Descargar

Servidores proxy (página 2)

Enviado por Pablo Turmero


Partes: 1, 2
edu.red

Instalación de servidores «proxy» Configuración Servidor PROXY SQUID

1. Instalar el proxy

Para instalar Squid escribe en un terminal: sudo aptitude install squid

2. Configurar el proxy

La configuración de Squid se hace editando el archivo /etc/squid/squid.conf Para editar este archivo, presiona Alt+F2 y: gksu gedit /etc/squid/squid.conf

2.1 Nombrar el proxy

Squid necesita conocer el nombre de la máquina. Para ello, ubica la línea visible_hostname. Por ejemplo, si la máquina se llama “ubuntu”, pon: visible_hostname ubuntu

edu.red

Instalación de servidores «proxy» 2.2 Elegir el puerto

Por defecto, el puerto de escucha del servidor proxy será 3128. Para elegir otro puerto, ubica la línea: http_port 3128 Y cambia el número de puerto, por ejemplo: http_port 3177

2.3 Elegir la interfaz

Por defecto el servidor proxy escucha por todas las interfaces. Por razones de seguridad, sólo debes hacer que escuche en tu red local. Por ejemplo si la tarjeta de red ligada a tu LAN tiene el IP 10.0.0.1, modifica la línea a: http_port 10.0.0.1:3177

2.4 Definir los derechos de acceso

Por defecto, nadie está autorizado a conectarse al servidor proxy, excepto tu máquina. Entonces hay que crear una lista de autorización. Por ejemplo vamos a definir un grupo que abarca toda la red local. Ubica la línea del archivo que comienza por acl localhost…

edu.red

Instalación de servidores «proxy» Al final de la sección, agrega: acl lanhome src 10.0.0.0/255.255.255.0 (lanhome es un nombre arbitrario que hemos elegido)

edu.red

Instalación de servidores «proxy» 2.5 Autorizar al grupo Ahora que el grupo está definido, vamos a autorizar para que utilice el proxy. Ubica la línea http_access allow… Y agrega debajo (antes de la línea http_access deny all) http_access allow lanhome

2.6 Autorizar los puertos no estándar Por defecto, Squid sólo autoriza el trafico HTTP en algunos puertos (80, etc.) Esto puede ocasionar problemas a algunas páginas web que utilizan otros puertos Ejemplo: http://toto.com/: 81/images/titi.png seria bloqueado por Squid. Para evitar que lo bloquee, encuentra la línea: http_access deny !Safe_ports Y agrega un comentario: #http_access deny !Safe_ports

edu.red

Instalación de servidores «proxy» 3. Iniciar el proxy (Re)inicia el proxy para que tome en cuenta la nueva configuración que acabamos de realizar. Escribe: sudo /etc/init.d/squid restart

A partir de ahora el proxy debería funcionar. Sólo hay que configurar los diversos programas para que lo utilicen.

edu.red

Instalación y configuración de clientes «proxy» Cómo configurar el Proxy de Windows XP

Saber cómo configurar el Proxy de Windows XP puede resultarte útil para disponer de Internet en varios equipos. Aprende cómo configurar el Proxy de XP.

Si queremos conectar varios equipos a Internet a través de uno de ellos, sin necesidad de utilizar un router lo podemos hacer utilizando un Proxy. Vamos a ver con un ejemplo cómo configurar varios equipos en Windows para que utilicen la conexión a Internet de otro, que es el que hará de servidor Proxy.

Para nuestro ejemplo, los equipos tendrán como S.O. Windows XP y es necesario que estén conectados en red entre sí.

edu.red

Instalación y configuración de clientes «proxy» PASO 1. Configuración del PC que hará de servidor Para ello, pulsamos en “Inicio“, “Configuración“, “Panel de control” y ejecutamos “Conexiones de red“. Ejecutamos la opción “Configurar una red doméstica o para pequeña oficina“. Entonces, aparecerá un asistente para configuración de red, pulsamos “Siguiente“. Comprobamos que cumplimos los requisitos, es decir, tenemos un adaptador de red, módem u otro tipo de dispositivo utilizado para la conexión a Internet y estamos conectados en este momento a Internet.

edu.red

Instalación y configuración de clientes «proxy»

En la siguiente ventana, marcamos la primera opción “Este equipo se conecta directamente a Internet. Los otros equipos de mi red se conectan a Internet a través de este equipo“. Pulsamos “Siguiente“. Escogemos la conexión a Internet que estamos utilizando, y “Siguiente“. Seleccionamos el adaptador de red (u otro dispositivo) mediante el cual se conecta el equipo con los demás de la red local (LAN). Introducimos la descripción del equipo y el nombre. Y en la siguiente ventana, el grupo de trabajo para la red y “Siguiente“. Es importante que si queremos permitir que los otros equipos puedan acceder a carpetas e impresoras compartidas del PC que hace de Servidor de Proxy marquemos la primera opción: “Activar el uso compartido de archivos e impresoras“. En la última ventana nos aparece un resumen de las opciones seleccionadas, pulsamos “Siguiente” si todo es correcto.

edu.red

Instalación y configuración de clientes «proxy» PASO 2. Configuración de la red

En este momento, el asistente inicia el proceso de configuración de la red. Tras la configuración nos aparece una ventana que nos permite la posibilidad de crear un disco de configuración de red para ejecutarlo en los PC’s clientes. Pulsamos en “Crear Disco de configuración de red“, introducimos un disquete formateado y vacío. Y “Siguiente“. Tras la creación del disquete de configuración nos aparece una última ventana indicando que el proceso ha finalizado. También nos indica los pasos necesarios para configurar los demás equipos de la red mediante el disquete creado. Es necesario reiniciar el PC Servidor para finalizar con la configuración.

Para consultar la configuración de red que ha dejado el asistente, pulsamos el botón derecho del ratón sobre “Mis sitios de red” y “Propiedades“. Seleccionamos la tarjeta de red que utilizamos para la conexión entre los equipos de nuestra red y pulsamos con el botón derecho del ratón, “Propiedades“. Seleccionamos “Protocolo Internet (TCP/IP)” y pulsamos en “Propiedades“. El asistente configura como dirección IP del equipo que hará de servidor Proxy, la dirección 192.168.0.1 y la máscara de subred: 255.255.255.0.

edu.red

Instalación y configuración de clientes «proxy» PASO 3. Configuración de los equipos clientes

Introducimos el disquete, generado en el proceso de configuración del Servidor Proxy, en cada equipo y accederemos a la unidad A: para ejecutar el fichero “netsetup.exe“. Se abrirá el asistente de configuración. En este paso seleccionamos “Este equipo se conecta a Internet a través de una puerta de enlace residencial o de otro equipo de mi red“. Tras la finalización del asistente, reiniciamos el equipo y probamos la conexión a Internet.

En este caso, el asistente marca todas las opciones como automáticas para que las IP’s y la puerta de enlace se asignen automáticamente (las asignará el Servidor Proxy). Si queremos ver la IP que le ha asignado el Servidor Proxy al equipo cliente podemos hacerlo pulsando en “Inicio” – “Ejecutar” y escribiendo “cmd“, y “Aceptar“. Nos aparece una ventana de consola donde escribimos el comando “ipconfig” y pulsamos “Enter“.

Este comando nos mostrará la configuración de la red, algo de este estilo: IP: 192.168.0.48 Puerta de enlace: 192.168.0.1 (la del equipo Servidor Proxy).

edu.red

Instalación y configuración de clientes «proxy»

edu.red

Instalación y configuración de clientes «proxy» Una de las ventajas más importantes del Proxy de Windows XP es que funcionará casi cualquier tipo de aplicación que utilice Socket (conexión directa puerto a puerto), POP3, SMTP y cualquier otro programa que utilice vías de conexión a Internet diferentes al protocolo HTTP. Además, no se necesita ningún software adicional.

Como inconveniente resaltar que se tienen que cambiar todas las direcciones IP’s de la red, utilizando el rango 192.168.0.xxx.

Otra alternativa es emplear algún programa como Perproxy. Si quieres saber más sobre los Proxys puedes leer cómo funciona un Proxy en esta entrada.

edu.red

Configuración del almacenamiento en la caché de un «proxy» Por defecto, el caché de Squid está activado, lo que permite que las páginas se carguen más rápido.

El tamaño por defecto es de 100 Mo (ubicado en /var/spool/squid).

Para cambiar su tamaño, modifica el archivo /etc/squid/squid.conf Encuentra la línea:

# cache_dir ufs /var/spool/squid 100 16 256 Modifícala, puedes cambiar el valor de 100 por el valor que desees (por ejemplo 200 para 200 Mo):

cache_dir ufs /var/spool/squid 200 16 256

edu.red

Configuración del almacenamiento en la caché de un «proxy» La mayoría de los proxys tienen una caché, es decir, la capacidad de guardar en memoria (“en caché”) las páginas que los usuarios de la red de área local visitan comúnmente para poder proporcionarlas lo más rápido posible. De hecho, el término "caché" se utiliza con frecuencia en informática para referirse al espacio de almacenamiento temporal de datos (a veces también denominado "búfer").

Un servidor proxy con la capacidad de tener información en caché (neologismo que significa: poner en memoria oculta) generalmente se denomina servidor "proxy-caché". Esta característica, implementada en algunos servidores proxy, se utiliza para disminuir tanto el uso de ancho de banda en Internet como el tiempo de acceso a los documentos de los usuarios. Sin embargo, para lograr esto, el proxy debe comparar los datos que almacena en la memoria caché con los datos remotos de manera regular para garantizar que los datos en caché sean válidos.

edu.red

Configuración de filtros Por otra parte, al utilizar un servidor proxy, las conexiones pueden rastrearse al crear registros de actividad (logs) para guardar sistemáticamente las peticiones de los usuarios cuando solicitan conexiones a Internet.

Gracias a esto, las conexiones de Internet pueden filtrarse al analizar tanto las solicitudes del cliente como las respuestas del servidor. El filtrado que se realiza comparando la solicitud del cliente con una lista de solicitudes autorizadas se denomina lista blanca; y el filtrado que se realiza con una lista de sitios prohibidos se denomina lista negra. Finalmente, el análisis de las respuestas del servidor que cumplen con una lista de criterios (como palabras clave) se denomina filtrado de contenido.

edu.red

Métodos de autenticación en un «proxy» Como el proxy es una herramienta intermediaria indispensable para los usuarios de una red interna que quieren acceder a recursos externos, a veces se lo puede utilizar para autenticar usuarios, es decir, pedirles que se identifiquen con un nombre de usuario y una contraseña. También es fácil otorgarles acceso a recursos externos sólo a las personas autorizadas y registrar cada uso del recurso externo en archivos de registro de los accesos identificados.

Este tipo de mecanismo, cuando se implementa, obviamente genera diversos problemas relacionados con las libertades individuales y los derechos personales.

Existen dos conceptos importantes para entender los modos de autenticación.

Tipo de desafío (type of challenge): indica el tipo de desafío que se le presentara al cliente. Credenciales sustitutas (surrogate credentials): las credenciales sustitutas son algo que se utiliza para autenticar la transacción en lugar de las credenciales “reales”.

edu.red

Métodos de autenticación en un «proxy»

Auto: el modo default es seleccionado basándonos en la petición que haga el cliente. Auto puede seleccionar cualquier de las opciones, proxy, origin, origin-ip, o origin-cookie-redirect dependiendo en el tipo de conexión (explicita o transparente) y la configuración de la cookie de autenticación en modo transparente. Proxy-IP: El proxy utiliza un desafío en forma explícita y la IP del cliente como credenciales sustitutas. Proxy-IP específica un forward proxy inseguro. En algunos casos el desafío del proxy no funciona por lo que “origin” desafíos deben de ser generados. Origin: El proxy actúa como una OCS y genera desafíos OCS. La conexión autenticada sirve como credenciales sustitutas. Origin-IP: el proxy actúa como una OCS y genera desafíos OCS. La dirección del cliente es usada como credenciales sustitutas. Origin-IP es usado para soportar autenticación por IWA cuando el cliente no puede manejar credenciales por cookies. Origin-Cookie: El ProxySG actual como un servidor de origen y genera desafíos de servidor de origen. Una cookie es generada como credenciales sustitutas. Origin-Cookie es usado en forward proxies para soportar autenticación pass-through de manera más segura que Origen-IP si en cliente entiende cookies. Solamente los protocolos HTTP y HTTPS soportan cookies; todos los demás protocolos son degradados a utilizar automáticamente Origin-IP. Origin-cookie-redirect: El cliente es redirigido a una URL Virtual para ser autenticado, y las cookies son usadas como credenciales sustitutas. El Proxy SG no soporta Origin-Redirect con el método de CONNECT. Para forward proxy, solamente modos origin-*-redirect son soportados para autenticación por Kerberos/IWA. (Cualquier otro modo utiliza NTLM) SG2: Este modo es seleccionado automáticamente, basando en la petición, y usa las reglas definidas del SGOS 2.x. From-IP: una forma es presentada para recolectar las credenciales del usuario. La forma es presentada cada vez que el caché de las credenciales del usuario expiren. From-Cookie: Una forma es presentada para colectar las credenciales del usuario. Las cookies son setiadas en el dominio OCS solamente y el usuario es presentado con una nueva forma para cada dominio. Este modo es más utilizado en escenarios de proxy reverso donde hay un número limitado de dominios. From-Cookie-Redirect: Una forma es presentada para colectar las credenciales del usuario. El usuario es re direccionado a la URL Virtual antes de ser presentada la forma. La cookie de autenticación es setiada en ambos, la URL Virtual y el dominio OSC. El usuario es desafiado solamente cuando el cache de las credenciales expira. From-IP-Redirect: Este es similar a From-IP con la excepción que el usuario es re direccionado a la URL Virtual de autenticación antes que la forma sea presentada.

edu.red

«proxys» inversos Un proxy inverso es un servidor proxy-caché "al revés". Es un servidor proxy que, en lugar de permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos.

El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que desean acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy inverso, el servidor web está protegido de ataques externos directos, lo cual fortalece la red interna. Además, la función caché de un proxy inverso puede disminuir la carga de trabajo del servidor asignado, razón por la cual se lo denomina en ocasiones acelerador de servidor. Finalmente, con algoritmos perfeccionados, el proxy inverso puede distribuir la carga de trabajo mediante la redirección de las solicitudes a otros servidores similares. Este proceso se denomina equilibrio de carga .

edu.red

«proxys» encadenados Si usted ya tiene un servidor proxy que de los usuarios de los navegadores están configurados para utilizar, usted debería ser capaz de salir de los navegadores configuraciones sin cambiar y configurar el proxy existente para reenviar todo el HTTP, HTTPS, FTP y solicita a la seguridad Web de Cloud. Si su poder es capaz de utilizar un archivo PAC, puede utilizar la proporcionada por la nube de Seguridad Web. De lo contrario, le recomendamos que descargue una copia de la Gran Nube de archivo Web Security PAC y duplicar su funcionalidad en la configuración de su proxy.

edu.red

Pruebas de funcionamiento. Herramientas gráficas Una vez que hemos completado la configuración de nuestro proxy, podremos comprobar su correcto funcionamiento a través del Cache Test online de Lagado. Existen otros test de proxies transparentes, pero no son útiles para lo que queremos comprobar, ya que hay que señalar que las configuraciones que hemos indicado no esquivan el proxy transparente, simplemente le obligan a que nos entregue contenidos actualizados siempre. El Caché Test de Lagado comprueba si estamos viendo contenidos web reales o cacheados. Procedemos a realizar el test:

edu.red

Pruebas de funcionamiento. Herramientas gráficas El resultado es el siguiente.

edu.red

Pruebas de funcionamiento. Herramientas gráficas

edu.red

Pruebas de funcionamiento. Herramientas gráficas Servidor de gráficas Esta Es una herramienta esencial para llevar a cabo un seguimiento de la evolución de la red y detectar en qué momento y lugar es necesario ampliarla.

edu.red

Pruebas de funcionamiento. Herramientas gráficas El software que genera las gráficas es el paquete llamado snpservices. Lo descargamos desde (versión más reciente a 23/09/2009):

Wget http://trac.guifi.net/trac/export/759/guifi/tools/packaging/debian/snpservices/snpservices_0.2.0-2_all.deb

Wget http://repo.vic.guifi.net/debian/snpservices_0.2.0-2_all.deb

Tras descargar el paquete, lo instalamos: dpkg -i snpservices_0.2.0-2_all.deb

Nos dará error de dependencias. Las instalamos: apt-get -f install

La instalación nos pedirá que introduzcamos el ID del servidor de gráficas. Ese número lo obtendremos del nodo que hemos creado en la web, en este caso de guifi.net/es/node/24562, es decir, 24562 (para otros lugares será un número distinto).

edu.red

Pruebas de funcionamiento. Herramientas gráficas También nos preguntará si queremos recuperar en este momento el archivo mrtg.cfg. Aceptamos. Una vez instalado no tendremos que configurar nada más en el servidor, comenzará a servir gráficas inmediatamente.

Debemos modificar el nodo del servicio de gráficas para añadirle la URL del mismo, que será del tipo maquina/snpservices. También hay que establecer la versión 2.0.

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente