SERVIDOR PROXY CON AUTENTICACION DE USUARIOS DE

SERVICIO DE DIRECTORIO

Erica Yolima Uribe

Marcela Martínez
Vanessa Valenzuela
Richar Alexander Salazar
Jonatan ostau de la Font Martinez

Presentado a:

Prof: Andrés Mauricio Ortiz

Servicio Nacional de Aprendizaje “SENA”

Regional Antioquia
Centro de Servicios y Gestión Empresarial
2009

1
 INDICE

1.INTRODUCCION

2.OBJETIVOS

2.1 OBJETIVO GENERAL

2.2 OBJETIVOS ESPECIFICOS

3. MARCO CONCEPTUAL

3.1.seguridad informática

3.4 servidor Proxy

3.5 Funcionamiento

3.6 CLASES DE PROXIES

3.6.1 Proxy NAT

3.6.2 Proxy Cache

3.6.3 Proxy Transparente

3.6.4 Proxy Reverse

3.6.5 Proxy Abierto

3.7 Squid.

4. SERVIDOR PROXY CON AUTENTICACIÓN DE USUARIOS DE SERVICIO

DE DIRECTORIO.

5. INSTALACION Y CONFIGURACION DE EL SQUID CON AUTENTICACION

CON ACTIVE DIRECTORY.

6. AUTENTICACION PROXY CON ACTIVE DIRECTORY

7. ARCHIVO DE CONFIGURACION COMPLETO DE EL SQUID.

8.ANALIZADOR DE TRÁFICO PARA GENERAR REPORTES ESTADÍSTICOS.

9.VENTAJAS.

10. DESVENTAJAS.

2
11.CONCLUSIÓN

12. CIBERGRAFIA.

3
 INTRODUCCION

Hoy en día para un administrador de red es indispensable implementar la

seguridad y tener especial cuidado en los accesos de los usuarios hacia la red
externa o Internet, por ello es necesaria la implementación de un servidor como
el “PROXY” desde una intranet que vigile el tráfico de red y gestione todo tipo
de accesos por medio del filtro de contenidos.

Con este mecanismo de seguridad implementado por el ISP se podrá

desactivar el acceso o filtrar las solicitudes de contenido para ciertas sedes
Web consideradas ofensivas o dañinas para la red y los usuarios podrán
Mejoran el rendimiento y hacer que el trabajo de los usuarios en la sea mas
productivo y no allá modo de distracción.

4
 OBJETIVOS

OBJETIVO GENERAL

Configurar un Servidor Proxy con autenticación de usuarios de servicio de

directorio y analizar el tráfico generado.

OBJETIVOS ESPECIFICOS.

Utilizar los conocimientos requeridos para el montaje de un servidor proxy y su

configuración.

Reconocer los diferentes analizadores de tráfico para el squid,

Mejora el trabajo en grupo.

5
 MARCO CONCEPTUAL

Seguridad Informática

Es asegurar que los recursos del sistema de información (material informático o

programas) de una empresa sean utilizados de la manera que se decidió y que
el acceso a la información allí contenida así como su modificación sólo sea
posible a las personas que se encuentren acreditadas y dentro de los límites de
su autorización.

Servidor Proxy

Un Proxy es una aplicación o un dispositivo hardware que hace de

intermediario entre los usuarios, normalmente de una red local, e Internet.
Su finalidad es implementar la seguridad en un intranet, es un punto intermedio
entre un ordenador conectado a Internet y el servidor al que se está
accediendo a este se dirigen las peticiones de los usuarios y este las
redirecciona (deniega o permite) según su configuración.

Funcionamiento

Un Proxy, como dijimos anteriormente, hace de intermediario entre varios

Equipos de una red, de forma que estos conecten indirectamente a través de
él. Cuando un equipo de la red desea acceder a una información o recurso, es
realmente el Proxy quien realiza la comunicación y a continuación traslada el
resultado al equipo inicial. En unos casos esto se hace así porque no es
posible la comunicación directa y en otros casos porque el Proxy añade una
funcionalidad adicional, como puede ser la de mantener los resultados
obtenidos (Ej.: una página Web) en una cache que permita acelerar sucesivas
consultas coincidentes, consiguiendo así una mejora del rendimiento y evitando
saturaciones cuando se realizan muchas consultas en poco tiempo. Se usan
Diversas técnicas.

6
 CLASES DE PROXIES

-Proxy NAT (Network Address Translation)

Enmascaramiento

La traducción de direcciones de red (NAT, Network Address Translation)

también es conocida como enmascaramiento de IPs. Es una técnica mediante
la cual las direcciones fuente o destino de los paquetes IP son reescritas,
sustituidas por otras (de ahí el "enmascaramiento").

Esto es lo que ocurre cuando varios usuarios comparten una única conexión a
Internet y Se dispone de una única dirección IP pública, que tiene que ser
compartida. Dentro de la red de área local (LAN) los equipos emplean
direcciones IP reservadas para uso privado y será el Proxy el encargado de
traducir las direcciones privadas a esa única dirección pública para realizar las
peticiones, así como de distribuir las páginas recibidas a aquel usuario interno
que la solicitó.

-Proxy de Web / Proxy cache de Web

7
Este es para el acceso a la Web especifico, proporciona una cache (el cache
es una memoria especialmente rápida, unas 5 veces la memoria RAM) para las
páginas Web y los contenidos descargados, que es compartida por todos los
equipos de la red, con la consiguiente mejora en los tiempos de acceso para
consultas coincidentes. Esto evita la sobrecarga en la red y mejora el
rendimiento al liberar de trabajo al servidor real.

1. El cliente realiza una petición (p.ej. mediante un navegador Web) de un

recurso de Internet (una página Web o cualquier otro archivo)
especificado por una URL.
2. Cuando el Proxy caché recibe la petición, busca la URL resultante en su
caché local. Si la encuentra, devuelve el documento inmediatamente, si
no es así, lo captura del servidor remoto, lo devuelve al que lo pidió y
guarda una copia en su caché para futuras peticiones.

-PROXY TRANSPARENTE

Este implemente un refuerzo de las políticas de uso de la red y proporciona la

seguridad y servicios de caché. Normalmente, un Proxy Web o NAT no es
transparente a la aplicación cliente: debe ser configurada para usar el Proxy,
manualmente. Por lo tanto, el usuario puede evadir el Proxy cambiando
simplemente la configuración. Una ventaja de tal es que se puede usar para
redes de empresa y proveedores de servicios de Internet (ISP).

-REVERSE PROXY

Un reverse Proxy es un servidor Proxy instalado en el domicilio de uno o más

servidores Web. Todo el tráfico entrante de Internet y con el destino de uno de
esos servidores Web pasa a través del servidor Proxy

8
Este proporciona mejoras como

• Seguridad: el servidor Proxy es una capa adicional de defensa y por lo

tanto protege los servidores Web.
• Cifrado / Aceleración SSL: cuando se crea un sitio Web seguro,
habitualmente el cifrado SSL no lo hace el mismo servidor Web, sino que
es realizado por el "reverse Proxy", el cual está equipado con un
hardware de aceleración SSL (Security Sockets Layer).
• Distribución de Carga: el "reverse Proxy" puede distribuir la carga entre
varios servidores Web. En ese caso, el "reverse Proxy" puede necesitar
reescribir las URL de cada página Web (traducción de la URL externa a
la URL interna correspondiente, según en qué servidor se encuentre la
información solicitada).
• Caché de contenido estático: Un "reverse Proxy" puede descargar los
servidores Web almacenando contenido estático como imágenes u otro
contenido gráfico.

-Proxy Abierto

Este tipo de Proxy que acepta peticiones desde cualquier ordenador, esté o no
conectado a su red.

Este tiene una configuración que permitirá ejecutar cualquier petición de

cualquier ordenador que pueda conectarse a él, realizándola como si fuera una
petición del Proxy. Por lo que permite que este tipo de Proxy se use como
pasarela para el envío masivo de correos de spam Un Proxy se usa,
normalmente, para almacenar y redirigir servicios como el DNS o la navegación
Web, mediante el cacheo de peticiones en el servidor Proxy, lo que mejora la
velocidad general de los usuarios. Este uso es muy beneficioso, pero al
aplicarle una configuración "abierta" a todo Internet, se convierte en una
herramienta para su uso indebido.

SQUID

Squid es un popular programa de software libre que implementa un servidor

Proxy y un demonio para caché de páginas Web, publicado bajo licencia GPL.
Tiene una amplia variedad de utilidades, desde acelerar un servidor Web,
guardando en caché peticiones repetidas a DNS y otras búsquedas para un
grupo de gente que comparte recursos de la red, hasta caché de Web, además
de añadir seguridad filtrando el tráfico. Está especialmente diseñado para
ejecutarse bajo entornos tipo Unix, Aunque también tiene gran funcionalidad en
Windows

Squid ha sido desarrollado durante muchos años y se le considera muy

completo y robusto. Aunque orientado a principalmente a HTTP y FTP y es
compatible con modalidades de cifrado como TLS, SSL, y HTTPS.

9
 SERVIDOR PROXY CON AUTENTICACIÓN DE USUARIOS DE SERVICIO
DE DIRECTORIO.

INSTALACION ACTIVE DIRECTORY

Primero se instalara directorio activo para crear los usuarios que se necesitan
para la autenticación con el servidor proxy.

Antes de instalar Active Directory y el DNS recuerde poner su dirección

estática.

Aceptar.

Desde “Ejecutar” escribimos dcpromo y le damos “Aceptar”.

10
Aparecerá el “Asistente para instalación de Active Directoy” da clic en
“Siguiente”.

Aquí aparece el tipo de controlador que se desea instalar. En esta ocasión será
un controlador de dominio para un dominio nuevo. Y pulsamos siguiente.

11
En la opción crear un nuevo dominio elegimos la opción que se desee en esta
ocasión será, Dominio en un nuevo bosque.

Siguiente >

12
Se especifica el nombre de el dominio que se va a utilizar el de nosotros será
proxy57.com

Siguiente >

En el asistente aparece el nombre de la NetBIOS del dominio, se deja por

defecto PROXY57

13
En este pantallazo aparecen las carpetas de la base de datos y registros. Se
pueden dejar por defecto.

Siguiente >

Se deja por defecto la ruta que aparece en este asistente.

Siguiente >
14
Aparece el diagnostico de registro de DNS, escogemos la opción se que
deseemos. Hoy elegiremos la segunda ya que no tenemos un DNS instalado
aun.

En el asistente de permisos se elige la segunda opción la cual es se está

refiriendo al sistema operativo en cual se está trabajando.

15
.“Contraseña de administrador. Del modo de restauración de servicios de
directorio”
Escriba la contraseña que desee.

Siguiente >

16
“Resumen” para terminar aparece un resumen de todo lo que se hizo.
Selecciona “Siguiente”.

Aparece un cuadro de dialogo de Asistente para instalación de Active Directoy,

en este tiempo se está registrando la configuración que acabas de hacer.

Y por ultimo reiniciamos el equipo para que surtan efecto los cambios.

17
ya que instalado el active directory

Al reiniciar vamos a herramientas administrativas > usuarios y equipos de

Active Diretory.

18
Aquí muestra el dominio creado para active directory.

Nos ubicamos en el dominio y le damos clic derecho elegimos la opción nuevo

> unidad organizativa.

Escribimos el nombre la unidad organizativa. Aceptar

19
Cuando esta la unidad organizativa creada, dentro de ella creamos los usuarios
con los cuales se van a utilizar para que se autentique con el squid.

Le escribimos su contraseña respectiva. Siguiente >

20
Y finalizar.

Así sucesivamente se van creando los usuarios con los permisos que se
deseen.

Aquí muestran los usuarios creados dentro de la unidad organizativa PROXY.

21
INSTALACION Y CONFIGURACION DE EL SQUID CON AUTENTICACION
CON ACTIVE DIRECTORY.

Primero se descarga el squid la versión que se desee, podría ser de la

siguiente pagina.

http://squid.acmeconsulting.it/download/dl-squid.html

Lo descomprimimos dentro del disco C

Cuando ya esté descomprimido entramos a c:\squid\etc. Estos son los archivos

de configuración.

Los renombramos y recuerde dejar un respaldo para futuras referencias.

Debe quedar de la siguiente manera.

22
CONFIGURACIÓN DE SQUID BASICO

Este instala el servicio de Proxy en la lista de servicios de Windows NT.

Escribimos squid –i

Con el Worpad o el editor de textos de tu preferencia abre el archivo squid.conf

23
y busca los siguientes comandos y realiza las modificaciones siguientes.

http_port 3128

Squid por defecto utilizará el puerto 3128 para atender peticiones, sin embargo
se puede especificar que lo haga en cualquier otro puerto o bien que lo haga en
varios puertos a la vez.

cache_mem 32 MB

El parámetro cache_mem establece la cantidad ideal de memoria para lo

siguiente:
• Objetos en tránsito.
• Objetos Hot.
• Objetos negativamente almacenados en el caché.
Los datos de estos objetos se almacenan en bloques de 4 Kb. El parámetro
cache_mem especifica
Un límite máximo en el tamaño total de bloques acomodados, donde los
objetos en tránsito tienen mayor prioridad. Sin embargo los objetos Hot y
aquellos negativamente almacenados en el caché podrán utilizar la memoria no
utilizada hasta que esta sea requerida. De ser necesario, si un objeto en
tránsito es mayor a la cantidad de memoria especificada, Squid excederá lo
que sea necesario para satisfacer la petición.

cache_dir ufs c: /squid/var/cache 100 16 256

Este parámetro se utiliza para establecer que tamaño se desea que tenga el
cache en el disco duro
Para Squid.
Por defecto Squid utilizará un cache de 100 MB.
Los números 16 y 256 significan que el directorio del cache contendrá 16
subdirectorios con 256 niveles cada uno. No modifique esto números, no hay
necesidad de hacerlo.

Controles de acceso.

Es necesario establecer Listas de Control de Acceso que definan una red o

bien ciertas maquinas en particular. A cada lista se le asignará una Regla de
Control de Acceso que permitirá o denegará el acceso a Squid. Procedamos a
entender cómo definir unas y otras.

Listas de control de acceso.

Regularmente una lista de control de acceso se establece siguiendo la

siguiente sintaxis:

Acl [nombre de la lista] src [lo que compone a la lista]

24
Busca el siguiente grupo de líneas:

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

Aquí podras agregar tus acls

De momento bastara con que agregues la siguiente línea

acl net src 172.20.0.0/255.255.0.0

Donde 172.20.0.0 representa el segmento de red en la que estas.

Buscas la siguiente línea:

http_access allow manager localhost

y justo debajo de ella agregas la siguiente.

http_access allow net

Donde net representa a tu red, esta instrucción está dando permisos a la red en
la que estas de usar tu proxy.

Después agregas esta línea al final del archivo

visible_hostname localhost

Busca esta línea y desconténtala, (elimina el símbolo de número antes de la

misma).

ACLs
Ahora crearemos diferentes archivos donde estarán las restricciones y las

25
páginas de acceso para el público.
En estos se pondrán en las rutas de las acls, estos archivos podremos
ubicarlos donde queramos siempre y cuando la ruta este correcta en la acl.

Por ejemplo:

c:/squid/etc/denegados

marcexchange.blogspot.com
richarsalazar.blogspot.com
redes.com
ostau2008.blogspot.com
servidoresyseguridad.blospot.com
vanny27.blogspot.com

Ejemplo acl:

Acl denegados dstdomain "c:/squid/etc/denegados"

c:/squid/etc/listas/palabrasNO.acl

porno
Juego
Video
Peli
Macizorras
Sexo

c:/squid/etc/listas/ficherosNo.acl

.mp3$
.avi$
.jpeg$
mp3
avi
Jpeg
Juegos
games
.jpg$
.png$
.jif$

c:/squid/etc/listas/BLACKprox.acl aquí está las listas negras

12.144.83.2:80
12.32.88.30:80
152.88.1.13:80

26
155.229.204.25:80
155.229.77.2:8080
167.206.112.85:80
168.95.19.27:8080
192.84.155.28:80
195.117.39.16:3128
195.168.84.16:80
195.83.249.62:80
200.161.5.229:8080
200.27.138.94:80
202.156.2.83:8080
202.54.13.146:80
202.57.125.40:80
202.57.125.41:8080
202.57.221.111:80
202.79.160.4:80
203.130.206.194:3128
203.17.102.19:8080
203.52.233.2:8080
205.162.223.74:8080
205.168.2.230:80
205.205.143.254:8002
205.213.2.2:8080
205.214.211.194:80
205.216.196.66:80
205.238.79.145:80
205.247.166.233:80
205.252.224.66:8080
207.136.80.236:81
207.15.44.62:80
207.150.137.130:8000
207.166.1.25:8080
207.173.172.98:8000
207.208.169.67:80
207.226.253.3:80
207.232.162.22:80
207.243.156.9:80
207.3.112.250:8080
207.30.224.108:80
207.6.138.170:80
207.61.234.99:80
207.61.37.218:80
207.61.38.67:8000
207.63.170.2:80
207.7.58.111:8000
207.70.158.2:80
207.86.145.51:80
207.96.1.42:80
209.113.184.98:8080
209.205.19.122:3128

27
211-23-199-103.hinet-ip.hinet.net:80
211.11.212.99:80
212.234.239.205:8080
213.140.5.195:80
216.155.175.188:8080
216.245.172.3:8080
217.6.124.34:8080
217.6.135.122:3128
217.6.171.35:80
217.6.180.2:80
217.6.192.146:8080
217.6.27.2:3128
217.6.85.165:8080
24.153.177.210:8080
24.166.67.119:8080
62.2.157.242:3128
62.30.231.155:8080
62.30.40.22:3128
62.30.62.73:8080
63.68.93.166:80
64.9.10.226:80
80.105.188.180:3128
Bess-proxy2.maine207.k12.il.us:80
cache.voicenet.com:80
cache1.powertolearn.net:80
cartman.sunbeach.net:3128
dhcp024-166-067-119.neo.rr.com:8080
family.look.ca:81
filter.clean4all.com:8983
ipac.wfpl.net:80
ipserv1.central-lee.k12.ia.us:8000
isaic.crlibrary.org:8000
jupiter.mripa.org:80
mail.britain-info.org:80
mail.ndhsb.org:80
mail.uastpa.com:80
mail.woodland-container.com:8000
mail2.ayrnet.com:80
mchr01.erols.com:8080
metafix.com:80
ns1.moline.lth2.k12.il.us:80
orocache.bcoe.butte.k12.ca.us:80
pluto-e0.in.bellnexxia.net:8080
proxy.psrc.schoollink.net:80
proxy.robeson.k12.nc.us:80
proxy.schoollink.net:80
rrcs-central-24-123-80-138.biz.rr.com:80
rrcs-sw-24-153-177-210.biz.rr.com:8080
ruby.look.ca:81
schools.ci.burbank.ca.us:8080

28
sms.edu.gd:80
sun2.sunworks.com:8000
ts.care.org:80
w162.z064221053.det-mi.dsl.cnc.net:8080
watnet.watkinson.org:80
www.antigua.com:80
www.sfis.k12.nm.us:80
www.walsingham.org:80
www.westwood.k12.ia.us:80

207.60.**.** and 207.61.**.** - FBI Linux servers used to trap scanners

6.*.*.* - Army Information Systems Center
21.*.*.* - US Defense Information Systems Agency Here is a little more info....
6.*.*.* - Army Information Systems Center
21.*.*.* - US Defense Information Systems Agency
22.*.*.* - Defense Information Systems Agency
26.*.*.* - Defense Information Systems Agency
29.*.*.* - Defense Information Systems Agency
30.*.*.* - Defense Information Systems Agency
49.*.*.* - Joint Tactical Command
50.*.*.* - Joint Tactical Command
55.*.*.* - Army National Guard Bureau
CanXit
22.*.*.* - Defense Information Systems Agency
26.*.*.* - Defense Information Systems Agency
29.*.*.* - Defense Information Systems Agency
30.*.*.* - Defense Information Systems Agency
49.*.*.* - Joint Tactical Command
50.*.*.* - Joint Tactical Command
55.*.*.* - Army National Guard Bureau
62.0.0.1 - 62.30.255.255
######.*.*
64.225.*.*
64.226.*.*
195.10.*
205.96.* - 205.103.*
207.30.* - 207.120.*
207.60.* - 207.61.*
209.35.*.*
216.25.* <-- REAL DANGEROUS
216.247.* <-- REAL DANGEROUS
217.6.*.*
155.7.0.0 American Forces Information (NET-AFISHQ-NET1)
155.8.0.0 U.S. ArmyFort Gordon (NET-GORDON-NET5)
155.9.0.0 United States Army Information Systems Command (NET-LWOOD-
NET2)
155.74.0.0 PEO STAMIS (NET-CEAP2)
155.75.0.0 US Army Corps of Engineers (NET-CEAP3)
155.76.0.0 PEO STAMIS (NET-CEAP4)
155.77.0.0 PEO STAMIS (NET-CEAP5)

29
155.78.0.0 PEO STAMIS (NET-CEAP6)
155.79.0.0 US Army Corps of Engineers (NET-CEAP7)
155.80.0.0 PEO STAMIS (NET-CEAP8)
155.81.0.0 PEO STAMIS (NET-CEAP9)
155.82.0.0 PEO STAMIS (NET-CEAP10)
155.83.0.0 US Army Corps of Enginers (NET-CEAP11)
155.84.0.0 PEO STAMIS (NET-CEAP12)
155.85.0.0 PEO STAMIS (NET-CEAP13)
155.86.0.0 US Army Corps of Engineers (NET-CEAP14)
155.87.0.0 PEO STAMIS (NET-CEAP15)
155.88.0.0 PEO STAMIS (NET-CEAP16)
155.178.0.0 Federal Aviation Administration (NET-FAA)
155.213.0.0 USAISC Fort Benning (NET-FTBENNNET3)
155.214.0.0 Director of Information Management (NET-CARSON-TCACC )
155.215.0.0 USAISC-FT DRUM (NET-DRUM-TCACCIS)
155.216.0.0 TCACCIS Project Management Office (NET-FTDIX-TCACCI)
155.217.0.0 Directorate of Information Management (NET- EUSTIS-EMH1)
155.218.0.0 USAISC (NET-WVA-EMH2)
155.219.0.0 DOIM/USAISC Fort Sill (NET-SILL-TCACCIS)
155.220.0.0 USAISC-DOIM (NET-FTKNOX-NET4)
155.221.0.0 USAISC-Ft Ord (NET-FTORD-NET2)
128.47.0.0 Army Communications Electronics Command (NET-TACTNET)
128.50.0.0 Department of Defense (NET-COINS)
128.51.0.0 Department of Defense (NET-COINSTNET)
128.56.0.0 U.S. Naval Academy (NET-USNA-NET)
128.63.0.0 Army Ballistics Research Laboratory (NET-BRL-SUBNET)
128.80.0.0 Army Communications Electronics Command (CECOM) (NET-
CECOMNET)
128.98.0.0 - 128.98.255.255 Defence Evaluation and Research Agency (NET-
DERA-UK)
128.154.0.0 NASA Wallops Flight Facility (NET-WFF-NET)
128.155.0.0 NASA Langley Research Center (NET-LARC-NET)
128.156.0.0 NASA Lewis Network Control Center (NET- LERC)
128.157.0.0 NASA Johnson Space Center (NET-JSC-NET)
128.158.0.0 NASA Ames Research Center (NET-MSFC-NET)
128.159.0.0 NASA Ames Research Center (NET-KSC-NET)
128.160.0.0 Naval Research Laboratory (NET- SSCNET)
128.161.0.0 NASA Ames Research Center (NET-NSN-NET)
128.183.0.0 NASA Goddard Space Flight Center (NET-GSFC)
128.216.0.0 MacDill Air Force Base (NET-CC-PRNET)
128.217.0.0 NASA Kennedy Space Center (NET-NASA-KSC-OIS)
128.236.0.0 U.S. Air Force Academy (NET-USAFA-NET)

ASÍ QUEDARA EL ARCHIVO CON NUESTRA CONFIGURACIÓN.

http_port 172.20.0.12:3128
icp_port 0
cache_mem 32 MB
cache_dir ufs c:/squid/var/cache 100 16 256

30
# POLITICAS DE ACCESO

#ACL URLs
acl denegados dstdomain "c:/squid/etc/denegados"
acl correo dst www.hotmail.com
acl noquiero dst www.yahoo.com

#ACL PALABRAS
acl palabras url_regex "c:/squid/etc/listas/palabrasNO.acl"

#ACL EXTENCIONES DE ARCHIVOS

acl ficherosNo urlpath_regex -i
"c:/squid/etc/listas/ficherosNo.acl"

#ACL MIME_TYPE
acl javascript rep_mime_type -i ^application/x-javascript$
acl ejecutables rep_mime_type -i ^application/octet-stream$
acl audiompeg rep_mime_type -i ^audio/mpeg$

#ACL HORARIOS
acl restriccion time SMTWHFA 13:00-13:3
acl equipo2 time F 08:00-12:00 172.20.0.16

#LISTAS NEGRAS
acl ln1 url_regex "c:/squid/etc/listas/BLACKprox.acl"

#CON AUTENTICACION DE USUARIOS POR SERVICIO DE DIRECTORIO

acl password proxy_auth REQUIRED

#ID DE RED
acl all src 0.0.0.0/0.0.0.0
acl red src 172.20.0.0/255.255.255.0
visible_hostname localhost

#RESTRINCIONES Y ACCESOS

#DENEGAMOS ACCESA A URLs

http_access deny correo
http_access deny noquiero
http_access deny denegados

#RESTRINCCION POR PALABRAS

http_access deny palabras

#DENEGAMOS LAS EXTENCIONES DE ARCHIVO

http_access deny ficherosNO

#DENEGAMOS LOS MIME_TYPES

31
http_access deny javascript
http_access deny ejecutables
http_access deny audiompeg

#IMPLEMENTAMOS EL ACCESO POR HORARIO /DENEGAMOS

http_access deny restriccion

#LISTAS NEGRAS PARA EL CONTROL DE ACCESO /DENEGAMOS

http_access deny ln1

#PERMITIMOS LA AUTENTICACION DE USUARIOS

http_access allow password

#PERMITIMOS NUESTRO RANGO DE RED /ACCESO PROXY

http_access allow red
http_access deny all

request_header_max_size 10 KB
request_body_max_size 512 KB

Guardamos todo lo que se hizo.

Vamos a ejecutar y escribimos CMD para que se ejecute la consola.

Cuando estemos en la consola vamos a la ruta del squid para ejecutarlo.

Cd \squid\sbin

32
Lo reiniciaremos con el comando squid –z

Si no marca errores significa que as hecho todo bien.

NOTA: Es importante que siempre que hagamos cambios paremos el servicio y

luego lo iniciemos para que estos surtan efecto.

Debemos poner en nuestro navegador la dirección de nuestro squid y tratar de

ingresar.

33
Los agregaremos de la siguiente forma:

Para el Internet Explorer

Herramientas > opciones de Internet > conexiones > Configuración de LAN

En Firefox
Herramientas > Opciones > Avanzado > Red >configuración

34
PROBANDO LA CONFIGURACION

Esta pagina la hemos agregado en denegados, lo que indica que hemos hecho
una buena configuración.

AUTENTICACION PROXY CON ACTIVE DIRECTORY

Al inicio de el archivo de configuración de el squid agregamos las siguientes

líneas en donde mswin_auth.exe será nuestro método de autenticación y
PROXY57

auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57

children 5
auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57
realm Squid proxy-caching web server
auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57
credentialsttl 1 minute
auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57
casesensitive off

35
Una vez hecho esto buscamos nuestra lista de acl´s y agregamos la siguiente.

acl password proxy_auth REQUIRED

Donde password es el nombre que le daremos a la acl de autenticación.

- A continuación vamos a nuestras reglas de acceso y usamos la autenticación

donde queramos.

Por ejemplo así queremos que no deje navegar a nadie si no esta autenticado
ponemos antes de todas nuestras reglas de acceso la restricción. Es
indispensable que este comando este antes de todas las instrucciones
http_access que tengas implementadas para lograr este efecto si se desea .

http_access deny ¡password

Pero en nuestro caso deberemos permitirlas para que todos los usuarios
puedan acceder

http_acces allow password

Para poner en funcionamiento la autenticación no olvide reiniciar el servicio de

SquidNT con el comando squid –z después de implementar este manual.

Así nos queda el archivo de configuración del squid terminado con la

autenticación.

ARCHIVO DE CONFIGURACION COMPLETO

auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57

children 5
auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57
realm Squid proxy-caching web server
auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57
credentialsttl 1 minute
auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57
casesensitive off

http_port 172.20.0.12:3128
icp_port 0
cache_mem 32 MB
cache_dir ufs c:/squid/var/cache 100 16 256

# POLITICAS DE ACCESO

#ACL URLs
acl denegados dstdomain "c:/squid/etc/denegados"

36
acl correo dst www.hotmail.com
acl noquiero dst www.yahoo.com

#ACL PALABRAS
acl palabras url_regex "c:/squid/etc/listas/palabrasNO.acl"

#ACL EXTENCIONES DE ARCHIVOS

acl ficherosNo urlpath_regex -i "/squid/etc/listas/ficherosNo.acl"

#ACL MIME_TYPE
acl javascript rep_mime_type -i ^application/x-javascript$
acl ejecutables rep_mime_type -i ^application/octet-stream$
acl audiompeg rep_mime_type -i ^audio/mpeg$

#ACL HORARIOS
acl restriccion time SMTWHFA 13:00-13:3
acl equipo2 time F 08:00-12:00 172.20.0.16

#LISTAS NEGRAS
acl ln1 url_regex "c:/squid/etc/listas/BLACKprox.acl"

#CON AUTENTICACION DE USUARIOS POR SERVICIO DE DIRECTORIO

acl password proxy_auth REQUIRED

#ID DE RED
acl all src 0.0.0.0/0.0.0.0
acl red src 172.20.0.0/255.255.255.0
visible_hostname localhost

#RESTRINCIONES Y ACCESOS

#DENEGAMOS ACCESA A URLs

http_access deny correo
http_access deny noquiero
http_access deny denegados

#RESTRINCCION POR PALABRAS

http_access deny palabras

#DENEGAMOS LAS EXTENCIONES DE ARCHIVO

http_access deny ficherosNO

#DENEGAMOS LOS MIME_TYPES

http_access deny javascript
http_access deny ejecutables
http_access deny audiompeg

#IMPLEMENTAMOS EL ACCESO POR HORARIO /DENEGAMOS

http_access deny restriccion

37
#LISTAS NEGRAS PARA EL CONTROL DE ACCESO /DENEGAMOS
http_access deny ln1

#PERMITIMOS LA AUTENTICACION DE USUARIOS

http_access allow password

#PERMITIMOS NUESTRO RANGO DE RED /ACCESO PROXY

http_access allow red
http_access deny all

request_header_max_size 10 KB
request_body_max_size 512 KB

PROBAREMOS EL FUNCIONAMIENTO DESDE EL NAVEGADOR

Ahora nos tendremos que logear para el ingreso. Recuerde limpiar la cache
para que se pueda se pueda logear.

Ingresamos el usuario y contraseña creados en active director debe acceder

perfectamente

38
ANALIZADOR DE TRÁFICO PARA GENERAR REPORTES ESTADÍSTICOS.

Se utilizo en analizador de tráfico llamado SARG (Squid Analysis Report

Generator)

SARG: es una herramienta que permite saber dónde han estado navegando los
usuarios en Internet , a través del análisis del fichero de log “access.log” del
proxy Squid. El poder de esta herramienta es increíble, pudiendo saber qué
Usuarios accedieron a qué sitios, a qué horas, cuantos bytes han sido
descargados, relación de sitios denegados ,errores de autentificación...entre
otros..

Descargamos el SARG para Windows puede ser de la siguiente página:

http://translate.google.com.co/translate?hl=es&sl=en&u=http://sourceforge.net/p
roject/showfiles.php%3Fgroup_id%3D68910&ei=cK_TSaKCDqPflQe8_pz7Cw&
sa=X&oi=translate&resnum=3&ct=result&prev=/search%3Fq%3Dsarg%2B%25
2B%2Bwindows%26hl%3Des%26client%3Dfirefox-a%26rls%3Dorg.mozilla:es-
ES:official%26hs%3D6ck%26sa%3DG

lo descomprimimos dentro del disco C:

No vamos configurar nada simplemente lo ponemos a correr de la siguiente

manera por consola desde la ruta donde esta descomprimido.

39
Cd \ sarg\sbin

Luego de estar allí escribimos:

Sarg.exe

Esto genera un reporte en el c:\sarg\reports

Recuerde esta ruta ya que la necesitaremos más adelante.

40
Se necesita montar un servidor web puede ser IIS o apache para que el sarg
muestre la parte grafica.

Vamos a Administre su servidor > agregar o quitar función

41
Siguiente>

En este asistente escogemos la opción Servidor de aplicaciones ( IIS, ASP

NET)

Le damos siguiente sin señalar ninguna opción.

42
Damos siguiente después que nos muestra el resumen de lo que acabamos de
hacer.

Finalizar >
Al terminar la instalación de el servicio nos dirigimos a >sitios web

43
Cuando estemos ubicados en sitios web damos clic derecho y elegimos la
opción > nuevo > sitio web

Comienza el asistente para crear el sitio web.

44
Siguiente >

Se hace
una
pequeña

descripción del sitio web, siguiente >

Se llenan los espacios con la información que se desee, en la primera casilla se

escribe la dirección de mi equipo y en el segundo el puerto por donde va a
correr en servicio web, el cual vienen por defecto.

45
Siguiente >

Se acuerdan que más delante en el documento les dice que no olvidaran la

ruta C:\sarg\reports
Esta se utilizara para que el servidor web la vea como una página.

Damos clic en examinar y buscamos esa ruta.

Siguiente >

46
En los permisos se pueden seleccionar los que usted desee en este caso solo
los usuarios podrán leer el sitio web.
Siguiente >

finalizar

después de esto regresamos de nuevo a sitios web y observamos que ya esta

nuestro sitio llamado sarg damos clic derecho sobre este y clic en propiedades,
elegimos la pestaña Documentos

47
Agregar,,, y escribimos el nombre da la página index.html

Aplicar y aceptar

Si entramos por el navegador no nos va a dar ya que no se ha hecho el registro

del servidor web.

Hay que terminar de configurar el DNS así:

Vamos a inicio > Administre su servidor > administrar el DNS

48
clic derecho sobre zona de búsqueda inversa > crear nueva zona. Seguimos el
asistente.

Siguiente >

49
Elegimos el tipo de zona esta será una zona principal por eso señalamos la
primera opción.

En el ámbito de replicación elegimos la opción que queremos que se repliquen

los datos de zona para todos los servidores DNS en el bosque proxy57.com de
Active Directory.

50
Siguiente >

Escribimos en id de la red la de nosotros es 172.20.0.X

Siguiente >

51
Permitimos las actualizaciones dinámicas seguras.

Siguiente >

Y finalizamos viendo el resumen de la zona inversa creada.

Ahora creamos la zona directa, después de tenerla creada registramos el

servidor web.

Sobre la zona directa damos clic derecho en Host nuevo.

52
En el primer espacio escribimos www y creamos el PTR de una vez.

Reiniciamos todo.

Vamos al navegador y escribimos la dirección de nuestro dominio.

53
Debe aparecer este pantallazo.

ACCESO SEGURO PARA LA VISUALIZACION DE LOS REPORTES.

Nos dirigimos a servidor de aplicaciones > sitios web > sarg

54
Clic derecho > propiedades seleccionamos la pestaña seguridad de directorios.
Autenticación y control de acceso, clic en modificar.

55
Se le agrega un nombre de usuario > elegimos el nombre de el usuario para
que autentique por un usuario de active directory.

Aceptar > aplicar > aceptar.

Le habilitamos la contraseña y la confirmamos.

56
De nuevo nos dirigimos al navegador, asegúrese que el proxy este puesto y
entramos al dominio creado.

www.proxy57.com

Escribimos el usuario con que se desea ingresar.

57
Aparece la parte grafica de SARG, con cada los usuarios que se han
registrado.

58
 VENTAJAS

Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor Proxy

y no a Internet directamente. Por lo tanto, aligera el tráfico en la red y descarga
los servidores destino, a los que llegan menos peticiones.

Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que

evita transferencias idénticas de la información entre servidores durante un
tiempo (configurado por el administrador) así que el usuario recibe una
respuesta más rápida.

Demanda a Usuarios: Puede cubrir a un gran número de usuarios, para

solicitar, a través de él, los contenidos Web.

Filtrado de contenidos: El servidor Proxy puede hacer un filtrado de páginas o

contenidos basándose en criterios de restricción establecidos por el
administrador dependiendo valores y características de lo que no se permite,
creando una restricción cuando sea necesario.

Modificación de contenidos: Basándose en la misma función del filtrado, y

llamado Privoxy tiene el objetivo de proteger la privacidad en Internet, puede
ser configurado para bloquear direcciones y Cookies por expresiones regulares
y modifica en la petición el contenido.

59
 DESVENTAJAS

Las páginas mostradas pueden no estar actualizadas si éstas han sido

modificadas desde la última carga que realizó el Proxy caché.

Almacenar las páginas y objetos que los usuarios solicitan puede

Un diseñador de páginas Web puede indicar en el contenido de su Web que los

navegadores no hagan una caché de sus páginas, pero este método no
funciona habitualmente para un Proxy.

El hecho de acceder a Internet a través de un Proxy, en vez de mediante

conexión directa, impide realizar operaciones avanzadas a través de suponer
una violación de la intimidad para algunas personas. Algunos puertos o
protocolos.

60
 CONCLUSIONES

El Servidor Proxy es una forma de mantener nuestra red segura ya que

podemos prohibir el acceso a los sitios no deseados o prohibidos, puede ser en
una empresa o en cualquier lugar donde se instale un servidor donde se
determine el acceso a los horarios que estén permitíos entrar diferente grupo
de personas.

Las ACLs y una http Access es una parte esencial para la instalación de un
Servidor Proxy y también son parte esencial para poder crear políticas de
seguridad las cuales nos permiten el acceso o la denegación de una pagina,.

Las listas negras hacen parte de la seguridad en Servidores Proxy ya que estas
listas tienen dominios donde se encuentran alojados los spam, virus u otras
cosas que pueden hacerle daño a nuestra información.

61
 CIBERGRAFIA

http://www.puppisoft.com/node/47

http://www.taringa.net/posts/ebooks-tutoriales/1512234/Squid-en-Windows.html

http://sarg.sourceforge.net/sarg.php

http://www.freedownloadmanager.org/es/downloads/Analizador_de_Eficiencia_
de_Calamar_20673_p/

http://rubioq.blogspot.com/2006/05/squidnt-restriccin-por-autenticacin.html

62