11 Linux Servicio Proxy.pdf
-
Upload
christian-huapaya -
Category
Documents
-
view
34 -
download
4
Transcript of 11 Linux Servicio Proxy.pdf
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 1
Servicio Proxy en Linux
Copyright © 2011 por TECSUP
2
Introducción
� Actualmente, muchas empresas disponen de un acceso a Internet para buscar información y publicar datos relacionados a su negocio. El principal problema es que muchos usuarios requieren la misma página web, por ejemplo www.elcomercioperu.com.pe, lo cual genera un consumo innecesario del ancho de banda de la conexión a Internet motivo por la cual se utiliza un servidor Proxy. Durante esta unidad se analizarán las características y la utilización de un servidor Proxy.
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 2
3
Objetivos
� Al completar este tema, el alumno estará en la capacidad de realizar las siguientes tareas:� Identificar los componentes básicos que conforman el
servicio Proxy.� Describir el funcionamiento del servicio Proxy.� Realizar la implementación del servicio Proxy.
4
Contenido
� En el presente texto se desarrollará los siguientes temas:� Definición del servicio Proxy.� Implementación del Proxy Server.� Servicio Proxy en GNU/Linux.� Ejemplos.
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 3
5
Conocimiento Previo
� Componentes del servicio Proxy� Tipos de Firewall
� Proxy� Clientes Proxy� Implementación de Proxy
� Computadora genérica� Computadora especializada: appiiance
� Conexiones� Proxy Cache
Servicio Proxy en GNU/Linux
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 4
SQUID
� Pagina Web:
Características:� Software Libre� Proxy cache de HTTP,HTTPS, FTP� Variedad de control de acceso.� Cache de paginas WEB, acelerando las
consultas.� Control de ancho de banda.� Compatibilidad en los diferentes entornos Unix.
7
http://www.squid-cache.org/
IP
TCP
SQUID(SQUID-CACHE)
3128
Archivos de Configuración
� Estructura de archivos y directorios importantes del Squid:
8
“Archivo principal de configuración”
“Relación de archivos de eventos”
“Directorio de la cache”
DB DB
PROXYPROXY
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 5
Puerto
� El puerto del Squid por defecto es 3128. Puede variarse en el archivo de configuración.
� Prevenir que no entre conflicto con otro Servicio que use el mismo puerto al elegir para el Proxy.
9
IP
TCP
SQUID(SQUID-CACHE)
8080
CACHE: Generación
� Generaremos la estructura de la CACHE definida en el archivo de configuración:
10
GENERANDO
DB DB
PROXYPROXY
VISUALIZANDO
CONFIGURACION
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 6
Eventos
� Los archivos de eventos son útiles para diagnosticar o obtener reportes de estadísticas.
� Squid maneja los eventos en archivos de texto plano que pueden ser visualizados con un editor o monitoreados con el comando (tail)
11
squid.conf
Control de acceso
� Los controles de acceso tendrán la finalidad de permitir o bloquear algún requerimiento dependiendo de condiciones.
� Para aplicar un control de acceso esta compuesta de dos procesos:� Definición de las listas de control de acceso (tipo y valores
a tomar como filtro)� Acción sobre las listas de control de acceso.
12
LISTAS CONTROL ACCESO (ACL)
……..……...
ACCION A APLICAR LA LISTA (ACL)
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 7
Control de acceso: Listas ACL
� En Squid para definir una lista ACL debemos de seleccionar el tipo de condicional y los valores a asignar.
� Se muestra un panorama de los diferentes condicionales (src, time, dst e otros).
� La elección de un tipo o mas tipos dependerá del objetivo que se busca del control. Ejemplo : Dar permiso a una determinada IP de la RED, escoger el tipo src.
� En la definición de un ACL no se indica la acción.
13
SQUIDSQUIDIPa
www.yahoo.com
IP WEB DESTINO
IPb
IP ORIGENRED ORIGEN
TIEMPO
CONTENIDO
DOMINIO
www.sony.com
src
time
dstdomain
url_regex
dst
“Tipo que se asocia”
“Squid puede tomar tipos de parámetros asociados a
entrada o salida”
Control de acceso: Sintaxis ACL
� Sintaxis:
14
SQUIDSQUIDIPa
www.yahoo.com
IP WEB DESTINO
IPb
IP ORIGENRED ORIGEN
TIEMPO
CONTENIDO
DOMINIO
www.sony.com
acl [etiqueta] [tipo] [valores]
acl PC src 192.168.10.1acl dominio dstdomain sony.comacl palabras url_regex .mp3 .zipacl tiempo time 08:00-22:30
src
time
dstdomain
url_regex
dst
“Nombre a asignar a la lista de acceso”
“Tipo: src, dst ..”
“Valores que guardan relación con el tipo de acl escogido”
EJEMPLOS“Como se observa se ha
declarado los ACL de
determinados tipos y sus
valores pero no se indica la
acción de bloquear o permitir”
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 8
Control de acceso: Acción del ACL
� Ahora debe indicarse que acción tomara si un requerimiento coincide con los valores del ACL.
� El parámetro (http_access) definirá la acción del ACL, que puede ser:� ALLOW (permitir)� DENY (bloquear)
1515
PROXYPROXYIPa
www.yahoo.com
SITE DESTINO
IPb
IP ORIGENRED ORIGEN
TIEMPO
CONTENIDO
DOMINIO
www.sony.com
ALLOWALLOWDENYDENY
ALLOWALLOW
DENYDENY
Control de acceso: Acción del ACL
� Sintaxis:
16
http_access [acción] [etiqueta_access-list]
“Acción a aplicar al ACL: ALLOW o DENY ”
“Etiqueta asignada al ACL”
http_access deny invitado
EJEMPLO
PROXYPROXY192.168.11.5
IP ORIGENRED ORIGEN
DENYDENY
acl invitado src 192.168.14.5
CASO: Se requiere bloquear a navegación a la IP 192.168.11.5CASO: Se requiere bloquear a navegación a la IP 192.168.11.5
src
11
22
“Requiere www.yahoo.com
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 9
Análisis de Políticas
� Al declarar los ACL no influyen el orden a declararlos.
� Al aplicar las acciones (http_access) si influyen el orden de aplicar los (http_access) porque es realmente donde se ordena los ACL y se aplica las acciones.
� Squid evalúa las políticas desde el primer (http_access) declarado y continua hasta que algún (http_access) determine alguna acción con el requerimiento.
17
“Requerimiento
Poli 1
Poli 2
Poli 3
acción
SI
SI
SI
no
no
AC
CE
PT
? Coincide con la
política
acción
DROP
acción
AC
CE
PT
Análisis de Políticas: Ejemplo
� Para ver el efecto de la importancia del orden de la aplicación de las políticas, evaluaremos un caso:
18
CASO: Permitir acceso a la red lan 192.168.90.0 a excepto de la IP 192.168.90.114
CASO: Permitir acceso a la red lan 192.168.90.0 a excepto de la IP 192.168.90.114
SI CUMPLE NO CUMPLE
192.168.90.114
“Requerimiento
“Al revisar el paquete y al buscar alguna relación con los valores de ACL, se encuentra que la IP origen (192.168.90.114) encaja con los ACL : all, redlocal y I2
ALLO
W
DE
NY
“Cumple con el ACL (redlocal) y la acción es (allow). Quiere decir que ha permitido .
“Cumple con el ACL (I2) y la acción es (deny). Quiere decir que ha bloqueado.
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 10
Bloqueando a determinadas paginas
19
CASO:
La PC de Contabilidad (192.168.90.115) acceder únicamente a los dominios (.sunat.gob.pe) y (.elperuano.com.pe)
CASO:
La PC de Contabilidad (192.168.90.115) acceder únicamente a los dominios (.sunat.gob.pe) y (.elperuano.com.pe)
DOMINIOS
CONFIGURACION
11
22
“Registrando en un archivo la relación de dominios a restringir.
“Asociando el archivo de dominios a un tipo de ACL (domconta). En la aplicación de la acción, asociamos el ACL (ipconta) y (domcomta)
Bloqueando por Contenido
20
DOMINIOS
CONFIGURACION
11
22
“Registrando en un archivo la relación de dominios a restringir.
CASO:
Restringir descargas de archivos con extensión .mp3,.exe, .zip
CASO:
Restringir descargas de archivos con extensión .mp3,.exe, .zip
BLOQUEADO
RESULTADO33
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 11
Controlando por Tiempo
21
CASO:
Permitir el acceso a navegación entre las 8am – 5pm ha excepto del administrador (ipadm)
CASO:
Permitir el acceso a navegación entre las 8am – 5pm ha excepto del administrador (ipadm)
CONFIGURACION11
PRUEBAS22
Reporte (SARG)
� Generar reporte de estadísticas vía WEB del Squid de la información obtenida del archivo (access.log)
22
http://sarg.sourceforge.net
ESTADISTICAS
MOVIMIENTO
DESCARGAS“Estadísticas en general de todos los usuarios en cantidad de consumo de BYTES”
“Información de las paginas visitadas y que paginas fueron prohibidos”
“Relación de archivos descargados (.exe, .zipn, .mp3)”
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 12
TEMA 3CALIDAD DE SERVICIO
23
Control de ancho de banda
Beneficios:� Limitar consumo de ancho de banda.
� Repartir el canal del ancho de banda según las prioridades de las aplicaciones.
� Evitar que una aplicación sature el canal.
24
ANCHOBANDA 128K
HTTP
HTTP
SMTP
ANCHOBANDA 128K
HTTP
SMTP
HTTP64K
SMTP64K
SIN CONTROL CONTROL
“Según los datos que lleguen irán copando el canal”
“Según los datos que lleguen se asigna según la aplicación a una cola que se determino con un respectivo ancho de banda limitado”
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 13
Squid: Control de ancho de banda
� Squid permite gestionar el trafico HTTP, FTP asignando ancho de banda que son representados por tuberías.
� Formas de cómo se asignara las tuberías y como se usara estas asignaciones:� Asignar una tubería que representa una velocidad máxima, y
que será asignada a un grupo. Los participantes del grupo usaran según el consumo que necesiten hasta llegar al Tope.
� Asignación de la tubería que se reparte en forma equitativa entre los usuarios, asignado a los participantes un consumo máximo.
25
ANCHOBANDA 128K
HTTP64K
Squid: Configuración de Ancho de Banda
26
ANCHOBANDA 128K
HTTP
HTTP64K
CASO:
Restringir el acceso a navegación a usar un canal de 64Kbps
CASO:
Restringir el acceso a navegación a usar un canal de 64Kbps
TIPO DE POOL11
“Se indica cuantas tuberías (pool) y de que tipo (Clase de pool) va manejarse los datos al entrar a esta tubería”
“La tubería (pool) definimos el ancho de banda a usar. Según el tipo (Clase de pool) tiene una sintaxis de los datos a ingresar”
ASIGNACION DE ANCHO DE BANDA AL POOL22
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 14
Squid: Configuración de Ancho de Banda
27
REGISTRAR UN ACL A LA RED33
ASOCIAR LA ACL AL POOL44
APLICAR LA ACCION AL ACL55
ANCHOBANDA 128K
HTTP64K
“Equipos de la RED 192.168.90.0”
TEMA 4AUENTICACION
28
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 15
Autenticación
� Principalmente las políticas de restricción que se aplica a los Clientes con el Proxy, esta asociado con la identificación de la IP del Cliente.
� El optar las restricciones por un método de autentificación basados en cuenta y password tiene sus ventajas:� Los usuarios adquieren sus perfiles del Proxy desde cualquier PC
que estuvieran.� No esta fijos a una PC.� Definir un grupo de políticas basados en cuentas de usuarios.� Incorporando propiedades avanzadas de sistemas de autenticación
como LDAP se puede integrar un único sistema de autenticación a usarse en la empresa para todos sus Servicios.
29
Autenticacion: Squid
Squid soporta dos modos de autenticación:� LDAP
� Sistema de Directorios� Ncsauth
� Basado en un archivo de texto que contendrá las cuentas de usuarios y passwords. Parecido al archivo (shadow) del Sistema Linux.
30
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 16
Autenticiacion NCSAUTH: Paso 1
� Generando el archivo y agregando las cuentas de usuarios.
31
CU
EN
TASPROCESOS
Autenticiacion NCSAUTH: Paso 2
� Personalizando el SQUID para soporte de NCSAUTH
32
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 17
Autenticiacion NCSAUTH: Paso 3
� Prueba de validacion:
33
34
Síntesis
• El Proxy permite acelerar el acceso de Paginas Web y descargas de archivos.
• Las listas de control de acceso permiten gestionar un control sobre los recursos de navegación y descargar.
• El identificador principal de un Cliente es la IP, pero usando métodos de autenticación puede usarse cuentas de usuarios y password.
Redes II TECSUP
Unidad 11: Servicio Proxy en Linux 18
35
Enlaces
� Como configurar Squid:� http://barrapunto.com/article.pl?sid=03/12/02/0938219&
mode=thread.� Configuración de Squid:
� http://es.tldp.org/Tutoriales/doc-servir-web-escuela/doc-servir-web-escuela-html/x518.html.
36
Cuestionario
� ¿Qué archivos son necesarios para configurar Squid?
� ¿Qué protocolos controla un servidor proxy?
� ¿En que ámbitos de negocios se puede aplicar un servidor proxy?