Instalación de Squid
Instalación de Squid
Instalación de Squid
2.- Dar clic en la pestaa Herramientas del sistema y para finalizar clic en
Terminal. 2.- A continuacin se presenta la terminal de Linux Fedora. 3.- Entrar como modo administrador en la terminal con el comando SU seguido de la contrasea de usuario Root.
4.- Si se introdujo la contrasea de usuario ROOT de manera correcta saldr un mensaje en pantalla con los siguientes parmetros segn el nombre de la Maquina: [root@ServidorProxy Conalep] # 5.- Para instalar SQUID en Fedora es necesario teclear la siguiente sintaxis: yum InstallSquid httpd
6.- Se descargarn los paquetes de instalacin para posteriormente instalarlos y se har una pregunta al usuario para confirmar y ejecutar la opcin S/N (Si o No).
8.- Se proceder a acceder al archivo de configuracin de Squid denominado squid.conf, el cual se encuentra en la direccin /etc/squid/squid.conf con el comando: sudo gedit /etc/squid/squid.conf
squid. 10.- Se proceder a establecer los parmetros en el archivo de configuracin de Squid, primeramente asignando el nombre del servidor, el cual se consigue accediendo a la terminal de Fedora y tecleando el siguiente comando hostname tal como lo muestra la ilustracin 34.
11.- Una vez obteniendo el nombre de la maquina se agregara al archivo de configuracin squid.conf de la siguiente manera visible_hostname
ServidorProxy.
12.- De la siguiente manera se busca la lnea donde se encuentre la sintaxis http_port 3128, se agregar el puerto al cual estar ligado squid, http_port 192.168.0.1:3128, esto es para incrementar la seguridad ya que se puede vincular el servicio a una IP que solo se pueda acceder desde la red local. Considerando que el servidor utilizado posee una IP 192.168.0.1, puede hacerse lo siguiente: Antes:
Despus:
13.- Parmetro cache_mem. El parmetro cache_mem establece la cantidad ideal de memoria para lo siguiente: Objetos en trnsito Objetos frecuentemente utilizados (Hot) Objetos negativamente almacenados en el cach Los datos de estos objetos se almacenan en bloques de 4 Kb. El parmetro cache_mem especifica un lmite mximo en el tamao total de bloques acomodados, donde los objetos en trnsito tienen mayor prioridad. Sin embargo los objetos Hot y aquellos negativamente almacenados en el cach podrn utilizar la memoria no utilizada hasta que esta sea requerida. De ser necesario, si un
objeto en trnsito es mayor a la cantidad de memoria especificada, Squid exceder lo que sea necesario para satisfacer la peticin. De modo predefinido se establecen 8 MB. Puede especificarse una cantidad mayor si as se considera necesario, dependiendo esto de los hbitos de los usuarios o necesidades establecidas por el administrador.
Si se posee un servidor con al menos 128 MB de RAM, establezca 16 MB como valor para este parmetro: cache_mem 16 MB, en este caso poseemos una RAM de 1 GB por lo cual el cache_mem queda definido en cache_mem 128 MB.
14.- Parmetro cache_dir Cunto desea almacenar de Internet en el disco duro? Este parmetro se utiliza para establecer que tamao se desea que tenga el cach en el disco duro para Squid. Para entender esto un poco mejor, responda a esta pregunta: Cunto desea almacenar de Internet en el disco duro? De modo predefinido Squid utilizar un cach de 100 MB, de modo tal que encontrar la siguiente lnea: cache_dir ufs /var/spool/squid 100 16 256 Se puede incrementar el tamao del cach hasta donde lo desee el administrador. Mientras ms grande sea el cach, ms objetos se almacenarn en ste y por lo tanto se utilizar menos el ancho de banda. Para activar el cache_dir es necesario buscar la lnea en el archivo squid.conf, dicha lnea se encuentra comentada con un #, ser necesario des comentarla para que quede como en la figura 39.
Los nmeros 16 y 256 significan que el directorio del cach contendr 16 directorios subordinados con 256 niveles cada uno. No modifique esto nmeros, no hay necesidad de hacerlo. 15.-Parmetro chache_mgr De modo predefinido, si algo ocurre con el cach, como por ejemplo que muera el procesos, se enviar un mensaje de aviso a la cuenta web mster del servidor de la siguiente manera.
16.- Squid tiene como ejemplo posibles redes LAN activadas por defecto, si estas no son comentadas, se permitira el acceso a las maquinas sin problema alguno,
para evitar esto se comentarn las siguientes lneas ACL, como se muestra en la ilustracin 42. 17.- Una vez finalizada la tarea de configuracin en el archivo squid.conf se guardaran los cambios de la siguiente manera: Men Archivo, Guardar o mediante el comando Ctrl + S, para posteriormente cerrarlo.
Una vez terminada la configuracin, ejecute el siguiente mandato para iniciar por primera vez Squid, mediante la terminal de Fedora en modo Root: service squid start
Si necesita reiniciar para probar cambios hechos en la configuracin, utilice lo siguiente: service squid restart Si desea que Squid inicie de manera automtica la prxima vez que inicie el sistema, utilice lo siguiente: chkconfig squid on
Lo anterior habilitar a Squid en todos los niveles de corrida. /etc/init.d/squid start /etc/init.d/squid stop /etc/init.d/squid restart
Abrir puerto 3128 mediante el firewall 1.- En la terminal teclear su, seguido por la contrasea de administrador Root. 2.- Teclear lo siguiente: system-config-firewall
3.- Ir a la pestaa Otros Puertos, y seleccionarla. 4.- En la presente ventana seleccionar Aadir.
5.- Una vez dentro seleccionar la opcin Definido por el Usuario, para posteriormente agregar el puerto 3128 en apartado Puerto / Rango de Puertos, para finalizar dar clic en Aceptar.
6.- Para finalizar se proceder a guardar los cambios en el apartado Aplicar. 7.- Se proceder a sobrescribir la informacin dando clic en SI de la ventana emergente y se cerrara la ventana del Firewall.
Configuracin del cliente Squid Para poder emplear el Proxy-Cache, se tendr que configurar cada Navegador de cada PC con los datos del mismo. En este manual se usar Mozilla Firefox navegador WEB libre. IP-Proxy: 192.168.0.1 Puerto: 3128
1.- Abrir Mozilla Firefox. 2.- Ir al men Editar y dar clic en la pestaa Preferencias.
3.- Una vez dentro de la ventana Preferencias de Firefox, ir al men Avanzado, seguido de la pestaa RED y a continuacin clic en el botn Configuracin.
4.- Seleccionar Configuracin manual del Proxy, asignar en el apartado Proxy HTTP la IP de la interfaz de red LAN del servidor proxy 192.168.0.1 y el Puerto asignado a squid 3128, para finalizar dar clic en Aceptar.
1.- En la terminal de Fedora, como usuario Root se creara una carpeta por medio de comandos para mantener un orden especifico de las diferentes IP permitidas. 2.-Antes que nada entrar a la carpeta de squid con el siguiente comando: cd /etc/squid. 3.- Una vez dentro crear una carpeta que mantendr los archivos con las diferentes direcciones IP por medio del siguiente comando: mkdir + (Nombre de la carpeta), en este caso nombraremos a la carpeta direcciones de manera que quedara de este modo: Mkdir direcciones 4.- Con el comando ls se comprueba que la carpeta se ha creado como muestra la ilustracin 48.
5.- A continuacin se proceder a crear las listas en donde se guardarn los diferentes rangos de direcciones IP
1.- Se crear la lista que contendr las IP del personal administrativo por medio de la siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendr las listas) / (nombre de la lista).
Ilustracin 22 Creacin de las listas que contendrn las ip por medio de la terminal
2.- Una vez ejecutado el comando al dar Enter se abrir el editor de texto y se proceder a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera. 3.- Se proceder a guardar la lista creada, dando clic al men archivo seguido de la pestaa guardar o por medio del comando Ctrl + S
Una vez realizados los pasos para la creacin de las listas para el personal administrativo, procede a crear la lista para los servidores. Se usar la misma carpeta que contiene la lista del personal administrativo denominada direcciones esto con la finalidad de mantener un control en squid.
siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendr las listas) / (nombre de la lista). En este caso el comando queda de la siguiente manera: sudo gedit /etc/squid/direcciones/servidores.
2.- Una vez ejecutado el comando al dar Enter se abrir el editor de texto y se proceder a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera.
3.- Se proceder a guardar la lista creada, dando clic al men archivo seguido de la pestaa guardar o por medio del comando Ctrl + S Crear listas de IP para impresoras
1.-Se crear la lista que contendr las IP de las impresoras de red por medio de la siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendr las listas) / (nombre de la lista).
2.- Una vez ejecutado el comando al dar Enter se abrir el editor de texto y se proceder a escribir las direcciones IP asignadas al personal administrativo de la siguiente manera.
3.- Se proceder a guardar la lista creada, dando clic al men archivo seguido de la pestaa guardar o por medio del comando Ctrl + S. Crear listas de IP para el Laboratorio #1
1.-Se crear la lista que contendr las IP del Laboratorio #1 por medio de la siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendr las listas) / (nombre de la lista). En este caso el comando queda de la siguiente manera: sudo gedit /etc/squid/direcciones/laboratorio1
2.- Una vez ejecutado el comando al dar Enter se abrir el editor de texto y se proceder a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera.
3.- Se proceder a guardar la lista creada, dando clic al men archivo seguido de la pestaa guardar o por medio del comando Ctrl + S
Crear listas de IP para el Laboratorio #2 1.-Se crear la lista que contendr las IP del Laboratorio #2 por medio de la siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendr las listas) / (nombre de la lista). 2.- Una vez ejecutado el comando al dar Enter se abrir el editor de texto y se proceder a escribir las direcciones IP asignadas al personal administrativo de la siguiente manera.
Ilustracin 29 Listas del laboratorio #1
3.- Se proceder a guardar la lista creada, dando clic al men archivo seguido de la pestaa guardar o por medio del comando Ctrl + S
Crear listas de IP para el Laboratorio #3 1.-Se crear la lista que contendr las IP del Laboratorio #3 por medio de la siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendr las listas) / (nombre de la lista). En este caso el comando queda de la siguiente manera: sudo gedit /etc/squid/direcciones/laboratorio3 2.- Una vez ejecutado el comando al dar Enter se abrir el editor de texto y se proceder a escribir las direcciones IP asignadas al personal administrativo de la siguiente manera.
3.- Se proceder a guardar la lista creada, dando clic al men archivo seguido de la pestaa guardar o por medio del comando Ctrl + S
1.-Se crear la lista que contendr las IP del Laboratorio #4 por medio de la siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendr las listas) / (nombre de la lista). En este caso el comando queda de la siguiente manera: sudo gedit /etc/squid/direcciones/laboratorio4 2.- Una vez ejecutado el comando al dar Enter se abrir el editor de texto y se proceder a escribir las direcciones IP asignadas al personal administrativo de la siguiente manera.
3.- Se proceder a guardar la lista creada, dando clic al men archivo seguido de la pestaa guardar o por medio del comando Ctrl + S El modo correcto para deshabilitar una IP de la lista es usando un # antes de la direccin. Ejemplo: #192.168.0.4
Permitir acceso a Internet a las listas de IP 1.- Una vez registrados los rangos de IP con los que trabajara squid, se proceder a activarlos y permitir el acceso a Internet alas PC que contengan dichas IP. 2.- Abrir la terminal de Fedora en modo ROOT y abrir el archivo squid.conf por medio del comando sudo gedit /etc/squid/squid.conf
3.- Para llamar las listas en las cuales se encuentran las IP con las que se trabajar, es necesario teclear la siguiente sintaxis: acl
nombre_de_lista_de_acceso src "direccin_de_la_lista_de_ip" 4.- En este caso se usara de la siguiente manera: acl red_servidores src
"/etc/squid/direcciones/servidores" 5.- Una vez llamadas las IPs del archivo se proceder a activarlas por medio de la siguiente sintaxis: http_access allow red_servidores red_servidores = nombre de la lista de acceso
La regla http_access allow red_servidores permite el acceso a Squid a la lista de Control de Acceso denominada red_servidores, la cual est conformada por las direcciones IP especificadas en el fichero /etc/squid/direcciones/servidores. Esto significa que cualquier mquina no incluida en
allow = Permitir el acceso a Internet a la Lista De Acceso (acl) deny = Niega el acceso a Internet a la Lista De Acceso (acl)
Restriccin de acceso por horarios Denegar el acceso a ciertos en ciertos horarios permite hacer un uso ms racional del ancho de banda con el que se dispone. El funcionamiento es verdaderamente simple, y consiste en denegar el acceso en horarios y das de la semana. La sintaxis para crear Listas de control de acceso que definan horarios es la siguiente: Acl [nombre del horario] time [das de la semana] hh:mm-hh:mm Los das de la semana se definen con letras, las cuales corresponden a la primera letra del nombre en ingls, de modo que se utilizarn del siguiente modo: Ejemplo: Acl semana time MTWHF 09:00-21:00 Esta regla define a la lista semana, la cual comprende un horario de 09:00 a 21:00 horas desde el lunes hasta el viernes. S - Domingo M - Lunes T - Martes W - Mircoles H - Jueves F - Viernes A - Sbado
Este tipo de listas se aplican en las Reglas de Control de Acceso con una mecnica similar a la siguiente: Se permite o deniega el acceso en el horario definido en la Lista de Control de Acceso denominada X para las entidades definidas en la Lista de Control de Acceso denominada Y. Lo anterior expresado en una Regla de Control de Acceso, queda del siguiente modo:
http_access [allow | deny] [nombre del horario] [lista de entidades] La definicin para el horario correspondera a: Acl clasematutina src "/etc/squid/direcciones/servidores" Acl matutino time MTWHF 09:00-15:00
En resumen lo anterior, significa que quienes conformen clase matutina podrn acceder a Internet de lunes a viernes de 09:00-15:00 horas.
Es posible denegar la descarga a cierto tipo de contenido de acuerdo a su extensin. Igual que con otras funciones, se requiere una Lista de Control de Acceso y una Regla de Control de Acceso
Si se necesita una lista denominada extensiones que defina a todo lo que desea bloquear, para eso se utilizar lo siguiente:
1.- Antes que nada se proceder a crear una carpeta en la cual se encontrarn los diferentes archivos de las extensiones Entrar en modo Root a la terminal de Fedora y acceder a la carpeta de squid por medio del siguiente comando: cd /etc/squid/ Para continuar se crear una carpeta, esto con la finalidad de mantener un orden en squid, la carpeta se denominar extensiones, y se crear por medio del siguiente comando: Mkdir extensiones
Entrar con el comando cd a la carpeta recin creada extensiones de la siguiente manera: Crear el archivo que contendr las diferentes extensiones por medio del siguiente comando: Sudo gedit /etc/squid/extensiones/exprohibidas
Una vez creado el archivo se proceder a incluir las diferentes extensiones tal como lo muestra la imagen 72
2.- Para llamar la lista como en otras ocasiones es necesario teclear la siguiente sintaxis en el archivo squid.conf:
3.- Para aplicar la regla expro, es necesario combinar las extensiones con otra acl, de manera que se bloqueen las extensiones para cierto tipo de mquinas o ciertas IP:
Ejemplo: Denegar las extensiones del archivo exprohibidas con nombre de lista de acceso expro a las IP asignadas a los servidores http_access allow red_servidores! expro
4.- Guardar los cambios del archivo squid.conf y reiniciar el servicio con el comando: /etc/init.d/squid restart
Restriccin de acceso por tipo de palabras en la URL Las listas de acceso que definen palabras contenidas en un URL se almacenan de igual manera en archivos de texto, son llamadas y activadas directamente del archivo squid.conf Antes que nada se deber entrar a la terminal de Fedora en modo root y crear una carpeta que contendr las diferentes listas de palabras. 1.-Entrar en modo Root a la terminal de Fedora y acceder a la carpeta de squid por medio del siguiente comando: cd /etc/squid/ 2.-Para continuar se crear una carpeta, esto con la finalidad de mantener un orden en squid, la carpeta se denominar palabras, y se crear por medio del siguiente comando: Mkdir palabras
3.- Entrar con el comando cd a la carpeta recin creada palabras de la siguiente manera: Cd palabras
4.- Crear el archivo que contendr las diferentes extensiones por medio del siguiente comando:
5.- Una vez creado el archivo se proceder a incluir las diferentes palabras tal como lo muestra la imagen
6.- Ya asignadas las extensiones guardar los cambios y cerrar el archivo 7.- Para llamar la lista como en otras ocasiones es necesario teclear la siguiente sintaxis en el archivo squid.conf:
8.- Para aplicar la regla palabrasmal, es necesario combinar las malaspalabras con otra acl, de manera que se bloqueen las palabras para cierto tipo de mquinas o ciertas IP:
Ejemplo: Denegar las palabras del archivo malaspalabras con nombre de lista de acceso palabrasmal a las IP asignadas a los servidores http_access allow red_servidores !palabrasmal
9.- Guardar los cambios del archivo squid.conf y reiniciar el servicio con el comando: /etc/init.d/squid restart
10.- Guardar y cerrar el archivo squid.conf y reiniciar los servicios de squid con el comando: /etc/init.d/squid restart
En algunas ocasiones se crean listas de malas palabras y se bloquean otras que al contener una fraccin de la misma son restringidas, sin embargo algunas
pginas no cuentan con contenido daino para los usuarios y son restringidas de igual forma. Para poder acceder a dichas paginas consultadas y bloqueadas, es necesario crear una lista blanca en la cual se podr capturar las palabras libres de contenido daino para los usuarios.
1.- Entrar en modo Root a la terminal de Fedora 2.- Entrar con el comando cd a la carpeta creada palabras de la siguiente manera: 3.- Crear el archivo que contendr las diferentes extensiones por medio del siguiente comando: Sudo gedit /etc/squid/palabras/buenaspalabras
4.- Una vez creado el archivo se proceder a incluir las diferentes buenas palabras tal como lo muestra la imagen
5.- Una vez asignadas las extensiones guardar los cambios y cerrar el archivo.
6.- Para llamar la lista como en otras ocasiones es necesario teclear la siguiente sintaxis en el archivo squid.conf
7.- Para aplicar la regla buenaspalabras, es necesario teclear la siguiente sintaxis, de manera que se permitan las palabras para cierto tipo de mquinas o ciertas IP: http_access allow (nombre de la lista) all
Ejemplo: Acceder a las palabras del archivo buenaspalabras con nombre de lista de acceso buenaspalabras a las IP asignadas a los servidores. http_access allow buenaspalabras all
8.- Guardar y cerrar el archivo squid.conf y reiniciar los servicios de squid con el comando: /etc/init.d/squid restart
Restriccin de acceso por Dominio Denegar el acceso a ciertos Sitios de Red permite hacer un uso ms racional del ancho de banda con el que se dispone. El funcionamiento es verdaderamente simple, y consiste en denegar el acceso a direcciones Web que contengan patrones en comn. La restriccin ser por medio de una lista basada en un BlackList descargado del sitio oficial de listas negras http://urlblacklist.com/. En la ltima generacin de la lista negra contiene 3489793 entradas, las cuales se dividen en diferentes categoras. 1.- Descargar la lista negra de la pgina mencionada con anterioridad 2.- Extraer los documentos que se encuentran dentro dando clic derecho y posteriormente abrir con gestor de archivadores 3.- Dar clic al botn Extraer
4.- En la siguiente ventana dar clic en Extraer 5.- Dar clic en Mostrar los archivos
6.- Se mostrar la carpeta en donde se encuentran los archivos contenedores de URL 7.- Por medio de la terminal de Fedora y en modo root, se proceder a copiar esa carpeta a la carpeta de squid encontrada en la ruta /etc/squid/ con el siguiente comando: Teclear el directorio donde se encuentre la carpeta extrada antecedido por la palabra cp, en este caso se encuentra en la direccin
/home/conalep/descargas/(nombre de la carpeta a copiar), separado por un espacio tecleamos la ruda de destino en este caso ser: /etc/squid/ Cp -r /home/conalep/Descargas/blacklists /etc/squid/ La sintaxis -r significa que copiara los archivos que contiene la carpeta
8.- Una vez teniendo el Blacklists en la carpeta del squid, se proceder a llamarlas en el archivo squid.conf por medio de la siguiente sintaxis: sudo gedit /squid/squid.conf
9.- Dentro del squid.conf se llamar la lista con el comando: acl (nombre de la lista) dstdomain "/etc/squid / (lugar donde se encuentra el archivo contenedor de URL)"
10.- Una vez agregado el archivo contenedor de URL, cabe recalcar que para denegarlo a cierto rango de IP es necesario describirlo activando el mismo por
11.- Guardar y cerrar el archivo squid.conf y reiniciar los servicios de squid con el comando: /etc/init.d/squid restart
Restriccin de acceso por puertos (HTTPS, MSN, FTP etc) Por defecto todos los puertos en squid estn cerrados, sin embargo es factible abrir ciertos puertos que se consideren necesario para la empresa. En ocasiones es necesario desactivar algunas de estas pginas debido a su contenido, daino o poco factible para organizacin, un ejemplo de estas pgina son: https://meebo.com o https://facebook.com. Visto de otra manera, es necesario desbloquear algunas otras pginas que son benficas para la organizacin o son usadas con regularidad en la empresa, un ejemplo de esta pgina es: https://sistemas.conalep.edu.mx:4443/sae_encuestas/
Para activar las pginas con contenido HTTPS, es necesario activar en el explorador Web el contenido SSL asignando el puerto correspondiente.
Configurar Navegador Web Para permitir leer contenido HTTPS es necesario modificar el explorador de la siguiente manera. 1.- Abrir Mozilla Firefox. 2.- Ir al men Editar y dar clic en la pestaa Preferencias. 3.- Una vez dentro de la ventana Preferencias de Firefox, ir al men Avanzado, seguido de la pestaa RED y a continuacin clic en el botn Configuracin como se muestra en la ilustracin 79.
4.- Seleccionar Configuracin manual del Proxy como se muestra en la ilustracin 80, asignar en el apartado Proxy SSL la IP de la interfaz de red LAN del servidor proxy 192.168.0.1 y el Puerto asignado a squid 3128, para finalizar dar clic en Aceptar.
Bloquear un puerto
Para bloquear un puerto es necesario antes que nada saber cul es, para que nos sirve, que beneficios nos trae bloquearlo y si es contraproducente hacerlo. En este caso se bloqueara el puerto 443 el cual es usado para la transferencia segura de pginas web (HTTPS), de la misma manera es usado por el software denominado Messenger para iniciar la cesin de un usuario.
Como se sabe HTTPS es seguro y por lo tanto no es detectado por squid, de tal manera la tarea es activar y desactivar el puerto 443 a cierto nmero de mquinas en el momento que el administrador del servidor as lo disponga. Por consiguiente se activar y desactivara el inicio de cesin al Messenger. 1.- Abrir la terminal de Fedora en modo Root y abrir el archivo squid.conf con el comando: sudo gedit /etc/squid/squid.conf 2.- Por defecto en squid se encuentran activados los siguientes puertos:
3.- Las lneas que se muestran a continuacin tienen mucho que ver ya que describen en http_access deny! Safe_ports que: Se niega Cualquier otro puerto que no se encuentre en la lista de acceso (Safe_ports)
4.- De igual manera, la siguiente lnea http_access deny CONNECT! SSL_ports descrita en la ilustracin 82 niegan la conexin a cualquier otro puerto que no se encuentre en la lista de acceso (SSL_ports)
5.- Una vez entendida la tarea que efectan estas dos lneas es necesario buscar el puerto 443, el cual se encuentra activado 6.- Para no cometer errores y poder distinguir las listas de los puertos que podran ser utilizados en un laboratorio o en su caso con el personal administrativo se desactivaran todos los puertos por medio de un # tal como se muestra a continuacin, de la misma manera se desactivaran las dos lneas descritas en los pasos 3 y 4 ya que si se dejan squid cometera un error debido a que no
7.- Una vez bloqueados los puertos se empezara a crear las listas de acceso con los puertos que se necesitan.
Ejemplo: Solo se desea que el Laboratorio #1 tenga acceso a pginas web HTTP puertos (280, 80, 777, 488), de la misma manera se requiere que el Laboratorio #2 debido a las encuestas solo se le active el puerto 443 y 4443. Para el Laboratorio #1 se creara la ACL llamada puertolab1 Para el Laboratorio #2 se creara la ACL llamada puertolab2
8.- Se proceder a crear las ACL para los laboratorios cada una con sus respectivos puertos. acl puertolab1 port 280 80 777 488 acl puertolab2 port 443 563 4443
9.- Se denegara el acceso a todos los puertos que no formen parte de las ACL creadas con la lnea http_access deny !puertolab1 !puertolab2
10.- De manera siguiente una vez creadas las ACL se permitir el acceso a estos puertos a los diferentes laboratorios, cabe recalcar que en cada http_access allow se requiere denegar las ACL del laboratorio contrario. http_access allow puertolab1 !puertolab2 pclaboratorio1 http_access allow !puertolab2 !puertolab1 pclaboratorio2
Las palabras resaltadas en negritas son los puertos que no se desean usar en esos laboratorios, mas sin embargo se encontraban activos hasta antes de denegarlas con el signo de exclamacin ! de la siguiente manera.
11.- Guardar, cerrar el archivo squid.conf y reiniciar los servicios de Squid con el comando: /etc/init.d/squid restart
Para facilitar el control de los clientes y poder controlar el tamao de los ficheros o pginas que se bajan, se deber teclear 3 lneas en el fichero de configuracin squid.conf que se encargan de eso. Esto especifica el tamao mximo de los encabezados HTTP en la peticin.
request_header_max_size:
Esto
especifica
el
tamao
mximo
de
los
encabezados HTTP en la peticin. Encabezados de la solicitud son relativamente pequeos Un lmite en el (alrededor tamao del de encabezado 512 solicitud de bytes). capturas de
request_body_max_size: Esto especifica el tamao mximo de un cuerpo de la peticin En otras palabras, el tamao mximo de una solicitud PUT / POST. HTTP.
Un usuario que intenta enviar una solicitud con un cuerpo ms grande que este lmite recibe una "Solicitud no vlida" mensaje de error.
reply_body_max_size: Esta opcin especifica el tamao mximo de un cuerpo. Puede ser utilizo para evitar que los usuarios descarguen archivos muy grandes, tales MP3 o pelculas. como
Se puede jugar con los KB para ajustarlo a las necesidades de la organizacin. Abrir el archivo squid.conf en modo Root y agregar las siguientes lneas: # OPTIONS FOR TUNING THE CACHE request_header_max_size 10 KB request_body_max_size 512 KB reply_body_max_size 512 KB
Delay pools es la respuesta de Squid frente al control de ancho de banda y el traffic shaping (catalogacin de trfico). Esto se realiza limitando el rate que el Squid retorna los datos desde su cache. Los delay pools son en esencia "cubos de ancho de banda (bandwidth buckets). La solicitud a una respuesta es demorada hasta que cierta cantidad de ancho de banda est disponible desde un cubo. Squid llena con cierta cantidad de trfico los cubos por cada segundo y los clientes del Cache consumen los datos llenados desde esos cubos. El tamao de un cubo determina cunto lmite de ancho de banda est disponible en un cliente. Si un cubo se encuentra lleno, un cliente puede descargar a mxima velocidad de la conexin disponible (sin limitacin de rate) hasta que ste se vace. Despus que se vace recibir el lmite de trfico asignado.
Directivas: delay_pools: Define cuantos delay pools se van a utilizar o Ejemplo: + delay_pool 5: Define 5 Delay pools que sern configurados posteriormente delay_class: Define la clase del delay pool. Para evitar complicaciones es recomendable tener siempre un delay_class para cada delay pool definido. o Ejemplo: o + delay_class 1 3 (Define el delay pool 1 que sea de tipo 3). o + delay_class 5 2 (Define el delay pool 5 que sea de tipo 2). delay_parameters: Este es el parmetro crtico en el cual se limita el ancho de banda. Para cada Delay Pool se debe definir: el fill rate (trfico de llenado) y el tamao mximo de cada cubo. delay_parameters N rate/size [rate/size [rate/size]] El valor del rate est definido en bytes por segundo, y size en total de bytes. Si se divide el size entre el rate, Dispondrs el tiempo en segundos que el cubo se llenar si el cliente no est consumiendo. delay_initial_bucket_level: Dice que tan lleno estar el cada cubo al iniciar el Squid. Se indica en porcentajes delay_initial_bucket_level 75% delay_access: permite relacionarlo a una ACL especfica. Es similar a las reglas de acceso de Squid, pero es necesario definir el nmero de Pool antes del allow o deny.
Mantener el ancho de banda a 10 KB para los laboratorios, 65 KB para personal administrativo y 5 KB para las PC estndar
Delay_class 1 1 # Se declara el primer delay de clase uno Delay_class 2 1 # Se declara el segundo delay de clase 1 Delay_class 3 1 # Se declara el tercer delay de clase 1 Delay_parameters 1 65536/1048576# Se define el ancho debanda del delay 1 a 65 KB Delay_parameters 2 10000/50000# Se define el ancho debanda del delay 1 a 10 KB Delay_parameters 3 5000/30000# Se define el ancho debanda del delay 1 a 5 KB Delay_access 1 allow laboratorios # Se declara que el delay 1 ser aplicado para los laboratorios Delay_access 2 allow administrativos # Se declara que el delay 2 ser aplicado para el personal administrativo Delay_access 3 allow pc_estandar # Se declara que el delay 3 ser aplicado para las PC estndar Para finalizar se declara de manera normal el acceso a las diferentes PC http_access allow laboratorios http_access allow administrativos http_access allow pc_estandar Con estos sencillos procedimientos queda limitada la red al ancho de banda que asigne el administrador del servidor. Restriccin por usuario y contrasea Es muy til poder establecer un sistema de autenticacin para poder acceder hacia Internet, pues esto permite controlar quienes s y quienes no accedern a Internet sin importar desde que mquina de la red local lo hagan. Sera de modo tal que tendre un doble control, primero por direccin IP y segundo por nombre de usuario y clave de acceso.
1.- Entrar a la terminal de Fedora en modo Root y teclear el comando: sudo gedit /etc/squid/squid.conf.
2.- Agregar al archivo de configuracin squid.conf las siguientes lneas: auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd.
3.- Crear la regla para poder permitirla ms adelante: http_access allow permitidos
4.- Guardar las modificaciones realizadas en el archivo squid.conf y cerrarlo sin reiniciar squid. 5.- Posteriormente crear el archivo passwd de esta forma: Htpasswd -c /etc/squid/passwd alumnos
Passwd es una carpeta que se crea con el comando -c. La palabra alumnos determina el nombre del usuario que ser utilizado para autentificar las maquinas clientes de squid.
8.- Al finalizar de ingresar la contrasea se mostrar el siguiente dialogo Adding password for user alumnos, el cual refiere a que se aadi la contrasea de manera correcta al usuario alumnos.
10.- Permitir el acceso a lo que se cre con anterioridad (listas de acceso con usuarios) con el comando: http_access allow (lista de acceso de usuarios) + (lista de acceso de las PC) http_access allow permitidos red_servidores
Ilustracin 66 Squid.conf dando acceso a una lista con los archivos permitidos
11.- Guardar y cerrar el archivo squid.conf y reiniciar los servicios de squid con el comando: /etc/init.d/squid restart
La configuracin del archivo squid.conf descrita en la seccin restriccin por usuario y contrasea, lleva el siguiente orden para no contener errores.
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd acl password proxy_auth REQUIRED acl permitidos proxy_auth alumnos http_access allow permitidos red_servidores
Agregar ms usuarios 1.- Para poder agregar otros usuarios dentro del mismo archivo, se tendr que ejecutar el mismo comando sobre el mismo archivo pero sin el '-c':
Cambiar clave de usuario Si por alguna razn se desea cambiar la clave de algn usuario en particular solo se tiene que ejecutar el comando: #htpasswd /etc/squid/passwd omar
El sistema se da cuenta solo de que ese usuario ya existe en ese archivo y nos da la opcin de cambiar la clave. Para saber que la clave fue actualizada, aparecer el mensaje: Updating password for user omar Eliminar usuario
Para borrar un usuario del fichero de passwords: abrir el fichero y eliminar la entrada. 1.- Entrar a la terminal de Fedora en modo Root, y teclear: sudo gedit /etc/squid/passwd
cerrar el archivo. Eliminar listas y directorios creados 1.- Para eliminar un directorio y sus subdirectorios es necesario entrar a la terminal de Fedora y teclear el siguiente comando en modo Root: rm -f -r -v nombre_carpeta -f: No pide confirmacin al eliminar -r: Elimina carpetas y subcarpetas con su contenido -v: muestra el nombre de los ficheros y carpetas que va eliminando Ejemplo: rm -f -r -v /etc/squid/blacklists/
2.- Para eliminar un archivo en especfico simplemente se teclea el comando: Rm -f -r -v lugar_del_documento_y_documento Ejemplo: rm -f /etc/squid/blacklists/adult/urls
El comando cp se utiliza para copiar archivos, su sintaxis es la siguiente: Cp [opciones] archivo-origen directorio-destino Cp [opciones] archivos-origen... directorio-destino Entre las opciones ms relevantes, se tienen: -f: Borrar los archivos de destino ya existentes -d: Copiar los enlaces simblicos tal cual son, en lugar de copiar los archivos a los que apuntan -p: Preservar los permisos, el usuario y el grupo del archivo a copiar -R: Copiar directorios recursivamente
-a: Equivalente a utilizar las opciones -dpR -u: No copia un archivo si en el destino ya existe tal archivo, y ste tiene la fecha de modificacin igual o ms reciente -v: Da informacin en pantalla sobre los archivos que se van copiando
Ejemplo: Se desea copiar las blacklists que se encuentran en: /home/Jorge/Escritorio/Documentos/squid/blacklists a la carpeta de squid que se encuentra en /etc/squid/. Para poder copiar todos los subdirectorios, es necesario usar la sintaxis -R
descrita con anterioridad de la siguiente manera. Cp -R /home/Jorge/Escritorio/Documentos/squid/blacklists /etc/squid Esto se puede realizar con un solo archivo o subdirectorios segn sea el caso. Depuracin de errores
Cualquier error al inicio de Squid solo significa que hubo errores de sintaxis, errores de dedo o bien se estn citando incorrectamente las rutas hacia los ficheros de las Listas de Control de Acceso. Puede realizar diagnstico de problemas indicndole a Squid que vuelva a leer configuracin, lo cul devolver los errores que existan en el fichero /etc/squid/squid.conf.
Cuando se trata de errores graves que no permiten iniciar el servicio, puede examinarse el contenido del fichero /var/log/squid/squid.out con el mandato less, more o cualquier otro visor de texto:
1.- Descargar el software SARG de la siguiente direccin: ftp://rpmfind.net/linux/dag/redhat/el5/en/i386/dag/RPMS/sarg-2.2.3.11.el5.rf.i386.rpm 2.- Una vez descargado el software sarg-2.2.3.1-1.el5.rf.i386, se proceder a instalarlo dando doble clic al archivo. 3.- El sistema cuestionar al usuario de la instalacin, dar clic en Instalar
4.- En caso de abrirse otras ventanas, dar clic en Continuar y agregar la clave de usuario root si es necesario
Configuracin de SARG 1.- Abrir la terminal de Fedora en modo root, posteriormente acceder al archivo de configuracin mediante el siguiente comando: sudo gedit /etc/sarg/sarg.conf
4.- Una vez finalizada la tarea de configuracin en el archivo sarg.conf se guardarn los cambios de la siguiente manera: Men Archivo, Guardar o mediante el comando Ctrl + S, para posteriormente cerrarlo. Men Archivo--Guardar
5.- Editar con el fichero /etc/httpd/conf.d/sarg.conf por medio del comando: sudo gedit /etc/httpd/conf.d/sarg.conf
6.-Localizar la lnea allow from 127.0.0.1, la cual define que solo se puede acceder hacia el directorio /sarg/ desde 127.0.0.1 (es decir, solo puede ser accedido como http://127.0.0.1/sarg/)
7.- Definir que tambin se puede acceder al directorio /sarg/ desde 192.168.0.1, reemplazando por allow from 127.0.0.1 192.168.0.1
8.- Definir que el acceso hacia el directorio /sarg/ (que en adelante podr ser accedido como http://127.0.0.1/sarg/ o bien http://192.168.0.1/sarg/) se permitir solo a usuarios autorizados que autenticarn a travs del fichero
/var/www/claves-sarg
Agregar las siguientes lneas: AuthName "Solo usuarios autorizados." AuthType Basic require valid-user AuthUserFile /var/www/claves-sarg
9.-
Una
vez
finalizada
la
tarea
de
configuracin
en
el
archivo
/etc/httpd/conf.d/sarg.conf Se guardarn los cambios de la siguiente manera: Men Archivo, Guardar o mediante el comando Ctrl + S, para posteriormente cerrarlo. 10.-Generar con el comando touch lo siguiente touch /var/www/claves-sarg
10.- Utilizar el comando chmod para definir que el fichero /var/www/claves-sarg solo tendr permisos de lectura y escritura para la clase del usuario: Chmod 0600 /var/www/claves-sarg
11.- Utilizar el comando chown para definir que el fichero /var/www/claves-sarg pertenece al usuario apache y grupo apache:
12.- Utilice el mandato htpasswd sobre el fichero /var/www/claves-sarg para crear el usuario virtual administrador y asignar a ste una clave de acceso que solo deber conocer el administrador del servidor, en este manual se asign la clave de usuario adminsanchez Htpasswd /var/www/claves-sarg administrator
13.- Iniciar (o simplemente reiniciar, si es necesario) el servicio httpd por medio del comando service httpd start 14.- Si el servicio httpd inici sin errores, utilizar el comando chkconfig para que el servicio httpd inicie automticamente la prxima vez que arranque el sistema:
chkconfig httpd on 15.-Permitir a la red de rea local generar actividad en el servidor durante algunos minutos y ejecute el mandato sarg.
16.-
Para
ver
el
reporte
generado
manualmente
teclear
la
direccin
http://192.168.0.1/sarg/ o bien http://127.0.0.1/sarg, seguido del nombre de usuario y contrasea asignada con anterioridad
17.- Para poder modificar la clave de usuario es necesario entrar a la terminal de Fedora en modo Root y teclear el siguiente comando:
htpasswd/var/www/claves-sarg + (usuario a modificar) Htpasswd /var/www/claves-sarg administrador y a continuacin teclear la nuevas claves de usuario
Los reportes se almacenarn en /var/www/sarg/, y pueden implicar una cantidad considerable de datos. Peridicamente deber ingresar a los subdirectorios en el interior de ste, principalmente el subdirectorio daily y proceda a eliminar los reportes antiguos o que sean de poca utilidad, a fin de evitar que se agote el espacio en disco duro.
Ubicacin del servidor en la red El servidor desarrollado para el Conalep plantel Cancn II, ser ubicado en el SITE que se encuentra en el laboratorio de computo # 1. Funcionando as el servidor con la direccion IP192.168.0.1, la ilustracin 121 muestra la ubicacin del SITE donde se alojar el servidor Linux proxy.
Configuracin para acceso a internet a travs del servidor proxy 1.- Abrir el navegador web en este caso ser Mozilla Firefox. 2.- ir al men Editar y dar clic en la pestaa preferencias. 3.- una vez dentro de la ventana preferencias de Firefox, ir al men Avanzado, seguido de la pestaa RED y a continuacin clic en el botn Configuracin. 4.- Seleccionar Configuracin manual del proxy, asignar en el apartado Proxy HTTP la IP de la interfaz de red LAN del servidor proxy 192.168.0.1 y el Puerto asignado a squid 3128, para finalizar dar clic en Aceptar. Direcciones accesibles al servidor proxy 192.168.0.11 a la 192.168.0.40 192.168.0.4 a la 192.168.0.5 192.168.0.8 a la 192.168.0.10 192.168.0.41 a la 192.168.0.63 192.168.0.81 a la 192.168.0.103 192.168.0.121 a la 192.168.0.143 192.168.0.161 a la 192.168.0.183
Seguridad La seguridad de la red del Conalep plantel Cancn II es el servidor Proxy ya que este funcionar como un Firewall, seguido de la aplicacin Squid que permitir restringir el acceso al servidor de intrusos, a dems internamente realiza el filtro de accesos a Internet de acuerdo al perfil de usuarios y criterios como horarios, paginas permitidas, accesos por contenido, etc. La siguiente ilustracin 122 muestra un usuario intentando acceder al servidor, el servidor le pide una identificacin (usuario y contrasea) y si corresponden les da acceso, en caso contrario bloquea el servicio.
Despus de haber confirmado su identificacin procede a buscar si esta dado de alta en las listas de acceso, en este caso el usuario esta dado de alta y puede acceder a los privilegios dados por el servidor, como lo muestra la ilustracin 123.
A continuacin se muestra la aplicacin de squid, donde se puede apreciar los puertos abierto y cerrados para mayor seguridad del servidor. Lista de puertos abiertos y bloqueados por parte de Squid, como lo muestra la ilustracin 124.
La ilustracin 125 muestra a Squid permitiendo acceso a internet, a los laboratorios a travs de los puertos 280, 80, 777, 488, 443, 563,4443
Lista de IP dadas de alta. Estas direcciones IPs que se muestran en la ilustracin 126 corresponden al laboratorio #1.
Otra de la IPs dadas de alta son las, 192.168.0.81 a 192.168.0.103, 192.168.0.121 a 192.168.0.143, 192.168.0.161 a 192.168.0.183. Las cuales pertenecen a los laboratorios 2, 3, 4. Anlisis de resultados A continuacin se mostrarn las pantallas de monitoreo del funcionamiento del servidor. La ilustracin 127 muestra a un usuario intentando acceder a Facebook la cual ha sido denegada por parte del proxy.
A continuacin se muestra en la ilustracin 128 a un usuario accediendo a una pgina prohibida por parte del servidor proxy.
Lo siguiente ser verificar el ahorro del ancho de banda a travs de la capacidad de descarga de cada usuario dado a travs del servidor (Squid), en este caso ser de 10Kb. Se puede apreciar la configuracin de Squid para manejar el ahorro del ancho de banda a 10KB, como lo nuestra la ilustracin 129.
La ilustracin 130 muestra una pgina de pelculas a la cual accedi un usuario para realizar una descarga.
A continuacin se proceder a guardar el archivo que se desea descargar, como lo muestra la ilustracin 131.
Ahora se puede apreciar en la imagen 132 que la descarga es de una velocidad de 10Kb para el ahorro del ancho de banda del internet.
Ahora se presenta el monitoreo de cada mquina de la red que se lleva a travs del servidor con una informacin de Squid. Se puede apreciar la ejecucin de la aplicacin solicitando un usuario y contrasea, en la ilustracin 133 y 134. aplicacin llamada Sarg ya que esta permite ver la
Ilustracin 106 Explorador Web Solicitando contrasea y usuario para acceder a Sarg
A continuacin se mostrar el inicio de la aplicacin Sarg donde se pueden ver los reportes de acceso de usuarios, como reporte diario, semanal y mensual.
Ahora se podr apreciar un anlisis de reporte generado por parte de Sarg, con una cierta informacin la cual es la fecha, cantidad de usuarios que generaron el reporte y el tamao del archivo en bytes.
A continuacin se acceder al anlisis de reporte donde se apreciar un men de opciones la cuales son el top de los sitios ms visitados por los usuarios, sitios y usuarios, archivos que se pudieron bajar y los cuales no, por parte de los