11 Linux Servicio Proxy.pdf

Redes II TECSUP

Unidad 11: Servicio Proxy en Linux 1

Servicio Proxy en Linux

Copyright © 2011 por TECSUP

2

Introducción

� Actualmente, muchas empresas disponen de un acceso a Internet para buscar información y publicar datos relacionados a su negocio. El principal problema es que muchos usuarios requieren la misma página web, por ejemplo www.elcomercioperu.com.pe, lo cual genera un consumo innecesario del ancho de banda de la conexión a Internet motivo por la cual se utiliza un servidor Proxy. Durante esta unidad se analizarán las características y la utilización de un servidor Proxy.

Redes II TECSUP


3

Objetivos

� Al completar este tema, el alumno estará en la capacidad de realizar las siguientes tareas:� Identificar los componentes básicos que conforman el

servicio Proxy.� Describir el funcionamiento del servicio Proxy.� Realizar la implementación del servicio Proxy.

4

Contenido

� En el presente texto se desarrollará los siguientes temas:� Definición del servicio Proxy.� Implementación del Proxy Server.� Servicio Proxy en GNU/Linux.� Ejemplos.

Redes II TECSUP


5

Conocimiento Previo

� Componentes del servicio Proxy� Tipos de Firewall

� Proxy� Clientes Proxy� Implementación de Proxy

� Computadora genérica� Computadora especializada: appiiance

� Conexiones� Proxy Cache

Servicio Proxy en GNU/Linux

Redes II TECSUP


SQUID

� Pagina Web:

Características:� Software Libre� Proxy cache de HTTP,HTTPS, FTP� Variedad de control de acceso.� Cache de paginas WEB, acelerando las

consultas.� Control de ancho de banda.� Compatibilidad en los diferentes entornos Unix.

7

http://www.squid-cache.org/

IP

TCP

SQUID(SQUID-CACHE)

3128

Archivos de Configuración

� Estructura de archivos y directorios importantes del Squid:

8

“Archivo principal de configuración”

“Relación de archivos de eventos”

“Directorio de la cache”

DB DB

PROXYPROXY

Redes II TECSUP


Puerto

� El puerto del Squid por defecto es 3128. Puede variarse en el archivo de configuración.

� Prevenir que no entre conflicto con otro Servicio que use el mismo puerto al elegir para el Proxy.

9

IP

TCP

SQUID(SQUID-CACHE)

8080

CACHE: Generación

� Generaremos la estructura de la CACHE definida en el archivo de configuración:

10

GENERANDO

DB DB

PROXYPROXY

VISUALIZANDO

CONFIGURACION

Redes II TECSUP


Eventos

� Los archivos de eventos son útiles para diagnosticar o obtener reportes de estadísticas.

� Squid maneja los eventos en archivos de texto plano que pueden ser visualizados con un editor o monitoreados con el comando (tail)

11

squid.conf

Control de acceso

� Los controles de acceso tendrán la finalidad de permitir o bloquear algún requerimiento dependiendo de condiciones.

� Para aplicar un control de acceso esta compuesta de dos procesos:� Definición de las listas de control de acceso (tipo y valores

a tomar como filtro)� Acción sobre las listas de control de acceso.

12

LISTAS CONTROL ACCESO (ACL)

……..……...

ACCION A APLICAR LA LISTA (ACL)

Redes II TECSUP


Control de acceso: Listas ACL

� En Squid para definir una lista ACL debemos de seleccionar el tipo de condicional y los valores a asignar.

� Se muestra un panorama de los diferentes condicionales (src, time, dst e otros).

� La elección de un tipo o mas tipos dependerá del objetivo que se busca del control. Ejemplo : Dar permiso a una determinada IP de la RED, escoger el tipo src.

� En la definición de un ACL no se indica la acción.

13

SQUIDSQUIDIPa

www.yahoo.com

IP WEB DESTINO

IPb

IP ORIGENRED ORIGEN

TIEMPO

CONTENIDO

DOMINIO

www.sony.com

src

time

dstdomain

url_regex

dst

“Tipo que se asocia”

“Squid puede tomar tipos de parámetros asociados a

entrada o salida”

Control de acceso: Sintaxis ACL

� Sintaxis:

14

SQUIDSQUIDIPa

www.yahoo.com

IP WEB DESTINO

IPb

IP ORIGENRED ORIGEN

TIEMPO

CONTENIDO

DOMINIO

www.sony.com

acl [etiqueta] [tipo] [valores]

acl PC src 192.168.10.1acl dominio dstdomain sony.comacl palabras url_regex .mp3 .zipacl tiempo time 08:00-22:30

src

time

dstdomain

url_regex

dst

“Nombre a asignar a la lista de acceso”

“Tipo: src, dst ..”

“Valores que guardan relación con el tipo de acl escogido”

EJEMPLOS“Como se observa se ha

declarado los ACL de

determinados tipos y sus

valores pero no se indica la

acción de bloquear o permitir”

ION

Resaltado

Redes II TECSUP


Control de acceso: Acción del ACL

� Ahora debe indicarse que acción tomara si un requerimiento coincide con los valores del ACL.

� El parámetro (http_access) definirá la acción del ACL, que puede ser:� ALLOW (permitir)� DENY (bloquear)

1515

PROXYPROXYIPa

www.yahoo.com

SITE DESTINO

IPb

IP ORIGENRED ORIGEN

TIEMPO

CONTENIDO

DOMINIO

www.sony.com

ALLOWALLOWDENYDENY

ALLOWALLOW

DENYDENY

Control de acceso: Acción del ACL

� Sintaxis:

16

http_access [acción] [etiqueta_access-list]

“Acción a aplicar al ACL: ALLOW o DENY ”

“Etiqueta asignada al ACL”

http_access deny invitado

EJEMPLO

PROXYPROXY192.168.11.5

IP ORIGENRED ORIGEN

DENYDENY

acl invitado src 192.168.14.5

CASO: Se requiere bloquear a navegación a la IP 192.168.11.5CASO: Se requiere bloquear a navegación a la IP 192.168.11.5

src

11

22

“Requiere www.yahoo.com

Redes II TECSUP


Análisis de Políticas

� Al declarar los ACL no influyen el orden a declararlos.

� Al aplicar las acciones (http_access) si influyen el orden de aplicar los (http_access) porque es realmente donde se ordena los ACL y se aplica las acciones.

� Squid evalúa las políticas desde el primer (http_access) declarado y continua hasta que algún (http_access) determine alguna acción con el requerimiento.

17

“Requerimiento

Poli 1

Poli 2

Poli 3

acción

SI

SI

SI

no

no

AC

CE

PT

? Coincide con la

política

acción

DROP

acción

AC

CE

PT

Análisis de Políticas: Ejemplo

� Para ver el efecto de la importancia del orden de la aplicación de las políticas, evaluaremos un caso:

18

CASO: Permitir acceso a la red lan 192.168.90.0 a excepto de la IP 192.168.90.114

CASO: Permitir acceso a la red lan 192.168.90.0 a excepto de la IP 192.168.90.114

SI CUMPLE NO CUMPLE

192.168.90.114

“Requerimiento

“Al revisar el paquete y al buscar alguna relación con los valores de ACL, se encuentra que la IP origen (192.168.90.114) encaja con los ACL : all, redlocal y I2

ALLO

W

DE

NY

“Cumple con el ACL (redlocal) y la acción es (allow). Quiere decir que ha permitido .

“Cumple con el ACL (I2) y la acción es (deny). Quiere decir que ha bloqueado.

Redes II TECSUP


Bloqueando a determinadas paginas

19

CASO:

La PC de Contabilidad (192.168.90.115) acceder únicamente a los dominios (.sunat.gob.pe) y (.elperuano.com.pe)

CASO:

La PC de Contabilidad (192.168.90.115) acceder únicamente a los dominios (.sunat.gob.pe) y (.elperuano.com.pe)

DOMINIOS

CONFIGURACION

11

22

“Registrando en un archivo la relación de dominios a restringir.

“Asociando el archivo de dominios a un tipo de ACL (domconta). En la aplicación de la acción, asociamos el ACL (ipconta) y (domcomta)

Bloqueando por Contenido

20

DOMINIOS

CONFIGURACION

11

22

“Registrando en un archivo la relación de dominios a restringir.

CASO:

Restringir descargas de archivos con extensión .mp3,.exe, .zip

CASO:

Restringir descargas de archivos con extensión .mp3,.exe, .zip

BLOQUEADO

RESULTADO33

Redes II TECSUP


Controlando por Tiempo

21

CASO:

Permitir el acceso a navegación entre las 8am – 5pm ha excepto del administrador (ipadm)

CASO:

Permitir el acceso a navegación entre las 8am – 5pm ha excepto del administrador (ipadm)

CONFIGURACION11

PRUEBAS22

Reporte (SARG)

� Generar reporte de estadísticas vía WEB del Squid de la información obtenida del archivo (access.log)

22

http://sarg.sourceforge.net

ESTADISTICAS

MOVIMIENTO

DESCARGAS“Estadísticas en general de todos los usuarios en cantidad de consumo de BYTES”

“Información de las paginas visitadas y que paginas fueron prohibidos”

“Relación de archivos descargados (.exe, .zipn, .mp3)”

Redes II TECSUP


TEMA 3CALIDAD DE SERVICIO

23

Control de ancho de banda

Beneficios:� Limitar consumo de ancho de banda.

� Repartir el canal del ancho de banda según las prioridades de las aplicaciones.

� Evitar que una aplicación sature el canal.

24

ANCHOBANDA 128K

HTTP

HTTP

SMTP

ANCHOBANDA 128K

HTTP

SMTP

HTTP64K

SMTP64K

SIN CONTROL CONTROL

“Según los datos que lleguen irán copando el canal”

“Según los datos que lleguen se asigna según la aplicación a una cola que se determino con un respectivo ancho de banda limitado”

Redes II TECSUP


Squid: Control de ancho de banda

� Squid permite gestionar el trafico HTTP, FTP asignando ancho de banda que son representados por tuberías.

� Formas de cómo se asignara las tuberías y como se usara estas asignaciones:� Asignar una tubería que representa una velocidad máxima, y

que será asignada a un grupo. Los participantes del grupo usaran según el consumo que necesiten hasta llegar al Tope.

� Asignación de la tubería que se reparte en forma equitativa entre los usuarios, asignado a los participantes un consumo máximo.

25

ANCHOBANDA 128K

HTTP64K

Squid: Configuración de Ancho de Banda

26

ANCHOBANDA 128K

HTTP

HTTP64K

CASO:

Restringir el acceso a navegación a usar un canal de 64Kbps

CASO:

Restringir el acceso a navegación a usar un canal de 64Kbps

TIPO DE POOL11

“Se indica cuantas tuberías (pool) y de que tipo (Clase de pool) va manejarse los datos al entrar a esta tubería”

“La tubería (pool) definimos el ancho de banda a usar. Según el tipo (Clase de pool) tiene una sintaxis de los datos a ingresar”

ASIGNACION DE ANCHO DE BANDA AL POOL22

Redes II TECSUP


Squid: Configuración de Ancho de Banda

27

REGISTRAR UN ACL A LA RED33

ASOCIAR LA ACL AL POOL44

APLICAR LA ACCION AL ACL55

ANCHOBANDA 128K

HTTP64K

“Equipos de la RED 192.168.90.0”

TEMA 4AUENTICACION

28

Redes II TECSUP


Autenticación

� Principalmente las políticas de restricción que se aplica a los Clientes con el Proxy, esta asociado con la identificación de la IP del Cliente.

� El optar las restricciones por un método de autentificación basados en cuenta y password tiene sus ventajas:� Los usuarios adquieren sus perfiles del Proxy desde cualquier PC

que estuvieran.� No esta fijos a una PC.� Definir un grupo de políticas basados en cuentas de usuarios.� Incorporando propiedades avanzadas de sistemas de autenticación

como LDAP se puede integrar un único sistema de autenticación a usarse en la empresa para todos sus Servicios.

29

Autenticacion: Squid

Squid soporta dos modos de autenticación:� LDAP

� Sistema de Directorios� Ncsauth

� Basado en un archivo de texto que contendrá las cuentas de usuarios y passwords. Parecido al archivo (shadow) del Sistema Linux.

30

Redes II TECSUP


Autenticiacion NCSAUTH: Paso 1

� Generando el archivo y agregando las cuentas de usuarios.

31

CU

EN

TASPROCESOS


� Personalizando el SQUID para soporte de NCSAUTH

32

Redes II TECSUP



� Prueba de validacion:

33

34

Síntesis

• El Proxy permite acelerar el acceso de Paginas Web y descargas de archivos.

• Las listas de control de acceso permiten gestionar un control sobre los recursos de navegación y descargar.

• El identificador principal de un Cliente es la IP, pero usando métodos de autenticación puede usarse cuentas de usuarios y password.

Redes II TECSUP


35

Enlaces

� Como configurar Squid:� http://barrapunto.com/article.pl?sid=03/12/02/0938219&

mode=thread.� Configuración de Squid:

� http://es.tldp.org/Tutoriales/doc-servir-web-escuela/doc-servir-web-escuela-html/x518.html.

36

Cuestionario

� ¿Qué archivos son necesarios para configurar Squid?

� ¿Qué protocolos controla un servidor proxy?

� ¿En que ámbitos de negocios se puede aplicar un servidor proxy?

11 Linux Servicio Proxy.pdf

Documents

Transcript of 11 Linux Servicio Proxy.pdf