de autenticacin antes que la forma sea presentada.

Jorge Garca Delgado

1.8.- Proxys inversos. Un proxy inverso es un servidor proxy-cach "al revs". Es un servidor proxy que, en lugar de permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos. El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que desean acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy inverso, el servidor web est protegido de ataques externos directos, lo cual fortalece la red interna. Adems, la funcin cach de un proxy inverso puede disminuir la carga de trabajo del servidor asignado, razn por la cual se lo denomina en ocasiones acelerador de servidor. Finalmente, con algoritmos perfeccionados, el proxy inverso puede distribuir la carga de trabajo mediante la redireccin de las solicitudes a otros servidores similares. Este proceso se denomina equilibrio de carga. Hay varias razones para instalar un "reverse proxy": Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege los servidores web. Cifrado / Aceleracin SSL: cuando se crea un sitio web seguro, habitualmente el cifrado SSL no lo hace el mismo servidor web, sino que es realizado por el "reverse proxy", el cual est equipado con un hardware de aceleracin SSL (Security Sockets Layer). Distribucin de Carga: el "reverse proxy" puede distribuir la carga entre varios servidores web. En ese caso, el "reverse proxy" puede necesitar reescribir las URL de cada pgina web (traduccin de la URL externa a la URL interna correspondiente, segn en qu servidor se encuentre la informacin solicitada). Cach de contenido esttico: Un "reverse proxy" puede descargar los servidores web almacenando contenido esttico como imgenes u otro contenido grfico.

1.9.- Proxys encadenados. Cadena de proxys (unin de varios proxys) que permitan ocultar la direccin ip del cliente proporcionando una forma de navegar annima. Se pueden usar varios proxys encadenados para que se conecten entre s: Origen -> proxy 1 -> proxy 2-> proxy 3 -> Destino Para eso usamos ProxyChains. En GNU/Linux lo instalas con aptitude install proxychains Ahora editamos /etc/proxychains.conf y agregamos los proxys al final con este formato:

Buscamos la lnea que dice tor y la eliminamos. Ahora ejecutamos proxychains programa para que haga pasar todo el trfico por los proxys. Por ejemplo, chromium:

Jorge Garca Delgado

Otro ejemplo con wget para ver la ip con cualesmiip:

Ahora vamos a ver un ejemplo de encadenamiento con SocksChain & FreeCap. El objetivo es crear una cadena de proxys que nos oculte y pasar por esa cadena todo programa que decidamos que debe ser anonimisado mediante esa cadena, como ftp, amule, firefox, etc. Consta de 2 partes la primera sera usando a SCH para crear la cadena de proxys y a FC para que intercepte las conexiones a internet, se va a usar primero a SCH para descargar la lista de proxys y testearlos para no ir por toda la internet buscando listas de proxys y probandolos a mano, despues de esto FC se va a ocupar de hacer todo el trabajo, ya que FC puede cumplir perfectamente con el trabajo de SCH y SC. Instalamos el SCH, una vez hecho esto pulsamos en -Proxy Manager pulsamos sobre update list- y descargara una lista de proxys ahora presiomamos -Test All- empezara a probar los proxys. Cuando termine borra los que tengan una x en rojo y solo deja los que tengan el foquito amarillo y cerramos.

Jorge Garca Delgado

Ahora vamos a crear una especie de secion, pulsamos sobre -Proxy Manager- en la ventana principal de SCH Ahora pulsamos Ctrl+ N o en --.Service New.

Se abrir una ventana donde podemos agregar proxys para crear la cadena, esto sirve para probarlos cada uno, para ello debemos desactivar la casilla -Auto Creating Chain- , si est habilitada creara una cadena al azar. En puerto esta por default el 1080 podemos dejarlo asi o cambielo, para el ejemplo se lo dejamos as. Ahora probamos los proxys, por ejemplo con el flash FXP lo configuramos para que se conecte al SCH, pulsamos F6 y lo configuramos como en la imagen.

Tipo socks 5 para que soporte los anteriores host pues nosotros mismos puerto, el mismo del SCH. Para probarlos nos conectamos con el Flash FXP a, por ejemplo ftp.suse.com y vemos si funcionan los proxys, si no se conecta, quitamos el Proxy con Delete- y aadimos otro con -Add- y probamos hasta tener unos 3 que funcionen bien.

Vemos que se conect bien, en este rbol vemos que efectivamente nuestra conexin pasa por un Proxy, en cuanto tengamos algunos que funcionen bien podemos crear nuestra cadena Creando la cadena. Ahora que ya tenemos unos proxys que funcionan ahora creamos la cadena en la imagen se ve que tenemos 3 proxys.

Jorge Garca Delgado

Ahora vamos a ver si en verdad se conecta mediante la cadena.

Aqu vemos que efectivamente el Flash FXP se conect mediante la cadena al ftp de SUSE pues ya est hecho, ya estamos navegando annimos.