Ingeniera en Sistemas Computacionales

Materia: Administracin de la Seguridad Unidad III: Seguridad en Red Prctica: Proxy Profesor: Dr. Eduardo de la Cruz Gmez
Integrantes del equipo: Mauricio Ramos Leal No. De Control: 08321067 Hector Manuel Retiz Camarillo No. De Control: 08321068 Mario Rivera Renteria No. De Control: 08311069 Noel Eduardo Dimayuga Luna No. de Control: 08321085 Valentin Candelario Neri No. de Control: 08320935

Horario: 10:00 am. 11:00 am. Acapulco Gro. A 07 de Octubre del 2013

SQUID
Squid es un proxy el cual hace tambin las funciones de cach, esto quiere decir que almacena la informacin utilizada previamente por una conexin y permite que cuando la informacin vuelva a ser solicitada esta sea consultada desde el cach, permitiendo el ancho de banda de salida. Los proxies son una ventaja debido a que tambin permiten asilar una red de otra red, adems de tener opciones para la administracin de usuarios. La aplicacin Squid requiere el uso de un archivo de configuracin llamada Squid.conf. Este archivo se encuentra generalmente en el directorio /etc/Squid. Para que los clientes que utilizan proxy tengan acceso a Squid debe de tener conocimientos que esta aplicacin opera sobre el puerto 3128. Quizs una de las desventajas que se poda encontrar en Squid es la gran cantidad de operaciones que es posible encontrar, para tener una idea de esto basta con decir que Squid.conf est dividido en 13 secciones.

CONFIGURACIN SQUID
Para la realizacin de esta prctica utilizaremos una computadora de escritorio como servidor a la cual se le instalara Debian 6. Para la instalacin del software necesario escribimos en la consola apt-get install squid con permisos de root, con este comando se instalar el software proxy y sus dependencias necesarias para su correcto funcionamiento. Conectamos una tarjeta de red inalmbrica Realtek al servidor para que esta reciba internet y a travs de la tarjeta de red LAN repartir internet a las computadoras conectadas. A continuacin tendremos que establecer lo dicho anteriormente en la direccin /etc/network/interfaces esto lo tecleamos en una terminal. En la imagen queda establecido como se configuro las redes.

La lnea allow-hotplug (interface) sirve para elegir que interfaz ser la principal, o la que reciba internet, en nuestro caso wlan0, abajo se define la interfaz eth0 y su direccin ip esttica que tendr. Despus de esto se tiene que reiniciar el servicio de red desde la terminal con la lnea: #/etc/init.d/networking restart A continuacin entramos a configurar el squid que utiliza un fichero localizado en /etc/squid/squid.conf, y se puede trabajar sobre este utilizando cualquier editor de texto, primero tenemos que configurar el puerto por el cual atender las peticiones, este puerto e s el 3128. Posteriormente debemos configurar la memoria cache que establece la cantidad ideal de memoria para lo siguiente: Objetos de trnsito. Objetos host. Objetos negativamente almacenados en el cach. Por defecto se establecen 8 Mb. Puede especificarse una cantidad mayor si as se considera necesario, dependiendo de esto de los hbitos de los usuarios o necesidades de la empresa.

CONFIGURACIN DEL DHCP

DHCP significa Protocolo de configuracin de host dinmico. Es un protocolo que permite que un equipo conectado a una red pueda obtener su configuracin (principalmente, su configuracin de red) en forma dinmica (es decir, sin intervencin particular). Slo tiene que especificarle al equipo, mediante DHCP, que encuentre una direccin IP de manera independiente. El objetivo principal es simplificar la administracin de la red. El protocolo DHCP sirve principalmente para distribuir direcciones IP en una red, pero desde sus inicios se dise como un complemento del protocolo BOOTP (Protocolo Bootstrap), que se utiliza, por ejemplo, cuando se instala un equipo a travs de una red (BOOTP se usa junto con un servidor TFTP donde el cliente encontrar los archivos que se cargarn y copiarn en el disco duro). Un servidor DHCP puede devolver parmetros BOOTP o la configuracin especfica a un determinado host. Instalacin Para instalar el dhcp en la terminal escribimos apt-get install dhcp con permisos de root para descargar e instalar dicho programa. Ya que se instala debemos configurarlo, dirigindonos a la ruta /etc/dhcp/isc-dhcp-server/ donde se encuentra el archivo dhcpd.conf el cual configuramos de la siguiente manera.

Donde se indica la red y el rango de direcciones que se repartirn a los hosts que se conecten a la red. En nuestro caso 192.168.10.0 rango desde la .2 a la .10

Despus para que nuestra interfaz que reparte internet no entre en conflicto con la asignacin de IPs del dhcp debemos indicarle al sistema cul es la interfaz por defecto que repartir direcciones con el dhcp dirigindonos a la ruta /etc/default/ ah se encuentra el archivo iscdhcp-server el cual contiene la lnea INTERFACES= debemos agregar dentro de las comillas la eth0 en nuestro caso. Despus de hacer todo esto solo queda reiniciar el dhcp o iniciarlo con el comando service iscdhcp-server start Con esto ya tendremos listo nuestro sistema para que reparta direcciones ips automticamente a quines se conecten a nuestra red.

CONFIGURACIN DEL LADO CLIENTE

Para que la computadora del cliente tenga internet deben configurarse unos pasos muy sencillos, yendo a panel de control, centro de redes, y opciones de internet, existe una pestaa llamada Configuracin LAN donde especificaremos la direccin ip de nuestro proxy y el puerto por el cual se conectar en nuestro caso 192.168.10.1 puerto 3128. Como en la siguiente figura.

LISTAS DE CONTROL DE ACCESO

Es necesario establecer listas de control de acceso que son el elemento principal con lo que trabaja el proxy squid, las cuales definen el acceso de una red o bien ciertas maquinas en particular a una serie de reglas que el administrador debe definir. A cada lista se le asignar una regla de control de acceso que permitir o denegar el acceso a Squid. Procedemos a entender cmo definir unas y otras. Regularmente una lista de control de acceso se establece siguiendo la siguiente sintaxis:

Acl [nombre de la lista] src [lo que compone la lista] Pero nosotros definimos las listas de control de acceso invocando un fichero localizado en cualquier la misma direccin

A continuacin se detalla cada punto de la prctica empezamos por acceso por autenticacin. Se estableci un sistema de autenticacin para poder acceder hacia internet. Para tal fin nos valdremos de un programa externo para autentificar, como es ncsa_auth, que viene incluido como parte del paquete principal de Squid. Para generar las claves se utiliz el siguiente comando: Htpasswd c /etc/squid/claves dimalu New password: clave Se cre un fichero llamado claves para que al generar las claves se guarden en el y se le especifica la ruta en donde est. Descomentando la siguiente lnea y especificando la ruta del archivo procederemos a especificar este programa (ncsa_auth).

Despus definimos una lista de control de acceso. Acl password proxy_auth REQUIRED es asi como se definir y se muestra en la siguiente imagen.

Una vez que hicimos esto, procedimos a modificar la regla de control de acceso que ya tenamos para permitir el acceso a internet, donde tenamos http_access allow redlocal le aadiremos password a la acl que requiere utilizar clave de acceso entonces quedo asi: http_access allow redlocal password, finalmente solo reiniciamos el Squid para que tome efectos los cambios y podamos hacer las pruebas.

Restriccin de acceso a sitios web. Denegar acceso a sitios web permite hacer un uso ms racional del ancho de banda con el que se dispone. El funcionamiento es verdaderamente simple, y consiste en denegar el acceso a nombres de dominio o direcciones web que contengan patrones en comn.

Bueno lo primero es crear una lista la cual contendr las direcciones web.

A continuacin se crea otra lista de control de acceso que a su vez defina al fichero /etc/squid/denegados y la lista quedara como muestra la imagen:

Despus de esto ya tenemos una lista llamada sitiosdenegados para poder anexarla a las reglas de acceso. Como en la siguiente figura donde con un signo !(not) podemos decir que la acl de miredlocal tenga acceso al internet menos a la lista de sitiosdenegados

Para dar acceso solo a determinadas direcciones ips se debe crear un archivo con las direcciones contenidas y crear una acl para tal. En nuestro caso se llama direcciones y se muestra en la siguiente figura.

En esta figura mostramos lo que contiene el archivo direcciones. Para dar acceso o regular el acceso por medio de direcciones MAC la sintxis de la regla cambia un poco y se hace de la siguiente forma: Acl {nombre} arp {ruta o direccin mac}

Y en la siguiente imagen vemos el contenido del archivo macs.txt

Para regular el ancho de banda de descarga se necesita incluir un parmetro que se llama delay pools, que son en esencia "cubos de ancho de banda (bandwidth buckets). La solicitud a una respuesta es demorada hasta que cierta cantidad de ancho de banda est disponible desde un cubo. Squid llena con cierta cantidad de trfico los cubos por cada segundo y los clientes del Cache consumen los datos llenados desde esos cubos. El tamao de un cubo determina cunto lmite de ancho de banda est disponible en un cliente. Si un cubo se encuentra lleno, un cliente puede descargar a mxima velocidad de la conexin disponible (sin limitacin de rate) hasta que ste se vace. Despus que se vace recibir el lmite de trfico asignado. As que definimos dos parmetros uno de 50kb y uno de 10kb como lo muestra la siguiente figura.

Despus se le agrega a la lista direcciones en la cual tenemos al usuario con contrasea para que su descarga se vea regulada por el proxy squid.

Con el comando request_body_max_size 10 KB se limita ancho de banda para subir un archivo, en nuestro ejemplo limitamos con 10 KB.