PROXY WEB: WPAD + FILTRADO DE PAGINAS RAUL FRANCISCO OTERO GUTIERREZ WEISSMAN ANDRES ROBAYO RODRIGUEZ 0152175 1150462 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS ADMINISTRACION DE SISTEMAS OPERATIVOS EN RED 2015 1 PROXY WEB: WPAD + FILTRADO DE PAGINAS RAUL FRANCISCO OTERO GUTIERREZ WEISSMAN ANDRES ROBAYO RODRIGUEZ 0152175 1150462 Presentado a: Ing. JEAN POLO CEQUEDA OLAGO UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS ADMINISTRACION DE SISTEMAS OPERATIVOS DE RED 2015 2 TABLA DE CONTENIDO INTRODUCCIÓN 4 OBJETIVOS 5 MARCO CONCEPTUAL 5 1. CONFIGURACION FILTRADO DE PÁGINAS 7 1.1. Creación del Backup 8 1.2. Editando Archivo De Configuración. 8 2. CONFIGURACION DE WEB PROXY CON WPAD 3. PRUEBAS DE FUNCIONAMIENTO CONCLUSIONES REFERENCIAS 3 INTRODUCCION Un servidor proxy de conexión a Internet es un servidor que hace de intermediario entre los PCs de la red y el router de conexión a Internet, de forma que cuando un usuario quiere acceder a Internet, su PC realiza la petición al servidor proxy y es el proxy quien realmente accede a Internet. Posteriormente el proxy enviará los datos al PC del usuario para que los muestre en su pantalla. El PC del usuario no tendrá conexión directa con el router, sino que las peticiones irán dirigidas al proxy y este se las pasará al router. En la siguiente imagen se puede ver un ejemplo de una red de un centro (10.0.0.0 /8) que sale a Internet a través de un proxy que está conectado a un router usando la red 192.168.1.0/24 y el router a su vez sale a Internet a través de la IP pública 80.58.195.100. 4 OBJETIVOS Con la presente actividad se pretende lograr: Estudiar el funcionamiento de web proxy con WPAD. Configurar con WPAD el web proxy en Fedora Server. Analizar el funcionamiento del filtrado de páginas. Implementar un filtrado de páginas en Fedora server. Probar el funcionamiento del web proxy y el filtrado de páginas. MARCO CONCEPTUAL PROXY O SERVIDOR PROXY [1]: en una red informática, es un servidor (un programa o sistema informático), que sirve de intermediario en las peticiones de recursos que realiza un cliente (A) a otro servidor (C). Por ejemplo, si una hipotética máquina A solicita un recurso a C, lo hará mediante una petición a B, que a su vez trasladará la petición a C; de esta forma C no sabrá que la petición procedió originalmente de A. Esta situación estratégica de punto intermedio suele ser aprovechada para soportar una serie de funcionalidades: control de acceso, registro del tráfico, prohibir cierto tipo de tráfico, mejorar el rendimiento, mantener el anonimato, proporcionar Caché web, etc; este último sirve para acelerar y mejorar la experiencia del usuario mediante permisos que guardará la web, esto se debe a que la próxima vez que se visiten las páginas web no se extraerá información de la web si no que se recuperara información de la caché. WPAD [2]: es un método utilizado por los clientes para archivo de configuración de DHCP utilizando métodos y / DNS. Una vez que la detección y descarga del archivo completado, puede ser ejecutado para determinar el proxy localizar la URL de un o de descubrimiento de de configuración se ha para una dirección URL 5 especificada. El protocolo WPAD sólo se describe el mecanismo para descubrir la ubicación de este archivo, pero el formato de archivo de configuración más comúnmente desplegado es el formato de auto-configuración de proxy diseñado originalmente por Netscape en 1996 por Netscape Navigator 2.0. [1] El protocolo WPAD fue redactado por un consorcio de compañías como Inktomi, Microsoft Corporation, RealNetworks, Inc. y Sun Microsystems, Inc. (ahora Oracle Corp.). WPAD está documentado en un Borrador de Internet, que expiró en diciembre de 1999. [2] Sin embargo, WPAD está siendo apoyado por todos los principales navegadores. [3] [4] WPAD se incluyó por primera vez con Internet Explorer 5.0. SQUID [3]: Es un proxy de almacenamiento en caché para la web de soporte de HTTP, HTTPS, FTP y mucho más. Se reduce el ancho de banda y mejora los tiempos de respuesta por el almacenamiento en caché y la reutilización de páginas web solicita con más frecuencia. Squid tiene controles de acceso extensos y hace un gran acelerador de servidor. Se ejecuta en la mayoría de sistemas operativos disponibles, incluyendo Windows y está disponible bajo la licencia GPL de GNU. 6 1. CONFIGURACION FILTRADO DE PAGINAS El sistema operativo en el que se va a implementar el servidor proxy web/caché será Fedora Server 22, por ende el gestor de paquetes será yum, mediante el comando yum install squid . El directorio por defecto del servidor squid es /etc/squid, dentro de este directorio están todos os archivos pertinentes a la configuración de la aplicación, pero existe uno de suma importancia el cual es el squid.conf, este es el archivo principal de configuración. 7 1.1 Creación de backup. Antes de hacer modificaciones en el archivo principal de configuración, por seguridad es necesario crear un backup, para ello copiamos el archivo de configuración origina Para restaurar la copia de seguridad del archivo de configuración implementamos el comando mv o cp con el mismo nombre del archivo original squid.conf 1.2 Editando Archivo De Configuración. El próximo paso consiste en editar el archivo de configuración principal del squid, para esto, lo abrimos con nuestro editor favorito, ya sea vi, nano, emacs, mcedit entre muchos otros. que podemos escoger de los repositorios de nuestro sistema operativo. Podemos navegar un poco con el archivo de configuración para irnos familiarizando con el mismo. El primer paso que haremos será comentar las líneas que aparecen resaltadas en la siguiente imagen, ellas pertenecen a las listas de acceso por defecto del squid y lo que se stá haciendo en ellas es creando acls cuando el origen del Paquete provenga de cualquiera de las posibles redes internas definidas por RFC1918. Para comentar las líneas añadimos el símbolo “#” al principio de la línea. 8 De esta manera deben quedar comentadas las acls por defecto del servidor appliance squid. De esta manera deben quedar comentadas las acls por defecto del servidor appliance squid. En las reglas por defecto el servidor squid PERMITE las listas de control de acceso o acls fue crea por defecto. Comentaremos estas líneas debido a que son innecesarias y además ya no se tienen listas de acceso para respaldar las reglas. 9 Comentaremos estas líneas debido a que son innecesarias y además ya no se tienen listas de acceso para respaldar las reglas. Aunque existe una excepción con la regla http_access allow localhost, la acl correspondiente a esta regla se encuentra en las primeras líneas del archivo de configuración, y en nuestro caso no afecta la finalidad de la topología por el direccionamiento utilizado. Por defecto el servidor squid trabaja utilizando el puerto 3128 Dentro del directorio de squid por orden se creará otro directorio llamado listas el cual contendrá todos los archivos en los que se denegarán los contenidos, palabras, dominios y demás aspectos La primera denegación que haremos será la del dominio adultos.gusfraba.int , esta página se encuentra en el servidor de Internet simulado. Para crear el archivo podemos hacerlo mediante el comando touch o simplemente con el editor de texto. Lo próximo por negar serán patrones de búsqueda, el procedimiento es exactamente el mismo que con el de denegación de dominios. Creamos un nuevo archivo de configuración dentro del directorio listas, en este caso será conocido el fichero de configuración como patrones . 10 Algunos de los patrones o palabras claves que se denegarán son los siguientes, esto depende de las necesidades de nuestra red, por ejemplo, normalmente se deniegán redes sociales no corporativas, páginas de juegos en línea... Abrimos de nuevo el archivo de configuración para agregar las listas de acceso y las reglas. Dentro del archivo de configuración se añade la lista de acceso, la sintaxis para la creación de las listas es la siguiente [acl nombre_acl tipo “ruta de archivo de configuración”] Para que las listas de acceso tengan efecto se deben crear las reglas de denegación o acceso. La sintaxis es la siguiente [http_access deny | allow nombre_de_lista_de_acceso] Es de vital importancia saber que las reglas en el servidor squid se leen de arriba hacia abajo, es decir, si se tiene en la primera línea de las reglas http_access allow all se permitirá todo tipo de contenido y no se aplicarán las reglas de denegación que están después de la primera, por ello, primero se ingresan las reglas de denegación y luego Primera por ello, primero se ingresan las reglas de denegación y luego de permitir, esto siempre y cuando se esté permitiendo explícitamente. 11 Las primeras configuraciones del archivo ya están hechas y el próximo paso consiste en reiniciar el servicio para aplicar los cambios. 12 REFERENCIAS [1] https://es.wikipedia.org/wiki/Proxy [2] https://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol [3] http://www.squid-cache.org/ 13