Laboratorio #3 Act

PROGRAMA DE FORMACIÓN
GESTIÓN DE REDES DE DATOS GRD V2

V TRIMESTRE
Manual laboratorio # 3
GUÍA SEGURIDAD PERIMETRAL PROXY
Presentado a:
LUIS EDUARDO MENDOZA SALAS
Presentado por
NELSON HENRY DÍAZ CHAPARRO
SERVICIO NACIONAL DE APRENDIZAJE SENA.

CENTRO DE ELECTRICIDAD,
ELECTRÓNICA Y TELECOMUNICACIONES CEET
GESTIÓN DE REDES DE DATOS
PROCESO DIRECCIÓN DE FORMACIÓN PROFESIONAL INTEGRAL
FORMATO GUÍA DE APRENDIZAJE
IDENTIFICACIÓN DE LA GUIA DE APRENDIZAJE
● Denominación del Programa de Formación: Gestión de Redes de Datos
● Código del Programa de Formación: 228185
● Nombre del Proyecto: Implementación de una red de datos corporativa

multiservicio, administrada y configurada bajo sistema operativo LINUX
● Fase del Proyecto: Planeación
● Actividad de proyecto: Diagnosticar los requerimientos, recursos,

especificaciones técnicas y tecnológicas del proyecto para la implementación
y administración de la red.
● Competencia: : Instalar y administrar hardware y software de seguridad en la
red a partir de normas internacionales.
● Resultados de Aprendizaje Alcanzar: Implementar el plan de seguridad en la
organización aplicando estándares y normas internacionales de seguridad
vigentes.
● Duración de la Guía: 4 horas
2. PRESENTACIÓN
Para garantizar la disponibilidad, integridad, confidencialidad de la información, es

importante que la infraestructura de seguridad perimetral de las organizaciones
mantenga una plataforma robusta para el control de acceso y la protección de sus
servicios informáticos.
Durante el desarrollo de las actividades planteadas en esta guía el aprendiz

comprenderá la importancia de aplicar políticas de seguridad en la organización,
será capaz de realizar un diseño de red donde se incluyan los diferentes tipos de
dispositivos perimetrales que garanticen una mayor seguridad.
3. FORMULACIÓN DE LAS ACTIVIDADES DE APRENDIZAJE
3.1 Actividades de Reflexión inicial. (Argumento basado en la experiencia)

Actualmente las empresas invierten grandes cantidades de dinero en
tecnología, capacitación de personal y recursos que le ayuden a mejorar sus
niveles de seguridad, todo con el único fin de evitar ser víctimas de un fraude,
robo informático e incidente de seguridad que afecte el Core del negocio e
incluso la continuidad del mismo.
Individualmente, conteste en un documento en Word las siguientes preguntas

para subir a plataforma como evidencia.
● ¿Cuál considera que son los pasos a seguir para mejorar la seguridad en
una empresa?
● ¿considera usted que la seguridad hoy en día debe brindarse
internamente y externamente en las organizaciones? ¿por qué?
● Desde su punto personal, ¿considera que la seguridad es un proceso de
mejora continua que debe existir en las empresas? ¿por qué?
● ¿Considera que usted conoce puntos a tener en cuenta al momento de
evaluar la seguridad?
3.2 Actividades de contextualización Actividad Individual:
Consulte la función de los siguientes dispositivos de red.
DISPOSITIVOS FUNCION EN LA RED EJEMPLOS

/APLICACIONES
FIREWALL son programas de software un software diseñado
o dispositivos de hardware para detectar
que filtran y examinan la intromisiones a una
información que viene a red. ZoneAlarm
través de su conexión a funciona a través de la
Internet. ... Es importante división en zonas de
comprender la diferencia las conexiones de red
entre los firewall de de un equipo: el
hardware y los firewall de usuario, de este modo,
software para protegerse selecciona qué tipos
mejor en casa y en lugares de permiso otorga a
públicos. cada programa antes
de que accedan a
Internet. Las versiones
más completas del
firewall ZoneAlarm
pueden controlar
procesos, bloquear las
cookies, impedir la
apertura de ventanas
emergentes en el
navegador y otras
cuestiones.
VPN un software diseñado para ● OpenVPN. ...
detectar intromisiones a ● IPSec/L2TP. ...
una red. ZoneAlarm ● SSTP. ...
funciona a través de la ● PPTP Protocolo
división en zonas de las de túnel punto a
conexiones de red de un punto. ...
equipo: el usuario, de este ● IKEv2.
modo, selecciona qué tipos
de permiso otorga a cada
programa antes de que
accedan a Internet. Las
versiones más completas
del firewall ZoneAlarm
pueden controlar procesos,
bloquear las cookies,
impedir la apertura de
ventanas emergentes en el
navegador y otras
cuestiones.
ROUTER DE FRONTERA es el enrutador que se
instala en la parte más ■ Router de
externa de la red interior. Se
corporativa, se encarga de
comprobaciones de utiliza en las
seguridad en el tráfico de LAN para unir
entrada y salida de la red,
una especie de policía de redes
tráfico entrante y saliente. diferentes,
filtrando o no
paquetes.
■ Router de
exterior.
Actúan fuera de
las LAN y están
en el núcleo de
Internet
utilizados por
los operadores
de Internet.
■ Router borde o
frontera.
Conectan los
routers
interiores con
los routers
exteriores. Los
routers ADSL
podrían ser un
buen ejemplo
de este tipo de
routers.
IDS sistema de detección de · Almacenamiento de

intrusiones: es una
aplicación usada para paquetes bajo
detectar accesos no
autorizados a un
ordenador o a una red, es sospecha de ataque
decir, son sistemas que
monitorizan el tráfico
entrante y lo cotejan con Cuando se sospecha
una base de datos de alguna intrusión, el
actualizada de firmas de IDS toma la medida de
ataque conocidas. guardar un registro
detallado de todos
aquellos paquetes de
información que
ocasionaron una señal
de alerta, y que fueron
capturados por el
protocolo de
detección.
· Verificación de la
configuración de
dispositivos
externos
Al momento de
detectar una intrusión,
o sospechar de su
existencia, el IDS
procede a solicitar una
reconfiguración de los
dispositivos externos
que tiene la misión de
bloquearla, como, por
ejemplo, el firewall.
Esto se realiza
mediante el envío de
una señal de alerta.
· Envío de una alerta
de notificación
Los IDS cuentan con

la importante función
de notificar
visualmente al
usuario, así como
también a los
administradores del
sistema, sobre la
presencia de una
posible intrusión.
· Alerta mediante
correo electrónico
De igual manera, el
IDS posee la
capacidad de remitir
un correo electrónico
de alerta a uno o más
usuarios, donde se
informe acerca de la
posible intrusión.
· Registro de la
intrusión en una
base de datos
Toda detección de una

posible intrusión debe
ser registrada, para
así llevar un control
detallado del
incidente.
Precisamente, el IDS
se encarga de cumplir
con este
requerimiento, por lo
que remite un informe
a una base de datos
centralizada.
➤Lee también:
¿Cómo protege USS
el exterior de tu
comercio?
IPS dispositivo de seguridad, ● Siempre en

fundamentalmente para Línea: nunca
redes, que se encarga de entorpecer o
monitorear actividades a interrumpir el
nivel de la capa 3 (red) y/o funcionamiento
a nivel de la capa 7 de una red.
(aplicación) del Modelo ● Conciencia de
OSI, con el fin de Aplicaciones:
identificar capacidad para
comportamientos poder identificar
maliciosos, sospechosos e aplicaciones e
indebidos, a fin de implementar
reaccionar ante ellos en políticas de
tiempo real mediante una seguridad de
acción de contingencia. red en la capa
de aplicación.
● Conciencia del
Contexto: las
decisiones de
detección y
enfrentamiento
de las
amenazas,
debe basarse
en el análisis
complejo de
circunstancias
que rodean un
ataque
específico, que
permitan decidir
automáticament
e la prioridad
específica a la
respuesta que
el equipo deba
dar ante un
incidente de
seguridad
inminente.
● Conciencia del
Contenido:
debe ser capaz
de inspeccionar
y clasificar los
tipos de
archivos
reflejados en
los paquetes de
datos.
● Agilidad: debe
ser capaz de
incorporar
nuevos
mecanismos de
retroalimentació
n para enfrentar
amenazas
futuras.
HONEYPOTS
Una definición de
honeypot proviene del Honeypot de
mundo del espionaje, spam:
donde se describe que también
espías como Mata Hari conocido
utilizan una relación
como
romántica para robar
secretos, poniendo una trampa de
"trampa de miel"
(honeypot en inglés). spam, este
Muchas veces, un espía honeypot
enemigo resulta víctima de se creó
una trampa de miel y luego específicam
se lo chantajea para que
ente para
revele todo lo que sabe.
atrapar a
En términos de seguridad los
informática, un honeypot spammers
cibernético funciona de
antes de
manera similar, al tender
una trampa para los que lleguen
hackers. Es un sistema a las
informático que se casillas de
“sacrifica” para atraer correo
ciberataques, como un
electrónico
señuelo. Simula ser un
objetivo para los hackers y legítimas.
utiliza sus intentos de Estos a
intrusión para obtener menudo
información sobre los tienen relés
cibercriminales y la forma
abiertos
en que operan o para
distraerlos de otros para ser
objetivos. atacados y
trabajan en
estrecha
colaboració
n con las
listas RBL
para
bloquear el
tráfico
malicioso
Honeypot de
malware:
este tipo de
honeypot
se crea
para
simular
aplicacione
s, API y
sistemas
vulnerables
con el fin
de recibir
ataques de
malware.
Los datos
que luego
se
recopilan
se utilizarán
más tarde
para el
reconocimi
ento de
patrones de
malware,
para ayudar
a crear
detectores
de malware
efectivos.
Honeypot de
base de
datos: las
bases de
datos son
un objetivo
común de
los
atacantes
web y, al
configurar
un
honeypot
de base de
datos,
puede
observar y
aprender
diferentes
técnicas de
ataque,
como
inyección
SQL, abuso
de
privilegios,
explotación
de servicios
SQL y
mucho
más.
Spider
honeypot:
este tipo de
honeypot
funciona
creando
páginas
web falsas
y enlaces a
los que solo
pueden
acceder los
rastreadore
s web, no
los
humanos.
Una vez
que el
rastreador
accede al
honeypot,
se detecta
junto con
sus
encabezad
os para un
análisis
posterior,
generalmen
te para
ayudar a
bloquear
robots
maliciosos
y
rastreadore
s de redes
publicitarias
.
ANTIVIRUS/ANTISPAM Un Antivirus es un AVG AntivirusQihoo

programa, hardware o 360
software, mediante el que TechnologyMSNClean
protegemos a ordenadores erESET
y otros dispositivos de NOD32McAfeeClamA
posibles virus que, VMicrosoft Security
interfiriendo en su software EssentialsPanda
o hardware, puedan poner Internet
en peligro su información. SecurityBitDefenderAv
Su cometido es detectar ast! AntivirusTrend
con rapidez posibles virus MicroWebrootVirus
y que, aun estando TotalWindows
programados para que no DefenderTrusPortNort
puedan ser detectados, no on Internet
logren entrar en los SecurityWinpoochPC
equipos de nuestros Tool Internet
clientes y alterar sus SecurityAviraKaspersk
archivos y producir algún y Internet Security
error en el sistema ● Filtros
operativo mediante la antispam
detección de operaciones bayesianos. ...
potencialmente ● - Listas negras
indeseables con protección (Blacklists) ...
proactiva. ● - Firewalls. ...
Un Antispam es un ● - Filtros
programa informático de Challenge/Resp
ciberseguridad, cuya onse. ...
función es proteger los ● - Filtros
equipos frente a virus que antispam
intentan acceder al basados en la
sistema operativo a través reputación. ...
de correos electrónicos no ● - Antispam de
deseados denominados servidor. ...
Spam. ● - Servicio de
En nuestra empresa Antispam
disponemos de filtros externo. ...
Antispam configurados ● - Antispam con
especialmente para cada cables.
cliente según sus
especificaciones y evitan
que sus ordenadores
puedan verse afectados
por virus o por grandes
cantidades de emails con
contenido que no sea de
su interés pudiendo
contener virus y siendo
eliminados con eficacia.
UTM La gestión unificada de Amenazas internas:

amenazas, que
comúnmente se abrevia ● Introducción
como UTM, es un de virus y
término de seguridad de otro tipo de
la información que se malware
refiere a una sola mediante el
solución de seguridad y, uso
por lo general, a un indiscrimina
único producto de do de discos
seguridad que ofrece duros
varias funciones de externos,
protección en un solo pen-drive y
punto en la red. Un similares.
producto UTM ● Contraseñas
generalmente incluye de acceso a
funciones como antivirus, los recursos
antispyware, antispam, compartidos
firewall de red, prevención débiles o
y detección de intrusiones, conocidas
filtrado de contenido y por todos los
prevención de fugas. trabajadores
Algunas unidades también .
ofrecen servicios como ● Ausencia de
enrutamiento remoto, una política
traducción de direcciones rigurosa de
de red (NAT, network permisos de
address translation) y acceso a los
compatibilidad para redes recursos
privadas virtuales (VPN, compartidos
virtual private network). El de la
atractivo de la solución es empresa.
su sencillez. Las empresas ● Ausencia de
que utilizan servicios de unos
proveedores o productos procedimient
diferentes para cada tarea os rigurosos
de seguridad ahora en la gestión
pueden reunirlos todos en de las
una sola solución, con copias de
asistencia de un único seguridad
equipo o segmento de TI, y de los datos
ejecutarlos desde una sola críticos.
consola. ● Existencia
de equipos
con
versiones
obsoletas de
sistemas
operativos o
sin las
correspondi
entes
actualizacio
nes de
seguridad
● Ausencia de
antivirus en
los equipos
o utilización
de versiones
gratuitas
que no
disponen de
las
funcionalida
des
necesarias.
● Almacenami
ento de
información
importante
para la
empresa en
carpetas
locales del
equipo de
trabajo en
lugar de
utilizar los
servidores
disponibles.
Amenazas externas:
● Configuració
n
inadecuada
del
cortafuegos
que no
bloquea
accesos a la
red interna
desde
localizacione
s externas
potencialme
nte
peligrosas.
● Configuració
n
inadecuada
del
cortafuegos
que permite
el acceso de
los
trabajadores
de la
empresa a
sitios web
inadecuados
o peligrosos.
● Aplicaciones
maliciosas
instaladas
en los
ordenadores
de trabajo.
● Ausencia de
un control
antivirus,
antispam,
antimalware
y de
herramienta
s contra
ataques
ramsonware
en las
conexiones
a través de
Internet.
● Ausencia de
un control
efectivo
sobre el tipo
de datos de
la empresa
que salen al
exterior a
través de
Internet.
PROXY es un ordenador
intermedio que se usa en Este ejemplo muestra
la comunicación de otros cómo configurar un
dos. La información
proxy HTTP con una
(generalmente en Internet)
va directamente entre un acción de contenido
ordenador y otro. Mediante HTTP para dirigir las
un proxy, la información
va, primero, al ordenador solicitudes HTTP
intermedio (proxy), y éste entrantes a diferentes
se lo envía al ordenador servidores web
de destino, de manera que
no existe conexión directa internos basándose en
entre el primero y el último. el contenido del
encabezado del host
HTTP y la ruta en la
solicitud HTTP. A este
tipo de enrutamiento a
veces se le llama
En casi la totalidad de los
casos, el proxy sólo sirve redirección de
para ocultarse, y la encabezado de host.
mayoría de las veces estos
proxies se usan para Este ejemplo no
realizar prácticas ilegales
(spam, fraudes, etc.). Es incluye todos los
por ello, por lo que siempre pasos necesarios para
es deseable evitar los configurar una acción
proxies, sobre todo cuando
son servidores de foros, de contenido. Para
chat o redes sociales. conocer los pasos de
En otros casos (esa
configuración
minoría de los casos), es
cuando se usa un proxy detallados, consulte
como interconexión entre Configurar las
muchos ordenadores de
Acciones de
una red, con Internet. En
ese caso, se puede usar
un proxy por las ventajas
añadidas que posee Contenido HTTP.
Para este ejemplo,

una organización tiene
cuatro servidores en la
red privada y quieren
usar una sola
dirección IP pública
para las conexiones
HTTP entrantes a
todos los servidores.
● La biblioteca de
documentación
está en el
servidor web en
10.1.5.3
imágenes está
en el servidor
web en 10.1.5.7
audio está en el
servidor web en
10.1.5.46
● El sitio web
principal está
en el servidor
web en
10.1.5.80
NGFW ● Control de
¿Qué hace un NGFW? aplicaciones:
Los Next Generation ● Completa
Firewalls (NGFW) son integración con
cortafuegos que han un sistema de
evolucionado incorporando prevención de
muchas otras intrusiones
funcionalidades de (IPS):
seguridad como Anti- ● Uso de
malware (anti-virus, anti- Sandbox físicos
spyware, anti-spam), IPS o basados en la
(Sistema de Prevención nube:
anti Intrusiones), VPN ● Filtrado de
(Red Privada Virtual), entre acceso a sitios
otras. web
específicos:
● Manejabilidad:
● Desempeño.
NGIPS El Sistema de Prevención ● Los mayores

de Intrusiones de última reparos que
generación de Cisco tuve con
(NGIPS) es una solución TippingPoint
que ofrece una visibilidad fue que era un
completa e inteligencia poco caro para
avanzada para prevenir la lo que obtienes.
red de la empresa del Hoy en día,
máximo número de todo se ha
amenazas posible. convertido en
UTM en los
firewalls y lo
hacen todo,
incluido IPS
como parte de
la funcionalidad
básica, por lo
que TP está
perdiendo una
participación de
mercado
masiva.
● No ve un futuro
en la hoja de
ruta con tantos
otros
proveedores
subiéndose al
vagón
"unificado" y
agregando IPS
como parte de
su servicio ya
un precio más
económico.
3.1 Actividades de apropiación del conocimiento
Los proxies son intermediarios que se ubican entre clientes y servidores. Un

cliente se conecta a un proxy y luego el proxy decide si el cliente puede recibir
contenido de un servidor. Si es así, el proxy realiza su propia conexión con el
servidor y luego devuelve los datos al cliente.
Hay dos tipos principales de proxies:
Proxy de reenvío: Normalmente se encuentra entre clientes locales y servidores

de Internet remotos. Se puede utilizar para controlar qué sitios web pueden
cargar los clientes, o registrar servidores y URL que visitan los clientes. En su
mayoría, funcionan con HTTP, pero en casos especiales también pueden
funcionar con HTTPS.
Proxy inverso: Normalmente se encuentra entre clientes remotos y servidores

locales. Estos permiten el equilibrio de carga, la conmutación por error u otro
enrutamiento de conexión inteligente para servicios públicos como servidores
web.
3.3.1 Investigue y documente para que sirve el paquete squid en Linux.

RTA: Squid: acelera tu web con un proxy-caché multiplataforma
El rendimiento es una de las cualidades más importantes en una buena web, ya
que, a menudo, los usuarios abandonan una página con tiempos de carga
excesivos antes siquiera de haber podido apreciar la calidad del contenido que
alberga. Desde 2010, la velocidad de la página o pagespeed, se incluye entre los
factores de ranking de Google como componente de la experiencia de usuario
(UX). Esto hace necesario dedicar algo de atención a la optimización de la velocidad
de carga de una página web, especialmente cuando se es administrador. Entre
otras posibilidades, esto se logra comprimiendo las imágenes, comprimiendo u
optimizando archivos de código o reduciendo el número de peticiones.
Otra forma de mejorar el rendimiento de una web y de reducir la carga del servidor,
consiste en instalar un servidor proxy inverso que haga de intermediario entre el
navegador y el servidor web, procesando las peticiones del navegador en su
nombre y entregando contenido estático, que ha almacenado de manera autónoma,

sin necesidad de solicitarlo al servidor principal. Esto resulta especialmente efectivo
cuando el servidor ha de generar dinámicamente una misma página una y otra vez
aunque no experimente cambios. Entre las soluciones más populares para
implementar un servidor proxy-caché de este tipo se encuentra el programa libre
Squid.
quid es un software de servidor proxy publicado por Duane Wessels en 1998 como
la última versión pre-comercial del Harvest object cache, nombrándolo así para
diferenciarlo de la rama principal NetCache, cuyo desarrollo no se ha continuado.
Squid está licenciado bajo una GNU General Public License y soporta, entre otros,
los protocolos HTTP, HTTP/2, HTTPS y FTP.
Los servidores Squid funcionan en los sistemas operativos habituales, como son
diversas distribuciones Linux o sistemas Mac OS X y Windows, bien con la
herramienta de comandos propia del dispositivo o a través de una interfaz gráfica
como GAdmin-SQUID o SquidMan.
Squid es usado como proxy-caché por miles de administradores web. Wikipedia, sin
ir más lejos, utilizó durante años varios servidores proxy Squid para entregar los
contenidos, con el objetivo de descongestionar la base de datos y el servidor web.
Asimismo, el hecho de soportar el protocolo HTTPS lo hace idóneo para
establecer conexiones SSL seguras. En otro ámbito, los proveedores de Internet
también lo utilizan como proxy transparente con la finalidad de optimizar el acceso
a Internet. Naturalmente, también se puede utilizar como proxy de reenvío (forward
proxy) para un único cliente, de tal forma que la propia dirección IP se oculta y se
obtiene así una protección adicional que se suma al filtrado de paquetes del
cortafuegos. La extensión SquidGuard permite filtrar paquetes de forma autónoma.
Por qué deberías implementar un servidor proxy Squid

Software libre desde su primera versión, el código fuente de Squid está disponible
públicamente y no requiere el pago de una licencia, lo que significa que no solo se
descarga de forma gratuita sino que se puede modificar para ajustarlo a las
necesidades de cada caso particular. Sin embargo, no suele ser necesario introducir
cambios debido a la diversidad y a la mejora de la velocidad que ofrece Squid,
producto de la longeva experiencia de los desarrolladores que se ocupan por
vocación de la gestión y el desarrollo del programa del proxy.
También en el ámbito privado se demuestran las ventajas de instalar un servidor
proxy Squid gracias a la listas definibles de control de acceso (Access Control
Lists) que permiten, por un lado, bloquear el acceso a determinados contenidos o
limitar el ancho de banda que se puede utilizar y, por otro, analizar los logfiles del
proxy para controlar el tráfico de datos.
Otro aspecto relevante de Squid es su gran flexibilidad, de la cual se benefician
especialmente las redes más complejas, de tal forma que permitiría construir un
combinado de servidores proxy-caché Squid interconectados, entre los que se
distribuirían las peticiones. Este conjunto de servidores descarga a cada uno de los
componentes y aumenta enormemente la seguridad ante caídas. De la misma
forma que en una red de entrega de contenido, cada uno de los servidores proxy
inversos pueden encontrarse localizados en diferentes lugares.
¿Cómo funciona el caching de un servidor Squid?
Las funciones de seguridad y de control mencionadas son una muestra de la
diversidad de los campos de aplicación de un servidor Squid, pero como convence
en primera instancia es por su función principal de servidor proxy-caché para el
almacenamiento temporal de datos. Para garantizar la actualidad y la

disponibilidad de estos datos, Squid calcula su estado cada cierto tiempo, siendo
posibles dos resultados: que el objeto examinado sea actual (fresh) o esté obsoleto
(stale). Para evitar tener que comprobar siempre el conjunto de datos al completo,
un algoritmo calcula la frecuencia con la que es necesario verificar el estado de
cada objeto. En esta evaluación se considera la siguiente información:
LM Last modified; información en el encabezado que revela la fecha

de la última modificación
EX Expire; información en el encabezado con la fecha de expiración

de un objeto
NOW Fecha actual
OBJ_Date Fecha en que el objeto se almacenó en el caché de Squid o la del

último cambio
MIN Mínimo de permanencia en el caché
MAX Máximo de permanencia en el caché
PERCENT Factor de permanencia
Obj_Age Describe el tiempo que hace que un objeto está en el caché

(NOW - OBJ_Date)
LM_Age Antigüedad de un objeto en el momento del almacenamiento en
caché (OBJ_Date - LM)
LM_FACTO Factor de antigüedad (Obj_Age / LM_Age)

R
Si queremos averiguar hasta cuándo (X) tiene vigencia un objeto en el caché, se
utiliza esta fórmula:
X = OBJ_Date + (LM_Age * PERCENT)
Este algoritmo de caching hace que el control del servidor Squid sobre el estado
de un objeto aumente si el objeto experimenta cambios frecuentes. El momento
donde comienza la evaluación es entonces MIN, es decir, la fecha mínima asignada
para la permanencia en el caché. Más tarde, cuando se alcance la fecha máxima
para la permanencia o MAX, Squid no tiene más remedio que establecer contacto
con el servidor web. Para ello, el software del proxy envía una petición GET con la
informaciónIf Modified Since que incluye la fecha OBJ_DATE. El servidor web
verifica el estado del objeto y puede enviar dos respuestas:
● El código de estado 304 (not modified) si el objeto no ha sufrido cambios,
● El código de estado 200 (ok), así como el objeto nuevo y modificado.
De esta forma solo se transmiten datos si han cambiado realmente.
Requisitos de hardware para instalar un Squid

Cuando se quiere utilizar un proxy inverso Squid la primera tarea consiste en
comprobar que se dispone de las estructuras de hardware necesarias. Un proxy-
caché no tiene necesidades especiales en cuanto a la potencia del procesador,
pero sí depende de una adecuada capacidad de almacenamiento en la unidad de
disco duro y de memoria y, dado que hoy en día son componentes muy asequibles,
su adquisición es más una cuestión del cálculo correcto que del precio. En primer
lugar, calcula la necesidad de espacio de memoria del proyecto, dejando algo de
margen para el crecimiento potencial y, en segundo, decántate por componentes
modernos de hardware como las unidades en estado sólido SSD, caracterizadas por
unos tiempos de acceso reducidos que garantizan la optimización idónea de la
velocidad de tu web.
Manual de instalación de Squid
En general, se puede escoger entre dos opciones a la hora de instalar el software
de Squid. Se puede optar por la primera si Squid está incluido en la gestión de
paquetes de la distribución que se está usando. Si lo está, la instalación del
programa proxy tiene lugar por medio de líneas de comando según el conocido
patrón:
sudo apt-get update
sudo apt-get install squid
La segunda variante pasa por la descarga de los archivos de instalación, que se
extraen y se compilan también según lo habitual (en el ejemplo se ha seguido la
versión 3.5.20):
tar xzf squid-3.5.20.tar.gz
cd squid-3.5.20
./configure
make
Una vez descargado, la instalación se inicia con la orden:
make install
Desde la versión 3.5 existe un paquete de instalación MSI no oficial para sistemas
Windows de 64 bit que se ejecuta por doble clic tras su descarga.
Hay que mencionar que por cada versión estable publicada existen una versión
beta y una de desarrollo con prestaciones nuevas. Sin embargo, la razón de ser
de estas dos versiones es precisamente la de probar estas funciones nuevas, por lo
que no deberías recurrir a ellas a no ser que conozcas muy bien el software de
Squid.
Cómo configurar Squid para acelerar una página web
Para definir el tipo de proxy que ha de personificar Squid se utiliza el archivo de
configuración squid.conf, que suele encontrarse de forma predeterminada en /etc o
en /usr/local/squid/etc/ (o en el directorio que hayas especificado durante la
instalación). Algunos ajustes ya están definidos por defecto en líneas de comando
precedidas por el signo de la almohadilla (#). Lo que viene a continuación es una
síntesis de las opciones requeridas para instalar Squid.

Opciones de red: # NETWORK OPTIONS
Estos comandos definen las direcciones IP y los puertos relevantes para el
funcionamiento del servidor Squid. Las siguientes entradas son clave para el proxy-
caché:
http_port
Sintaxis: http_port [Nombre de host o dirección IP:]Número de puerto
Descripción: define el puerto en el que Squid escucha las peticiones HTTP de los
clientes, definido de forma estándar como puerto 3128. Si no se introducen ni
nombre de host ni dirección IP, los ajustes se aplican a todas las direcciones IP
integradas. También es posible introducir varios puertos.
Ejemplo: http_port 192.168.0.1:3128
https_port
Sintaxis: https_port [DirecciónIP:]Número de puerto cert=Ruta al certificado SSL
[key=Ruta a la clave SSL privada] [options]
Descripción: Si Squid ha de recibir conexiones SSL o TLS es necesario
proporcionar el puerto HTTPS, así como también la ruta al certificado utilizado (en
formato PEM). Si no se introduce ninguna clave SSL privada, Squid supone que el
archivo PEM ya contiene la clave privada. El parámetro options permite introducir
opciones extra según la documentación OpenSSL.
icp_port
Sintaxis: icp_port Número de puerto
Descripción: aquí se introduce el puerto en el cual Squid acepta peticiones ICP
(Internet Cache Protocol) o recibe paquetes UDP. Solo hay que introducirlo en caso
que se usen varios proxies que se han de comunicar entre sí. El puerto estándar es
el 3130. Para desactivar la función de introduce el parámetro 0.
Ejemplo: icp_port 3130
Opciones de caching: # OPTIONS WHICH AFFECT THE CACHE SIZE
En las opciones de caching se define si Squid va a utilizar memoria para tareas de
caching y, si lo hace, cuánta, o se determina el tamaño mínimo y máximo de los
objetos y el comportamiento general de caching.
cache_mem
Sintaxis: cache_mem Espacio de memoria en MB

Descripción: con cache_mem se define el tamaño del disco principal reservado
para objetos en tránsito (In-Transit Objects), para objetos muy solicitados (Hot
Objects) y para aquellos no cacheables (Negative-Cached Objects). Como estos
objetos existen en bloques de 4 KB cada uno, el valor que se introduce aquí ha de
ser múltiplo de 4 KB. Esta opción no se ha de confundir con la necesidad global de
almacenamiento de Squid, que no se regula de esta forma.
Ejemplo: cache_mem 256 MB
maximum_object_size
Sintaxis: maximum_object_size Tamaño del objeto en KB/MB
Descripción: esta línea informa a Squid sobre el tamaño máximo que han de tener
los objetos para poder ser almacenados en el caché. El tamaño mínimo se fija con
minimum_object_size.
Ejemplo: maximum_object_size 4 MB
Directorios de caching y de logfiles: # LOGFILE PATHNAMES AND CACHE

DIRECTORIES
Junto a la información sobre los puertos y el comportamiento del proxy-caché, Squid
también necesita conocer en qué directorio ha de almacenar temporalmente los
contenidos y los datos de registro generados.

cache_dir
Sintaxis: cache_dir Tipo de directorio Ruta al directorio Espacio para
almacenamiento Número de directorios
Descripción: con cache_dir se define tanto el directorio para caching como su
capacidad máxima en Megabyte y el número de directorios y subdirectorios. El tipo
de directorio instalado por defecto es ufs. Generalmente, esta opción está
desactivada, por lo que ha de activarse primero.
Ejemplo: cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256
cache_log
Sintaxis: cache_log Ruta del archivo
Descripción: especifica el lugar donde se almacena el logfile del servidor Squid,
que registra información general sobre el comportamiento del software.
Ejemplo: cache_log /usr/local/squid/var/logs/cache.log
Opciones de acceso: # ACCESS CONTROLS
Por último, los puertos utilizados por Squid requieren listas de acceso definidas
claramente. Dos parámetros son especialmente decisivos en este caso:
Acl
Sintaxis: acl Nombre de lista Tipo de lista Argumento
Descripción: este parámetro permite crear una exhaustiva lista de accesos para
todas las conexiones HTTP, ICP y TCP. Para obtener una lista completa de tipos y
opciones recomendamos asomarse al manual oficial de Squid.
Ejemplo: acl all src 0.0.0.0
http_access
Sintaxis: http_acess allow|deny [!]Nombre de la lista
Descripción: http_acess permite (allow) o deniega (deny) el acceso al puerto HTTP
en función de las listas de accesos previamente definidas. Cuando al nombre de la
lista precede el signo de admiración, la instrucción afecta a todas las conexiones
que no se incluyen en la lista referida.
Ejemplo: htttp_access deny !SSL_ports
Configuración de Squid: Opciones básicas.
Autor: Joel Barrios Dueñas
Correo electrónico: darkshram en gmail punto comSitio de Red:
http://www.alcancelibre.org/
Jabber ID: darkshram@jabber.org
Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

© 1999-2016 Joel Barrios Dueñas. Usted es libre de copiar, distribuir y
comunicar públicamente la obra y hacer obras derivadas bajo las condiciones
siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar
esta obra para fines comerciales (incluyendo su publicación, a través de
cualquier medio, por entidades con fines de lucro). c) Si altera o
transforma esta obra o genera una obra derivada, sólo puede distribuir la obra
generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra,
tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de
estas condiciones puede no aplicarse si se obtiene el permiso del titular de los
derechos de autor. Los derechos derivados de usos legítimos u otras
limitaciones no se ven afectados por lo anterior. Licencia completa en
castellano. La información contenida en este documento y los derivados de
éste se proporcionan tal cual son y los autores no asumirán responsabilidad
alguna si el usuario o lector, hace mal uso de éstos.
Introducción.
¿Qué es Servidor Intermediario (Proxy)?
El término en ingles «Proxy» tiene un significado muy general y al mismo tiempo
ambiguo, aunque invariablemente se considera un sinónimo del concepto de
«Intermediario». Se suele traducir, en el sentido estricto, como delegado o
apoderado (el que tiene poder sobre otro).
Un Servidor Intermediario se define como una computadora o dispositivo que
ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones
de red indirectas hacia otros servicios de red. Durante el proceso ocurre lo siguiente:
1. Cliente se conecta hacia un Servidor Proxy.

2. Cliente solicita una conexión, archivo u otro recurso disponible en un
servidor distinto.
3. Servidor Intermediario proporciona el recurso ya sea conectándose
hacia el servidor especificado o sirviendo éste desde un caché.
4. En algunos casos el Servidor Intermediario puede alterar la solicitud
del cliente o bien la respuesta del servidor para diversos propósitos.
Los Servidores Proxy generalmente se hacen trabajar simultáneamente como
muro cortafuegos operando en el Nivel de Red, actuando como filtro de paquetes,
como en el caso de iptables o bien operando en el Nivel de Aplicación,
controlando diversos servicios, como es el caso de TCP Wrapper. Dependiendo del
contexto, el muro cortafuegos también se conoce como BPD o Border Protection
Device o simplemente filtro de paquetes.
Una aplicación común de los Servidores Proxy es funcionar como caché de
contenido de Red (principalmente HTTP), proporcionando en la proximidad de los
clientes un caché de páginas y archivos disponibles a través de la Red en
servidores HTTP remotos, permitiendo a los clientes de la red local acceder hacia
éstos de forma más rápida y confiable.
Cuando se recibe una petición para un recurso de Red especificado en un URL
(Uniform Resource Locator) el Servidor Intermediario busca el resultado del URL
dentro del caché. Si éste es encontrado, el Servidor Intermediario responde al
cliente proporcionado inmediatamente el contenido solicitado. Si el contenido
solicitado estuviera ausente en el caché, el Servidor Intermediario lo traerá desde
servidor remoto, entregándolo al cliente que lo solicitó y guardando una copia en el
caché. El contenido en el caché es eliminado luego a través de un algoritmo de
expiración de acuerdo a la antigüedad, tamaño e historial de respuestas a
solicitudes (hits) (ejemplos: LRU, LFUDA y GDSF).

Los Servidores Proxy para contenido de Red (Web Proxies) también pueden
actuar como filtros del contenido servido, aplicando políticas de censura de acuerdo
a criterios arbitrarios.
Acerca de Squid.
Squid es un Servidor Intermediario de alto desempeño que se ha venido
desarrollando desde hace varios años y es hoy en día una muy popular solución que
es ampliamente utilizada entre los sistemas operativos como GNU/Linux y derivados
de Unix®. Es muy confiable, robusto y versátil y se distribuye bajo los términos de la
Licencia Pública General GNU (GNU/GPL). Siendo equipamiento lógico libre, está
disponible el código fuente para quien así lo requiera.
Entre otras cosas, Squid puede funcionar como Servidor Intermediario y caché de
contenido de Red para los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de
SSL, caché transparente, WWCP, aceleración HTTP, caché de consultas DNS y
otras muchas más como filtración de contenido y control de acceso por IP y por
usuario.
Squid consiste de un programa principal como servidor, un programa para
búsqueda en servidores DNS, programas opcionales para reescribir solicitudes y
realizar autenticación y algunas herramientas para administración y herramientas
para clientes. Al iniciar Squid da origen a un número configurable (5, de modo
predeterminado a través de la opción dns_children) de procesos de búsqueda en
servidores DNS, cada uno de los cuales realiza una búsqueda única en servidores
DNS, reduciendo la cantidad de tiempo de espera para las búsquedas en servidores
DNS.
Nota.
Squid carece de soporte para ser utilizado como Servidor Proxy para
protocolos como SMTP, POP3, TELNET, SSH, IRC, etc. Si se requiere
intermediar para cualquier protocolo distinto a HTTP, HTTPS, FTP,
GOPHER y WAIS se requerirá implementar obligatoriamente un
enmascaramiento de IP o NAT (Network Address Translation) o bien hacer uso
de un servidor SOCKS como Dante (http://www.inet.no/dante/).
URL: http://www.squid-cache.org/
Equipamiento lógico necesario.
Para poder llevar al cabo los procedimientos descritos en este y otros documentos
relacionados, se requiere instalar al menos lo siguiente:
● Al menos squid-2.5.STABLE6
● Todos los parches de seguridad disponibles para la versión del sistema
operativo que esté utilizando.
● Un muro cortafuegos configurado con system-config-firewall, Firewalld o
Shorewall.
Squid sólo se instala de manera predeterminada cuando se instala el grupo de
paquetes denominado «Servidor Web». El procedimiento de instalación es
exactamente el mismo que con cualquier otro equipamiento lógico.
Instalación a través de yum.
Si se utiliza CentOS o Red Hat™ Enterprise Linux, ejecute:
yum -y install squid

SELinux y el servicio squid.
En CentOS 6 y Red Hat™ Enterprise Linux 6, la política squid_connect_any
viene habilitada de modo predeterminado. En CentOS 5 y Red Hat™ Enterprise
Linux 5, esta política viene deshabilitada de modo predeterminado. Esta política
hace que SELinux permita a Squid aceptar conexiones de los clientes desde
cualquier dirección IP. Si utiliza CentOS 5 y Red Hat™ Enterprise Linux 5, ejecute:
setsebool -P squid_connect_any 1
Para SELinux permita a Squid operar en modo transparente en CentOS 6 y Red
Hat™ Enterprise Linux 6, ejecute:
setsebool -P squid_use_tproxy 1
Nota.
En CentOS 5 y Red Hat™ Enterprise Linux 5, se pude utilizar una política
adicional. Para que SELinux permita al servicio squid funcionar normalmente,
haciendo que todo lo anteriormente descrito en esta sección pierda sentido,
ejecute:
setsebool -P squid_disable_trans 1
Antes de continuar.
Al editar el archivo de configuración de Squid evite dejar espacios vacíos en
lugares indebidos. El siguiente ejemplo muestra la manera incorrecta de habilitar un
opción.
Mal
# Opción incorrectamente habilitada.
http_port 8080
El siguiente ejemplo muestra la manera correcta de habilitar un opción.
Bien
# Opción correctamente habilitada.
http_port 8080
Configuración básica.
Squid utiliza el archivo de configuración localizado en /etc/squid/squid.conf y
podrá trabajar sobre este utilizando su editor de texto simple preferido. Existen un
gran número de opciones, de los cuales recomendamos configurar los siguientes:
● Al menos una Lista de Control de Acceso
● Al menos una Regla de Control de Acceso
● http_port
● cache_dir
● error_directory, sólo si va a personalizar mensajes de error.
El resto de los opciones mencionados en este documento son, valga la redundancia,
opcionales.
Edite el archivo /etc/squid/squid.conf:

vi /etc/squid/squid.conf
Controles de acceso.
Para poder controlar el tráfico de los clientes hacia Internet, es necesario establecer
Listas de Control de Acceso que definan una red o bien ciertos anfitriones en
particular. A cada lista se le asignará una Regla de Control de Acceso que
permitirá o denegará el acceso a Squid.
Listas de control de acceso.
De modo predeterminado en CentOS 7 y Red Hat™ Enterprise Linux 7, Squid
habilita el acceso a todas las redes locales, definidas en el RFC1918. Es decir,
permite el acceso a 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, fc00::/7 y fe80::/10.
# Example rule allowing access from your local networks.

# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged)
machines
Para poner un mínimo de seguridad, todo lo anterior debe ser deshabilitado
colocando una almoadilla (#) al inicio de cada línea.

# Adapt to list your (internal) IP networks from where browsing
# should be allowed
# acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
# acl localnet src fc00::/7 # RFC 4193 local private network range
# acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged)
machines
Regularmente una lista de control de acceso se establece con la siguiente sintaxis:
acl [nombre de la lista] [tipo] [lo que compone a la lista]
Si se desea establecer una lista de control de acceso que abarque a toda la red
local, basta definir la IP correspondiente a la red y la máscara de la sub-red. Por
ejemplo, si se tiene una red donde los anfitriones tienen direcciones del segmento IP
172.16.100.0/28, se puede utilizar lo siguiente:
acl localnet src 172.16.100.0/28
También puede definirse una Lista de Control de Acceso especificando un archivo
localizado en cualquier parte del disco duro y la cual contiene una lista de
direcciones IP. Ejemplo:
acl permitidos src "/etc/squid/listas/permitidos"
El archivo /etc/squid/listas/permitidos tendría un contenido similar al siguiente:
172.16.100.1
172.16.100.2
172.16.100.3
172.16.100.15
172.16.100.16
172.16.100.20
172.16.100.40
Lo anterior estaría definiendo que la Lista de Control de Acceso denominada
permitidos estaría compuesta por las direcciones IP incluidas en el archivo
/etc/squid/listas/permitidos.
Reglas de Control de Acceso.
Estas definen si se permite o deniega acceso hacia Squid. Se aplican a las Listas
de Control de Acceso. Deben colocarse en la sección de reglas de control de
acceso definidas por el administrador, es decir, a partir de donde se localiza la
siguiente leyenda:
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM
YOUR CLIENTS
La sintaxis básica de una regla de control de acceso es la siguiente:
http_access [deny o allow] [lista de control de acceso]
Para desactivar la configuración predeterminada y poder utilizar una diferente,
localice La línea que incluye http_access allow localnet:

# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
Deshabilite esta línea colocando una almohadilla (# al inicio de ésta:

# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
# http_access allow localnet
En el siguiente ejemplo se considera una regla que establece acceso permitido a
Squid a la Lista de Control de Acceso denominada permitidos:
http_access allow permitidos
También pueden definirse reglas valiéndose de la expresión !, la cual significa no.
Pueden definirse, por ejemplo, dos listas de control de acceso, una denominada
lista1 y otra denominada lista2, en la misma regla de control de acceso, en donde
se asigna una expresión a una de estas. La siguiente establece que se permite el
acceso a Squid a lo que comprenda lista1 excepto aquello que comprenda lista2:
http_access allow lista1 !lista2
Este tipo de reglas son útiles cuando se tiene un gran grupo de IP dentro de un
rango de red al que se debe permitir acceso y otro grupo dentro de la misma red al
que se debe denegar el acceso.
Aplicando Listas y Reglas de control de acceso.
Una vez comprendido el funcionamiento de la Listas y las Regla de Control de
Acceso, se procede a determinar cuales utilizar para la configuración.
Caso 1.
Considerando como ejemplo que se dispone de una red 172.16.100.0/28, si se
desea definir toda la red local, se utilizaría la siguiente línea en la sección de Listas
de Control de Acceso:
Habiendo hecho lo anterior, la sección de listas de control de acceso debe quedar
más o menos del siguiente modo:
Listas de Control de Acceso: definición de una red local completa
#
# Recommended minimum configuration:
acl all src 0.0.0.0/0
acl manager proto cache_object
acl localhost src 127.0.0.1/8
A continuación se procede a aplicar la regla de control de acceso:
Habiendo hecho lo anterior, la zona de reglas de control de acceso debería quedar
de modo similar al siguiente:
Reglas de control de acceso: Acceso a una Lista de Control de Acceso.
#
YOUR CLIENTS
#
http_access deny all
La regla http_access allow localnet permite el acceso a Squid a la Lista de
Control de Acceso denominada localnet, la cual, en el siguiente ejemplo, está

conformada por 172.16.100.0/28. Esto significa que cualquier anfitrión desde
172.16.100.1 hasta 172.16.100.14 podrá acceder a Squid.
Caso 2.
Si sólo se desea permitir el acceso a Squid a ciertas direcciones IP de la red local,
deberemos crear un archivo que contenga dicha lista. Genere el archivo
/etc/squid/listas/localnet, dentro del cual se incluirán sólo aquellas direcciones IP
que desea confirmen la Lista de Control de acceso. Ejemplo:
172.16.100.1
172.16.100.2
172.16.100.3
172.16.100.4
172.16.100.5
172.16.100.6
172.16.100.7
Denominaremos a esta lista de control de acceso como localnet:
acl localnet src "/etc/squid/listas/localnet"
Habiendo hecho lo anterior, la sección de listas de control de acceso debe quedar
más o menos del siguiente modo:
Listas de Control de Acceso: definición de una red local completa
#
# Recommended minimum configuration:
acl all src 0.0.0.0/0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src "/etc/squid/listas/localnet"

A continuación se procede a aplicar la regla de control de acceso:
Habiendo hecho lo anterior, la zona de reglas de control de acceso debería quedar
de modo similar al siguiente:
Reglas de control de acceso: Acceso a una Lista de Control de Acceso.
#
YOUR CLIENTS
#
http_access deny all
La regla http_access allow localnet permite el acceso a Squid a la Lista de
Control de Acceso denominada localnet, la cual está conformada por las
direcciones IP especificadas en el archivo /etc/squid/listas/localnet. Esto significa
que cualquier anfitrión excluido del archivo /etc/squid/listas/localnet se le
denegará el acceso a Squid.
Opción cache_mgr.
Esta opción es de carácter informativo. De modo predeterminado, si algo ocurre con
el caché, como por ejemplo que muera el procesos, se enviará un mensaje de aviso
a la cuenta webmaster del servidor. Puede especificarse una distinta si acaso se
considera conveniente.
cache_mgr joseperez@midominio.net
Opción http_port.
Esta opción es utilizado para indicar el puerto a través del cual escuchará peticiones
Squid. El valor predeterminado es 3128, es deicr, Squid escuchará peticiones a
través del puerto 3128/tcp.
http_port 3128
El puerto estándar designado para servidores de caché de Internet (webcache) es el
puerto 8080.
http_port 8080
La opción permite establecer también si se quiere utilizar una dirección IP en
particular. Esto añade mayor seguridad al servicio, pues si se tiene dos tarjetas de
red, una con una dirección IP pública y otra con una dirección IP privada, se puede
establecer que Squid sólo permita conexiones desde la dirección IP privada.
http_port 192.168.80.1:8080
Si se necesita configurar un servidor proxy en modo transparente, sólo es necesario
añadir la opción intercept, misma que desde la versión 3.1 de Squid reemplaza a la
opción transparent.
http_port 192.168.80.1:8080 intercept
Nota.
Para configurar un servidor proxy en modo transparente en CentOS 5 y Red Hat

EnterpriseLinux 5 y versiones anteriores, utilice la opción transparent:
http_port 192.168.80.1:8080 transparent
Opción cache_dir.
Esta opción se utiliza para establecer que tamaño se desea que utilice Squid para
almacenamiento de caché en el disco duro. De modo predeterminado Squid utilizará
el formato ufs para crear en el directorio /var/spool/squid un caché de 100 MB,
dividido en jerarquías de 16 directorios subordinados, hasta 256 niveles cada uno:
cache_dir ufs /var/spool/squid 100 16 256
Se puede incrementar el tamaño del caché hasta donde lo desee el administrador.
Mientras más grande sea el caché, más objetos se almacenarán en éste y por lo
tanto se consumirá menos el ancho de banda. La siguiente línea establece un caché
de 2 GB:
cache_dir ufs /var/spool/squid 2048 16 256
El formato de cache ufs puede llegar a bloquear el proceso principal de Squid en
operaciones de entrada/salida sobre el sistema de archivos cuando hay muchos
clientes conectados. Para evitar que esto ocurra, se recomienda utilizar aufs, que
utiliza el mismo formato de ufs, pero funciona de manera asincrónica,
consiguiéndose un mejor desempeño.
cache_dir aufs /var/spool/squid 2048 16 256

Opción maximum_object_size.
Esta opción se utiliza para definir el tamaño máximo de los objetos en el caché. Se
recomienda establecerla en escenarios con alta carga de trabajo, puesto que
permite evitar desperdiciar recursos de sistema almacenando en el caché objetos de
gran tamaño que probablemente sólo sean aprovechados por unos pocos usuarios,
optimizando el uso del caché con objetos pequeños que de otro modo generarían
una gran cantidad de peticiones hacia las redes públicas. En el siguiente ejemplo se
establece un límite de 48 MB para los objetos del caché.
maximum_object_size 48 MB
Opciones cache_swap_low y cache_swap_high.
Es posible realizar una limpieza automática del caché de Squid cuando éste llegue a
cierta capacidad. La opción cache_swap_low establece el porcentaje a partir del
cual se comenzará a limpiar el cache. La opción cache_swap_high establece el
porcentaje a partir del cual se comenzará a limpiar de manera agresiva el cache. En
el siguiente ejemplo se establece que el cache se comienza a limpiar cuando
alcanza el 90% y se comienza a limpiar de manera agresiva cuando alcanza el 95%.
cache_swap_low 90
cache_swap_high 95
Lo anterior permite tener un caché saludable que se limpia automáticamente. Se
recomienda utilizar estas opciones en escenarios con alta carga de trabajo.
Opción cache_replacement_policy.
A través de esta opción se incluye soporte para los siguientes algoritmos para el
caché:
LRU Acrónimo de Least Recently Used, que traduce como
Menos Recientemente Utilizado. En este algoritmo los
objetos que fueron accedidos hace mucho tiempo, son
eliminados primero y manteniendo siempre en el caché a
los objetos más recientemente solicitados. Ésta política
es la utilizada por Squid de modo predeterminado.
LFUDA Acrónimo de Least Frequently Used with Dynamic Aging,
que se traduce como Menos Frecuentemente Utilizado
con Envejecimiento Dinámico. En este algoritmo los
objetos más solicitados permanecen en el caché sin
importar su tamaño optimizando la eficiencia (hit rate)
por octetos (Bytes) a expensas de la eficiencia misma,
de modo que un objeto grande que se solicite con mayor
frecuencia impedirá que se pueda hacer caché de objetos
pequeños que se soliciten con menor frecuencia.
GDSF Acrónimo de GreedyDual Size Frequency, que se traduce
como Frecuencia de tamaño GreedyDual (codicioso
dual), que es el algoritmo sobre el cual se basa GDSF.
Optimiza la eficiencia (hit rate) por objeto manteniendo
en el caché los objetos pequeños más frecuentemente
solicitados de modo que hay mejores posibilidades de
lograr respuesta a una solicitud (hit). Tiene una
eficiencia por octetos (Bytes) menor que el algoritmo
LFUDA debido a que descarta del caché objetos grandes
que sean solicitado con frecuencia.

El algoritmo recomendado y que ha demostrado mejor desempeño en escenarios de
alta carga de trabajo es LFUDA.
cache_replacement_policy heap LFUDA
Opción cache_mem.
La opción cache_mem establece la cantidad ideal de memoria para lo siguiente:
● Objetos en tránsito.
● Objetos frecuentemente utilizados (Hot).
● Objetos negativamente almacenados en el caché.
Los datos de estos objetos se almacenan en bloques de 4 Kb. La opción
cache_mem especifica un límite máximo en el tamaño total de bloques
acomodados, donde los objetos en tránsito tienen mayor prioridad. Sin embargo los
objetos frecuentemente utilizados (Hot) y aquellos negativamente almacenados en
el caché, podrán utilizar la memoria sin utilizar hasta que esta sea requerida. De ser
necesario, si un objeto en tránsito es mayor a la cantidad de memoria especificada,
Squid excederá lo que sea necesario para satisfacer la petición.
De modo predeterminado, desde la versión 3.1 de Squid, se establecen 256 MB,
que es más que suficiente para las necesidades de redes de área local con pocos
anfitriones. Puede especificar una cantidad menor para obtener un mejor
rendimiento, pues conviene utilizar la memoria disponible para hacer cache en
memoria de muchos objetos pequeños que son frecuentemente visitados, que hacer
cache de unos pocos objetos grandes que sólo unos pocos usuarios aprovecharán.
En el siguiente ejemplo se establecen 48 MB como límite de tamaño para los
objetos en tránsito:
cache_mem 48 MB
Nota.
En CentOS 5 y Red Hat EnterpriseLinux 5 y versiones anteriores, el valor
predeterminado de cache_mem son 8 MB, por lo cual puede incrementar este
valor hasta donde se considere pertinente.
cache_mem 32 MB
Estableciendo el idioma de los mensajes mostrados por Squid hacia el
usuario.
Squid incluye traducción a distintos idiomas de las distintas páginas de error e
informativas que son desplegadas en un momento dado durante su operación.
Dichas traducciones se pueden encontrar en /usr/share/squid/errors/. Desde la
versión 3.0 de Squid, el idioma se detecta automáticamente a partir del navegador
utilizado por el usuario. Es innecesario modificar opción alguno, salvo que se haya
personalizado los mensajes, en cuyo caso conviene utilizar una ruta distinta a la del
idioma utilizado para evitar se sobre-escriban los archivos después de actualizar el
sistema.
Nota.
En CentOS 5 y Red Hat™ Enterprise Linux 5 y versiones anteriores, el idioma
de los mensajes de error se establece a través dla opción error_directory,
cuyo valor predeterminado es /usr/share/squid/errors/English y puede ser

cambiado por el valor /usr/share/squid/errors/Spanish:
error_directory /usr/share/squid/errors/Spanish
Iniciando, reiniciando y añadiendo el servicio al arranque del sistema.
Una vez terminada la configuración, para iniciar por primera vez Squid ejecute:
service squid start
Si necesita volver a cargar la configuración para probar cambios realizados, sin
detener el servicio, ejecute:
service squid reload
Si necesita reiniciar para probar cambios hechos en la configuración, considerando
que este proceso puede llegar a demorar algunos minutos, ejecute:
service squid restart
Para que Squid inicie de manera automática junto con el sistema, ejecute:
chkconfig squid on
Lo anterior habilitará el servicio squid en todos los niveles de ejecución.
Depuración de errores
Cualquier error al inicio de Squid sólo significa que hubo errores de sintaxis, errores
de dedo o bien se están citando incorrectamente las rutas hacia los archivos de las
Listas de Control de Acceso.
Puede realizar diagnóstico de problemas indicándole a Squid que vuelva a leer
configuración, lo cual devolverá los errores que existan en el archivo
/etc/squid/squid.conf.
service squid reload
Cuando se trata de errores graves que impiden iniciar el servicio, puede examinarse
el contenido del archivo /var/log/squid/squid.out con el mandato less, more o
cualquier otro visor de texto:
tail -80 /var/log/squid/squid.out
Modificaciones necesarias en el muro cortafuegos.
Si se utiliza un cortafuegos con políticas estrictas, como por ejemplo Shorewall, es
necesario abrir el puerto 8080 por TCP (webcache), si se eligió utilizar el puerto
8080 en lugar del 3128.
La regla para el archivo /etc/shorewall/rules de Shorewall, que sólo permitirá el
acceso hacia Squid desde la zona de red de área local, correspondería a algo
similar a lo siguiente:
#ACTION SOURCE DEST PROTO DEST

SOURCE
# PORT PORT(S)1
ACCEPT loc fw tcp 8080
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO
NOT REMOVE
Para aplicar los cambios en Shorewall, ejecute:
service shorewall restart
Re-direccionamiento de peticiones a través de la opción REDIRECT en
Shorewall.
La acción REDIRECT en Shorewall permite redirigir peticiones hacia protocolo
HTTP para hacerlas pasar a través de Squid. En el siguiente ejemplo las peticiones
hechas desde la zona que corresponde a la red local serán redirigidas hacia el
puerto 8080 del cortafuegos, en donde está configurado Squid configurado como
Servidor Proxy (Proxy) transparente.

SOURCE
# PORT PORT(S)1
REDIRECT loc 8080 tcp 80
NOT REMOVE
Exclusión de sitios en Shorewall.
En el caso de sitios que se quiera excluir de ser utilizados con Squid, es decir, sitios
problemáticos, se puede configurar en Shorewall que el acceso sea directo, con una
configuración similar a la del siguiente ejemplo, donde se excluye de pasar por
Squid las peticiones dirigidas a las redes 201.144.108.0/24 (IMSS.gob.mx) y

200.33.74.0/24 (SAT.gob.mx) y se abre el paso directo desde la red local hacia esta
red:

SOURCE
# PORT PORT(S)1
REDIRECT loc 8080 tcp 80 - !
201.144.108.0/24,200.33.74.0/24
ACCEPT loc net:201.144.108.0/24 all
ACCEPT loc net:200.33.74.0/24 all
NOT REMOVE
Re-direccionamiento de peticiones a través de iptables.
Bajo ciertas circunstancias, se requerirá tener salida transparente hacia Internet
para ciertos servicios, pero al mismo tiempo se necesitará re-direccionar peticiones
hacia servicio HTTP para pasar a través del el puerto donde escucha peticiones
Squid, como proxy en modo transparente, es decir el puerto 8080/tcp, de modo que
se impida la salida hacia alguna hacia servidores HTTP en el exterior sin que ésta
pase antes por Squid. Ningún proxy conocido puede funcionar en modo
transparente para los protocolos HTTPS, FTP, GOPHER ni WAIS, por lo que dichos
protocolos tendrán que ser filtrados a través del NAT.
El re-direccionamiento se hace a través de iptables. Considerando para este
ejemplo que la red local se accede a través de una interfaz eth1, el siguiente
esquema ejemplifica un re-direccionamiento:
iptables -A INPUT -m state --state NEW -m tcp -p tcp \
-i eth1 --dport 8080 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp \
--dport 80 -j REDIRECT --to-port 8080
service iptables save
3.3.2 Investigue y documente como se puede implemetar el servicio proxy con

pfsense
RTA:
Configuración de proxy transparente de pfSense 2.33 Squid
Squid es un software que almacena en caché datos de Internet, recibe solicitudes

de descarga de los usuarios y procesa automáticamente los datos descargados.
Cuando un usuario desea descargar una página de inicio, puede enviar una
aplicación a Squid, pedirle a Squid que la descargue, luego Squid se conecta al sitio
web aplicado y solicita la página de inicio, y luego transmite la página de inicio al
usuario mientras mantiene una copia de seguridad. Cuando un usuario solicita la
misma página, Squid transmite inmediatamente la copia de seguridad guardada al
usuario.
Según los diferentes tipos de proxy, el proxy Squid se puede dividir en proxy directo
y proxy inverso. En proxy directo, de acuerdo con los diferentes métodos de
implementación, se puede dividir en proxy estándar y proxy transparente.
1. Servidor de búfer proxy estándar
Se utiliza un servicio de caché de proxy estándar para almacenar en caché páginas

web estáticas (como archivos html y archivos de imagen, etc.) en un host de la red
local (es decir, un servidor proxy). Cuando se accede a la página almacenada en
caché por segunda vez, el navegador solicitará directamente datos del servidor
proxy local en lugar de solicitar datos del sitio web original. Esto ahorra un valioso
ancho de banda de red y mejora la velocidad de acceso. Sin embargo, para realizar
este método, la dirección IP y el número de puerto del servidor proxy deben estar
claramente indicados en el navegador de cada host interno. Cuando el cliente se
conecta, envía la solicitud al servidor proxy para su procesamiento cada vez, y el
servidor proxy determina si debe conectarse al servidor web remoto para obtener
datos de acuerdo con la solicitud. Si hay un archivo de destino en el búfer local,
simplemente transfiera el archivo al usuario directamente. Si no es así, recupere el
archivo primero, guarde un búfer localmente y luego envíe el archivo al navegador
del cliente.
2. Servidor de búfer proxy transparente
Las funciones del servicio de búfer de proxy transparente y del servidor proxy
estándar son exactamente las mismas. Sin embargo, la operación del proxy es
transparente para el navegador del cliente (es decir, no es necesario especificar la
IP y el puerto del servidor proxy). El servidor proxy transparente bloquea la
comunicación de la red y filtra el tráfico HTTP (puerto 80) hacia el exterior. Si la
solicitud del cliente se almacena en búfer localmente, los datos almacenados en
búfer se envían directamente al usuario. Si no hay búfer local, la solicitud se envía al
servidor web remoto. Las operaciones restantes son exactamente las mismas que
las del servidor proxy estándar. Para el sistema operativo Linux, el proxy
transparente se implementa mediante Iptables o Ipchains. Debido a que no es
necesario realizar ninguna configuración para el navegador, el proxy transparente es
particularmente útil para los ISP (proveedores de servidores de Internet).
3. Servidor de búfer proxy inverso
El proxy inverso es un servicio de proxy completamente diferente de los dos

primeros proxies. Úselo para reducir la carga del servidor WEB original. El servidor
proxy inverso asume la solicitud de la página estática del servidor WEB original para
evitar que el servidor original se sobrecargue. Se encuentra entre el servidor WEB
local e Internet, maneja todas las solicitudes al servidor WEB e impide la
comunicación directa entre el servidor WEB e Internet. Si la página solicitada por el
usuario de Internet está almacenada en búfer en el servidor proxy, el servidor proxy
envía directamente el contenido almacenado en búfer al usuario. Si no hay
almacenamiento en búfer, primero se envía una solicitud al servidor WEB, se
recuperan los datos y se envía el búfer local al usuario. Este enfoque reduce la
carga en el servidor WEB al reducir el número de solicitudes al servidor WEB.
Puedes mirar este artículo:Proxy directo gráfico, proxy inverso, proxy transparente,
Ayudarle a comprender el concepto de agencia.
En pfsense, se usa más el proxy transparente de Squid. Este tutorial le mostrará

cómo configurar el proxy transparente de Squid en pfSense 2.33. En este ejemplo,
el número de versión de Squid es 3.5.24_2.
Instalar Squid
1. Vaya a Sistema> Administrador de paquetes (administración de complementos).
2. Haga clic en la pestaña Paquetes disponibles (complementos disponibles).
3. Desplácese hacia abajo para encontrar Squid.
4. Haga clic en "+" para instalar.
Configuración general de Squid (Configuración general)
1. Navegue a Servicios> Squid Proxy Server> pestaña General
2. Habilite Squid Proxy-Check para habilitar (configurar para habilitar)
3. Conservar configuración / datos: si no desea conservar una gran cantidad de

datos almacenados en caché después de eliminar Squid, se recomienda no
seleccionarlo.
4. Interfaz proxy: seleccione LAN.
5. Permitir usuarios en la interfaz: si se marca, los usuarios conectados a la interfaz

seleccionada en el campo "Interfaz de proxy" podrán utilizar el proxy. No es
necesario agregar la subred de la interfaz a la lista de subredes permitidas.
6. Otras configuraciones pueden usar valores predeterminados.

Configuración de proxy transparente
1. Proxy HTTP transparente: verifique para habilitar (configurar para habilitar),

después de habilitar, todas las solicitudes al puerto de destino 80 se reenviarán al
servidor proxy.
2. Interfaz de proxy transparente: seleccione LAN.
3. Omitir proxy para destino de dirección privada (omitir destino de dirección privada
de proxy): debe seleccionarse; de lo contrario, no estará en línea (probado en una
máquina virtual). (Si no lo configura, aparecerá un mensaje de error: no se puede
obtener el sitio web (URL) que solicitó).
4. Otras configuraciones son predeterminadas.

LoggingSettings (configuración de registro)
Puede dejarlo solo (especialmente cuando la capacidad del disco duro es

insuficiente).
1.Habilitar Registro de acceso: marque para habilitar (configurar para habilitar).
2. Directorio de almacenamiento de registros: por lo general, no es necesario

cambiar el directorio, por lo que mantener el valor predeterminado es suficiente. Si
realmente necesita cambiar la ruta, recuerde no agregar "/" al final de la ruta.
3. RotateLogs (rotación de registros): defina cuántos días de archivos de registro se

guardarán. Si no está configurado, siempre se guardará.
4. Se utilizan otros valores predeterminados.
Manejo de encabezados, idioma y otras personalizaciones (manejo de

encabezados, idioma y otras configuraciones)
Nombre de host visible: si el servidor proxy muestra algún error, este se mostrará en
la computadora cliente. Puede mantener el mismo nombre que el nombre de host
del servidor pfSense.
2. Correo electrónico del administrador: si se produce un error, también se mostrará

en la computadora cliente.
3. Idioma de error: seleccione el idioma que se muestra cuando aparece un mensaje

de error en el cliente.
4. Mantenga otras opciones como predeterminadas.
Squid HardDisk Cache Settings (configuración de caché del disco duro)
1. Haga clic en la pestaña Caché local, desplácese hacia abajo para encontrar
Configuración de caché de disco duro de Squid
2. Tamaño de caché de disco duro: la caché de disco duro más grande asignada a
Squid. Se recomienda establecer el valor por encima de 4 GB.
3. Sistema de caché de disco duro: se recomienda la configuración predeterminada.
4. Directorios de nivel 1: especifique el número de directorios de nivel 1 en la

memoria caché del disco duro. Puede configurar hasta 256. Cuantos más
directorios, más lento será el inicio, pero puede acelerar la caché en determinadas
condiciones.
5. Ubicación de la caché del disco duro: si el disco duro es suficiente para
almacenar el tamaño del caché especificado en "Tamaño de la caché del disco
duro", mantenga la configuración predeterminada. De lo contrario, elija otra ruta de
almacenamiento y recuerde no agregar "/" al final de la ruta del archivo.
6. Tamaño mínimo de objeto: los objetos más pequeños que el tamaño especificado
(en KB) no se guardarán en el disco. Valor predeterminado: 0 (significa que no hay
un valor mínimo) Se recomienda el valor predeterminado.
7. Tamaño máximo de objeto: los objetos que superen el tamaño especificado (en
MB) no se guardarán en el disco. Valor predeterminado: 4 (MB). Sugerencia: si
aumentar la velocidad es más importante que ahorrar ancho de banda, debe
configurarlo en un valor más bajo. Se recomienda el valor predeterminado.
Squid MemoryCache Settings (configuración de memoria caché)
1. Tamaño de caché de memoria: cuanta más memoria pueda configurar para

Squid, más rápido será el proceso de caché. Se recomienda utilizar 2 GB o más.
Pero no supere el 50% de la memoria total.
2. Tamaño máximo de objeto en RAM (el tamaño máximo de objeto en RAM): los
objetos que superen el tamaño asignado no se almacenarán en la memoria caché.
Se recomienda utilizar el valor predeterminado (256 KB).
3. Política de reemplazo de memoria: determine qué objetos se borran de la

memoria cuando se necesita espacio de almacenamiento. Se recomienda utilizar el
montón GDSF de forma predeterminada.
Listas de control de acceso de Squid (listas de control de acceso)
¡Configure según sea necesario!
1. Haga clic en la pestaña ACL.
2. Subredes permitidas: ingrese las subredes permitidas para usar el proxy en

formato CIDR (192.168.111.0/24). Una línea por entrada. Si se selecciona "Permitir
usuarios en la interfaz" en la pestaña "Configuración general de Squid", no es
necesario agregar la subred "Interfaz proxy" a esta lista.
3. Mantenga otras configuraciones como predeterminadas.
Después de la configuración anterior, el agente Squid se ha estado ejecutando

normalmente.
Si hay un problema de que el tiempo de resolución del sitio web visitado es
demasiado largo, la resolución de DNS debe estar activada.
Lo anterior es un proceso básico de configuración de proxy transparente de Squid.

Squid 3.5.24_2 tiene muchas funciones, ¡estudie otras configuraciones más
complicadas usted mismo!
3.3.3 investigue y documente para que sirve un portal cautivo y como se puede
implementar con pfsense
RTA: Un portal cautivo es un servicio que por lo generalmente se usa cuando nos
conectamos a una red para controlar el acceso de la misma y la velocidad de
Internet. Pero también se puede emplear en red cableada e inalambrica.
¿ Como configurar un portal cautivo?
Configuración de Usuarios Locales
En pfSense nos dirigiremos a las siguientes pestañas System / User Manager /

Users. Crearemos un usuario local para poder autentificar mas adelante.
Creamos un usuario, primero con contraseña y nombre nada mas, ya que en estos
momentos no es necesario modificar otros paramentos.
Luego crearemos un grupo y le asignaremos los usuarios que pretendamos que se
autentifiquen por medio de un portal cautivo, le asignamos ese privilegio en add y
buscaremos en la lista portal cautivo
Crearemos un certificado autofirmado
Nos dirigimos a la siguiente pestañas lo siguiente System / Certificate Manager /

CAs seleccionamos en add para la creación de un certificado para el portal .
El llenado del certificado es de la siguiente manera
 Descriptive name: NombreDelCertificado

 Method : Create an internal Certicate Author
 Key length (bits) : por defecto 2048
 Digest Algorithm : sha1
 Lifetime: en días, podemos dejar un año (365) o lo que consideremos
conveniente.
 Common Name: Nombre de host / dominio (Eso debe ser un nombre de
dominio valido y configurado previamente)
 Y lo demás, ubicación geográfica y nombre de la empresa
El nombre de nuestro dominio lo encontraremos en el dashboard donde dice Name:

pfsense.noise-sv.com y es lo que debe ir en Common Name, se puede cambiarl y
configurarl al nombre de nuestro dominio.
Luego creamos un nuevo certificado que validaremos, el certificado CA que
creamos presionado Certificates
Seleccionamos Certificate Type : Server Cetificate
Configuración de DNS
En primier lugar es necesario configurar que nuestro nombre de dominio resuelva

una IP, si utilizamos el DNS integrado de pfSense podemos valernos del paquete
DNS Resolver para agregar nuestro dominio interno. Para la configuración de DNS,
exploraremos en la siguiente pestaña de Services / DNS Resolver / General
Settings
Verificamos que se encuentre activo (nota: si utilizamos dns forwarder esto puede
crear conflictos en la configuración) nos colocaremos en donde dice Host Overrides
seleccionamos add
Solo asegurándonos de utilizar la configuración equivalente si usamos Forwared
Configuraremos de la siguiente manera
 host: nombre de host

 domain: nombre de dominio
 ip address: ip de la lan
Configuración de Portal Cautivo
Nos ubicaremos en Services / Captive Portal selecionamos add
 Después de estar en portal cautivo lo activamos, seleccionando la Pestaña

Enable captive portal para comenzar con la configuración básica.
 Interface: Habilitamos la interfaz por donde correrá nuestro portal cautivo.
 Hard timeout: decimos el tiempo en que la persona tiene permitido estar
conectada a internet.
 Redirection URL: en esta opción definimos a donde es que queremos que
sea la pagina de inicio de nuestro usuario antes y después de autenticado.
 MAC filtering: deshabilitamos el filtrado por MAC para que los usuarios
puedan loguearse solo con ingresar, o solo con una contraseña.
 Authentication: en este caso seleccionamos local.
 Portal page contents: Aquí ingresamos el contenido de lo que queramos que
muestre a nuestros usuarios el portal cautivo. En nuestro caso se hicieron
unas modificación con algunas pautas a seguir.
Authentication: aquí podemos seleccionar nuestras diferentes formas de
autentificarnos. Si usted trabajo con el tutorial anterior de free radius solo
seleccionara en autentificancion server : radius , pero si lo desea puede usar la
base de datos de usuario local del pfSense
Aquí habilitemos nuestros certificado previamente configurado y guardamos a
terminar
Con esto ya tenemos todo nuestro escenario preparado para hacer la prueba. En la
maquina cliente podemos realizar pruebas de ping para ver que funcione la
conectividad.
Al acceder a nuestro navegador preferido nos mostrara lo siguiente ya que usamos
un certificado autofirmado y este certificado tampoco ah sido instalado en nuestra
computadora.
Si no desea este error deberá instalar el certificado CA en el equipo con el que este
navegando.
Al iniciar podremos ver en la siguiente pantalla que ya tenemos un usuario
conectado y podremos acceder a Internet.
Algo muy interesantes es que nosotros podemos configurar nuestro propio portal
subiendo los archivos en donde se le muestra.
Muestra
Mediante la configuración del portal se logra obtener un mejor control de uso de la
red para restringir la carga y descarga de datos así como conocer quien accede a la
red.
NOTA: El portal cautivo evita que los usuarios no puedan accerder a internet, pero
ellos si pueden acceder a la red interna o hacer ataques como Man In The Middle,
existen formas de evitar estos ataques como agregando un IDS (de sus siglas en
inglés Intrusion Detection System) que es un programa de detección de accesos no
autorizados a un computador o a una red, de preferencia la zona donde se
encuentre el portal (normalmente publica) debe estar aislada del resto de la red de
nuestra empresa.
3.4 Actividades Actividades de Transferencia de conocimiento.
3.4.1 Implemente la siguiente topología con maquinas virtuales

3.4.2 Implemente un proxy transparente en pfsense para bloquear paginas como:
oferta.senasofiaplus.edu.co/sofia-oferta/
oferta.senasofiaplus.edu.co
facebook.com
Intalacion SQUID
}
INSTALACION SQUIDGAURD
oferta.senasofiaplus.edu.co/sofia-oferta/ puerto 80
oferta.senasofiaplus.edu.co puerto 80
facebook.com puerto 443
● Realice pruebas navegando desde un equipo cliente en la red interna de la
topología y documente las pruebas.
3.4.2 Implemente un portal cautivo desde con pfsense y realice las pruebas desde el
equipo cliente en la topología documentando los resultados.
4. ACTIVIDADES DE EVALUACIÓN
Evidencias de Criterios de Evaluación Técnicas e Instrumentos

Aprendizaje de Evaluación
Evidencias de -El aprendiz diferencia

Conocimiento: entre diferentes
implementaciones de Informe escrito
Respuestas a preguntas seguridad perimetral.
sobre seguridad perimetral Lista de Chequeo
Evidencias de
Desempeño
Desarrollo del informe de

las actividades
Evidencias de Producto:
Presentación de las
actividades de aplicación.
5. GLOSARIO DE TÉRMINOS
● Pirata informático: es quien adopta por negocio la reproducción, apropiación y

distribución con fines lucrativos y a gran escala de distintos medios y contenidos
(soporte lógico, videos, música) de los que no posee licencia o permiso de su
autor, generalmente haciendo uso de un ordenador, siendo del software la
práctica de piratería más conocida.
● Hacker: experto informático que utiliza sus conocimientos técnicos para superar
un problema, normalmente asociado a la seguridad. Habitualmente se lo utiliza
en informáticos con conocimientos en seguridad y con la capacidad de detectar
errores o fallos en sistemas informáticos para luego informar de los fallos a los
desarrolladores del software encontrado vulnerable o a todo el público.
● Seguridad Informática: disciplina que se encarga de diseñar las normas,

procedimientos, métodos y técnicas destinados a conseguir un sistema de
información seguro y confiable.
● Confidencialidad: propiedad de la información, por la que se garantiza que no

está accesible únicamente a personal autorizado a acceder a dicha información.
● Integridad: Es la propiedad que busca mantener los datos libres de
modificaciones no autorizadas. (No es igual a integridad referencial en bases de
datos.) Grosso modo, la integridad es mantener con exactitud la información tal
cual fue generada, sin ser manipulada ni alterada por personas o procesos no
autorizados.
● Disponibilidad: es la característica, cualidad o condición de la información de

encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la
información y a los sistemas por personas autorizadas en el momento que así lo
requieran.
● Activos: son los componentes indispensables para el funcionamiento de un

sistema informático.
● Confidencialidad: El nivel de protección que debe tener cada activo contra su

uso indebido.
● Disponibilidad: El nivel de accesibilidad para usuarios y personal de la

empresa.
● Integridad: El nivel de restricción de modificaciones al activo, por personal no

autorizado.
● SGSI: Sistema de Gestión de la Seguridad de la Información.
● Vulnerabilidad: Una vulnerabilidad es un estado viciado en un sistema

informático (o conjunto de sistemas) que afecta las propiedades de
confidencialidad, integridad y disponibilidad (CIA) de los sistemas. Las
vulnerabilidades pueden hacer lo siguiente: Permitir que un atacante ejecute
comandos como otro usuario, permitir a un atacante acceso a los datos, lo que
se opone a las restricciones específicas de acceso a los datos, permitir a un
atacante hacerse pasar por otra entidad, permitir a un atacante realizar una
negación de servicio.
● Clave de cifrado: Valor corto usado al cifrar datos para garantizar la intimidad.
En algunos esquemas de cifrado, el receptor debe usar la misma clave para
descifrar los datos. Otros esquemas usan un par de llaves: una para cifrar y otra
diferente para descifrar.
● DSA: Digital Signature Algorithm, es un estándar del Gobierno Federal de

los Estados Unidos de América o FIPS para firmas digitales.
● DES: Data Encryption Standard, es un método para cifrar información
algoritmo, escogido como un estándar FIPS en los Estados Unidos en
1976, y cuyo uso se ha propagado ampliamente por todo el mundo.
● MD5: Message-Digest Algorithm 5, es un algoritmo de reducción

criptográfico de 128 bits ampliamente usado.
● SHA: Secure Hash Algorithm, es una familia de funciones hash de cifrado

publicadas por el Instituto Nacional de Estándares y Tecnología (NIST).
6. REFERENTES BILBIOGRÁFICOS
Cordoba Nagles (2010), Auditoria y Seguridad Informatica, Girardot (Cund)

Recuperado de http://auditoriapiloto2010a.blogspot.com/2010/05/caso-de-estudio-
protecting-joes-office.html
Granville, Kevin, (2015). 9 Recent Cyberattacks Against Big Businesses. New York.
The New York Times. Recuperado de:
https://www.nytimes.com/interactive/2015/02/05/technology/recent-
cyberattacks.html?_r=1
Rossi, Ben. (2015). Top 10 most devastating cyber hacks of 2015. London (UK).
Information Age. Recuperado de: http://www.information-age.com/top-10-most-
devastating-cyber-hacks-2015-123460657/
Stallings, William. (2004). Fundamentos de seguridad en redes, aplicaciones y

estándares. Madrid (España). Recuperado de http://www.ebooks7-
24.com.bdigital.sena.edu.co/?il=3241
SGSI MINTIC, Guía 5 - Gestión Clasificación de Activos,

https://www.mintic.gov.co/gestionti/615/w3-article-5482.html
SGSI MINTIC, Guía 7 - Guía de gestión de riesgos,

https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf
Escrivá, G. G., Romero, S. R. M., & Ramada, D. J. (2013). Seguridad informática.

Obtenido de http://ebookcentral.proquest.com.bdigital.sena.edu.co
Molina, M. J. M. (2000). Seguridad de la información. criptología. Obtenido de
http://ebookcentral.proquest.com.bdigital.sena.edu.co
5. 7 CONTROL DEL DOCUMENTO
Nombre Cargo Dependencia Fecha
Autor Jemny Pérez Instructor Teleinformática Mayo de 2018

(es) CEET
6. CONTROL DE CAMBIOS
Nombre Cargo Dependencia Fecha Razón del

Cambio
Autor Luis Eduardo Instructor Teleinformáti Abril de Actualización a

(es) Contratista ca CEET 2021. Nuevo Formato
y Ajuste a
Modalidad
Virtual.

Laboratorio #3 Act

Cargado por

Información del documentohacer clic para expandir la información del documentoEl documento presenta una guía de aprendizaje sobre seguridad perimetral proxy. Explica los conceptos de firewall, VPN, router de frontera e IDS y sus funciones para proteger la red.

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Laboratorio #3 Act

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Laboratorio #3 Act

Cargado por

Copyright:

Formatos disponibles

PROGRAMA DE FORMACIÓN

GESTIÓN DE REDES DE DATOS GRD V2

SERVICIO NACIONAL DE APRENDIZAJE SENA.

IDENTIFICACIÓN DE LA GUIA DE APRENDIZAJE

● Denominación del Programa de Formación: Gestión de Redes de Datos

● Código del Programa de Formación: 228185

● Nombre del Proyecto: Implementación de una red de datos corporativa

● Actividad de proyecto: Diagnosticar los requerimientos, recursos,

Para garantizar la disponibilidad, integridad, confidencialidad de la información, es

Durante el desarrollo de las actividades planteadas en esta guía el aprendiz

3. FORMULACIÓN DE LAS ACTIVIDADES DE APRENDIZAJE

3.1 Actividades de Reflexión inicial. (Argumento basado en la experiencia)

Individualmente, conteste en un documento en Word las siguientes preguntas

3.2 Actividades de contextualización Actividad Individual:

Consulte la función de los siguientes dispositivos de red.

DISPOSITIVOS FUNCION EN LA RED EJEMPLOS

IDS sistema de detección de · Almacenamiento de

· Envío de una alerta

Los IDS cuentan con

Toda detección de una

¿Cómo protege USS

IPS dispositivo de seguridad, ● Siempre en

ANTIVIRUS/ANTISPAM Un Antivirus es un AVG AntivirusQihoo

UTM La gestión unificada de Amenazas internas:

Para este ejemplo,

NGIPS El Sistema de Prevención ● Los mayores

Los proxies son intermediarios que se ubican entre clientes y servidores. Un

Hay dos tipos principales de proxies:

Proxy de reenvío: Normalmente se encuentra entre clientes locales y servidores

Proxy inverso: Normalmente se encuentra entre clientes remotos y servidores

3.3.1 Investigue y documente para que sirve el paquete squid en Linux.

alberga. Desde 2010, la velocidad de la página o pagespeed, se incluye entre los

factores de ranking de Google como componente de la experiencia de usuario

(UX). Esto hace necesario dedicar algo de atención a la optimización de la velocidad

de carga de una página web, especialmente cuando se es administrador. Entre

otras posibilidades, esto se logra comprimiendo las imágenes, comprimiendo u

optimizando archivos de código o reduciendo el número de peticiones.

consiste en instalar un servidor proxy inverso que haga de intermediario entre el

navegador y el servidor web, procesando las peticiones del navegador en su

nombre y entregando contenido estático, que ha almacenado de manera autónoma,

aunque no experimente cambios. Entre las soluciones más populares para

implementar un servidor proxy-caché de este tipo se encuentra el programa libre

diferenciarlo de la rama principal NetCache, cuyo desarrollo no se ha continuado.

los protocolos HTTP, HTTP/2, HTTPS y FTP.

diversas distribuciones Linux o sistemas Mac OS X y Windows, bien con la

herramienta de comandos propia del dispositivo o a través de una interfaz gráfica

como GAdmin-SQUID o SquidMan.

contenidos, con el objetivo de descongestionar la base de datos y el servidor web.

Asimismo, el hecho de soportar el protocolo HTTPS lo hace idóneo para

establecer conexiones SSL seguras. En otro ámbito, los proveedores de Internet

también lo utilizan como proxy transparente con la finalidad de optimizar el acceso

a Internet. Naturalmente, también se puede utilizar como proxy de reenvío (forward

cortafuegos. La extensión SquidGuard permite filtrar paquetes de forma autónoma.

Por qué deberías implementar un servidor proxy Squid

públicamente y no requiere el pago de una licencia, lo que significa que no solo se

cambios debido a la diversidad y a la mejora de la velocidad que ofrece Squid,