Date post: | 05-Aug-2015 |
Category: |
Documents |
Upload: | canche-israel |
View: | 185 times |
Download: | 0 times |
Instalación de Squid
1.- Ir al menú Aplicaciones de Fedora 14.
2.- Dar clic en la pestaña Herramientas del sistema y para finalizar clic en
Terminal.
2.- A continuación se presenta la terminal de Linux Fedora.
3.- Entrar como modo administrador en la terminal con el comando SU seguido de
la contraseña de usuario Root.
Ilustración 1 Barra de tareas de Fedora 14
Ilustración 2 Opciones de la pestaña herramientas del sistema
4.- Si se introdujo la contraseña de usuario ROOT de manera correcta saldrá un
mensaje en pantalla con los siguientes parámetros según el nombre de la
Maquina: [root@ServidorProxy Conalep] #
5.- Para instalar SQUID en Fedora es necesario teclear la siguiente sintaxis: yum
InstallSquid httpd
6.- Se descargarán los paquetes de instalación para posteriormente instalarlos y
se hará una pregunta al usuario para confirmar y ejecutar la opción S/N (Si o No).
7.- Instalación de Squid 3.1.12.
Ilustración 3 Instalación de Squid a través de la terminal de Fedora
Ilustración 4 Confirmación de la instalación de Squid
8.- Se procederá a acceder al archivo de configuración de Squid denominado
“squid.conf”, el cual se encuentra en la dirección “/etc/squid/squid.conf” con el
comando: sudo gedit /etc/squid/squid.conf
Ilustración 5 Instalado de Squid en la terminal de Fedora
9.- A continuación en la ilustración 33 se muestra el archivo de configuración de
squid.
10.- Se procederá a establecer los parámetros en el archivo de configuración de
Squid, primeramente asignando el nombre del servidor, el cual se consigue
accediendo a la terminal de Fedora y tecleando el siguiente comando “hostname”
tal como lo muestra la ilustración 34.
Ilustración 6 Pantalla de configuración de Squid en la terminal de Fedora
Ilustración 7 Asignación del nombre del servidor con Squid
11.- Una vez obteniendo el nombre de la maquina se agregara al archivo de
configuración squid.conf de la siguiente manera “visible_hostname
ServidorProxy”.
12.- De la siguiente manera se busca la línea donde se encuentre la sintaxis
“http_port 3128”, se agregará el puerto al cual estará ligado squid, “http_port
192.168.0.1:3128”, esto es para incrementar la seguridad ya que se puede
vincular el servicio a una IP que solo se pueda acceder desde la red local.
Considerando que el servidor utilizado posee una IP 192.168.0.1, puede hacerse
lo siguiente:
Antes:
Después:
Ilustración 8 Pantalla de Configuración de Squid con otro nombre
Ilustración 9 Pantalla de asignación de puerto de conexión
Ilustración 10 Pantalla de Puerto asignado
13.- Parámetro cache_mem.
El parámetro cache_mem establece la cantidad ideal de memoria para lo
siguiente:
• Objetos en tránsito
• Objetos frecuentemente utilizados (Hot)
• Objetos negativamente almacenados en el caché
Los datos de estos objetos se almacenan en bloques de 4 Kb. El parámetro
cache_mem especifica un límite máximo en el tamaño total de bloques
acomodados, donde los objetos en tránsito tienen mayor prioridad. Sin embargo
los objetos Hot y aquellos negativamente almacenados en el caché podrán utilizar
la memoria no utilizada hasta que esta sea requerida. De ser necesario, si un
objeto en tránsito es mayor a la cantidad de memoria especificada, Squid
excederá lo que sea necesario para satisfacer la petición.
De modo predefinido se establecen 8 MB. Puede especificarse una cantidad
mayor si así se considera necesario, dependiendo esto de los hábitos de los
usuarios o necesidades establecidas por el administrador.
Si se posee un servidor con al menos 128 MB de RAM, establezca 16 MB como
valor para este parámetro: cache_mem 16 MB, en este caso poseemos una RAM
de 1 GB por lo cual el cache_mem queda definido en “cache_mem 128 MB”.
14.- Parámetro cache_dir ¿Cuánto desea almacenar de Internet en el disco duro?
Este parámetro se utiliza para establecer que tamaño se desea que tenga el caché
en el disco duro para Squid. Para entender esto un poco mejor, responda a esta
pregunta: ¿Cuánto desea almacenar de Internet en el disco duro? De modo
Ilustración 11 Asignación de la capacidad de almacenamiento del cache de páginas
predefinido Squid utilizará un caché de 100 MB, de modo tal que encontrará la
siguiente línea:
cache_dir ufs /var/spool/squid 100 16 256
Se puede incrementar el tamaño del caché hasta donde lo desee el administrador.
Mientras más grande sea el caché, más objetos se almacenarán en éste y por lo
tanto se utilizará menos el ancho de banda.
Para activar el cache_dir es necesario buscar la línea en el archivo squid.conf,
dicha línea se encuentra comentada con un “#”, será necesario des comentarla
para que quede como en la figura 39.
La siguiente línea establece un caché de 1024 MB:
Los números 16 y 256 significan que el directorio del caché contendrá 16
directorios subordinados con 256 niveles cada uno. No modifique esto números,
no hay necesidad de hacerlo.
15.-Parámetro chache_mgr
De modo predefinido, si algo ocurre con el caché, como por ejemplo que muera el
procesos, se enviará un mensaje de aviso a la cuenta web máster del servidor de
la siguiente manera.
Ilustración 12 Activación de Cache_dir
Ilustración 13 Asignación de la capacidad a la que trabajara el cache_dir
Ilustración 14 configuración de mensajes de alerta
16.- Squid tiene como ejemplo posibles redes LAN activadas por defecto, si estas
no son comentadas, se permitiría el acceso a las maquinas sin problema alguno,
para evitar esto se comentarán las siguientes líneas ACL, como se muestra en la
ilustración 42.
17.- Una vez finalizada la tarea de configuración en el archivo squid.conf se
guardaran los cambios de la siguiente manera: Menú Archivo, Guardar o
mediante el comando Ctrl + S, para posteriormente cerrarlo.
Iniciar, reiniciar y añadir el servicio al arranque del sistema
Una vez terminada la configuración, ejecute el siguiente mandato para iniciar por
primera vez Squid, mediante la terminal de Fedora en modo Root: service squid
start
Si necesita reiniciar para probar cambios hechos en la configuración, utilice
lo siguiente: service squid restart
Ilustración 15 Configuración de redes que puedan acceder al servidor
Si desea que Squid inicie de manera automática la próxima vez que inicie
el sistema, utilice lo siguiente: chkconfig squid on
Lo anterior habilitará a Squid en todos los niveles de corrida.
/etc/init.d/squid start
/etc/init.d/squid stop
/etc/init.d/squid restart
Abrir puerto 3128 mediante el firewall
1.- En la terminal teclear su, seguido por la contraseña de administrador Root.
2.- Teclear lo siguiente: system-config-firewall
3.- Ir a la pestaña Otros Puertos, y seleccionarla.
4.- En la presente ventana seleccionar Añadir.
Ilustración 16 Configuración de Firewall de Fedora
5.- Una vez dentro seleccionar la opción Definido por el Usuario, para
posteriormente agregar el puerto 3128 en apartado Puerto / Rango de Puertos,
para finalizar dar clic en Aceptar.
6.- Para finalizar se procederá a guardar los cambios en el apartado Aplicar.
7.- Se procederá a sobrescribir la información dando clic en SI de la ventana
emergente y se cerrara la ventana del Firewall.
Configuración del cliente Squid
Ilustración 17 Firewall configuración de puerto definido por el usuario
Ilustración 18 Mensaje de que la información será guardada
Para poder emplear el Proxy-Cache, se tendrá que configurar cada Navegador de
cada PC con los datos del mismo.
En este manual se usará Mozilla Firefox navegador WEB libre.
IP-Proxy: 192.168.0.1
Puerto: 3128
1.- Abrir Mozilla Firefox.
2.- Ir al menú Editar y dar clic en la pestaña Preferencias.
3.- Una vez dentro de la ventana Preferencias de Firefox, ir al menú Avanzado,
seguido de la pestaña RED y a continuación clic en el botón Configuración.
Ilustración 19 Opciones para la configuración del navegador Web
4.- Seleccionar Configuración manual del Proxy, asignar en el apartado Proxy
HTTP la IP de la interfaz de red LAN del servidor proxy 192.168.0.1 y el Puerto
asignado a squid 3128, para finalizar dar clic en Aceptar.
Configuración de las IP permitidas en la red
1.- En la terminal de Fedora, como usuario Root se creara una carpeta por medio
de comandos para mantener un orden especifico de las diferentes IP permitidas.
2.-Antes que nada entrar a la carpeta de squid con el siguiente comando: cd
/etc/squid.
3.- Una vez dentro crear una carpeta que mantendrá los archivos con las
diferentes direcciones IP por medio del siguiente comando: mkdir + (Nombre de
la carpeta), en este caso nombraremos a la carpeta direcciones de manera que
quedara de este modo:
Mkdir direcciones
Ilustración 20 Configuración Proxies para el acceso a internet del navegador Web
4.- Con el comando ls se comprueba que la carpeta se ha creado como muestra la
ilustración 48.
5.- A continuación se procederá a crear las listas en donde se guardarán los
diferentes rangos de direcciones IP
Crear listas de IP para el personal administrativo
1.- Se creará la lista que contendrá las IP del personal administrativo por medio
de la siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendrá las
listas) / (nombre de la lista).
En este caso el comando queda de la siguiente manera: sudo gedit
/etc/squid/direcciones/admon
Ilustración 21 Terminal mostrando que la carpeta ha sido creada
Ilustración 22 Creación de las listas que contendrán las ip por medio de la terminal
2.- Una vez ejecutado el comando al dar Enter se abrirá el editor de texto y se
procederá a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera.
3.- Se procederá a guardar la lista creada, dando clic al menú archivo seguido de
la pestaña guardar o por medio del comando Ctrl + S
Crear listas de IP para Servidores
Una vez realizados los pasos para la creación de las listas para el personal
administrativo, procede a crear la lista para los servidores. Se usará la misma
carpeta que contiene la lista del personal administrativo denominada direcciones
esto con la finalidad de mantener un control en squid.
Ilustración 23 Lista de Ip de personal administrativo
1.-Se creará la lista que contendrá las IP de los servidores por medio de la
siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendrá las listas) /
(nombre de la lista).
En este caso el comando queda de la siguiente manera: sudo gedit
/etc/squid/direcciones/servidores.
2.- Una vez ejecutado el comando al dar Enter se abrirá el editor de texto y se
procederá a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera.
3.- Se procederá a guardar la lista creada, dando clic al menú archivo seguido de
la pestaña guardar o por medio del comando Ctrl + S
Crear listas de IP para impresoras
1.-Se creará la lista que contendrá las IP de las impresoras de red por medio de
la siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendrá las listas) /
(nombre de la lista).
En este caso el comando queda de la siguiente manera: sudo gedit
/etc/squid/direcciones/impresoras
Ilustración 24 creación de listas para servidores
Ilustración 25 lista de ip de servidores
Ilustración 26 Creación de lista de impresoras
2.- Una vez ejecutado el comando al dar Enter se abrirá el editor de texto y se
procederá a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera.
3.- Se procederá a guardar la lista creada, dando clic al menú archivo seguido de
la pestaña guardar o por medio del comando Ctrl + S.
Crear listas de IP para el Laboratorio #1
1.-Se creará la lista que contendrá las IP del Laboratorio #1 por medio de la
siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendrá las listas) /
(nombre de la lista).
En este caso el comando queda de la siguiente manera: sudo gedit
/etc/squid/direcciones/laboratorio1
Ilustración 27 Lista de servidores
Ilustración 28 Creación de listas para el laboratorio #1
2.- Una vez ejecutado el comando al dar Enter se abrirá el editor de texto y se
procederá a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera.
3.- Se procederá a guardar la lista creada, dando clic al menú archivo seguido de
la pestaña guardar o por medio del comando Ctrl + S
Crear listas de IP para el Laboratorio #2
1.-Se creará la lista que contendrá las IP del Laboratorio #2 por medio de la
siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendrá las listas) /
(nombre de la lista).
2.- Una vez ejecutado el comando al dar Enter se abrirá el editor de texto y se
procederá a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera.
Ilustración 29 Listas del laboratorio #1
3.- Se procederá a guardar la lista creada, dando clic al menú archivo seguido de
la pestaña guardar o por medio del comando Ctrl + S
Crear listas de IP para el Laboratorio #3
1.-Se creará la lista que contendrá las IP del Laboratorio #3 por medio de la
siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendrá las listas) /
(nombre de la lista).
En este caso el comando queda de la siguiente manera: sudo gedit
/etc/squid/direcciones/laboratorio3
2.- Una vez ejecutado el comando al dar Enter se abrirá el editor de texto y se
procederá a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera.
3.- Se procederá a guardar la lista creada, dando clic al menú archivo seguido de
la pestaña guardar o por medio del comando Ctrl + S
Crear listas de IP para el Laboratorio #4
1.-Se creará la lista que contendrá las IP del Laboratorio #4 por medio de la
siguiente sintaxis: sudo gedit /etc/squid/ (carpeta que contendrá las listas) /
(nombre de la lista).
En este caso el comando queda de la siguiente manera: sudo gedit
/etc/squid/direcciones/laboratorio4
2.- Una vez ejecutado el comando al dar Enter se abrirá el editor de texto y se
procederá a escribir las direcciones IP asignadas al personal administrativo de la
siguiente manera.
3.- Se procederá a guardar la lista creada, dando clic al menú archivo seguido de
la pestaña guardar o por medio del comando Ctrl + S
El modo correcto para deshabilitar una IP de la lista es usando un “#” antes de la
dirección.
Ejemplo: #192.168.0.4
Permitir acceso a Internet a las listas de IP
1.- Una vez registrados los rangos de IP con los que trabajara squid, se procederá
a activarlos y permitir el acceso a Internet alas PC que contengan dichas IP.
2.- Abrir la terminal de Fedora en modo ROOT y abrir el archivo squid.conf por
medio del comando sudo gedit /etc/squid/squid.conf
3.- Para llamar las listas en las cuales se encuentran las IP con las que se
trabajará, es necesario teclear la siguiente sintaxis: acl
nombre_de_lista_de_acceso src "dirección_de_la_lista_de_ip"
4.- En este caso se usara de la siguiente manera: acl red_servidores src
"/etc/squid/direcciones/servidores"
Ilustración 30 Ejecución del archivo Squid.conf por medio de la terminal
5.- Una vez llamadas las IP’s del archivo se procederá a activarlas por medio de la
siguiente sintaxis: http_access allow red_servidores
red_servidores = nombre de la lista de acceso
La regla http_access allow red_servidores permite el acceso a Squid a la lista
de Control de Acceso denominada red_servidores, la cual está conformada por las
direcciones IP especificadas en el fichero /etc/squid/direcciones/servidores.
Esto significa que cualquier máquina no incluida en
/etc/squid/direcciones/servidores no tendrá acceso a Squid.
Ilustración 32 Lista activa
allow = Permitir el acceso a Internet a la Lista De Acceso (acl)
deny = Niega el acceso a Internet a la Lista De Acceso (acl)
Restricción de acceso por horarios
Denegar el acceso a ciertos en ciertos horarios permite hacer un uso más racional
del ancho de banda con el que se dispone. El funcionamiento es verdaderamente
simple, y consiste en denegar el acceso en horarios y días de la semana.
La sintaxis para crear Listas de control de acceso que definan horarios es la
siguiente:
Acl [nombre del horario] time [días de la semana] hh:mm-hh:mm
Los días de la semana se definen con letras, las cuales corresponden a la primera
letra del nombre en inglés, de modo que se utilizarán del siguiente modo:
S - Domingo M - Lunes T - Martes W - Miércoles H - Jueves F - Viernes A - Sábado
Ejemplo:
Acl semana time MTWHF 09:00-21:00
Esta regla define a la lista semana, la cual comprende un horario de 09:00 a
21:00 horas desde el lunes hasta el viernes.
Ilustración 33 Permitiendo acceso a listas
Este tipo de listas se aplican en las Reglas de Control de Acceso con una
mecánica similar a la siguiente: Se permite o deniega el acceso en el horario
definido en la Lista de Control de Acceso denominada X para las entidades
definidas en la Lista de Control de Acceso denominada Y. Lo anterior expresado
en una Regla de Control de Acceso, queda del siguiente modo:
http_access [allow | deny] [nombre del horario] [lista de entidades]
La definición para el horario correspondería a:
Acl clasematutina src "/etc/squid/direcciones/servidores"
Acl matutino time MTWHF 09:00-15:00
La definición de la Regla de Control de Acceso sería:
http_access allow matutino clasematutina
En resumen lo anterior, significa que quienes conformen clase matutina podrán
acceder a Internet de lunes a viernes de 09:00-15:00 horas.
Restricción de acceso por tipo de contenido
Es posible denegar la descarga a cierto tipo de contenido de acuerdo a su
extensión. Igual que con otras funciones, se requiere una Lista de Control de
Acceso y una Regla de Control de Acceso
Si se necesita una lista denominada extensiones que defina a todo lo que desea
bloquear, para eso se utilizará lo siguiente:
Acl extensiones src "/etc/squid/direcciones/extensiones"
1.- Antes que nada se procederá a crear una carpeta en la cual se encontrarán los
diferentes archivos de las extensiones
Entrar en modo Root a la terminal de Fedora y acceder a la carpeta de squid por
medio del siguiente comando: cd /etc/squid/
Para continuar se creará una carpeta, esto con la finalidad de mantener un orden
en squid, la carpeta se denominará extensiones, y se creará por medio del
siguiente comando:
Mkdir extensiones
Entrar con el comando cd a la carpeta recién creada extensiones de la
siguiente manera:
Crear el archivo que contendrá las diferentes extensiones por medio del
siguiente comando:
Sudo gedit /etc/squid/extensiones/exprohibidas
Una vez creado el archivo se procederá a incluir las diferentes extensiones
tal como lo muestra la imagen 72
Ilustración 34 Creación de carpeta mediante la terminal
Ilustración 35 Asignación de datos al archivo exprohibidas
Ya asignadas las extensiones guardar los cambios y cerrar el archivo.
2.- Para llamar la lista como en otras ocasiones es necesario teclear la siguiente
sintaxis en el archivo squid.conf:
3.- Para aplicar la regla expro, es necesario combinar las extensiones con otra
acl, de manera que se bloqueen las extensiones para cierto tipo de máquinas o
ciertas IP:
Ejemplo: Denegar las extensiones del archivo exprohibidas con nombre de lista
de acceso expro a las IP asignadas a los servidores
http_access allow red_servidores! expro
Ilustración 36 Ejecución el llamado del archivo
Ilustración 37 Asignación de configuración a usuarios
4.- Guardar los cambios del archivo squid.conf y reiniciar el servicio con el
comando: /etc/init.d/squid restart
Restricción de acceso por tipo de palabras en la URL
Las listas de acceso que definen palabras contenidas en un URL se almacenan de
igual manera en archivos de texto, son llamadas y activadas directamente del
archivo squid.conf
Antes que nada se deberá entrar a la terminal de Fedora en modo root y crear
una carpeta que contendrá las diferentes listas de palabras.
1.-Entrar en modo Root a la terminal de Fedora y acceder a la carpeta de squid
por medio del siguiente comando: cd /etc/squid/
2.-Para continuar se creará una carpeta, esto con la finalidad de mantener un
orden en squid, la carpeta se denominará palabras, y se creará por medio del
siguiente comando:
Mkdir palabras
3.- Entrar con el comando cd a la carpeta recién creada palabras de la siguiente
manera:
Cd palabras
4.- Crear el archivo que contendrá las diferentes extensiones por medio del
siguiente comando:
Ilustración 38 Creación de la carpeta palabras
Ilustración 39 Accediendo a la carpeta palabras
Sudo gedit /etc/squid/palabras/malaspalabras
5.- Una vez creado el archivo se procederá a incluir las diferentes palabras tal
como lo muestra la imagen
6.- Ya asignadas las extensiones guardar los cambios y cerrar el archivo
7.- Para llamar la lista como en otras ocasiones es necesario teclear la siguiente
sintaxis en el archivo squid.conf:
8.- Para aplicar la regla palabrasmal, es necesario combinar las malaspalabras
con otra acl, de manera que se bloqueen las palabras para cierto tipo de
máquinas o ciertas IP:
Ejemplo: Denegar las palabras del archivo malaspalabras con nombre de lista de
acceso palabrasmal a las IP asignadas a los servidores
Ilustración 40 Creando archivo malaspalabras dentro de palabras
Ilustración 41 Asignando información al archivo malaspalabras
Ilustración 42 Asignando información al archivo malaspalabras
http_access allow red_servidores !palabrasmal
9.- Guardar los cambios del archivo squid.conf y reiniciar el servicio con el
comando: /etc/init.d/squid restart
10.- Guardar y cerrar el archivo squid.conf y reiniciar los servicios de squid con el
comando:
/etc/init.d/squid restart
Lista de palabras inocentes que accidentalmente se han bloqueado
En algunas ocasiones se crean listas de malas palabras y se bloquean otras que
al contener una fracción de la misma son restringidas, sin embargo algunas
páginas no cuentan con contenido dañino para los usuarios y son restringidas de
igual forma.
Para poder acceder a dichas paginas consultadas y bloqueadas, es necesario
crear una lista blanca en la cual se podrá capturar las palabras libres de contenido
dañino para los usuarios.
1.- Entrar en modo Root a la terminal de Fedora
Ilustración 43 asignación de configuración a usuarios
2.- Entrar con el comando cd a la carpeta creada palabras de la siguiente
manera:
3.- Crear el archivo que contendrá las diferentes extensiones por medio del
siguiente comando:
Sudo gedit /etc/squid/palabras/buenaspalabras
4.- Una vez creado el archivo se procederá a incluir las diferentes buenas palabras
tal como lo muestra la imagen
5.- Una vez asignadas las extensiones guardar los cambios y cerrar el archivo.
6.- Para llamar la lista como en otras ocasiones es necesario teclear la siguiente
sintaxis en el archivo squid.conf
Ilustración 44 Creación del archivo buenaspalabras
Ilustración 45 Asignación de datos al archivo buenaspalabras
Ilustración 46 Ejecución del archivo buenaspalabras
7.- Para aplicar la regla buenaspalabras, es necesario teclear la siguiente
sintaxis, de manera que se permitan las palabras para cierto tipo de máquinas o
ciertas IP:
http_access allow (nombre de la lista) all
Ejemplo: Acceder a las palabras del archivo buenaspalabras con nombre de lista
de acceso buenaspalabras a las IP asignadas a los servidores.
http_access allow buenaspalabras all
8.- Guardar y cerrar el archivo squid.conf y reiniciar los servicios de squid con el
comando:
/etc/init.d/squid restart
Restricción de acceso por Dominio
Denegar el acceso a ciertos Sitios de Red permite hacer un uso más racional del
ancho de banda con el que se dispone. El funcionamiento es verdaderamente
simple, y consiste en denegar el acceso a direcciones Web que contengan
patrones en común.
La restricción será por medio de una lista basada en un BlackList descargado del
sitio oficial de listas negras http://urlblacklist.com/.
Ilustración 47 Aplicando configuración a usuarios
En la última generación de la lista negra contiene 3489793 entradas, las cuales se
dividen en diferentes categorías.
1.- Descargar la lista negra de la página mencionada con anterioridad
2.- Extraer los documentos que se encuentran dentro dando clic derecho y
posteriormente abrir con gestor de archivadores
3.- Dar clic al botón Extraer
4.- En la siguiente ventana dar clic en Extraer
5.- Dar clic en Mostrar los archivos
6.- Se mostrará la carpeta en donde se encuentran los archivos contenedores de
URL
7.- Por medio de la terminal de Fedora y en modo root, se procederá a copiar esa
carpeta a la carpeta de squid encontrada en la ruta /etc/squid/ con el siguiente
comando:
Teclear el directorio donde se encuentre la carpeta extraída antecedido por
la palabra cp, en este caso se encuentra en la dirección
Ilustración 48 Extracción del gestor de archivadores
/home/conalep/descargas/(nombre de la carpeta a copiar), separado por
un espacio tecleamos la ruda de destino en este caso será: /etc/squid/
Cp -r /home/conalep/Descargas/blacklists /etc/squid/
La sintaxis -r significa que copiara los archivos que contiene la carpeta
8.- Una vez teniendo el Blacklists en la carpeta del squid, se procederá a
llamarlas en el archivo squid.conf por medio de la siguiente sintaxis: sudo
gedit /squid/squid.conf
9.- Dentro del squid.conf se llamará la lista con el comando: acl (nombre de la
lista) dstdomain "/etc/squid / (lugar donde se encuentra el archivo contenedor de
URL)"
Acl sitiosporno dstdomain "/etc/squid/blacklists/adult/domains"
10.- Una vez agregado el archivo contenedor de URL, cabe recalcar que para
denegarlo a cierto rango de IP es necesario describirlo activando el mismo por
medio del siguiente comando:
Ilustración 49 Copia de archivos de Squid
Ilustración 50 Llamando listas a Squid.conf
11.- Guardar y cerrar el archivo squid.conf y reiniciar los servicios de squid con el
comando:
/etc/init.d/squid restart
Restricción de acceso por puertos (HTTPS, MSN, FTP etc)
Por defecto todos los puertos en squid están cerrados, sin embargo es factible
abrir ciertos puertos que se consideren necesario para la empresa.
En ocasiones es necesario desactivar algunas de estas páginas debido a su
contenido, dañino o poco factible para organización, un ejemplo de estas página
son: https://meebo.co m o https://facebook.com.
Visto de otra manera, es necesario desbloquear algunas otras páginas que son
benéficas para la organización o son usadas con regularidad en la empresa, un
ejemplo de esta página es: https://sistemas.conalep.edu.mx:4443/sae_encuestas/
Para activar las páginas con contenido HTTPS, es necesario activar en el
explorador Web el contenido SSL asignando el puerto correspondiente.
Configurar Navegador Web
Ilustración 51 Activación de listas en Squid.conf a usuarios
Para permitir leer contenido HTTPS es necesario modificar el explorador de la
siguiente manera.
1.- Abrir Mozilla Firefox.
2.- Ir al menú Editar y dar clic en la pestaña Preferencias.
3.- Una vez dentro de la ventana Preferencias de Firefox, ir al menú Avanzado,
seguido de la pestaña RED y a continuación clic en el botón Configuración como
se muestra en la ilustración 79.
Ilustración 52 Menú de opciones de configuración del navegador Web
4.- Seleccionar Configuración manual del Proxy como se muestra en la
ilustración 80, asignar en el apartado Proxy SSL la IP de la interfaz de red LAN
del servidor proxy 192.168.0.1 y el Puerto asignado a squid 3128, para finalizar
dar clic en Aceptar.
5.- Proseguir con el apartado “Bloquear un puerto”
Bloquear un puerto
Para bloquear un puerto es necesario antes que nada saber cuál es, para que nos
sirve, que beneficios nos trae bloquearlo y si es contraproducente hacerlo.
En este caso se bloqueara el puerto 443 el cual es usado para la transferencia
segura de páginas web (HTTPS), de la misma manera es usado por el software
denominado Messenger para iniciar la cesión de un usuario.
Como se sabe HTTPS es seguro y por lo tanto no es detectado por squid, de tal
manera la tarea es activar y desactivar el puerto 443 a cierto número de máquinas
en el momento que el administrador del servidor así lo disponga. Por consiguiente
se activará y desactivara el inicio de cesión al Messenger.
Ilustración 53 Configuración de conexión a SSL del navegador Web
1.- Abrir la terminal de Fedora en modo Root y abrir el archivo squid.conf con el
comando: sudo gedit /etc/squid/squid.conf
2.- Por defecto en squid se encuentran activados los siguientes puertos:
3.- Las líneas que se muestran a continuación tienen mucho que ver ya que
describen en http_access deny! Safe_ports que: Se niega Cualquier otro puerto
que no se encuentre en la lista de acceso (Safe_ports)
4.- De igual manera, la siguiente línea http_access deny CONNECT! SSL_ports
descrita en la ilustración 82 niegan la conexión a cualquier otro puerto que no se
encuentre en la lista de acceso (SSL_ports)
Ilustración 54 Configuración de Squid
5.- Una vez entendida la tarea que efectúan estas dos líneas es necesario buscar
el puerto 443, el cual se encuentra activado
6.- Para no cometer errores y poder distinguir las listas de los puertos que podrían
ser utilizados en un laboratorio o en su caso con el personal administrativo se
desactivaran todos los puertos por medio de un “#” tal como se muestra a
continuación, de la misma manera se desactivaran las dos líneas descritas en los
pasos 3 y 4 ya que si se dejan squid cometería un error debido a que no
encuentra las listas de acceso (ACL).
7.- Una vez bloqueados los puertos se empezara a crear las listas de acceso con
los puertos que se necesitan.
Ilustración 55 Negación de puertos no dados de alta
Ilustración 56 Desactivación de puertos mediante el signo de #
Ejemplo: Solo se desea que el Laboratorio #1 tenga acceso a páginas web HTTP
puertos (280, 80, 777, 488), de la misma manera se requiere que el Laboratorio
#2 debido a las encuestas solo se le active el puerto 443 y 4443.
Para el Laboratorio #1 se creara la ACL llamada puertolab1
Para el Laboratorio #2 se creara la ACL llamada puertolab2
8.- Se procederá a crear las ACL para los laboratorios cada una con sus
respectivos puertos.
acl puertolab1 port 280 80 777 488 acl puertolab2 port 443 563 4443
9.- Se denegara el acceso a todos los puertos que no formen parte de las ACL
creadas con la línea
http_access deny !puertolab1 !puertolab2
10.- De manera siguiente una vez creadas las ACL se permitirá el acceso a estos
puertos a los diferentes laboratorios, cabe recalcar que en cada http_access
allow se requiere denegar las ACL del laboratorio contrario.
http_access allow puertolab1 !puertolab2 pclaboratorio1 http_access allow !puertolab2 !puertolab1 pclaboratorio2
Las palabras resaltadas en negritas son los puertos que no se desean usar en
esos laboratorios, mas sin embargo se encontraban activos hasta antes de
denegarlas con el signo de exclamación “!” de la siguiente manera.
Ilustración 57 Configuración de los puertos accesibles
11.- Guardar, cerrar el archivo squid.conf y reiniciar los servicios de Squid con el
comando:
/etc/init.d/squid restart
Restricción de ancho de banda y Controlar el tamaño de los ficheros
Para facilitar el control de los clientes y poder controlar el tamaño de los ficheros o
páginas que se bajan, se deberá teclear 3 líneas en el fichero de configuración
squid.conf que se encargan de eso.
Esto especifica el tamaño máximo de los encabezados HTTP en la petición.
request_header_max_size: Esto especifica el tamaño máximo de los
encabezados HTTP en la petición. Encabezados de la solicitud son relativamente
pequeños (alrededor de 512 bytes).
Un límite en el tamaño del encabezado solicitud de capturas de
errores (por ejemplo, con conexiones permanentes).
request_body_max_size: Esto especifica el tamaño máximo de un cuerpo de la
petición HTTP.
En otras palabras, el tamaño máximo de una solicitud PUT / POST.
Un usuario que intenta enviar una solicitud con un cuerpo más grande
que este límite recibe una "Solicitud no válida" mensaje de error.
reply_body_max_size: Esta opción especifica el tamaño máximo de un cuerpo.
Puede ser utilizo para evitar que los usuarios descarguen archivos muy grandes,
tales como
MP3 o películas.
Se puede jugar con los KB para ajustarlo a las necesidades de la organización.
Abrir el archivo squid.conf en modo Root y agregar las siguientes líneas:
# OPTIONS FOR TUNING THE CACHErequest_header_max_size 10 KBrequest_body_max_size 512 KBreply_body_max_size 512 KB
Controlar ancho de banda “Delay Pools”
Delay pools es la respuesta de Squid frente al control de ancho de banda y el
traffic shaping (catalogación de tráfico). Esto se realiza limitando el rate que el
Squid retorna los datos desde su cache.
Los delay pools son en esencia "cubos de ancho de banda” (bandwidth buckets).
La solicitud a una respuesta es demorada hasta que cierta cantidad de ancho de
banda esté disponible desde un cubo. Squid llena con cierta cantidad de tráfico los
cubos por cada segundo y los clientes del Cache consumen los datos llenados
desde esos cubos.
El tamaño de un cubo determina cuánto límite de ancho de banda está disponible
en un cliente. Si un cubo se encuentra lleno, un cliente puede descargar a máxima
velocidad de la conexión disponible (sin limitación de rate) hasta que éste se
vacíe. Después que se vacíe recibirá el límite de tráfico asignado.
Se requieren las siguientes directivas para activar de manera correcta un
Delay_pools
Directivas:
delay_pools: Define cuantos delay pools se van a utilizar o Ejemplo: +
delay_pool 5: Define 5 Delay pools que serán configurados posteriormente
delay_class: Define la clase del delay pool. Para evitar complicaciones es
recomendable tener siempre un delay_class para cada delay pool definido.
o Ejemplo:
o + delay_class 1 3 (Define el delay pool 1 que sea de tipo 3).
o + delay_class 5 2 (Define el delay pool 5 que sea de tipo 2).
delay_parameters: Este es el parámetro crítico en el cual se limita el
ancho de banda. Para cada Delay Pool se debe definir: el fill rate (tráfico de
llenado) y el tamaño máximo de cada cubo.
delay_parameters N rate/size [rate/size [rate/size]]
El valor del rate está definido en bytes por segundo, y size en total de bytes.
Si se divide el size entre el rate, Dispondrás el tiempo en segundos que el
cubo se llenará si el cliente no está consumiendo.
delay_initial_bucket_level: Dice que tan lleno estará el cada cubo al
iniciar el Squid. Se indica en porcentajes delay_initial_bucket_level 75%
delay_access: permite relacionarlo a una ACL específica. Es similar a las
reglas de acceso de Squid, pero es necesario definir el número de Pool
antes del allow o deny.
Mantener el ancho de banda a 10 KB para los laboratorios, 65 KB para
personal administrativo y 5 KB para las PC estándar
Delay_pools 3 # Aquí se declara que existirán 3 tipos diferentes de ancho de
banda
Delay_class 1 1 # Se declara el primer delay de clase uno
Delay_class 2 1 # Se declara el segundo delay de clase 1
Delay_class 3 1 # Se declara el tercer delay de clase 1
Delay_parameters 1 65536/1048576# Se define el ancho debanda del delay 1 a
65 KB
Delay_parameters 2 10000/50000# Se define el ancho debanda del delay 1 a 10
KB
Delay_parameters 3 5000/30000# Se define el ancho debanda del delay 1 a 5 KB
Delay_access 1 allow laboratorios # Se declara que el delay 1 será aplicado
para los laboratorios
Delay_access 2 allow administrativos # Se declara que el delay 2 será aplicado
para el personal administrativo
Delay_access 3 allow pc_estandar # Se declara que el delay 3 será aplicado
para las PC estándar
Para finalizar se declara de manera normal el acceso a las diferentes PC
http_access allow laboratorios
http_access allow administrativos
http_access allow pc_estandar
Con estos sencillos procedimientos queda limitada la red al ancho de banda que
asigne el administrador del servidor.
Restricción por usuario y contraseña
Es muy útil poder establecer un sistema de autenticación para poder acceder
hacia Internet, pues esto permite controlar quienes sí y quienes no accederán a
Internet sin importar desde que máquina de la red local lo hagan. Sera de modo tal
que tendre un doble control, primero por dirección IP y segundo por nombre de
usuario y clave de acceso.
1.- Entrar a la terminal de Fedora en modo Root y teclear el comando: sudo gedit
/etc/squid/squid.conf.
Ilustración 58 Terminal de Fedora accediendo a squid.conf
2.- Agregar al archivo de configuración squid.conf las siguientes líneas:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd.
3.- Crear la regla para poder permitirla más adelante: http_access allow
permitidos
4.- Guardar las modificaciones realizadas en el archivo squid.conf y cerrarlo sin
reiniciar squid.
5.- Posteriormente crear el archivo passwd de esta forma:
Htpasswd -c /etc/squid/passwd alumnos
Passwd es una carpeta que se crea con el comando -c. La palabra alumnos
determina el nombre del usuario que será utilizado para autentificar las maquinas
clientes de squid.
Ilustración 59 Terminal de Fedora abriendo Squid
Ilustración 60 Terminal de Fedora permitiendo el acceso a ciertos usuarios
Ilustración 61 Terminal mostrando el archivo que contiene datos de clientes de Squid
6.- Al dar Enter el sistema pedirá la clave para el usuario alumnos.
7.-Posteriormente se repetirá la clave para evitar fallas.
8.- Al finalizar de ingresar la contraseña se mostrará el siguiente dialogo Adding
password for user alumnos, el cual refiere a que se añadió la contraseña de
manera correcta al usuario alumnos.
9.- Abrir de nuevo el archivo squid.conf en modo Root
Ilustración 62 Terminal generando password para alumnos de Squid
Ilustración 63 Terminal confirmado password
Ilustración 64 Terminal confirmando que añado la contraseña
Ilustración 65 Terminal en modo administrador accediendo a Squid.conf
10.- Permitir el acceso a lo que se creó con anterioridad (listas de acceso con
usuarios) con el comando:
http_access allow (lista de acceso de usuarios) + (lista de acceso de las PC)
http_access allow permitidos red_servidores
11.- Guardar y cerrar el archivo squid.conf y reiniciar los servicios de squid con el
comando: /etc/init.d/squid restart
La configuración del archivo squid.conf descrita en la sección restricción por
usuario y contraseña, lleva el siguiente orden para no contener errores.
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd acl password proxy_auth REQUIRED acl permitidos proxy_auth alumnos http_access allow permitidos red_servidores
Agregar más usuarios
1.- Para poder agregar otros usuarios dentro del mismo archivo, se tendrá que
ejecutar el mismo comando sobre el mismo archivo pero sin el '-c':
#htpasswd /etc/squid/passwd omar
Ilustración 66 Squid.conf dando acceso a una lista con los archivos permitidos
Ilustración 67 Terminal accediendo a htpasswd
2.- Agregar la contraseña de usuario
Cambiar clave de usuario
Si por alguna razón se desea cambiar la clave de algún usuario en particular solo
se tiene que ejecutar el comando:
#htpasswd /etc/squid/passwd omar
El sistema se da cuenta solo de que ese usuario ya existe en ese archivo y nos da
la opción de cambiar la clave.
Para saber que la clave fue actualizada, aparecerá el mensaje: Updating
password for user omar
Eliminar usuario
Para borrar un usuario del fichero de passwords: abrir el fichero y eliminar la
entrada.
Ilustración 68 Terminal solicitando contraseña
Ilustración 69 Terminal accediendo a htpasswd
Ilustración 70 Terminal preguntando si desea cambiar la contraseña
1.- Entrar a la terminal de Fedora en modo Root, y teclear: sudo gedit
/etc/squid/passwd
2.- Seleccionar el usuario, password y suprimirlo de la lista, guardar los cambios y
cerrar el archivo.
Eliminar listas y directorios creados
1.- Para eliminar un directorio y sus subdirectorios es necesario entrar a la terminal
de Fedora y teclear el siguiente comando en modo Root: rm -f -r -v
nombre_carpeta
-f: No pide confirmación al eliminar
-r: Elimina carpetas y subcarpetas con su contenido
-v: muestra el nombre de los ficheros y carpetas que va eliminando
Ejemplo: rm -f -r -v /etc/squid/blacklists/
2.- Para eliminar un archivo en específico simplemente se teclea el comando:
Rm -f -r -v lugar_del_documento_y_documento
Ejemplo: rm -f /etc/squid/blacklists/adult/urls
Ilustración 71 Terminal accediendo a passwd
Ilustración 72 Terminal mostrando información de usuario
Copiar directorios o archivos
El comando cp se utiliza para copiar archivos, su sintaxis es la siguiente:
Cp [opciones] archivo-origen directorio-destino
Cp [opciones] archivos-origen... directorio-destino
Entre las opciones más relevantes, se tienen:
-f: Borrar los archivos de destino ya existentes
-d: Copiar los enlaces simbólicos tal cual son, en lugar de copiar los archivos a los
que apuntan
-p: Preservar los permisos, el usuario y el grupo del archivo a copiar
-R: Copiar directorios recursivamente
-a: Equivalente a utilizar las opciones -dpR
-u: No copia un archivo si en el destino ya existe tal archivo, y éste tiene la fecha
de modificación igual o más reciente
-v: Da información en pantalla sobre los archivos que se van copiando
Ejemplo: Se desea copiar las blacklists que se encuentran en:
/home/Jorge/Escritorio/Documentos/squid/blacklists a la carpeta de squid que
se encuentra en /etc/squid/.
Para poder copiar todos los subdirectorios, es necesario usar la sintaxis -R
descrita con anterioridad de la siguiente manera.
Cp -R /home/Jorge/Escritorio/Documentos/squid/blacklists /etc/squid
Esto se puede realizar con un solo archivo o subdirectorios según sea el caso.
Depuración de errores
Cualquier error al inicio de Squid solo significa que hubo errores de sintaxis,
errores de dedo o bien se están citando incorrectamente las rutas hacia los
ficheros de las Listas de Control de Acceso.
Puede realizar diagnóstico de problemas indicándole a Squid que vuelva a leer
configuración, lo cuál devolverá los errores que existan en el fichero
/etc/squid/squid.conf.
Cuando se trata de errores graves que no permiten iniciar el servicio, puede
examinarse el contenido del fichero /var/log/squid/squid.out con el mandato
less, more o cualquier otro visor de texto:
Instalación y configuración de la herramienta de reportes Sarg
Instalación de SARG
1.- Descargar el software SARG de la siguiente dirección:
ftp://rpmfind.net/linux/dag/redhat/el5/en/i386/dag/RPMS/sarg-2.2.3.1-
1.el5.rf.i386.rpm
2.- Una vez descargado el software sarg-2.2.3.1-1.el5.rf.i386, se procederá a
instalarlo dando doble clic al archivo.
3.- El sistema cuestionará al usuario de la instalación, dar clic en Instalar
Ilustración 73 Terminal Escaneando configuración de Squid
Ilustración 74 Terminal examinando ficheros
4.- En caso de abrirse otras ventanas, dar clic en Continuar y agregar la clave de
usuario root si es necesario
Configuración de SARG
1.- Abrir la terminal de Fedora en modo root, posteriormente acceder al archivo de
configuración mediante el siguiente comando: sudo gedit /etc/sarg/sarg.conf
2.- Localizar la cadena de texto language English
3.- Cambiar el valor a language Spanish
Ilustración 75Mensaje de confirmación de instalación
Ilustración 76 Mensaje de solicitud de contraseña RootIlustración 77 Terminal modo administrador accediendo a Sarg.conf
Ilustración 78 Localizando en Sarg.conf el idioma de la aplicación
4.- Una vez finalizada la tarea de configuración en el archivo sarg.conf se
guardarán los cambios de la siguiente manera: Menú Archivo, Guardar o
mediante el comando Ctrl + S, para posteriormente cerrarlo.
Menú Archivo--Guardar
5.- Editar con el fichero /etc/httpd/conf.d/sarg.conf por medio del comando: sudo
gedit /etc/httpd/conf.d/sarg.conf
6.-Localizar la línea allow from 127.0.0.1, la cual define que solo se puede
acceder hacia el directorio /sarg/ desde 127.0.0.1 (es decir, solo puede ser
accedido como http://127.0.0.1/sarg/)
7.- Definir que también se puede acceder al directorio /sarg/ desde 192.168.0.1,
reemplazando por allow from 127.0.0.1 192.168.0.1
Ilustración 79 Cambiar idioma de Sarg.conf
Ilustración 80 Terminal accediendo a Sarg.conf
Ilustración 81 Configuración de modo de acceso a la aplicación sarg
8.- Definir que el acceso hacia el directorio /sarg/ (que en adelante podrá ser
accedido como http://127.0.0.1/sarg/ o bien http://192.168.0.1/sarg/) se permitirá
solo a usuarios autorizados que autenticarán a través del fichero
/var/www/claves-sarg
Agregar las siguientes líneas:
AuthName "Solo usuarios autorizados."
AuthType Basic
require valid-user
AuthUserFile /var/www/claves-sarg
Ilustración 82 Configuración de modos de acceso a Sarg
Ilustración 83 Modo de acceso a Sarg
9.- Una vez finalizada la tarea de configuración en el archivo
/etc/httpd/conf.d/sarg.conf
Se guardarán los cambios de la siguiente manera: Menú Archivo, Guardar o
mediante el comando Ctrl + S, para posteriormente cerrarlo.
10.-Generar con el comando touch lo siguiente touch /var/www/claves-sarg
10.- Utilizar el comando chmod para definir que el fichero /var/www/claves-sarg
solo tendrá permisos de lectura y escritura para la clase del usuario:
Chmod 0600 /var/www/claves-sarg
11.- Utilizar el comando chown para definir que el fichero /var/www/claves-sarg
pertenece al usuario apache y grupo apache:
Chownapache: apache /var/www/claves-sarg
12.- Utilice el mandato htpasswd sobre el fichero /var/www/claves-sarg para
crear el usuario virtual administrador y asignar a éste una clave de acceso que
Ilustración 84 Terminal generando comando touch para claves de sarg
Ilustración 85 Terminal definiendo quienes podrán cambiar las contraseñas
Ilustración 86 Terminal definiendo el usuario del archivo
solo deberá conocer el administrador del servidor, en este manual se asignó la
clave de usuario adminsanchez
Htpasswd /var/www/claves-sarg administrator
13.- Iniciar (o simplemente reiniciar, si es necesario) el servicio httpd por medio
del comando service httpd start
14.- Si el servicio httpd inició sin errores, utilizar el comando chkconfig para que
el servicio httpd inicie automáticamente la próxima vez que arranque el sistema:
chkconfig httpd on
15.-Permitir a la red de área local generar actividad en el servidor durante algunos
minutos y ejecute el mandato sarg.
Ilustración 87 Terminal generando usuario virtual de sarg
Ilustración 88 Terminal reiniciando servicio httpdIlustración 89 Terminal configurando el inicio de Sarg automáticamente
Ilustración 90 Terminal generando actividad con el servidor
16.- Para ver el reporte generado manualmente teclear la dirección
http://192.168.0.1/sarg/ o bien http://127.0.0.1/sarg, seguido del nombre de usuario
y contraseña asignada con anterioridad
17.- Para poder modificar la clave de usuario es necesario entrar a la terminal de
Fedora en modo Root y teclear el siguiente comando:
htpasswd/var/www/claves-sarg + (usuario a modificar)
Htpasswd /var/www/claves-sarg administrador y a continuación teclear la
nuevas claves de usuario
18.-Capturas de pantalla Sarg
Ilustración 91 Solicitud de usuario y contraseña para ver reportes
Ilustración 92 Pantalla de inicio de Sarg
Los reportes se almacenarán en /var/www/sarg/, y pueden implicar una cantidad
considerable de datos. Periódicamente deberá ingresar a los subdirectorios en el
interior de éste, principalmente el subdirectorio daily y proceda a eliminar los
reportes antiguos o que sean de poca utilidad, a fin de evitar que se agote el
espacio en disco duro.
Ubicación del servidor en la red
El servidor desarrollado para el Conalep plantel Cancún II, será ubicado en el
SITE que se encuentra en el laboratorio de computo # 1. Funcionando así el
servidor con la direccion IP192.168.0.1, la ilustración 121 muestra la ubicación del
SITE donde se alojará el servidor Linux proxy.
Ilustración 94 Laboratorio de computo # 1
Ilustración 93 Información de análisis de reporte
Configuración para acceso a internet a través del servidor proxy
1.- Abrir el navegador web en este caso será Mozilla Firefox.
2.- ir al menú Editar y dar clic en la pestaña preferencias.
3.- una vez dentro de la ventana preferencias de Firefox, ir al menú Avanzado,
seguido de la pestaña RED y a continuación clic en el botón Configuración.
4.- Seleccionar Configuración manual del proxy, asignar en el apartado Proxy
HTTP la IP de la interfaz de red LAN del servidor proxy 192.168.0.1 y el Puerto
asignado a squid 3128, para finalizar dar clic en Aceptar.
Direcciones accesibles al servidor proxy
192.168.0.11 a la 192.168.0.40
192.168.0.4 a la 192.168.0.5
192.168.0.8 a la 192.168.0.10
192.168.0.41 a la 192.168.0.63
192.168.0.81 a la 192.168.0.103
192.168.0.121 a la 192.168.0.143
192.168.0.161 a la 192.168.0.183
Seguridad
La seguridad de la red del Conalep plantel Cancún II es el servidor Proxy ya que
este funcionará como un Firewall, seguido de la aplicación Squid que permitirá
restringir el acceso al servidor de intrusos, a demás internamente realiza el filtro de
accesos a Internet de acuerdo al perfil de usuarios y criterios como horarios,
paginas permitidas, accesos por contenido, etc.
La siguiente ilustración 122 muestra un usuario intentando acceder al servidor, el
servidor le pide una identificación (usuario y contraseña) y si corresponden les da
acceso, en caso contrario bloquea el servicio.
Ilustración 95 Explorador Web solicitando usuario y contraseña para mayor seguridad
Después de haber confirmado su identificación procede a buscar si esta dado de
alta en las listas de acceso, en este caso el usuario esta dado de alta y puede
acceder a los privilegios dados por el servidor, como lo muestra la ilustración 123.
Ilustración 96 Explorador Web privilegios brindados por el servidor
A continuación se muestra la aplicación de squid, donde se puede apreciar los
puertos abierto y cerrados para mayor seguridad del servidor.
Lista de puertos abiertos y bloqueados por parte de Squid, como lo muestra la
ilustración 124.
Ilustración 97 Configuración de puertos en Squid.conf
La ilustración 125 muestra a Squid permitiendo acceso a internet, a los
laboratorios a través de los puertos 280, 80, 777, 488, 443, 563,4443
Ilustración 98 Puertos abiertos
Lista de IP dadas de alta.
Estas direcciones IP´s que se muestran en la ilustración 126 corresponden al
laboratorio #1.
Ilustración 99 IP del laboratorio # 1
Otra de la IP´s dadas de alta son las, 192.168.0.81 a 192.168.0.103,
192.168.0.121 a 192.168.0.143, 192.168.0.161 a 192.168.0.183. Las cuales
pertenecen a los laboratorios 2, 3, 4.
Análisis de resultados
A continuación se mostrarán las pantallas de monitoreo del funcionamiento del
servidor.
La ilustración 127 muestra a un usuario intentando acceder a Facebook la cual ha
sido denegada por parte del proxy.
Ilustración 100 Solicitud de servicio denegado
A continuación se muestra en la ilustración 128 a un usuario accediendo a una
página prohibida por parte del servidor proxy.
Ilustración 101 Solicitud de servicio denegado
Lo siguiente será verificar el ahorro del ancho de banda a través de la capacidad
de descarga de cada usuario dado a través del servidor (Squid), en este caso será
de 10Kb.
Se puede apreciar la configuración de Squid para manejar el ahorro del ancho de
banda a 10KB, como lo nuestra la ilustración 129.
Ilustración 102 Configuración de Ancho de banda de la red mediante Squid
La ilustración 130 muestra una página de películas a la cual accedió un usuario
para realizar una descarga.
Ilustración 103 Explorador Web en una página de descargas
A continuación se procederá a guardar el archivo que se desea descargar, como
lo muestra la ilustración 131.
Ahora se puede apreciar en la imagen 132 que la descarga es de una velocidad
de 10Kb para el ahorro del ancho de banda del internet.
Ilustración 104 Explorador Web Guardando archivo de descarga
Ilustración 105 Explorador Web Descargando a 10Kb
Ahora se presenta el monitoreo de cada máquina de la red que se lleva a través
del servidor con una aplicación llamada Sarg ya que esta permite ver la
información de Squid.
Se puede apreciar la ejecución de la aplicación solicitando un usuario y
contraseña, en la ilustración 133 y 134.
Ilustración 106 Explorador Web Solicitando contraseña y usuario para acceder a Sarg
Ilustración 107 Identificación requerida (identificación proporcionada)
A continuación se mostrará el inicio de la aplicación Sarg donde se pueden ver los
reportes de acceso de usuarios, como reporte diario, semanal y mensual.
Ahora se podrá apreciar un análisis de reporte generado por parte de Sarg, con
una cierta información la cual es la fecha, cantidad de usuarios que generaron el
reporte y el tamaño del archivo en bytes.
Ilustración 109 Análisis de reporte generado
A continuación se accederá al análisis de reporte donde se apreciará un menú de
opciones la cuales son el top de los sitios más visitados por los usuarios, sitios y
usuarios, archivos que se pudieron bajar y los cuales no, por parte de los
usuarios. En este caso solo se verá la información de un solo usuario.
Ilustración 108 Pantalla de inicio de Sarg
Ilustración 110 Reporte de acceso de usuarios
Ahora se podrá apreciar información de este usuario.
Ilustración 111 Información de reporte páginas visitadas