Configuración De Un Servidor Proxy

Febrero 2009

SERVIDOR PROXY

INDICE

1. Introducción 3

1.2 Ventajas de utilizar un servidor proxy 3

1.3 Situación actual 4

1.4 Esquema de integración de las tecnologías 5

1.5 Tabla de ruteo 5

2. Servidor Squid 6

2.1 Pre requisitos 6

2.2 Instalación 6

2.3 Compilación 6

2.4 Script de inicialización 7

2.5 Instalación y configuración modulo squid-webmin 8

3. Kaspersky 11

3.1 Requerimientos 11

3.2 Instalación 11

3.3 Pruebas de virus 12

3.4 Funcionamiento del Antivirus Kaspersky 13

3.5 Reactivación de licencia 13

4. Dansguardian 14

4.1 Instalación 14

4.1.1 Instalación de blacklists 15

4.1.2 Configuración archivo dansguardian.conf 15

4.2 Instalación y configuración modulo dansguardian-webmin 15

4.3 Configuración del Dansguardian 17

4.4 Configuración de los grupos 18

4.4.1 Grupo 1 19

4.4.2 Grupo 2 19

4.4.3 Grupo 3 19

4.4.4 Grupo 4 20

4.5 Identificación de usuarios 20

4.5.1 Identificación de usuarios según nombre del equipo 21

4.5.2 Identificación de usuarios según IP 21

5. Iptables 22

5.1 Bloqueo de windows-live-messenger 22

6. Script de arranque 22

7. Opción ICAP_PREVIEW 23

8. Autenticación mediante LDAP 24

9. Configuración de los navegadores 25

9.1 Internet Explorer 25

9.2 Mozilla Firefox 26

1. Introducción

La finalidad del servidor proxy es de permite a otros equipos conectarse a una red de forma indirecta a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial

Figura1.1: Diagrama general servidor proxy

1.2 Ventajas de utilizar un servidor proxy

• Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo tanto, aligera el tráfico en la red y descarga los servidores destino, a los que llegan menos peticiones.

• Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que evita transferencias idénticas de la información entre servidores durante un tiempo (configurado por el administrador) así que el usuario recibe una respuesta más rápida.

• Filtrado de contenidos: El servidor proxy puede hacer un filtrado de páginas o contenidos basándose en criterios de restricción establecidos por el administrador dependiendo valores y características de lo que no se permite, creando una restricción cuando sea necesario.

1.3 Situación actual

Para implementar el servidor proxy, se trabajó en una red real, lo cual nos permitió diseñar una arquitectura efectiva de seguridad para la navegación en internet.

El siguiente diagrama describe el diseño de red actual.

Figura 1.2: Diagrama de red actual

EL servidor Proxy consta de dos salidas ethernet, la ethrenet interna con IP 10.17.10.20/25, la cual se conecta a la red de clientes, y la ethernet externa 10.17.10.152/27 la cual se conecta al firewall 10.17.10.135/27 que es el medio por cual se sale a Internet.

Cabe mencionar que tanto el squid, el dansguardian y Kaspersky fueron instalados en un mismo servidor virtual bajo Vmware.

1.4 Esquema de integración de las tecnologías

Figura1.3: Esquema de integración squid-dansguardian-kaspersky

En el esquema se muestra la forma en que las tecnologías se comunican.

Los clientes acceden a internet a través del servidor proxy, el cual se comunica con dansguardian para verificar las diferentes categorías dentro del diccionario el cual contiene: listas negras, grises y blancas y determinados grupos de acceso. A su vez el servidor proxy se comunica con Kaspersky para scannear archivos descargados desde internet.

1.5 Tabla de ruteo

Las siguientes rutas son las que se configuraron en la tabla de ruteo del servidor proxy.

Destination Gateway Genmask Iface

10.17.10.128 * 255.255.255.224 eth1

10.17.10.0 * 255.255.255.128 eth0

169.254.0.0 * 255.255.0 eth1

default 10.17.10.135 0.0.0.0 eth1

2. Servidor Squid

2.1 Pre requisitos

• Plataforma Centos 5

Kernel Linux 2.6.18-8.el5 i686

• Iptables

Versión iptables-1.3.5-1.2.1

• Sharutils

Versión sharutils-4.6.1-2

• Gcc

Versión gcc-4.1.2-42.el5

• Webmin

webmin-1.441-1

El sistema operativo Centos 5 fue instalado en un servidor virtual bajo Vmware con 512 Mb de RAM y un disco virtual de 14Gb.

2.2 Instalación

Antes de nada instalamos algunas utilidades necesarias para la compilación.

• yum install sharutils

• yum install gcc*

Descargar la version 2.6 de Squid en su version binaria (squid2.6.xxx.tar.gz)

Descargado de la página:

http://www.kaspersky.com/productupdates?chapter=199055161

Guardarlo en: /tmp

Descomprimir el archivo: $ tar –zxpf squid-2.6xxx.tar.gz

Entrar a la carpeta creada: $ cd squid-2.6xxx

2.3 Compilación

Dentro de la carpeta creada squid-2.6xxx, escribir la siguientes parámetros de configuración, uno es para poder trabajar con icap y el segundo parametro es

# ./configure --enable-icap-support --enable-follow-x-forwarded-for –with-large-files --enable-auth=basic --enable-basic-auth-helpers=LDAP --enable-external-acl-herlpers=ldap-group

# make

# make install

# make clean

enable-icap-support.- Este parámetro es necesario para que squid soporte el protocolo icap, permitiendo de esta forma la comunicación con el antivirus Kaspersky.

enable-follow-x-forwarded-for.- Este parámetro permite al squid redireccionar su puerto por defecto 3128 al puerto de dansguardian 8080.

with-large-files.- Permite al cache trabajar con archivos grandes.

Una vez finalizada la instalación, se debe configurar el archivo squid.conf, dentro de este archivo debemos de habilitar las siguientes líneas:

enable-auth=basic.- Permite la utenticación básica, mediante IP.

enable-basic-auth-helpers=LDAP.- Permite la autenticación mediante LDAP.

enable-external-acl-herlpers=ldap-group.- Permite el uso de listas de acceso con LDAP.

# vi /usr/local/squid/etc/squid.conf

• visible_hostname squid

• cache_effective_user squid

• follow_x_forwarded_for allow localhost

Ahora añadimos la ACL localnet, la cual establece nuestra subred.

• acl localnet src 10.17.10.0/255.255.255.128

• http_access allow localnet

# chown squid /usr/local/squid/var/logs/

# mkdir /usr/local/squid/var/cache

# chown squid /usr/local/squid/var/cache/

Una vez realizado las configuraciones, iniciamos el cache de squid

/usr/local/squid/sbin/squid –z

Ahora iniciamos el squid desde el binario:

/usr/local/squid/sbin/squid -N -d 1 –D

2.4 Script de inicialización

Para poder inicializar el squid en forma de servicio y poder ejecutar los comandos conocidos: start/stop/restart.

Creamos el siguiente script, el cual es puesto en el directorio: etc/init.d/

Lo guardamos con el nombre de squid y le damos permisos de ejecución.

#!/bin/sh

# chkconfig: 2345 99 00

case "$1" in

'start')

/usr/local/squid/sbin/squid

touch /var/lock/subsys/squid

;;

'stop')

/usr/local/squid/sbin/squid -k shutdown

rm -f /var/lock/subsys/squid

;;

*)

echo "Usage: $0 { start | stop }"

;;

esac

exit 0

2.5 Instalación y configuración modulo squid-webmin

Descargamos la última versión de Webmin ‘webmin-1.450-1.noarch.rpm del sitio: http://www.webmin.com.

Precedemos con la instalación.

# rpm –i webmin-1.450-1.noarch.rpm

Una vez instalado, se nos informa que para acceder a webmin, lo hacemos mediante el siguiente url: https://localhost:10000, accediendo a este a través del usuario root, en este caso: usuario:root, password: root123.

Una vez instalado, ingresamos a webmin mediante el siguiente url: https//:10.17.10.20:10000, entramos a Webmin configuration y luego Webmin Modules.

Figura 2.1: Configuración de webmin

Ahora instalamos el modulo squid desde webmin.com

Figura 2.2: Instalación del módulo squid en webmin

Una vez instalado el modulo squid aun no se mostrara en el webmin, por lo que entramos de la siguiente manera: https//:10.17.10.20:10000/squid

Seguidamente nos mostrara el siguiente error:

Figura 2.3: Mensaje de error

...