PROXY WEB TRANSPARENTE JUAN CARLOS MACIAS ZAMBRANO Cod: 1150328 PRESENTADO A: ING. JEAN POLO CEQUEDA OLAGO Universidad Francisco De Paula Santander San José De Cúcuta 2013 PROXY WEB TRANSPARENTE El término en ingles «Proxy» tiene un significado muy general y al mismo tiempo ambiguo, aunque invariablemente se considera un sinónimo del concepto de «Intermediario». Se suele traducir, en el sentido estricto, como delegado o apoderado (el que tiene poder sobre otro). Un Servidor Intermediario o Proxy se define como una computadora o dispositivo que ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros servicios de red. Durante el proceso ocurre lo siguiente: Cliente se conecta hacia un Servidor Proxy. Cliente solicita una conexión, archivo u otro recurso disponible en un servidor distinto. Servidor Intermediario proporciona el recurso ya sea conectándose hacia el servidor especificado o sirviendo éste desde un caché. En algunos casos el Servidor Intermediario puede alterar la solicitud del cliente o bien la respuesta del servidor para diversos propósitos. Los Servidores Proxy generalmente se hacen trabajar simultáneamente como muro cortafuegos operando en el Nivel de Red, actuando como filtro de paquetes, como en el caso de iptables, o bien operando en el Nivel de Aplicación, controlando diversos servicios, como es el caso de TCP Wrapper. Dependiendo del contexto, el muro cortafuegos también se conoce como BPD o Border Protection Device o simplemente filtro de paquetes. Una aplicación común de los Servidores Proxy es funcionar como caché de contenido de Red (principalmente HTTP), proporcionando en la proximidad de los clientes un caché de páginas y archivos disponibles a través de la Red en servidores HTTP remotos, permitiendo a los clientes de la red local acceder hacia éstos de forma más rápida y confiable. Cuando se recibe una petición para un recurso de Red especificado en un URL (Uniform Resource Locator) el Servidor Intermediario busca el resultado del URL dentro del caché. Si éste es encontrado, el Servidor Intermediario responde al cliente proporcionado inmediatamente el contenido solicitado. Si el contenido solicitado estuviera ausente en el caché, el Servidor Intermediario lo traerá desde servidor remoto, entregándolo al cliente que lo solicitó y guardando una copia en el caché. El contenido en el caché es eliminado luego a través de un algoritmo de expiración de acuerdo a la antigüedad, tamaño e historial de respuestas a solicitudes (hits) (ejemplos: LRU, LFUDA y GDSF). Los Servidores Proxy para contenido de Red (Web Proxies) también pueden actuar como filtros del contenido servido, aplicando políticas de censura de acuerdo a criterios arbitrarios. Un proxy transparente combina un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP). SQUID Squid es un Servidor Intermediario de alto desempeño que se ha venido desarrollando desde hace varios años y es hoy en día un muy popular y ampliamente utilizado entre los sistemas operativos como GNU/Linux y derivados de Unix®. Es muy confiable, robusto y versátil y se distribuye bajo los términos de la Licencia Pública General GNU (GNU/GPL). Siendo equipamiento lógico libre, está disponible el código fuente para quien así lo requiera. Entre otras cosas, Squid puede funcionar como Servidor Intermediario y caché de contenido de Red para los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, caché transparente, WWCP, aceleración HTTP, caché de consultas DNS y otras muchas más como filtración de contenido y control de acceso por IP y por usuario. Squid consiste de un programa principal como servidor, un programa para búsqueda en servidores DNS, programas opcionales para reescribir solicitudes y realizar autenticación y algunas herramientas para administración y herramientas para clientes. Al iniciar Squid da origen a un número configurable (5, de modo predefinido a través del parámetro dns_children) de procesos de búsqueda en servidores DNS, cada uno de los cuales realiza una búsqueda única en servidores DNS, reduciendo la cantidad de tiempo de espera para las búsquedas en servidores DNS. A través de un parámetro (cache_replacement_policy) Squid incluye soporte para los siguientes algoritmos para la caché: LRU, LFUDA y GDSF. PROCESO DE INSTALACION DE SQUID Ingresamos como root e instalamos squid con el siguiente comando. yum install squid Antes de configurar Squid vamos a crear 2 archivos de configuración en ”/etc/squid”: dom_prohibidos.conf: dominios que estarán prohibidos, dom_permitidos.conf: dominios que estarán permitidos Archivo dom_permitidos.conf Archivo dom_prohibidos.conf Una vez creado los archivos abrimos el archivo squid.conf para empezar la configuración con el siguiente comando. nano /etc/squid/squid.conf El número de puerto especificado en el parámetro http_port, el cual indica el puerto por el cual squid escuchara las peticiones. En las últimas versiones se puede usar el puerto por defecto (3128) y simplemente agregar la palabra transparent para hacerlo transparente, como se muestra a continuación: Buscamos http_port 3128 y añadimos transparent Lo siguiente es la lista de Control de Acceso, lo cual es necesario para definir una red o bien ciertas maquinas en particular. A cada lista se le asignará una Regla de Control de Acceso que permitirá o denegará el acceso a Squid. Añadimos las siguientes líneas. acl dom_prohibidos url_regex "/etc/squid/dom_prohibidos.conf" acl dom_permitidos url_regex "/etc/squid/dom_permitidos.conf" Una vez definidas las ACLs, las aplico para denegarlas o aceptarlas. Este conjunto de reglas van después del comentario “INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS”. Agregamos: http_access deny dom_prohibidos http_access allow dom_permitidos Guardamos y reiniciamos el servicio con el siguiente comando. Service squid restart Podemos ingresar otros comandos de configuración como: cache_mgr correo del administrador Este parámetro es de carácter informativo. De modo predefinido, si algo ocurre con el caché, como por ejemplo que muera el procesos, se enviará un mensaje de aviso a la cuenta webmaster del servidor. Puede especificarse una distinta si acaso se considera conveniente. El parámetro cache_mem establece la cantidad ideal de memoria. cache_mem 512 MB Squid incluye traducción a distintos idiomas de las distintas páginas de error e informativas que son desplegadas en un momento dado durante su operación. error_directory /urs/share/squid/errors/es Este parámetro se utiliza para establecer que tamaño se desea que utilice Squid para almacenamiento de caché en el disco duro. De modo predefinido Squid utilizará un caché de 100 MB, dividido en jerarquías de 16 directorios subordinados, hasta 256 niveles cada uno: cache_dir ufs /var/spool/squid/ 100 16 256 CONCLUSIONES Un proxy de conexión a Internet no es otra cosa que un servidor que hace de intermediario entre los PCs de la red y el router de conexión a Internet, de forma que cuando un usuario quiere acceder a Internet, su PC realiza la petición al servidor Proxy y es el Proxy quien realmente accede a Internet. La principal ventaja que ofrece la implementación de un Proxy es que Los PCs de los usuarios no tienen acceso al router, todas las comunicaciones exteriores pasarán por el Proxy, lo que nos permitirá tener las comunicaciones bajo control. Podemos permitir o denegar el acceso web, ftp, email, messenger, p2p, etc... SQUID es el Proxy Web Transparente más utilizado. El proceso de Instalación y configuración de Squid en Fedora es sencillo solamente hay que tener en cuenta los parámetros requeridos por este. BIBLIOGRAFIA http://www.alcancelibre.org/staticpages/index.php/19-0-como-squid-general http://tuxjm.net/docs/Manual_de_Instalacion_de_Servidor_Proxy_Web_con_Ubu ntu_Server_y_Squid/html-multiples/ch03s03.html http://www.ite.educacion.es/formacion/materiales/85/cd/REDES_LINUX/enrutami ento/Proxy_squid.html http://s218907966.mialojamiento.es/doc/blogspot/20080128/200801282157.pdf