SENA REGIONAL CESAR

ESPECIALIZACION TECNOLOGICA
SEGURIDAD DE REDES
CENTRO COMM

INSTALACION DE SERVIDOR-PROXY
Un servidor proxy es en principio un equipo que actúa como intermediario entre los equipos de
una red de área local (a veces mediante protocolos, con excepción del protocolo TCP/IP) e
Internet.

Generalmente el servidor proxy se utiliza para la Web. Se trata entonces de un proxy HTTP. Sin
embargo, puede haber servidores proxy para cada protocolo de aplicación (FTP, etc.).

PRINCIPIO OPERATIVO DE UN SERVIDOR PROXY

El principio operativo básico de un servidor proxy es bastante sencillo: se trata de un servidor que
actúa como "representante" de una aplicación efectuando solicitudes en Internet en su lugar. De
esta manera, cuando un usuario se conecta a Internet con una aplicación del cliente configurada
para utilizar un servidor proxy, la aplicación primero se conectará con el servidor proxy y le dará la
solicitud.

El servidor proxy se conecta entonces al servidor al que la aplicación del cliente desea conectarse y
le envía la solicitud. Después, el servidor le envía la respuesta al proxy, el cual a su vez la envía a la
aplicación del cliente.

CARACTERÍSTICAS DE UN SERVIDOR PROXY

En lo sucesivo, con la utilización de TCP/IP dentro de redes de área local, la función de
retransmisión del servidor proxy está directamente asegurada por pasarelas y routers. Sin

01/02/2011 ING. GIOVANNI BRACHO T.

E3T UIS
 SENA REGIONAL CESAR
ESPECIALIZACION TECNOLOGICA
SEGURIDAD DE REDES
CENTRO COMM

embargo, los servidores proxy siguen utilizándose ya que cuentan con cierto número de funciones
que poseen otras características.

ALMACENAMIENTO EN CACHÉ
La mayoría de los proxys tienen una caché, es decir, la capacidad de guardar en memoria (“en
caché”) las páginas que los usuarios de la red de área local visitan comúnmente para poder
proporcionarlas lo más rápido posible. De hecho, el término "caché" se utiliza con frecuencia en
informática para referirse al espacio de almacenamiento temporal de datos (a veces también
denominado "búfer").

Un servidor proxy con la capacidad de tener información en caché (neologismo que significa:
poner en memoria oculta) generalmente se denomina servidor "proxy-caché".

FILTRADO
Por otra parte, al utilizar un servidor proxy, las conexiones pueden rastrearse al crear registros de
actividad (logs) para guardar sistemáticamente las peticiones de los usuarios cuando solicitan
conexiones a Internet.

Gracias a esto, las conexiones de Internet pueden filtrarse al analizar tanto las solicitudes del
cliente como las respuestas del servidor. El filtrado que se realiza comparando la solicitud del
cliente con una lista de solicitudes autorizadas se denomina lista blanca; y el filtrado que se realiza
con una lista de sitios prohibidos se denomina lista negra. Finalmente, el análisis de las respuestas
del servidor que cumplen con una lista de criterios (como palabras clave) se denomina filtrado de
contenido.

AUTENTICACIÓN
Como el proxy es una herramienta intermediaria indispensable para los usuarios de una red
interna que quieren acceder a recursos externos, a veces se lo puede utilizar para autenticar
usuarios, es decir, pedirles que se identifiquen con un nombre de usuario y una contraseña.
También es fácil otorgarles acceso a recursos externos sólo a las personas autorizadas y registrar
cada uso del recurso externo en archivos de registro de los accesos identificados.

Este tipo de mecanismo, cuando se implementa, obviamente genera diversos problemas

relacionados con las libertades individuales y los derechos personales.

SERVIDORES DE PROXY INVERSOS

Un proxy inverso es un servidor proxy-caché "al revés". Es un servidor proxy que, en lugar de
permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder
indirectamente a determinados servidores internos.

01/02/2011 ING. GIOVANNI BRACHO T.

E3T UIS
 SENA REGIONAL CESAR
ESPECIALIZACION TECNOLOGICA
SEGURIDAD DE REDES
CENTRO COMM

El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que
desean acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy
inverso, el servidor web está protegido de ataques externos directos, lo cual fortalece la red
interna. Además, la función caché de un proxy inverso puede disminuir la carga de trabajo del
servidor asignado, razón por la cual se lo denomina en ocasiones acelerador de servidor.

Finalmente, con algoritmos perfeccionados, el proxy inverso puede distribuir la carga de trabajo
mediante la redirección de las solicitudes a otros servidores similares. Este proceso se
denomina equilibrio de carga.

SERVIDORES PROXY

Este tipo de servidor lleva a cabo algunas funciones como representante de otros clientes
(computadoras) en la red para incrementar el rendimiento de ciertas operaciones (por ejemplo,
servir como caché de documentos y otros datos) o para servir como barrera de seguridad (por
ejemplo, navegación anónima, o filtrado de los datos de entrada peligrosos).

Los servidores proxy no permiten un tráfico directo entre las partes.

FUNCIONAN COMO SERVIDOR DE SEGURIDAD Y COMO FILTRO DE CONTENIDOS.

Son un mecanismo de seguridad implementado por el ISP o los administradores de la red en un

entorno de Intranet para desactivar el acceso o filtrar las solicitudes de contenido para ciertas
sedes Web consideradas ofensivas o dañinas para la red y los usuarios.

MEJORAN EL RENDIMIENTO.

Guardan en la memoria caché las páginas Web a las que acceden los sistemas de la red durante un
cierto tiempo. Cuando un sistema solicita la misma página web, el servidor proxy utiliza la
información guardada en la memoria caché en lugar de recuperarla del proveedor de contenidos.
De esta forma, se accede con más rapidez a las páginas Web.

Esta característica, implementada en algunos servidores proxy, se utiliza para disminuir tanto el
uso de ancho de banda en Internet como el tiempo de acceso a los documentos de los usuarios.

Sin embargo, para lograr esto, el proxy debe comparar los datos que almacena en la memoria
caché con los datos remotos de manera regular para garantizar que los datos en caché sean
válidos.

PROXY-WEB

Un proxy web es utilizado para interceptar la navegación de páginas web por motivos de
seguridad, anonimato, rendimiento, etc.

Un proxy web se puede acceder por una dirección IP, gratuito o de pago, que es agregada a un
navegador (también existen programas proxy para evitar el proceso de configuración). Cuando
01/02/2011 ING. GIOVANNI BRACHO T.
E3T UIS
 SENA REGIONAL CESAR
ESPECIALIZACION TECNOLOGICA
SEGURIDAD DE REDES
CENTRO COMM

alguien utiliza el navegador, todo lo que se haga en el mismo pasa primero por el proxy primero (el
servidor proxy). O sea, si se pide una página web el proxy remoto se encarga de buscarla y enviarla
a nuestra computadora. En este paso intermedio el proxy puede servir para:

NAVEGACIÓN ANÓNIMA: Si el proxy está configurado de esta manera, todo aquel que navegue a
través de ese proxy lo hará de forma anónima, las páginas destino no podrán saber la dirección IP
(la identificación) de la computadora que navega; sólo verán la dirección IP del proxy. Si un proxy
no está configurado para ser anónimo se dice que es de navegación transparente.

NAVEGACIÓN SEGURA: un proxy se encarga de filtrar o alertar sobre aquellas páginas web
inseguras o filtran el contenido indeseado (como contenido adulto).

NAVEGACIÓN MÁS RÁPIDA: ya sea porque el proxy tiene una mejor conexión a internet y envía al
navegador más rápido los datos, o porque el proxy funciona como caché, guardando las páginas
más visitadas (o las visitadas recientemente).

CONTROL DEL TRÁFICO: existen programas espías y otros malwares que configuran la
computadora para que todo el tráfico web pase primero por un proxy. Este proxy se encarga de
espiar el tráfico, pudiendo sacar todo tipo de información del usuario. Si los datos (como claves y
tarjetas de crédito) no están cifrados, cualquiera puede leerlos. Este tipo de proxy también puede
enviar publicidad a las computadoras infectadas (publicidad que no existe en las páginas web
originales).

CONFIGURACIÓN DE UN SERVIDOR PROXY

Sin duda, el proxy más utilizado es Squid, un software de uso libre y gratuito, disponible para
diversas plataformas que incluyen a Windows y Linux.
01/02/2011 ING. GIOVANNI BRACHO T.
E3T UIS
 SENA REGIONAL CESAR
ESPECIALIZACION TECNOLOGICA
SEGURIDAD DE REDES
CENTRO COMM

En Windows, existen diferentes programas para configurar un servidor proxy en una red de área
local a un bajo costo:

WINGATE
Es la solución más común (pero no es gratuito). La configuración de un proxy con un servidor
Jana cada vez es más común

Windows 2000 incluye Microsoft Proxy Server (MSP), que funciona con Microsoft Proxy Client.

SERVIDOR PROXY –SQUID

Squid es el software para servidor Proxy, más popular y extendido entre los sistemas operativos
basados sobre UNIX. Es muy confiable, robusto y versátil. Al ser software libre, además de estar
disponible el código fuente, está libre del pago de costosas licencias por uso o con restricción a un
uso con determinado número de usuarios.

¿COMO FUNCIONA ESTE SERVICIO?

Existen dos tipos de servidores proxy

 Servidores proxy de aplicación

 Servidores proxy SOCKS

SERVIDOR PROXY DE APLICACIÓN: Con un servidor proxy de aplicación el proceso se automatiza.

El servidor proxy establece la comunicación con el servidor que ha solicitado (el mundo exterior) y
le devuelve los datos.

SERVIDOR PROXY DE SOCKS: Se parece bastante a un panel de conmutación. Tan sólo establece la
conexión entre su sistema y otro sistema externo. La mayoría de los servidores SOCKS presentan el
inconveniente de que sólo trabajan con conexiones del tipo TCP y como cortafuegos no
suministran autenticación para los usuarios. Sin embargo, su ventaja es que registran los sitios a
los que cada usuario se ha conectado.

¿CUALES SON LOS BENEFICIOS AL INSTALAR UN SERVIDOR PROXY EN LINUX?

 Acceso transparente a Internet, por medio de cualquier programa, y a cualquier servicio

(Netscape, Opera, Internet Explorer, CuteFTP...).

 Mayor velocidad en la navegación: aquellas páginas que hayan sido visitadas serán guardadas
en el servidor para que no haya que solicitarlas de Internet salvo que hayan cambiado.

 Optimización de uno o varios accesos ADSL que disponga.

 Posibilidad de un control absoluto de los accesos a Internet, por fecha, hora, lugar, e incluso
persona.

 Capacidad de control de Paginas prohibidas

01/02/2011 ING. GIOVANNI BRACHO T.
E3T UIS
 SENA REGIONAL CESAR
ESPECIALIZACION TECNOLOGICA
SEGURIDAD DE REDES
CENTRO COMM

¿SOFTWARE REQUERIDO?

 Squid-3 o SUPERIOR
 Httpd-2.0.x (Apache)
 Todos los parches de seguridad disponibles para la versión del sistema operativo que esté
utilizando.

¿HARDWARE REQUERIDO?

 Requerimientos mínimos:
Servidor a 250 Mhz, 256 MB RAM, 8 GB disco duro

¿DONDE PUEDO ENCONTRAR MAYOR INFORMACIÓN?

http://www.squid-cache.org/

PROCEDIMIENTO DE INSTALACION Y CONFIGURACION

Primero debemos ingresar al sistema y autenticarnos como superusuario

PRIMERO INSTALAMOS EL SQUID

sudo aptitude install squid3

AHORA SE EDITA EL ARCHIVO DE CONFIGURACION

nano /etc/squid3/squid.conf

COMO EL ARCHIVO ES MUY GRANDE AHORA MOVEMOS EL ARCHIVO A OTRA UBICACION PARA
PREVENIR UNA EQUIVOCACION

mv /etc/squid3/squid.conf /etc/squid3/squid.conf_viejo

AHORA CREAMOS EL NUEVO ARCHIVO

nano /etc/squid3/squid.conf

Este archivo está vacío lo que nos facilita la configuración

SE ASIGNA EL NOMBRE DEL SERVIDOR PROXY QUE VERAN EN AVISOS LOS USUARIOS

visible_hostname joseproxy

EL PASO SIGUIENTE ES DARLE ACCESO A INTERNET A TODA LA RED CONECTADA AL PROXY

01/02/2011 ING. GIOVANNI BRACHO T.

E3T UIS
 SENA REGIONAL CESAR
ESPECIALIZACION TECNOLOGICA
SEGURIDAD DE REDES
CENTRO COMM

acl all src 0.0.0.0/0.0.0.0

SE ASIGNA EL PUERTO DE ESCUCHA DEL PROXY

http_port 8080

SE ASIGNA LA DIRECCION DEL DIRECTORIO DONDE ESTAN LAS PALABRAS RESTRINGIDAS

acl no permitidos url_regex “/etc/squid3/palabrasrestringidas”

AHORA SE ASIGNAN LOS PERMISOS Y SE AUTORIZA O NIEGA EL ACCESO

http_access deny nopermitidos

Guardamos ctrl+o y ctrl +x para salir

CREAMOS EL ARCHIVO PALABRAS RESTRINGIDAS

nano /etc/squid3/palabrasrestringidas

EN ESTE ARCHIVOS ESCRIBIMOS LAS PALABRAS QUE QUEREMOS BLOQUEAR

Ejemplo:
xxx
taringa

Guardamos ctrl + o y ctrl +x para salir

REINICIAMOS EL SERVICIO

/etc/init.d/squid3/ restart

CONFIGURAMOS NUESTRA TARJETA DE RED PRIMARIA

nano /etc/network/interfaces

ASIGNAMOS LA IP DE FORMA ESTATICA Y COLOCAMOS LA DIRECCION Y RED

auto eth0
iface lo inet static
address 192.168.1.11
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

01/02/2011 ING. GIOVANNI BRACHO T.

E3T UIS
 SENA REGIONAL CESAR
ESPECIALIZACION TECNOLOGICA
SEGURIDAD DE REDES
CENTRO COMM

Guardamos y salimos

REINICIAMOS LA INTERFAZ

/etc/init.d/networking restart

VERIFICAMOS NUESTRA TARJETA PARA VER SI HAN SURTIDO EFECTO LOS CAMBIOS APLICADOS

Ifconfig

VOLVEMOS AL ARCHIVO DEL PRINCIPIO

nano /etc/squid3/squid.conf

AÑADIMOS DOS NUEVAS LINEAS

ESTA ACL VA A RESTRINGIR DOMINIOS DE DIRECCIONES WEB

acl nowebs dstdomain “/etc/squid3/webrestringidas”

Y ESTA ACL BLOQUEA EL ACCESO A LAS PAGINAS QUE SE ENCUENTREN EN EL ARCHIVO

http_access deny nowebs

AHORA CREAMOS EL ARCHIVO DONDE VAMOS A RESTRINGIR

nano /etc/squid3/webrestringidas

ESCRIBIMOS LAS PAGINAS QUE QUEREMOS RESTRINGIR

www.taringa.net
www.youtube.com

Guardamos y reiniciamos los servicios

/etc/init.d/squid3 restart

Y ahora hay que probar que el servicio corra en el usuario

01/02/2011 ING. GIOVANNI BRACHO T.

E3T UIS