Montaño Rodriguez v5

Universidad
Autnoma
Gabriel
Ren Moreno
FACULTAD DE CIENCIAS DE LA COMPUTACION Y
TELECOMUNICACIONES
ING. REDES Y TELECOMUNICACIONES
Implementacin de un servidor Web Caching para la

red Wi-Fi como prueba piloto
Docente
: Ing. Javier Alanoca Gutirrez

: Ing. Junior Villagmez
Carrera
: Ing. En Redes y Telecomunicaciones
Materia
: Taller de Grado I
Sigla
: INF511
Integrantes:
- Juan Pablo Montao Gutirrez
- Oscar Rodrguez Martino
SANTA CRUZ BOLIVIA
Resumen
[Montao Rodrguez]
[IMPLEMENTACIN DE UN SERVIDOR WEB CACHING]
Un servidor de Web Caching tiene como finalidad compartir la

informacin cacheada de Internet a varios usuarios al mismo tiempo. Los
dispositivos conectados a la red, realizan sus peticiones al servidor
Cach, el cual tiene la posibilidad de almacenar las pginas web que ya
han sido visitadas anteriormente, con el fin de reducir el tiempo de
conexin
y el uso de ancho de banda. Al recibir las peticiones, el
servidor buscar dentro de s, si posee la pgina o el recurso

especificado, proceder a compartirlo con el dispositivo respectivo.
La necesidad de este proyecto naci por la necesidad de los alumnos,
docentes y administrativos de la universidad Gabriel Ren Moreno, de
experimentar tasas ms altas de velocidad y reducir los tiempos de
conexin, al estar conectados a Internet a travs de la red de la misma.
Tabla de contenido
Pgina
[Montao Rodrguez]
Tabla de Figuras.............................................................................................. 6
Tabla de Tablas................................................................................................. 8
Captulo I: Introduccin al Proyecto...........................................................10
1. Introduccin.......................................................................................... 10
2. Definicin del Problema......................................................................11
2.1. Situacin Problemtica.................................................................11
2.2. Situacin Deseada.........................................................................11
3. Objetivos............................................................................................... 11
3.1. Objetivo general............................................................................ 11
3.2. Objetivos especficos....................................................................11
4. Metodologa.......................................................................................... 12
4.1. Requerimientos.............................................................................. 12
4.2. Anlisis / Evaluacin......................................................................13
4.3. Diseo.............................................................................................. 13
4.4. Anlisis de riesgos.........................................................................13
4.5. Implementacin y pruebas...........................................................14
Capitulo II: Universidad Gabriel Ren Moreno..........................................16
1. Misin y visin de la UAGRM..............................................................17
1.2. Misin.............................................................................................. 17
1.3. Visin............................................................................................... 17
3. Organizacin......................................................................................... 17
4. Funcionarios.......................................................................................... 19
5. Topologa Actual de la red Wi-Fi........................................................20
6. Anlisis del trfico de la red Wi-Fi....................................................21
Capitulo III: Web Caching............................................................................. 23
Qu es Caching Proxy Web?...................................................................24
1. RFC2186: Protocolo de cach de Internet (ICP), versin 2...........25
1.1. Formato del mensaje ICP..............................................................25
2. RFC2187: Aplicacin del Protocolo de cache de Internet (ICP)....27
3. Estndar IEEE 802.11..........................................................................28
3.1. Arquitectura del estndar 802.11................................................28
3.2. Topologa de Red en 802.11..........................................................28
4. Ubuntu (Linux)...................................................................................... 31
Pgina
[Montao Rodrguez]
5. G++........................................................................................................ 32
6. Squid...................................................................................................... 33
5.1. Caractersticas de Squid...............................................................33
5.2. Funcionamiento de Squid.............................................................35
5.3. Configuracin de Squid.................................................................37
5.4. Autenticacin y autorizacin de usuarios..................................41
Capitulo IV: Anlisis de requerimientos....................................................43
1. Requerimientos de Hardware............................................................43
1.1. CPU................................................................................................... 43
1.2. Memoria.......................................................................................... 44
2. Disco duro y sistemas de archivos....................................................45
2.1. Disco duro....................................................................................... 45
2.2. Sistemas de Archivos....................................................................46
3. Requerimientos de Conectividad.......................................................48
Captulo V: Anlisis e Identificacin de Riesgos....................................52
1. Riesgos Fsicos..................................................................................... 52
1.1..........................................................Riesgos por Amenazas Naturales
52
1.2. Riesgos por Factores Tecnolgicos.............................................52
1.3. Riesgos por Amenazas en la Organizacin................................52
1.4. Riesgos por Amenazas a la Infraestructura..............................52
1.5. Riesgos por Amenazas Humanas................................................53
1.6. Riesgos por Amenazas de Ataques Intencionados...................53
1.7........................................................................Valoracin de los Riesgos
53
1.7.1. Probabilidad................................................................................ 53
1.7.2. Impacto........................................................................................ 54
2. Riesgos Lgicos.................................................................................... 57
2.1. Cdigos maliciosos........................................................................57
2.2. Fuga de informacin......................................................................60
2.3. Ingeniera social............................................................................. 60
2.4. Denegacin de servicios...............................................................61
Captulo VI: Diseo de la red (Topologa Lgica / Fsica)........................63
1. Equipamiento actual de la red Wi-Fi de la UAGRM.........................63
Pgina
[Montao Rodrguez]
2. Anlisis del diseo............................................................................... 64

2.1. Ubicacin de los Access Point.......................................................64
2.2. Estadsticas, velocidades y configuracin de los Microtik.......64
2.3. Estadsticas, pruebas y velocidades de los Access Point.........66
3. Equipos.................................................................................................. 67
2.1. Router ISP......................................................................................... 67
2.2. Transceivers..................................................................................... 68
2.3. Microtik RouterBoard 1100............................................................69
2.4. Dell PowerConnect 6224P..............................................................71
2.5. Access Point WBS 2400 omnidireccional.....................................71
2.6. Topologa Lgica de la red Wi-Fi.................................................76
2.7. Nueva Topologa Fsica de la red Wi-Fi con el servidor
instalado................................................................................................... 77
2.8. Equipo exterior de la red Wi-Fi....................................................78
2.9. Segmentos IP.................................................................................. 82
2.10.
Diseo Fsico del servidor.........................................................84
Capitulo VII: Implementacin......................................................................88

1. Identificar la manera ms eficiente de implementar Squid..........88
2. Obtener Squid....................................................................................... 89
3. Configurando Squid............................................................................. 93
3.1 Configuraciones posibles de Squid................................................93
4. Compilando cdigo de Squid............................................................102
5. Instalando Squid................................................................................ 115
6. Configuracin del servidor Web Caching.......................................119
7. Montando el disco.............................................................................. 123
8. Exportando el ejecutable..................................................................123
9. Iniciando Squid................................................................................... 123
10. Analizando el trfico con Wireshark...............................................124
Capitulo VIII: Costos.................................................................................... 129
11. Costos de los equipos........................................................................129
12. Costos de la Implementacin...........................................................130
13. Costo Total........................................................................................... 130
Capitulo IX: Conclusin............................................................................... 132
Pgina
[Montao Rodrguez]
Bibliografa................................................................................................... 134
Tabla de Figuras
Figura 1: Ubicacin de la Universidad Gabriel Ren Moreno
.16
Figura 2: Topologia Red Wi-Fi Actual.
.20
Figura 3: Anlisis del trfico de la red Wi-Fi
..21
Figura 3: Una transaccin Proxy
Web.24
Figura 4: Cabecera del protocolo
ICP25
Figura 5: Dispositivos conectados a travs de una red WLAN
ADHOC29
Figura 6: Dispositivos conectados a travs de una red WLAN con
AP...29
Figura 7: Logo representativo de
Ubuntu.32
Figura 8: Logo de Squid Proxy Cache
.32
Figura 9: Funcionamiento de
Squid..36
Figura 10: Imagen del Rack en
estudio..63
Figura 11: Ubicacin de los Access Point de la red WiFi....64
Figura 12: Configuracin de los Access
Point...65
Pgina
[Montao Rodrguez]
Figura 13: Estadsticas de los equipos Microtik

.65
Figura 14: Lista de elementos actualmente sincronizados a la red.
66
Figura 15: Tabla de direcciones por arp, tracert y velocidad de la
red..66
Figura 16: Promedio total de datos
enviados/recibidos..67
Figura 17: Router
ISP
..68
Figura 18:
Transceivers
..69
Figura 19: MicroTik RouterBoard
1100..70
Figura 20: Dell PowerConnect
6224P..71
Figura 21: Access Point WSB 2400 en la universidad
UAGRM..75
Figura 22: Topologa Lgica de la red WiFi.76
Figura 23: Nueva Topologa Fsica de la red Wi-Fi con el servidor
instalado.77
Pgina
[Montao Rodrguez]
Figura 24: Modelo Fsico de la

topologa. 78
Figura 25: Interconexin de equipos en la zona del CPD
...78
Figura 26: Cajas de terminacin Zona UV-13
..79
Figura 27: Interconexin de equipos CPD UV-13
....80
....80
Figura 29: Interconexin de equipos para Backhaul inalmbrico
...81
Figura 30: Diagrama lgico de la red Wi-Fi
...82
Figura 31: Servidor HP Proliant ML350P Gen
8...86
Figura 32: Pgina de descarga del software
Squid...89
Figura 33: Distintos paquetes del software
Squid....90
Figura 34: Squid-3.4.9.tar.gz elegido para el presente
trabajo...91
Figura 35: Descompresin del Software Squid...
...92
Figura 36: Descripcin resumida para configurar Squid..
....93
Pgina
[Montao Rodrguez]
Figura 37: Proceso de compilacin del cdigo de

Squid.102
Figura 38: Proceso de configuracin de
Squid105
Figura 39: Compilacin del
servidor..1
10
Figura 40: Instalacin del servidor
Squid116
Figura 41: Archivos de configuracin principales de
Squid..118
Figura 42: Directorios del
cach
118
Figura 43: Montaje de la particin del
disco123
Figura 44: Configuracin del navegador con
Squid124
Figura 45: Anlisis del trfico con WireShark (1)
.124
.124
.125
.126
.127
Figura 50: Anlisis del trfico con WireShark (6).
...127
Figura 51: Diseo completo de la red Wi-Fi de la UAGRM
...133
Pgina
[Montao Rodrguez]
Tabla de Tablas
Tabla 1: Principales administrativos de la
Institucin.18
Tabla 2: Principales Administrativos de la Facultad de
origen.18
Tabla 3: Posibles valores del campo
Opcode.25
Tabla 4: Banderas de opciones en el campo
Opciones..26
Tabla 5: Tabla de
Probabilidad
.53
Tabla 6: Tabla de
Impacto
54
Tabla 7: Matriz de
Riesgo
.54
Tabla 8: Identificacin de
Activos
..55
Tabla 9: Especificaciones del Router Microtik
RB1100..70
Tabla 9: Costos de los
equipos
.....123
Pgina
10
[Montao Rodrguez]
Tabla 10: Costos de

Configuracin
.124
Tabla 11: Costo
Total
.124
Pgina
11
[Montao Rodrguez]
Captulo I: Introduccin al proyecto
Captulo I: Introduccin al Proyecto

1. Introduccin
La universidad Autnoma Gabriel Ren Moreno, como en la mayora de
las universidades dentro de nuestro territorio nacional, cuenta con una
red Wi-Fi de libre conexin que brinda a sus usuarios una salida a
Internet y otra variedad de servicios tales como el intercambio de
informacin y archivos de distinta naturaleza. Esta red universitaria
actualmente no cuenta con el servicio de un servidor Web Caching.
Pgina
12
[Montao Rodrguez]
Segn estudios realizados anteriormente, el ancho de banda que la

empresa de telecomunicaciones ENTEL s.a. brinda a la universidad
Gabriel Ren Moreno es de 60 Mbit/s, repartido para las distintas reas
administrativas y estudiantiles. Se estima que el nmero total de
personas que circulan las instalaciones universitarias diariamente, llegan
a la cifra de 51.977 personas, segn un estudio realizado por el equipo
de *Universia Bolivia.
Ahora, suponiendo que 3 de cada 5 de estas personas utilizan la red WiFi, conectados a travs de cualquier dispositivo inteligente como ser un
celular Smartphone o una Laptop, entonces tendramos alrededor de
31.186 personas que establecen conexin a la red a lo largo del da. Esta
cantidad resulta abismal tomando en cuenta que dichas personas
realizan descargas de distinta naturaleza, ocupando precioso ancho de
banda que podra ahorrarse con el uso de un servidor Cach o Web
Caching.
Por lo tanto, la implementacin de un servidor Web Caching en la red WiFi, permitir el uso de la tcnica mediante la cual, se almacenan
temporalmente algunos datos de la web en los servidores locales, de
manera que no haya que pedirlos al servidor remoto cada vez que un
usuario del sistema lo solicita. Este servidor trabajar estrictamente para
la
universidad
especificada
esta
su
vez,
estar
encargada
directamente de su gestin y administracin. El servidor Web Caching

ser instalado junto con los servidores que administran la conexin Wi-Fi
ya nombrada.
2. Definicin del Problema
2.1. Situacin Problemtica
Los alumnos, docentes y administrativos de la universidad Gabriel Ren
Moreno, se enfrentan a un terrible problema en lo que supone a la
Pgina
13
[Montao Rodrguez]
utilizacin de la red Wi-Fi de libre acceso y, en la bsqueda de la salida a

Internet desde los mdulos universitarios, experimentando altas tasas
de retardo y lentitud en la descarga por parte de sus usuarios. Debido a
esto, los usuarios no pueden aprovechar de una manera eficiente el
servicio.
2.2. Situacin Deseada
Con la instalacin de este servidor se espera agilizar la navegacin,
bsqueda y descarga de datos en la red Wi-Fi, a la experiencia de los
usuarios, mejorando el tiempo de conexin de las pginas; guardando
los recursos que se quieren compartir para que, al hacer una peticin de
descarga de ese recurso, no sea necesaria realizar una conexin a los
servidores exteriores que incrementan la latencia o ping, provocando
lentitud; satisfaciendo a la peticin del recurso localmente. Tambin
gracias a este sistema se reducir la demanda del ancho de banda por
parte de los usuarios del sistema, aligerando an ms la carga del
servidor principal.
3. Objetivos
3.1. Objetivo general
Disear un Servidor Cach mediante la tcnica WEB CACHING a
nivel de prueba piloto para la red Wi-fi de libre conexin de la
universidad, utilizando software libre, para comprobar si as se
obtiene un mejor desenvolvimiento y experiencia en el uso de esta
red de la universidad Gabriel Ren Moreno.
3.2. Objetivos especficos
Obtener permiso del CPD de la UAGRM.
Obtener informacin del CPD de la UAGRM.
Anlisis de costo y beneficios.
Compilacin del cdigo del servidor para su posterior uso.
Implementar el servidor en la red.
Realizacin de pruebas con el Servidor.
Pgina
14
[Montao Rodrguez]
Estudio de polticas de seguridad aplicable al servidor
4. Metodologa
Los pasos a seguir que se utilizarn para la elaboracin del proyecto
irn de acuerdo a los siguientes puntos:
Requerimientos
Anlisis / Evaluacin
Diseo
Anlisis y Estimacin de costo financiero
Anlisis de riesgos
Implementacin y pruebas
Se debe considerar a cada punto como un prerrequisito indispensable

para el siguiente punto.
4.1. Requerimientos
Los requerimientos necesarios para la realizacin del proyecto deben ser
obtenidos de la investigacin, estudio y observacin de la red
universitaria.
Contar con un estudio o estadstica del trfico de la red.

La adquisicin del hardware especfico donde se hospedar el
servidor Cach.
4.2. Anlisis / Evaluacin

Para alcanzarla la fase de anlisis, se debe contar con la informacin y
material mencionado anteriormente.
Pgina
15
[Montao Rodrguez]
La simulacin del servidor Cach en varios estados de trabajo,
para analizar su rendimiento.

El estudio del rea de trabajo del servidor, ya que necesita de un
ambiente controlado para trabajar.
4.3. Diseo
Esta seccin destaca la estructura de la red que tendr el proyecto.
Realizar un informe detallado de todos los equipos necesarios a
adquirir.
Diseo de la red en la que se establecer el servidor Cach.
Establecer una conexin directa entre el servidor Cach y el
servidor interno.
4.4. Anlisis de riesgos

Se debe tomar en cuenta muchos aspectos para la seguridad del
servidor, del usuario y de la informacin. Para esto se realizar un
anlisis de riesgos una vez se tenga el servidor en marcha.
Hablando sobre la seguridad con el exterior (Internet), nos basamos en
la idea que el servidor se encontrar alojado en la red principal de la
universidad, donde tambin se encuentran otros servidores y que ya
cuentan con un sistema de seguridad. Dado lo contrario, se realizara una
investigacin para proponer el mejor modo de proteger al servidor.
4.5. Implementacin y pruebas

Se pondr en marcha el servidor una vez implementado segn todas las
medidas mencionadas anteriormente.
Pgina
16
[Montao Rodrguez]
Utilizacin de software sniffer tal como Wireshark para el rastreo
e inspeccin del correcto funcionamiento del servidor.

Aplicaciones para la medicin de la velocidad de descarga y
tiempos de conexin al servidor con el fin de obtener una
comparacin de resultados satisfactoria.
Pgina
17
[Montao Rodrguez]
Capitulo II: Universidad Gabriel Ren

Moreno
Capitulo II: Universidad Gabriel Ren Moreno

La Universidad Autnoma Gabriel Ren Moreno, es el centro de estudios
superiores ms importante del departamento de Santa Cruz. Acoge en
sus aulas a ms de 41.000 estudiantes de todo el territorio Nacional. En
la ciudad de Santa Cruz de la Sierra, capital del Departamento cuenta
con diez facultades donde se imparten 41 carreras, de las diferentes
Pgina
18
[Montao Rodrguez]
reas del conocimiento. La UAGRM, ha considerado de vital importancia

descentralizar la enseanza Acadmica y Profesional llegando a todas
las provincias y regiones del Departamento, a travs de Facultades o de
Unidades Acadmicas y del ICAP, creadas en funcin de las necesidades
de la poblacin crucea, y de esta manera cumplir con su Misin de
formar recursos humanos altamente capacitados, base para el desarrollo
departamental y nacional.
Figura 1: Ubicacin y espacio de la Universidad Autnoma Gabriel Ren

Moreno.
Fuente: Google Maps (2014).
La Universidad Autnoma Gabriel Ren Moreno est ubicada en la

Ciudad de Santa Cruz de la Sierra, Bolivia, en la Calle Venezuela entre
1er y 2do anillo de la Av. Centenario, y tambin en la Av. 26 de Febrero
(2do anillo) entre Av. Hernando Sanabria (prolongacin Av. Centenario) y
Av. Busch.
Pgina
19
[Montao Rodrguez]
1. Misin y visin de la UAGRM

1.2.
Misin
La misin es de formar profesionales de xito, con la finalidad de

contribuir al desarrollo humano sostenible de la sociedad y de la regin,
mediante
la
investigacin
cientfico/tecnolgica
la
extensin
universitaria.
1.3.
Visin
Desarrollar funciones de extensin universitaria e interaccin social, en

el marco de las actividades de la docencia y la investigacin cuyo fin el
de contribuir al mejoramiento de la calidad de vida de la poblacin,
preservar el medio ambiente y fortalecer la identidad cultural.
2. Objetivos
La UAGRM se cre con los siguientes objetivos:
Crear las condiciones para la investigacin y el anlisis cientfico

de la realidad boliviana, promoviendo la ms amplia libertad
acadmica.
Promover a la formacin cientfica y humanstica del profesional,
con sentido social e histrico.

Promover el perfeccionamiento pedaggico, cientfico y profesional
del sistema educativo nacional.

Formar profesionales idneos en todas las reas del conocimiento
cientfico, tecnolgico, social, humanstico, econmico y cultural
que respondan a las necesidades del desarrollo nacional y
regional. (U.A.G.R.M, 2014).

3. Organizacin
La Universidad Autnoma Gabriel Ren Moreno es autnoma, es decir,
tiene su Estatuto, elige sus propias autoridades y administra su
patrimonio cultural, fsico, econmico y financiero.
Pgina
20
[Montao Rodrguez]
El Gobierno de la Universidad lo ejercen los profesores y los alumnos,

dentro del rgimen paritario de representacin por medio de los
siguientes rganos:
El Claustro
Universitario:
lo
forman
la
totalidad
de
los
profesores de las distintas Facultades, Escuelas e Institutos

dependientes de la Universidad y en un nmero igual de alumnos
delegados, elegidos en cada establecimiento de acuerdo al
nmero de profesores del mismo. Sus atribuciones son: elegir al
Rector
Vicerrector
de
la
Universidad;
considerando
sus
renuncias; y removerlos, considerando y votando su destitucin

por
causas
justificadas,
solicitud
motivada
del
Consejo
Universitario.
Consejo Universitario: mximo organismo legislativo de la
Universidad, conformado por el Rector de la Universidad, que lo
preside; el Vicerrector de la Universidad; los Decanos o Directores
de las Facultades, Escuelas e Institutos dependientes de la
Universidad; el Secretario de la Federacin Universitaria Local; los
Secretarios de Gobierno de los Centros de Estudiantes de cada
Facultad, Escuela e Instituto; y el Secretario General de la
Universidad que actuar como Secretario del Consejo, sin derecho
a voto.
El Rector: es la primera autoridad ejecutiva, quien es elegido por
el Claustro Universitario, por mayora absoluta de sus miembros
presentes, de acuerdo a lo establecido en el Estatuto Orgnico de
la Universidad.
El Vicerrector: asiste con carcter consultivo al Rector de la
Universidad; es miembro nato del Consejo Universitario y tiene por
misin especfica la direccin y coordinacin de las actividades
acadmicas.
Pgina
21
[Montao Rodrguez]
4. Funcionarios
Rector:
Vice-Rector:
Secretario
Universidad Gabriel Ren Moreno

M. Sc. Saul Rosas Ferrufino
Dr. Oswaldo Ulloa Pea
Ing. Carlos Martinez Bonilla
General:
Tabla 1: Principales administrativos de la Institucin.
Facultad de Ingeniera en Ciencias de la Computacin y

Decano:
Sub-Decano:
Telecomunicaciones
Ing. Juan Carlos Alberto Contreras
Ing. Mario Milton Lopez Winnepeg
Tabla 2: Principales Administrativos de la Facultad de origen.

Fuente: Informacin de la pgina oficial de la UAGRM (2014).
Pgina
22
[Montao Rodrguez]
5. Topologa Actual de la red Wi-Fi
Figura 2: Topologa de la red Wi-Fi actual

Fuente: Referencia propia
Pgina
23
[Montao Rodrguez]
6. Anlisis del trfico de la red Wi-Fi
Figura 3: Anlisis del trfico de la red Wi-Fi de un da.

Fuente: Informacin brindada gracias a la administracin del CPD.
En la figura anterior podemos observar el anlisis del trfico de la red

Wi-Fi de la UAGRM durante todo un dia. Se puede observar que los
horarios de mayor carga se encuentran en los horarios de 18:00 a 21:00.
Pgina
24
[Montao Rodrguez]
Capitulo III: Web Caching
Pgina
25
[Montao Rodrguez]
Capitulo III: Web Caching

Web
Caching
se
refiere
al
almacenamiento
de
informacin
computacional recientemente adquirida para futuras referencias.,

segn Duane Wessels (2001).
Ziff Davis (2014) define a Web Caching como Un sistema de
computadoras en una red que mantiene copias de las pginas Web ms
recientemente solicitados en la memoria o en un disco con el fin de
acelerar la recuperacin. Si la siguiente pgina solicitada ya se ha
almacenado en la memoria cach, se recupera localmente, en lugar de
desde Internet. Los servidores de almacenamiento en cach Web (o
servidores de almacenamiento en cach o servidores de cach) se
sientan dentro del firewall de la empresa y permiten a todas las pginas
populares
recuperados
por
los
usuarios
como
disponibles
al
instante. Dado que el contenido de las pginas Web pueden cambiar, el

software de almacenamiento en cach siempre est comprobando si hay
nuevas versiones de la pgina y descargarlos. Las pginas se eliminan
de la memoria cach despus de una cantidad fija de inactividad.
En el almacenamiento en cach Web, los objetos de la web populares
que tienen posibilidades de ser visitados en un futuro prximo se
almacenan en posiciones ms cercanas al usuario como mquina cliente
o servidor cache. Por lo tanto, el almacenamiento en cach de web
ayuda en la reduccin del cuello de botella servicio que hay en la Web,
reduciendo el trfico a travs de Internet y la mejorando la escalabilidad
del sistema Web.
El almacenamiento en cach Web tiene tres ventajas principales
atractivas
para
los
usuarios,
incluidos
los
usuarios
finales,
administradores de red y los creadores de contenido
Pgina
26
[Montao Rodrguez]
- El almacenamiento en cach Web reduce la latencia percibida

por el usuario.
- El almacenamiento en cach Web reduce el uso de ancho de
banda de red.
- El almacenamiento en cach Web reduce las cargas en los
servidores de origen.
Qu es Caching Proxy Web?
Cuando un navegador desea recuperar una URL, se necesita el
componente de nombre de host y traduce ese nombre a una direccin
IP. Una sesin HTTP se abri en contra de que la direccin y el cliente
solicitan la URL del servidor.
Cuando se utiliza un proxy cach, no mucho se altera en la
transaccin. El cliente abre una sesin HTTP con el cach del proxy, y
dirige la peticin de URL a la cach de proxy en su lugar (Figura 3).
Figura 4: Una transaccin Proxy Web (Ole Jacobsen, 2013).
Si la cach contiene la direccin URL de referencia se comprueba por la

frescura comparando con el "Expira:" campo de fecha del contenido, si
es que existe, o por algn factor frescura definido localmente. Objetos
obsoletos estn revalidados con el servidor, y si el servidor revalida el
Pgina
27
[Montao Rodrguez]
contenido, el objeto se destac como fresco. Objetos frescos son

entregados al cliente como un cach Hit. Si la cach no tiene una copia
local de la URL, o el objeto est demasiado cargado, esto es un error de
cach. En este caso, la cach acta como un agente para el cliente, abre
su propia sesin al servidor nombrado en el URL, e intenta una
transferencia directa a la memoria cach.
1. RFC2186: Protocolo de cach de Internet (ICP), versin 2

En la prctica actual, ICP se implementa en la parte superior de UDP,
pero no hay ningn requisito de que se limite a UDP. La PIC a travs de
UDP
ofrece
caractersticas
importantes
para
las
aplicaciones
de
almacenamiento en Web cach. Un intercambio de consulta / respuesta

ICP tiene que ocurrir rpidamente, por lo general dentro de un segundo
o dos. Una memoria cach no pude esperar ms de lo que tardo en
empezar para recuperar un objeto. La no recepcin de un mensaje de
respuesta
significa
probablemente
que
la
ruta
de
la
red
esta
congestionada o rota. En cualquiera de los casos, se optara por no

seleccionar ese vecino. Como indicacin de condiciones de la red
inmediatas entre cachs vecinas, ICP, sobre un protocolo ligero como
UDP es mejor que uno con sobrecarga de TCP.
ICP fue desarrollado inicialmente por Peter Danzig en la universidad de
sur de California.
1.1. Formato del mensaje ICP
Suite del protocolo: TCP / IP
Tipo de Protocolo: Protocolo de capa de aplicacin
Pgina
28
[Montao Rodrguez]
Puertos: 3130 (UDP)

El formato del mensaje ICP consta de una cabecera de 20 bytes seguido
por una carga til de tamao variable Todos los campos son
representados en orden de bytes de red.
ICP Header
Bit offset
Bits 07
815
16-31
Opcode
Versin
Longitud del mensaje
32
Numero de Solicitud
64
Opciones
96
Opcin de datos
128
Remitente direccin de host
160+
Datos
Figura 5: Cabecera del protocolo ICP (Brian Davison, 2001).
Opcode: 8 bits. A continuacin una tabla que muestra los posibles

valores del campo Opcode.
Valor
0
1
2
3
4
5
9
10
11
12
20
21
22
23
Nombre
ICP_OP_INVALID
ICP_OP_QUERY.
ICP_OP_HIT.
ICP_OP_MISS.
ICP_OP_ERR.
ICP_OP_SECHO.
ICP_OP_DECHO.
ICP_OP_MISS_NOFETCH.
ICP_OP_DENIED.
ICP_OP_HIT_OBJ.
Tabla 3: Posibles valores del campo Opcode (Brian Davison, 2001).
Pgina
29
[Montao Rodrguez]
Versin: 8 bits. El nmero de versin del protocolo ICP.

Longitud del mensaje: 16 bits. La longitud total del mensaje ICP en
bytes.
Nmero de solicitud: 32 bits. Un identificador opaco. Al responder a
una pregunta, este valor se debe copiar en el mensaje de respuesta.
Opciones: 32 bits. Banderas opcin que permite la extensin de esta
versin del protocolo de cierta manera, limitados.
Valor
Bandera
Descripcin
0x40000 ICP_FLAG_SRC_ Este indicador se establece en un mensaje
000
RTT
ICP_OP_QUERY indicando que el solicitante
desea que la respuesta ICP incluir medido
RTT de la respuesta al servidor de origen.
0x80000 ICP_FLAG_HIT_ Este indicador se establece en un mensaje
000
OBJ
ICP_OP_QUERY lo que indica que est bien
para responder con un mensaje de
ICP_OP_HIT_OBJ si los datos de objetos
caben en la respuesta.
Tabla 4: Banderas de opciones en el campo Opciones (Brian Davison, 2001).
Opcin de datos: 32 bits. Las caractersticas opcionales. Las siguientes

caractersticas
ICP
hacen
uso
de
este
campo:
La
opcin
ICP_FLAG_SRC_RTT utiliza los bajos de 16-bits de opcin de datos para

volver mediciones de RTT.
Remitente Direccin de host: 32 bits. La direccin IPv4 del host que
enva
el
mensaje
ICP. Este
campo
no
debe
ser
de
confianza,
probablemente ms de lo previsto por nombre getpeer- (), aceptar (), y

Pgina
30
[Montao Rodrguez]
recvfrom (). Hay una cierta ambigedad sobre el propsito original de

este campo. En la prctica no se utiliza.
Datos o carga til: De longitud variable. Carga con los datos. (Brian
Davison, 2001).
2. RFC2187: Aplicacin del Protocolo de cache de Internet

(ICP)
ICP es un formato de mensaje ligero utilizado para la comunicacin entre
los Web cachs. ICP se utiliza para intercambiar consejos acerca de la
existencia de URLs en caches vecinas. El intercambio de caches requiere
consultas y respuestas ICP para extraer informacin para su uso en la
seleccin de la ubicacin ms adecuada para recuperar un objeto.
Un solo Web cach reducira la cantidad de trfico generado por los
clientes detrs de l. Del mismo modo, un grupo de Web Cachs puede
beneficiar por compartir otra cach de la
misma
manera. Los
investigadores en el proyecto de cosecha prev que sera importante

para conectarse a la web, un almacenamiento jerrquico del Web cach.
En una jerarqua de cach (o malla), una memoria cach tiene dos tipos
de relacin: Padres y Hermanos. Una cach de los padres es
esencialmente un nivel en la jerrquica del cach. Una cach hermano
est en el mismo nivel. Los trminos vecinos y pares se utilizan para
referirse a padres o hermanos que son una sola cach-hop de
distancia (Wessels; Claffy, 1997).
3. Estndar IEEE 802.11
3.1. Arquitectura del estndar 802.11
Las especificaciones del estndar definido por el IEEE denominado
802.11x (x comprende letras que definen las variantes de la norma
802.11 a, 802.11 b, 802.11 g, 802.11 n), abarcan las capas fsica (Capa
Pgina
31
[Montao Rodrguez]
1) y la subcapa de acceso al medio (MAC) de la capa de enlace del

modelo OSI.
Veamos
algunos
detalles
que
nos
ayudarn
entender
el
funcionamiento y acotar los problemas con los que nos vamos a

encontrar.
3.2. Topologa de Red en 802.11
El estndar IEEE 802.11 define el concepto de Conjunto Bsico de
Servicio (BSS, Basic Service Set) que consiste en dos o ms nodos
inalmbricos o estaciones que se reconocen una a la otra y pueden
transmitir informacin entre ellos.
Un BSS puede intercambiar informacin de dos modos diferentes:
1 Cada nodo se comunica con el otro en forma directa y sin ninguna
coordinacin. Este modo es comnmente llamado Ad-Hoc o IBSS
(Independent Basic Service Set). Este modo solo permite la transmisin
entre los nodos inalmbricos y no resuelve el problema de extender una
LAN cableada.
Pgina
32
[Montao Rodrguez]
Figura 5: Dispositivos conectados a travs de una red WLAN ADHOC (Jara,

Nazar.2008).
2 Existe un elemento llamado comnmente AP (Access Point) que

coordina la transmisin entre los nodos inalmbricos. Este modo es
llamado modo Infraestructura y permite vincular la red inalmbrica con
la red cableada ya que el AP acta como bridge entre las dos redes. La
existencia de varios AP conectados a un sistema de distribucin (DS:
Distribution System), que puede ser una LAN cableada es lo que
denominamos EBSS (Extended Basic Service Set). La tecnologa 802.11
permite el roaming entre los distintos AP.
Figura 6: Dispositivos conectados a travs de una red WLAN con AP (Jara,

Nazar.2008).
Itinerancia (roaming)
La itinerancia es el proceso o capacidad de un cliente inalmbrico de
moverse de una clula o BSS a otra sin perder la conectividad de la red.
Los AP pasan el cliente de una a otro, siendo esto invisible para el
usuario. El estndar no define como debe llevarse a cabo la itinerancia,
pero si define los bloques constructivos bsicos, que incluyen el
escaneado activo y pasivo y el proceso de reasociacin.
Pgina
33
[Montao Rodrguez]
Servicios soportados por el sistema de distribucin (DS)

Si bien el DS no es parte de la norma 802.11, la misma especifica los
servicios que este sistema debe soportar, los cuales son:
1) Servicios de Estacin (SS: Station Services)
a) Autenticacin: antes de que un nodo pueda unirse a la red, debe
establecer su identidad, para ello debe superar una serie de tests que
permitan saber que quien se quiere conectar es quien dice ser. 802.11
ofrece 2 tipos de servicios de autenticacin:
i. Autenticacin Abierta (Open System Authentication), significa
que cualquiera que solicite autenticarse ser aceptado.
ii. Autenticacin de llave compartida (Shared Key Authentication),
significa que para poder autenticarse en la red, el nodo debe
conocer la frase de paso.
b) Deautenticacin: ocurre cuando el AP o el nodo inalmbrico desea
terminar la autenticacin. Implica una des asociacin.
c)
Privacidad:
est
satisfecha
en
802.11
con
un
sistema
de
encriptacin llamado WEP (Wired Equivalent Privacy). Es opcional.

d) Transporte de unidad de Servicios de capa MAC (MSDU: MAC
Service Data Unit Delivery): se ocupa de que la informacin
necesaria para operacin de la subcapa MAC sea transportada entre los
distintos AP.
2) Servicios provistos por el Sistema de Distribucin DS
a) Asociacin: un nodo inalmbrico debe estar asociado a un AP para
poder hacer uso de la red. Solo puede estar asociado a un AP por vez,
as el DS sabe perfectamente en que AP se encuentra el nodo. Es
iniciado por el nodo.
Pgina
34
[Montao Rodrguez]
b) Reasociacin: este servicio permite que un nodo deje la asociacin

de un AP para pasar a asociarse a otro AP. Es tambin iniciado por el
nodo.
c) Desasociacin: el servicio que permite a cualquiera de las partes
(AP o nodo) terminar la asociacin.
d) Distribucin: es el servicio por el cual se llevan los datos desde el
origen al destino. Los datos son enviados al AP local, de ah a travs del
DS al AP remoto (donde est asociado el nodo destino) y este lo pasa al
nodo destino directamente. El servicio de distribucin se invoca inclusive
si ambos nodos estn asociados al mismo AP.
e) Integracin: es el servicio que permite integrar el sistema
inalmbrico a otra red, por ejemplo una LAN cableada, realizando las
conversiones de protocolo necesarias. (Jara, Nazar. 2008)
Entre las herramientas a utilizar en la implementacin del servidor,
podemos mencionar a los siguientes:
4. Ubuntu (Linux)
Ubuntu, es un sistema operativo de software libre, perteneciente a la
industria de Microsoft. Ubuntu es muy preferido para su utilizacin en
servidores, elegido por la mayora de los especialistas en el mundo para
la creacin de diversos servidores, entre ellos el servidor Cach.
Ubuntu es un sistema operativo basado en Linux. Desde su comienzo en
2004, Ubuntu ha llegado a ser la vanguardia de escritorio de Linux, as
como una popular eleccin para los servidores.
Ubuntu desciende de una de las distribuciones ms antiguas y
veneradas de Linux, Deban. Deban es ensamblado por un equipo de
voluntarios; es uno de las distribuciones personalizadas ms estables de
Linux, y es bien respetado por su calidad y destreza tecnolgica.
Pgina
35
[Montao Rodrguez]
Lo que Ubuntu ha hecho es aprovechar la calidad de Deban para crear

un sistema operativo que la gente comn pueda utilizar. Eso no quiere
decir que los usuarios de Ubuntu no son tecnolgicamente competentes,
slo que no es necesario que lo sean. De hecho, muchos talentosos y
respetados software desarrolladores les encanta Ubuntu, ya que les
permite concentrarse en sus intereses especficos en lugar de los
detalles del sistema operativo. (Matthew Helmke, 2012)
Figura 7: Logo representativo de Ubuntu

Fuente: Pgina oficial de Ubuntu (Consulta 21 de sep. del 2014).
5. G++
El texto de una pgina de programacin fundada y dirigida por Alex

Allain (1997), nos dice lo siguiente acerca del software G++. Publicado
por la Fundacin para el Software Libre, G++ es un compilador nix* (* de
Unix)-basado de C++, generalmente operado a travs de la lnea de
comandos. A menudo viene distribuida con una instalacin de *nix, por
lo que s est ejecutando Unix o una variante de Linux, es probable que
tenga en su sistema. Se puede invocar G++ en un archivo de cdigo
fuente simplemente escribiendo:
G ++ <nombre de archivo>
6. Squid
Pgina
36
[Montao Rodrguez]
Squid es un servidor de Proxy cach de alto rendimiento para clientes

Web, soportando objetos de datos FTP, Gopher y HTTP y que se utiliza a
menudo en sistemas Linux. Este tipo de programas se utiliza para
acelerar el acceso a la Web de los usuarios internos de una red, a la vez
que registra los sitios que son visitados por estos usuarios. (Hatch, Lee
y Kurtz, 2001)
Squid es el software para servidor Proxy ms popular y extendido entre
los sistemas operativos basados sobre UNIX. Es muy confiable,
robusto y verstil. Al ser software libre, adems de estar disponible el
cdigo fuente, est libre de pago de costosas licencias por uso o con
restriccin a un uso con determinado nmero de usuarios.
Figura 8: Logo de Squid Proxy Cach.

Fuente: Pgina oficial de Squid Project (Consulta 22 de sep. de 2014).
5.1. Caractersticas de Squid

Squid puede hacer Proxy y cache de los protocolos HTTP, FTP, Gopher,
Proxy de SSL, cache transparente, aceleracin HTTP, cach de consultas
DNS y muchas otras cosas ms, como filtracin de contenidos y control
de acceso por IP y por usuario. A travs del uso del Protocolo Ligero de
Cach de Internet (ICP), lo que Squid almacena pueda estar disponible
en una jerarqua o una malla de servidores Proxy para almacenamientos
adicionales de ancho de banda. Su misin es compartir una
conexin
internet
entre
los
computadores
de
la
red
sola
local.
Pgina
37
[Montao Rodrguez]
Los computadores de la red realizan sus peticiones al servidor Proxy,

ste se conecta con el sitio especificado, y los datos devueltos a
travs de Internet, los enva al computador de la red que hizo la
peticin. (Chadd, 2004)
Entre otras caractersticas podemos mencionar:
Fue liberado bajo la Licencia GNU General Public License (GPL).

Viene incluido y soportado en la mayora de distribuciones
GNU/Linux.
Soporta los protocolos IPv4 e IPv6.
Soporte otros Protocolos como ICP, ICAP y WCCP.
Cache de consultas DNS.
Cache de contenido para aceleracin web con soporte de
diferentes sistemas de archivos para el almacenamiento del
cache.
Controles de acceso avanzados basados en ACLs.
Soporta diferentes esquemas de autenticacin.
Soporta diferentes mtodos de autorizacin.
Registro de Logs y soporte SNMP.
Soporte de plugins para autenticacin de usuarios y grupos.
Integracin
de
filtros
de
URLs
y
contenido
como squidGuard y DansGuardian.
Squid provee soporte para controles de accesos para los clientes

basados en varios criterios de autenticacin, como:
Direcciones IP: listas, rangos, subredes.
Direcciones MAC: Solo redes locales.
Usuarios locales NCSA.
Usuarios y Grupos LDAP: OpenLDAP, Active Directory.
RADIUS.
Pgina
38
[Montao Rodrguez]
Kerberos.
Active Directory (Single Sign On).
NTLM (Single Sign On).
PAM (Linux).
Horarios.
Adems, se integra el filtro de URLs squidGuard, su funcin es analizar

los URLs solicitados por los clientes y compararlos contra una base de
datos de listas negras y en base al resultado obtenido permitir o
denegar el acceso al URL. Las caractersticas principales de squidGuard
son:
Ultra rpido.
Controlar el acceso a URLs para protocolos HTTP y HTTPS.
Control basado en:

o Direcciones IP.
o Usuarios NCSA.
o Usuarios y Grupos LDAP.
o Usuarios y Grupos MySQL.
Permite el uso de listas blancas para excluir sitios bloqueados

(falsos positivos) por alguna categora de lista negra.
Pgina
39
[Montao Rodrguez]
Permite re direccionar las peticiones denegadas a una pgina

HTML informativa.
5.2. Funcionamiento de Squid

La estructura de funcionamiento de Squid es la siguiente:
Figura 9: Funcionamiento de Squid (Duane Wessels 2001).
En un inicio, el servidor Proxy (Squid) escucha las peticiones en el

puerto por defecto (3128).
1) Cuando un cliente dentro de la red desea navegar por algn
sitio Web, el sitio es solicitado al servidor Proxy.
2) El servidor Proxy proceder a navegar por Internet en
bsqueda de dicha pgina solicitada por el cliente.
3) La pgina encontrada ser devuelta al servidor Proxy.
Pgina
40
[Montao Rodrguez]
4) El servidor Proxy guardar una copia de la pgina solicitada

en una cach del disco duro.
5) El servidor Proxy, finalmente, le entregar al cliente la
pgina solicitada.
5.3. Configuracin de Squid

La configuracin de un servidor Proxy Squid consta de muchsimos
parmetros de los cuales se extraern los principales (para poder poner
en marcha el servidor) y que se detallan a continuacin: (Jara, 2005)
http_port (asignar puerto)
Permite especificar uno o varios puertos de escucha para el servidor

Squid. Si no se especifica este parmetro por defecto Squid escuchar
en el puerto 3128. Sus valores pueden ser: [direccin IP:] puerto
Ejemplos:
http_port 3128 8080
http_port 172.26.192.68:3128
cache_mem (tamao para la cach en memoria)
Permite indicar la cantidad ideal de memoria RAM -como mximo- para

almacenar cach de objetos en trnsito, objetos en caliente y objetos
almacenados en la cach. Los datos de estos objetos se almacenan en
bloques de 4KB. Cache_mem especifica un lmite ideal en el tamao
total de bloques acomodados, donde los objetos en trnsito tienen
mayor prioridad, es decir que el resto de objetos la podrn usar hasta
que sea requerida. En el supuesto caso que el objeto en trnsito
Pgina
41
[Montao Rodrguez]
requiera una memoria mayor a la especificada se exceder para

satisfacer la peticin.
Ejemplo:
cache_mem 16 MB
Si el servidor tiene como mnimo 128 MB de RAM es aconsejable indicar
este valor.
cache_dir (tamao y directorio para la cach fsica)
Permite indicar la cantidad de memoria fsica mxima para almacenar

cach en el disco duro, es decir, cunto espacio almacenar de objetos
de Internet. Sus valores pueden ser:
tipo
directorio
tamao
nmero_subdirectorios nmero_niveles.
Ejemplo:
cache_dir ufs /var/spool/squid 100 16 256
El numero 100 corresponde a 100MB como espacio mximo para
almacenar cach, el 16 son el nmero de subdirectorios que contendr
el directorio principal (en este caso /var/spool/squid) y el 256 significa el
nmero de niveles para cada subdirectorio. En caso de especificar un
tamao mximo inferior al espacio real disponible, el servidor Squid se
bloquear.
maximum_object_size (tamao mximo para cacheados)
Permite especificar en kilobytes el tamao mximo de los objetos que

se pueden cachear, es decir, los objetos ms grandes del tamao
indicado no sern cacheados.
Ejemplo:
Pgina
42
[Montao Rodrguez]
maximum_object_size 4096 KB
En el ejemplo se han indicado 4MB como tamao mximo de objetos en
la cach.
cache_access_log (log de peticiones y uso de la cach)
Permite definir en qu archivo Squid debe guardar una lista de las

peticiones que va recibiendo, con la informacin de la pgina que se ha
consultado y si sta ha sido facilitada desde la cach o desde el
servidor Web.
Ejemplo:
cache_access_log /var/log/squid/access.log
Squid presenta ms directivas para definir donde registrar sus logs, a
continuacin se muestran las siguientes dos que pueden ser de mayor
utilidad.
cache_log /var/log/squid/cache.log
Informacin general sobre el comportamiento de la cach
cache_store_log /var/log/squid/store.log
Muestra que objetos son ejecutados des de la cach y hasta cundo
sern guardados.
reference_age (tiempo mximo en la cach)
Permite especificar el tiempo mximo que puede permanecer un objeto

en la cach sin que se acceda a l, transcurrido ese tiempo ser
borrado. En Squid, el objeto que ha estado mas tiempo sin ser
accedido lo calcula dinmicamente con el fin de ser borrado segn el
espacio disponible en la cach. Sus valores pueden ser: time- units, tal
como se muestra a continuacin.
Pgina
43
[Montao Rodrguez]
reference_age 1
year
reference_age
3.5 days
referense_age 2
hours
refresh_pattern (factor para pginas sin caducidad)
Permite especificar qu fecha en minutos deben de tener los

documentos que su servidor no estableci una cabecera Expires
indicando su caducidad.
Sus valores pueden ser: expresin_regular mn porcentaje mx, tal
como se muestra a continuacin.
refresh_pattern -i \.gif$ 14400
70% 43200 refresh_pattern
^ftp: 1440 20% 10080
refresh_pattern . 0 20% 4320
El valor correspondiente a la expresin regular debe de contener la
especificacin del objeto basndose en la direccin (URL) de la peticin
o un "." para indicar el resto. En los ejemplos se muestra como
especificar cualquier objeto "gif" y cualquier peticin "FTP".
El valor mn corresponde a los minutos mnimos que un objeto que no
dispone de una cabecera Expires (indicando su caducidad), pueda ser
considerado como no caducado (fresco). El valor "0" se recomienda
para que no se obligue la retencin de objetos no deseados como
pueden ser los dinmicos.
El valor porcentaje sirve para especificar en aquellos objetos sin fecha
de caducidad, cul ser su fecha, aplicando un porcentaje sobre su
Pgina
44
[Montao Rodrguez]
tiempo desde la ltima modificacin (la ltima modificacin de un

objeto se obtiene de la cabecera Last-Modified).
El valor mx corresponde a los minutos mximos que un objeto podr
ser considerado como no caducado.
ftp_user (acceso annimo para FTP)
Permite indicar el correo que debe usarse como contrasea para

acceder de forma annima a un servidor FTP. Esto es til si se desea
acceder a servidores que validan la autenticidad de la direccin de
correo especificada como contrasea.
Ejemplo:
ftp_user deugenin@Linuxcenterla.com
5.4. Autenticacin y autorizacin de usuarios

5.4.1. Reglas de control de Acceso
Squid posee una caracterstica muy fuerte y flexible para controlar el
acceso de usuarios. Para aplicarlos, se debe definir -en primer lugar- un
conjunto de Listas de Control de Acceso (ACL) para luego aplicar las
Reglas de Control de Acceso (http_access) para ellas.
Para aplicar una regla de control de acceso, se debe utilizar una
combinacin de una ACL definida y una declaracin http_access para
permitir o rechazar la navegacin a ciertos usuarios.
Sintaxis:
acl <nombre> <tipo> <valores>
5.4.2. Acceso a la navegacin
Pgina
45
[Montao Rodrguez]
Para controlar el acceso de la navegacin de los usuarios, se utiliza el

parmetro http_access, mediante la cual se puede definir si se desea
permitir navegar a algn usuario, o hacia algn dominio, o en alguna
hora determinada, etc.
Sintaxis:
http_access <allow|deny> [!] <nombre de la ACL>
Ejemplo:
acl mired src 172.26.0.0/16 http_access allow mired
En la primera lnea se define la ACL llamada mired, la cual posee
el valor donde se permite la navegacin a todas las mquinas que
pertenezcan al valor que tiene la ACL mired. De esta misma forma se
puede permitir o rechazar no solo direcciones IP de clientes, sino que
se puede permitir o rechazar la conexin hacia algunos sitios
(URLs), o dominios, o restringir el horario o los das de navegacin, etc.
Pgina
46
[Montao Rodrguez]
Captulo IV: Anlisis de requerimientos
Capitulo IV: Anlisis de requerimientos

En este captulo se vern los requerimientos de hardware y software
necesarios para la instalacin del servidor Web Caching con Squid.
1. Requerimientos de Hardware
En esta seccin se explicar en que situaciones Squid hace uso de
memoria, para saber cmo calcular el uso de memoria requerido para
nuestro entorno y adems recomendaciones para la seleccin del mejor
hardware para el cache en disco y los sistemas de archivos.
1.1. CPU
Squid, es un proceso que se ejecuta en un solo hilo y no hace uso
intensivo del CPU. En las nicas ocasiones en las que hace uso intensivo
de CPU es cuando el proceso (hilo) es inicializado. Es en este momento
Pgina
47
[Montao Rodrguez]
cuando realiza diferentes clculos para verificar el contenido de lo que

tiene en su cache. Por lo anterior, es posible instalar Squid en sistemas
con un solo CPU de velocidades modestas.
Adems del CPU que usa el proceso principal de Squid, es necesario
tomar en consideracin a los programas auxiliares que usa Squid para
operaciones de autenticacin de usuarios y grupos (external helpers) y
programas externos para filtrado de URLs (url redirectors). Estos
programas requieren recursos del CPU de forma independiente.
Es recomendable invertir ms en la optimizacin en recursos como
memoria RAM y disco duro, ya que estos recursos suelen ser los cuellos
de botella que evitan que squid ofrezca un servicio de proxy eficiente y
ptimo.
1.2. Memoria
A la hora de dimensionar las capacidades de memoria RAM que se usar
en el sistema que har de proxy con Squid, no solo cabe considerar la
memoria que usa el proceso principal de Squid, sino tambin, el uso de
memoria de otros programas que se ejecuten aparte del sistema
operativo, como pueden ser servicios DNS, Web, bases de datos, etc. En
nuestro caso, se tiene entendido que el servidor fsico o host solo tendr
alojado al servidor Web Caching.
A continuacin mencionaremos las partes en las que Squid hace uso de
memoria RAM.
Una de las principales funciones de Squid es el uso de cache en
memoria RAM. Squid utiliza la memoria RAM para almacenar una tabla o
ndice con los objetos ms usados, estos objetos son conocidos como
objetos calientes o en trnsito, esto permite acelerar el tiempo de
Pgina
48
[Montao Rodrguez]
respuesta a las peticiones de los clientes ya que siempre es ms rpido

acceder a la memoria RAM que a disco duro como en el caso de cache a
disco (ms para objetos recurrentes), el uso predeterminado de cache en
memoria RAM es de 8MB. En el caso de nuestro entorno que abarcar
grandes cantidades de peticiones, se nos ha recomendado incrementar
el valor y agregar ms memoria RAM para acelerar el servicio.
Adems, por cada GB de espacio en disco que asigne para el cache en
disco, Squid usar aproximadamente 6MB de memoria RAM para
mantener una tabla o ndice con la referencia a los objetos almacenados
en el cache de disco. Esto significa que, entre ms grande sea el cache
de disco, ms memoria RAM usar Squid.
Veremos cmo calcular el espacio de cache en disco y ver cmo
afectara al uso de memoria RAM.
Por cada objeto almacenado en disco, Squid usa aproximadamente 56
bytes (32-bit) y 88 bytes (64-bit) de RAM para el ndice y otros 16 bytes
para la suma md5 del objeto, por lo que se requieren 72 104 bytes por
cada objeto almacenado en el ndice. El tamao promedio de un objeto
en el Internet es de aproximadamente 13KB.
Entonces pongamos el ejemplo de que, si se dedica 1GB de espacio en
disco duro para el cache en disco y suponiendo un tamao promedio de
13KB
por
objeto,
podramos
almacenar
aproximadamente 80,000
objetos en el cache de disco.

Para un cache de 1GB con 80,000 objetos de 72 bytes y suponiendo un
tamao
de
objeto
promedio
de
13KB,
Squid
va
requerir
aproximadamente 6MB de memoria RAM para la tabla ndice.
Pgina
49
[Montao Rodrguez]
En la prctica se recomienda que se dedique 1MB de RAM por cada 1GB

asignado a cache_dir.
Adems de la memoria usada para el cache de objetos en memoria RAM,
Squid tambin almacena en memoria los resultados de consultas DNS,
las ACLs y reglas de acceso.
Squid tambin usar memoria RAM para los programas auxiliares o
redirectores de URL, por ejemplo si se usa programas externos para
autenticar usuarios y grupos en bases de datos externos, entonces
tambin deber de sumar el uso de memoria de estos procesos a la
cuenta, y si se usa filtros de URL como squidGuard tambin har uso de
memoria independientemente.
2. Disco duro y sistemas de archivos
2.1. Disco duro
Cuando se evalen los requerimientos de disco duro para el servidor, se
tendr que tomar en cuenta que entre ms rpido sea el acceso a los
objetos en el cache de disco, ms rpidas sern las respuestas y por
ende, mejor el servicio.
El acceso al cache de disco debe ser rpido, y por lo tanto debemos
almacenarlos en discos duros rpidos.
La informacin a continuacin explica que requerimos se debe saber en
cuanto a las especificaciones tcnicas que los discos duros deben
cumplir para ofrecer un rendimiento eficiente en un servidor con Squid.
La velocidad de rotacin de los discos duros SATA actuales son de 7200
RPM y en discos SAS de 15000 RPM. Siempre se recomienda adquirir los
discos duros ms rpidos, sin embargo los discos SATA son ms
accesibles en precio. Ms importante que la velocidad de rotacin es el
Pgina
50
[Montao Rodrguez]
tiempo promedio que toman las cabezas del disco en moverse de un

track aleatorio a otro, esta medida es conocida como random seek
time o random read time, y se mide en segundos. Entre ms bajo sea el
valor, mejor ser el rendimiento del acceso al cache de disco.
2.2. Sistemas de Archivos
El cache en disco se almacena en un directorio del sistema de archivos,
que se recomienda
este en una particin independiente de la del
sistema operativo, de preferencia en un disco duro independiente, se

recomienda usar el sistema de archivos ext2 ya que es un sistema de
archivos sin journaling* y montarlo con la opcin noatime para no
gastar recursos en la actualizacin de las fechas de acceso de los
archivos en el cache.
Squid est especialmente diseado para ofrecer un mejor rendimiento
cuando tiene mltiples caches esparcidos en diferentes sistemas de
archivos y en diferentes discos duros ya que puede balancear el acceso
al cache entre los diferentes discos. Squid balancear las lecturas y
escrituras en los diferentes discos por lo que mejorar el rendimiento del
cache.
*Journaling: Se refiere en llevar un journal o registro de diario en el que se almacena
la informacin necesaria para restablecer los datos afectados por la transaccin en
caso de que sta falle.
El espacio en disco que asigne al cache debe ser lo suficientemente

grande para poder almacenar los objetos estticos de los sitios visitados
por lo menos por un da para que el uso del proxy sea eficiente. Si las
peticiones son a sitios con objetos estticos que no cambian muy
seguido, entonces se recomienda que se calcule el espacio en base al
nmero de das que se quiere conservar los objetos en el cache y la
Pgina
51
[Montao Rodrguez]
velocidad de descargas asignada al servidor. Tambin tienen que ver

factores como el tamao promedio de los objetos en el cache y los
hbitos de descargas de los usuarios.
Para definir el espacio de disco que se asignar al cache, es importante
determinar la cantidad aproximada de datos que pasaran por el cache
cada da. Si no es posible determinarlo, tambin se puede usar la tasa
terica de transferencia mxima del enlace o el ancho de banda
dedicado para la navegacin en especfico para HTTP, HTTPS y FTP. Un
enlace de 1Mb/s puede transferir aproximadamente 111,000 bytes por
segundo (111 KB/s).
Suponiendo que manteniendo una tasa de transferencia fija de 111 KB/s
y
que
todos
los
objetos
van
al
cache,
podramos
descargar
aproximadamente 400 MB por hora, y si el cache solo es usado en

horarios de trabajo (8 horas al da) entonces podemos determinar que el
espacio requerido para un da sera de 3.2 GB, y si se desea mantener
los objetos por una semana (5 das laborales) entonces podra necesitar
aproximadamente 16 GB de espacio de disco para el cache de una
conexin de 111KB/s.
Cabe recordar que tambin se debe considerar el espacio requerido para
almacenar los logs del proceso Squid y logs de accesos, por lo que en
sistemas con bastantes peticiones puede llegar a tener archivos de logs
diarios de 1GB o ms. Se recomiendan 5 GB para logs de Squid que se
rotan una vez por semana y se almacenan de forma comprimida los logs
de las ltimas 5 semanas para cuestiones de reportes.
En sistemas con volmenes de peticiones grandes se recomienda
dedicar una particin de 20 GB para la particin /var/log.
Pgina
52
[Montao Rodrguez]
Si se va a almacenar reportes web de los accesos al proxy se

recomienda dedicar por lo menos 10 GB adicionales para el sistema de
archivos /var/www para almacenar los reportes por 6 meses.
3. Requerimientos de Conectividad
En esta seccin veremos cmo donde es el mejor lugar para instalar el
servidor Proxy y los requerimientos de conectividad para el proxy HTTP.
Requerimientos de Conexin:
Conectividad con uno o ms servidores NTP, puede ser en Internet

o en la LAN o DMZ*.
Si el o los servidores NTP estn en la red, asegurarse de que tenga

permitidos los siguientes puertos:
o
UDP/123
Si el o los servidores NTP estn en el Internet, asegurarse de que

en el router o firewall de internet se tengan permitidos los
siguientes puertos:
o
UDP/123
*DMZ: Se refiere a una Zona Desmilitarizada, que se comprende entre equipos

Bastin.
Conectividad con uno o ms servidores DNS, puede ser en Internet

o en la LAN o DMZ.
Si el o los servidores DNS estn en la red LAN, asegurarse de que

tenga permitidos los siguientes puertos:
o
UDP/53
Pgina
53
[Montao Rodrguez]
TCP/53
Si el o los servidores DNS estn en el Internet, asegurarse de que

en el router o firewall de internet se tengan permitidos los
siguientes puertos:
UDP/53
TCP/53
Tambin es posible instalar un servidor DNS local de solo cache en

el mismo servidor Squid, el servidor DNS local almacena en un
cache las respuestas de las consultas DNS requeridas por cada
peticin HTTP que realiza Squid. Esto permite acelerar los tiempos
de respuesta de las consultas DNS y tambin ahorra ancho de
banda ya que no se tiene que conectar a Internet por cada
peticin nueva si esta ya ha sido resuelta antes y esta almacenada
en el cache. Se puede sugerir el uso del programa bind o
dnsmasq.
Conectividad haca Internet para los protocolos FTP, HTTP y HTTPS,

tambin es posible que se tengan que abrir otros puertos para
sitios o servicios web que se ejecutan en puertos HTTP o HTTPS no
estndar, este ltimo caso es muy comn para pginas de
gobierno.
Si el servidor Proxy va a realizar algn tipo de autenticacin con un

servidor externo, por ejemplo LDAP o Active Directory.
Si el servidor Proxy realiza autenticacin de usuarios a travs de

un servidor LDAP se requiere lo siguiente:
Pgina
54
[Montao Rodrguez]
Si el o los servidores LDAP estn en la red LAN, asegurarse

de que tenga permitidos los siguientes puertos:
TCP/369
Si el servidor Proxy realiza autenticacin de usuarios a travs de

un servidor Windows Active Directory se requiere lo siguiente:
o
Si el o los servidores LDAP estn en la red LAN, asegurarse

de que tenga permitidos los siguientes puertos:
UDP/53 - DNS
TCP/53 - DNS
UDP/123 - NTP
TCP/88 - Kerberos
TCP/369 - LDAP
Si ocurren problemas con alguno de estos puertos, consulte a su

administrador de red o de seguridad para verificar, ya que puede haber
algn tipo de bloqueo.
Pgina
55
[Montao Rodrguez]
Pgina
56
[Montao Rodrguez]
Captulo V: Anlisis de riesgos
Captulo V: Anlisis e Identificacin de Riesgos

Los riesgos que se ha podido detectar en el Data Center de la UAGRM
pueden ser los siguientes:
1. Riesgos Fsicos
1.1. Riesgos por Amenazas Naturales
1) Cambios de clima bruscos
2) Elevadas temperaturas
3) Lluvias torrenciales
4) Tormentas elctricas
5) Incendio
1.2. Riesgos por Factores Tecnolgicos
6) Sobrecalentamiento en los equipos (PCs, UPSs, Switches,
etc.)
Pgina
57
[Montao Rodrguez]
7) Ausencia de equipos para control de acceso en los centros

de datos.
8) Ausencia de equipos para monitoreo de los centros de
datos.
9) Fallas en la red.
10)
Ausencia de polticas de cuentas de usuario.
11)
Ausencia de polticas de acceso a ciertas pginas Web.
12)
Abuso de privilegios de acceso al sistema.
1.3. Riesgos por Amenazas en la Organizacin

13)
Riesgo de liquidez.
14)
Falta de coordinacin con los empleados.
1.4. Riesgos por Amenazas a la Infraestructura

15)
Condiciones inadecuadas de temperatura o humedad.
16)
Sobrecargas elctricas.
17)
Cortes de energa.
18)
Ambiente inadecuado para el alojamiento de los
servidores.
19)
Falta de equipos de refrigeracin
1.5. Riesgos por Amenazas Humanas

20)
Personal no capacitado.
21)
Errores de los administradores.
22)
Falta de personal de seguridad.
23)
Indisponibilidad del personal.
24)
Peligro de ingreso a personas no autorizadas
1.6. Riesgos por Amenazas de Ataques Intencionados

25)
Manipulacin indebida de la informacin.
26)
Suplantacin de identidad.
27)
Uso de recursos para fines no previstos.
28)
Interceptacin de informacin.
Pgina
58
[Montao Rodrguez]
29)
Robo.
30)
Destruccin del cableado de las redes.
31)
Destruccin del cableado elctrico.
1.7. Valoracin de los Riesgos

1.7.1. Probabilidad
Probabilida
Valor
d
Casi certeza
Probable
Posible
Improbable
Raro
Tabla 5: Tabla de Probabilidad

Fuente: Referencia Propia
1.7.2. Impacto
Impacto
Catastrfico
Valor
5
Mayor
Moderado
Menor
Insignificante
Tabla 6: Tabla de Impacto

Fuente: Referencia Propia.
1.7.3. Riesgo
Riesgo
Pgina
59
[Montao Rodrguez]
Extremo
Alto
Moderado
Bajo
Tabla 12: Tabla de Riesgo.
Muy certero
ALTO
Muy
probable
Posible
MODERAD
O
BAJO
Improbale
BAJO
Rara
BAJO
Nivel de riesgos
EXTREMO EXTREM
O
ALTO
ALTO
EXTREM
O
MODERA
ALTO
EXTREM
DO
O
BAJO
MODERA
ALTO
DO
BAJO
MODERA
ALTO
DO
Menor
Moderado
Mayor
ALTO
Insignifica
nte
EXTREMO
EXTREMO
EXTREMO
EXTREMO
ALTO
Catastrfi
co
Impacto
Tabla 7: Matriz de Riesgo
Tabla de Riesgos Cualitativa

La siguiente tabla de riesgos se ha elaborado tomando en cuenta los
datos y valoraciones mostradas en las tablas anteriores. Se bas en las
probabilidades futuras y pasadas de los eventos que puedan ocurrir y las
consecuencias que tendran.
Nombre
Consecuenci
Probabilid
Severidad
Riesg
a Abs.
ad Abs.
Riesgo
Pgina
60
[Montao Rodrguez]
Cambios de clima bruscos
Abs.
Alto
Elevadas Temperaturas
Alto
8,0
Lluvias Torrenciales
Alto
9,0
Tormentas Elctricas
Alto
8,0
Incendio
Extremo
15,0
Extremo
15,0
Alto
12,0
Alto
12,0
Alto
12,0
Alto
9,0
Alto
12,0
Moderado
6,0
Bajo
4,0
Bajo
4,0
Alto
9,0
Moderado
6,0
Sobre calentamiento en
los equipos
Abs.
9,0
Ausencia de equipos para

7
control de acceso en los

centros de datos
Ausencia de equipos para
monitoreo de los centros

de datos.
9
10
Fallas en la red.
Ausencia de polticas de
cuentas de usuario.
Ausencia de polticas de
11
12
13
14
acceso a ciertas pginas

Web.
Abuso de privilegios de
acceso al sistema
Riesgo de liquidez.
Falta de coordinacin con
los empleados.
Condiciones inadecuadas
15
de temperatura o
humedad.
16
Sobrecargas elctricas.
Pgina
61
[Montao Rodrguez]
17
Cortes de energa.
Alto
5,0
Extremo
20,0
Extremo
20,0
Ambiente inadecuado
18
para el alojamiento de los

servidores.
19
Falta de equipos de
refrigeracin
20
No se cuenta con extintor.
Alto
12,0
21
Personal no capacitado.
Alto
12,0
Moderado
6,0
Extremo
20,0
Moderado
6,0
Alto
12,0
Alto
9,0
Bajo
4,0
Moderado
6,0
Alto
10,0
Extremo
15,0
Moderado
8,0
Moderado
9,0
22
23
24
25
26
27
28
29
30
31
32
Errores de los
administradores.
Falta de personal de
seguridad.
Indisponibilidad del
personal.
Peligro de ingreso a
personas no autorizadas
Manipulacin indebida de
la informacin.
Suplantacin de
identidad.
Uso de Recursos para
fines no previstos
Interceptacin de
informacin.
Robo.
Destruccin del cableado
de las redes.
Destruccin del cableado
Pgina
62
[Montao Rodrguez]
elctrico.
Tabla 8: Identificacin de Activos.
2. Riesgos Lgicos
2.1. Cdigos maliciosos
En seguridad informtica, cdigo malicioso es un trmino que hace
referencia a cualquier conjunto de cdigos, especialmente sentencias de
programacin, que tiene un fin malicioso. Esta definicin incluye tanto
programas malignos compilados, como macros y cdigos que se
ejecutan directamente, como los que suelen emplearse en las pginas
web (scripts). Tambien podemos incluir dentro de estos cdigos, a las
ciberplagas como ser los virus. A continuacin veremos algunos de los
ms peligrosos:
-
Virus: Son programas que modifican otros programas o alteran

los ficheros. Antes se propagaban a travs de programas en
disquetes que al introducirse en los PC, se liberaban y
realizaban sus comandos. Hoy da se propagan principalmente
a travs del correo electrnico, de ah su gran poder de
propagacin debido al desarrollo de los e-mails. Se les
denomina as debido a su parecido con los virus biolgicos ya
que necesitan para vivir un cuerpo vivo, el sistema informtico
y la red en funcionamiento, y adems son capaces de
reproducirse y de morir, mediante la utilizacin del software
adecuado. Hay dos tipos de virus. Los benignos y los malignos.
Los
primeros
slo
producen
efectos
molestos
como
la
superposicin de mensajes (el virus Marihuana) o movimiento

de figuras (virus de la Pelotita) o transposicin de los caracteres
Pgina
63
[Montao Rodrguez]
de la pantalla (virus de la cascada de letras). Los malignos

pueden borrar ficheros de datos o alterar el funcionamiento de
los programas. Los ms conocidos son Viernes 13, Melissa
(creado por David L. Smith), Love Letter de Raonel Ramones,
Back Orifice de Sir Dyistic, The Tour of de Worm de Morris, y el
Chernobyl de Chen Ing-Hou. Hay que destacar que el primer
virus
de
informtico
la
historia
Fred
fue
Cohen
construido
cuando
por
el
trabajaba
investigador
en
conseguir
programas inteligentes que pudieran auto modificarse, dando

lugar a una rama de la informtica, de inquietante futuro, la
-
Informtica Evolutiva o Vida Artificial.

Caballos de Troya o troyanos: Son instrucciones introducidas
en la secuencia de instrucciones de otros programas legales (de
ah su nombre) y que realizan funciones no autorizadas,
destruyen ficheros o capturan informacin mientras simulan
efectuar funciones correctas. Un caso particular de los troyanos
son
los salami,
generalmente
utilizados
en
instituciones
financieras, realizan asientos de pequeas cantidades, como los

redondeos de operaciones de clculo de intereses, para que no
se detecten por su importancia y al final se transfieren a una
-
cuenta bancaria particular.

Bombas lgicas: Son
programas
que
se
activan
en
determinadas condiciones tales como una fecha determinada

(Viernes y 13) o la presencia o ausencia de un determinado
dato en un fichero. Se ha detectado que su uso ms comn es
como elemento de venganza de algn empleado. Caso tpico es
la bomba que se activa cuando un determinado empleado, su
autor, no aparece en el fichero de nmina, por haber sido
despedido. El efecto de una bomba es libera un virus o un
troyano. Una bomba lgica puede estar inactiva durante aos.
Pgina
64
[Montao Rodrguez]
Worms o gusanos: Deben a su origen a los investigadores

Robert Thomas Morris, Douglas McIlroy y Victor Vysottsky,
desarrolladores de un juego de estrategia denominado Corewar
(Guerra de la Memoria), que consista en que ganaba el jugador
que era capaz de ocupar ms cantidad de memoria. El gusano
no necesita, a diferencia de los virus otro programa para
funcionar y simplemente se va duplicando y ocupando memoria
hasta que su tamao desborda al sistema informtico en que se
instala, impidindole realizar ningn trabajo efectivo.

Recuperadores de elementos borrados: Cuando se da la
orden de borrar un dichero, ya sea de datos o de programas,
realmente lo que se hace es declarar, en el directorio que
controla el soporte, que el espacio que antes estaba ocupado
queda libre para almacenar otra informacin. Por consiguiente,
la informacin antigua permanece en ese lugar, no se ha
borrado fsicamente, pero es inabordable por los sistemas
normales. La informacin slo desaparece cuando otra ocupa su
lugar. Los programas recuperadores permiten obtener esa
informacin siempre que no se haya superpuesto otra; de esta
manera se obtiene informaciones tericamente destruidas. El
ejemplo ms conocido es el del teniente coronel Oliver North.

Puertas falsas o Back Doors: Est tcnica permite
introducirse en los programas por puntos que no son los
estndares o normales. En principio eran utilizados por los
programadores para facilitar el proceso de pruebas, evitando
tener que procesar todo el programa o sistema para probar slo
un trozo. Si estas puertas falsas se mantienen en la versin
operativa, bien de forma intencionada o por descuido, se crean
agujeros en la seguridad de la aplicacin.

Sniffers o Rastreadores: Son programas que se ejecutan en
una red informtica y rastrean todas las transacciones que
Pgina
65
[Montao Rodrguez]
viajan por ella para volcarlas en un fichero. El estudio de este

fichero permite encontrar claves, passwords o nmeros de
tarjetas de crdito, que pueden ser utilizados de forma
fraudulenta. En general los programas estn escritos en
lenguaje C y pueden encontrarse disponibles en algunos foros
de debate de Internet.
Factores de riesgo:
Extenderse por la computadora, otras computadoras en una red
o por internet.
Robar informacin y claves.
Eliminar archivos e incluso formatear el disco duro.
Mostrar publicidad invasiva
2.2. Fuga de informacin

La fuga de informacin ocurre cuando un sistema diseado para realizar
tareas que no deben ser observadas por un atacante revela parte de esa
informacin debido a errores en los procedimientos de trabajo.
2.3. Ingeniera social
En el campo de la seguridad informtica, ingeniera social es la prctica
de obtener informacin confidencial a travs de la manipulacin de
usuarios legtimos. Es una tcnica que pueden usar ciertas personas,
tales
como
investigadores
privados,
criminales,
delincuentes
computacionales, para obtener informacin, acceso o privilegios en

sistemas de informacin que les permitan realizar algn acto que
perjudique o exponga la persona u organismo comprometido a riesgo o
abusos.
El principio que sustenta la ingeniera social es el que en cualquier
sistema los usuarios son el eslabn dbil. En la prctica, un ingeniero
social usar comnmente el telfono o Internet para engaar a la gente,
Pgina
66
[Montao Rodrguez]
fingiendo ser, por ejemplo, un empleado de algn banco o alguna otra

empresa, un compaero de trabajo, un tcnico o un cliente. Va Internet
o la web se usa, adicionalmente, el envo de solicitudes de renovacin
de permisos de acceso a pginas web o memos falsos que solicitan
respuestas e incluso las famosas cadenas, llevando as a revelar
informacin sensible, o a violar las polticas de seguridad tpicas. Con
este mtodo, los ingenieros sociales aprovechan la tendencia natural de
la gente a reaccionar de manera predecible en ciertas situaciones, por
ejemplo proporcionando detalles financieros a un aparente funcionario
de un banco, en lugar de tener que encontrar agujeros de seguridad en
los sistemas informticos.
Factores de riesgo:
Al igual que en el caso de la fuga de informacin, perder informacin
implica grandes problemas por ejemplo cuando se nos encarga una
ingeniera social.
2.4. Denegacin de servicios
Consiste en el envo de mensajes masivos a un servidor, con el nico fin
de saturarlo y bloquearlo, impidiendo el normal funcionamiento del
sistema.
El riesgo es muy importante en servidores y hosts que administran
servicios importantes como el trfico areo, ferroviario, distribucin
elctrica, o seguridad nacional por las graves consecuencias que para el
normal funcionamiento de los correspondientes servicios tendra la
denegacin de los mismos.
Medidas de proteccin:
Separar el servidor de correo electrnico o de pginas web de la red
local o de la Intranet del usuario. Muchas veces esto es imposible por la
Pgina
67
[Montao Rodrguez]
propia configuracin del sistema. Adems en los entornos de la

Seguridad Informtica, existe el aforismo de que el nico ordenador
seguro es el que se encuentra aislado en una habitacin con las
correspondientes medidas de seguridad fsica y sin estar conectado a
ninguna fuente de suministro elctrico. Es decir, un ordenador inactivo,
muerto.
Captulo VI: Diseo
Pgina
68
[Montao Rodrguez]
Captulo VI: Diseo de la red (Topologa Lgica / Fsica)

1. Equipamiento actual de la red Wi-Fi de la UAGRM
El Data Center de la UAGRM, se encuentra compuesto por numerosos
Racks, llenos de servidores implementados, tales como el servidor
donde se encuentra alojado la pgina web de la misma universidad, pero
en este caso de estudio, solo nos interesa un Rack en particular, el cual
est compuesto por un Router ISP, varios Transceivers, Routers y un
Switch.
Pgina
69
[Montao Rodrguez]
Figura 10: Imagen del Rack en estudio.

2. Anlisis del diseo

2.1. Ubicacin de los Access Point
1) Las cajas.
2) Cancha de derecho.
Pgina
70
[Montao Rodrguez]
3) Cercanas de los mdulos de derecho.

4) Coliseo del cafecito.
5) Cercanas de los mdulos de qumica.
Figura 11: Ubicacin de los Access Point de la red Wi-Fi.

2.2. Estadsticas, velocidades y configuracin de los Microtik

En este apartado veremos las configuraciones principales de los equipos
Microtik que a su vez estn conectados a todos los puntos de acceso de
la red Wi-Fi. En la figura 12 podemos observar dicha configuracin.
Pgina
71
[Montao Rodrguez]
Figura 12: Configuracin de los Access Point.

A continuacin veremos alguna de las estadsticas calculadas a travs

de una aplicacin llamada WAVION, dadas sobre los Microtik.
Pgina
72
[Montao Rodrguez]
Figura 13: Estadsticas de los equipos Microtik.

Figura 14: Lista de elementos actualmente sincronizados a la red.
Pgina
73
[Montao Rodrguez]
2.3. Estadsticas, pruebas y velocidades de los Access Point
Figura 15: Tabla de direcciones por arp, tracert y velocidad de la red.

Fuente: referencia Propia.
En la figura anterior podemos observar que, mediante un comando

Tracert, hemos mapeado las IPs por las cuales una peticin de algn
dispositivo tendr que pasar para poder satisfacerse.
En la Figura 16 hemos realizado tambin un anlisis del promedio total
de datos enviados y recibidos (subida/descarga) por el total de usuarios
conectados.
Pgina
74
[Montao Rodrguez]
Figura 16: Promedio total de datos enviados/recibidos.

3. Equipos
2.1. Router ISP
Es un router provisto por la empresa Proveedora del servicio de Internet,
que en este caso corresponde a ENTEL s.a. La lnea llega a travs de
Fibra ptica. Las especificaciones de este equipo no estn disponibles.
Pgina
75
[Montao Rodrguez]
Figura 17: Router ISP.

Fuente: Referencia propia.
2.2. Transceivers
Un transceiver es un dispositivo que cuenta con un transmisor y un
receptor que comparten parte de la circuitera o se encuentran dentro
de la misma caja. Cuando el transmisor y el receptor no tienen en
comn partes del circuito electrnico se conoce como transmisorreceptor. El trmino fue acuado a principios de la dcada de 1920.
Dado que determinados elementos del circuito se utilizan tanto para la
transmisin como para la recepcin, la comunicacin que provee un
transceptor solo puede ser semidplex, lo que significa que pueden
enviarse seales en ambos sentidos, pero no simultneamente.
Pgina
76
[Montao Rodrguez]
Figura 18: Transceivers.

2.3. Microtik RouterBoard 1100

El corazn de este dispositivo es un nuevo estado del procesador
PowerPC
networking.
Tiene trece puertos gigabit Ethernet individuales, dos grupos de

conmutacin 5-portuarias, e incluye la capacidad de derivacin de
Ethernet.
RB1100 tambin tiene una ranura SODIMM RAM para la memoria, una
ranura para tarjetas microSD, un beeper y un puerto serie.
El RB1100 viene en una caja de montaje en rack de 1U de aluminio, e

incluye la fuente de alimentacin.
Pgina
77
[Montao Rodrguez]
Las especificaciones del producto

Detalles
Cdigo de producto
CPU frecuencia nominal
Tamao de RAM
Arquitectura
10/100 puertos Ethernet
Puertos 10/100/1000 Ethernet
Ranuras MiniPCI
Ranuras MiniPCI-e
Modelo de chip inalmbrico
Tipo de tarjeta de memoria
Toma de alimentacin
PoE en
Monitor de voltaje
Monitor de temperatura de PCB
Monitor de temperatura de la CPU
Dimensiones
Temperatura de funcionamiento
Nivel de Licencia
Monitor de corriente
RB1100
800MHz
512MB
PPC
13
S
0
0
0
microSD
12-24VDC
12-24VDC
No
No
No
Caso de 1U: 45x75x440mm
-20 A + 45C
Level6
No
Tabla 9: Especificaciones del Router Microtik RB1100.

Fuente: Catlogo de productos de Cleartec.
Pgina
78
[Montao Rodrguez]
Figura 19: MicroTik RouterBoard 1100.

Fuente: referencia Propia.
2.4. Dell PowerConnect 6224P

El conmutador PowerConnect 6224P de 24 puertos Gigabit Ethernet de
capa 3 proporciona apilamiento flexible y poder sobre las capacidades
de Ethernet.
Ideal para aplicaciones de red dependiente de la energa
Opcional enlaces ascendentes 10 Gigabit Ethernet
Soporta 10GBASE T y SFP + mdulos 10GE
Pgina
79
[Montao Rodrguez]
Figura 20: Dell PowerConnect 6224P.

2.5. Access Point WBS 2400 omnidireccional

La estacin base omnidireccional de Wavion WBS-2400 es una estacin
base para ofrecer banda ancha wireless en la banda no licencia de
24GHz. Compuesta por un array de 6 antenas con 6 radios, y utilizando
la
tecnologa
de beamforming de Wavion
para
proporcionar
una
conectividad superior en condiciones de visin directa (LOS) y sin visin

directa (NLOS) y con rangos de cobertura ms amplios.
Estas
caractersticas
dan
la opcin
proveedores,
municipios
empresas de ofrecer conectividades wireless de alta calidad y grandes

velocidades con un nmero muy pequeo de estaciones bases y con un
coste inferior.
Pgina
80
[Montao Rodrguez]
La estacin base omni Wavion WBS-2400 es una plataforma basada en

los estndar, lo que permite a los operadores de red adaptar la solucin
a
las
necesidades
especficas
de
cada
usuario
final
de
forma
individualizada.
Basada en la nica y potentsima tecnologa de beamforming con
adaptacin
espacial
de
Wavion,
la WBS-2400
proporciona
unas
ganancias en rendimiento, hablando en trminos de rangos de

cobertura, tasas de transferencia e inmunidad frente a interferencias de
otros clientes basados en el Standard 802.11b/g. Esto permite a los
proveedores de servicio ofrecer servicios de alta.
Especificacin tcnica WBS-2400 omnidireccional
Seguridad:
WEP (64 bit o 128 bit)
WPA, WPA2
Encriptacin: TKIP, AES
Autenticacin: Pre-Shared Key or 802.1x with RADIUS

Server (EAP-TLS, PEAP, EAP-TTLS)
VPN pass-through
Gestin:
Herramienta de gestin y configuracin via Web
SNMPv2 con el standard y con soporte MIB de Wavion
Guardado y recuperacin de la configuracin
Estadsticas de red y clientes
HTTPS para las herramientas de gestin via Web

Red y QoS:
Mltiple SSIDs/BSSIDs
Pgina
81
[Montao Rodrguez]
Soporta VLAN 802.1q
Soporta 802.1p, ToS o DSCP
Soporta WMM
Interfaz de red: 1 Auto-sensing 10/100 Ethernet

Indicadores:
Un LED de actividad en el puerto EEthernet
Un LED de estado del sistema
Un LED de estado del canal

Alimentacin:
PoE: 55VDC, 43 W (Slo con el inyector PoE de Wavion)
Opcin AC: 110 220VAC, 43W

Entorno:
Rango de temperaturas: -40C a +55C (hasta +60C Con un

protectr de sol adicional)
Temperatura de almacenamiento: -45C a +85C
Recubrimiento: IP67
Resistencia al viento: 165 mph
Resistencia y vibraciones: ESTI 300-192-4 spec T41.E
Transporte: ISTA2A
Regmenes regulatorios:
RF: ETSI 300 328 V1.7.1
FCC 47 CFR part 15, Class C
Safety: TUVus, UL 60950-1:2003, CAN/CSA-C22.2 No. 60950-1-03
EMC: 47 CFR Part 15, Sub Part B, Class B (USA)

Dimensiones fsicas (Sin los herrajes de montaje):
Pgina
82
[Montao Rodrguez]
Altura: 5.5 cm
Largo: 39 cm
Ancho: 36 cm
Peso: 4.2 Kg
Wireless:
Compatible con EEE 802.11b/g
Banda de frecuencia: 2.402-2.483 GHz

Modulacin:
802.11b/g: OFDM (64QAM, 16QAM, QPSK, BPSK)

Potencia de transmisin mxima (802.11b/g):
Potencia mxima por antena: 20 dBm (Versin FCC)
EIRP Total: 36 dBm (de 6 antenas)

Array de antenas:
6 antenas omnidireccionales de 7.5 dBi

Sensibilidad en recepcin (Tpica):
Enlace (802.11g)(Mbps) / Sensibilidad (dBm)
6 / -102.5
9 / -100.5
12 / -99.5
18 / -98
24 / -95
36 / -92
48 / -88
54 / -86<
Pgina
83
[Montao Rodrguez]
Figura 21: Access Point WSB 2400 en la universidad UAGRM.

Pgina
84
[Montao Rodrguez]
2.6. Topologa Lgica de la red Wi-Fi
Pgina
85
[Montao Rodrguez]
Figura 22: Topologa Lgica de la red Wi-Fi

Pgina
86
[Montao Rodrguez]
2.7. Nueva Topologa Fsica de la red Wi-Fi con el servidor

instalado
Pgina
87
[Montao Rodrguez]
Figura 23: Nueva Topologa Fsica de la red Wi-Fi con el servidor

instalado.
Figura 24: Modelo Fsico de la topologa.

El servidor Web Caching se implementar como se destaca en la figura

anterior. El procedimiento realizado conforma solamente la integracin
del servidor Web caching junto con los aparatos (Switchs, routers y
transceivers) dentro de la red Wi-Fi en la que se est trabajando.
2.8. Equipo exterior de la red Wi-Fi
Pgina
88
[Montao Rodrguez]
Figura 25: Interconexin de equipos en la zona del CPD.

Fuente: Informe sobre el ultimo rediseo de la red WI-Fi de la UAGRM.
Del router MicroTik existente en CPD, sale mediante un cable UTP como
se ve en la figura anterior, que se conecta al Transceiver, que a su vez
se conecta a las antenas WBS 2400 que son los Access Point de la red
Wi-Fi.
Pgina
89
[Montao Rodrguez]
Figura 26: Cajas de terminacin Zona UV-13.

En la primera
caja que se encuentra en la parte izquierda, se puede
observar que la fibra llega a la caja y mediante los Media Converters

realizan el cambio de fibra ptica a cable UTP el cual va conectado al
transceiver y este se conecta a las antenas proporcionando as tambin
de alimentacin elctrica mediante PoE.

En la imagen anterior se puede observar que de la red del CPD

(BackBone) salen cuatro hilos de fibra que se conectan a 4 Media
Converters los cuales permiten llegar a cada antena del Campus
universitario.
Pgina
90
[Montao Rodrguez]
Figura 28: Interconexin de equipos CPD UV-32.

En la Anterior imagen se puede observar que los Switch Tranceiver van

conectadas al router MicroTik, es decir que estas dos antenas se
encontraran en la UV-32.
Figura 29: Interconexin de equipos para Backhaul inalmbrico.

Pgina
91
[Montao Rodrguez]
En la anterior imagen se puede observar el Backhaul, el cual permite las

conexiones de radio enlaces con las dems antenas que se encuentran
en los mdulos el cual enva la seal mediante el Access Point WBS-5800
que establece una conexin punto a punto con el dispositivo EOC-5611P
el cual es un equipo 802.11a/g Outdoor High Power 500mW Bridge / Access
Point with Dual Antenna Polarity & Dual Antennas el cual recepciona la seal
inalmbrica enviada por el BackHaul y la convierte en cable FTP para as poder
conectarse al transceiver y luego a la antena.
Figura 30: Diagrama lgico de la red Wi-Fi.

La anterior imagen es una descripcin de la conexin inalmbrica en la

Universidad Autnoma Gabriel Rene Moreno.
2.9. Segmentos IP
Se tiene los siguientes segmentos de red para los equipos y los clientes:
Pgina
92
[Montao Rodrguez]
UV-13
o Clientes: 172.19.0.0/16
o Equipos: 172.18.0.0/24
UV-32
o Clientes: 172.21.0.0/16
o Equipos: 172.22.0.0/24
Cada equipo de la red cuenta con una direccin IP:
Mikrotik UV-13
o 172.19.0.1/16
o 172.18.0.1/24
o 172.77.70.55/24
Mikrotik UV-32
o 172.21.0.1/16
o 172.22.0.0/24
o 172.77.70.56/24
WBS-2400 zona CPD
o 172.18.0.74/24
WBS-2400 zona UV-13 1.1/coliseo 2do anillo
o 172.18.0.11/24
WBS-2400 zona UV-13 1.2/coliseo 2do anillo
o 172.18.0.19/24
WBS-2400 zona UV-13 2.1/coliseo Av. Centenario
o 172.18.0.27/24
WBS-2400 zona UV-13 2.2/coliseo Av. Centenario
o 172.18.0.32/24
WBS-2400 zona UV-32 1.1/Fac. politcnica
o 172.22.0.106/24
WBS-5800 zona UV-32 1.2/Fac. politcnica
o 172.22.0.35/24
WBS-2400 zona UV-32 2.1/Fac. Ciencias exactas
o 172.22.0.112/24
WBS-5800 zona UV-32 2.2/Fac. Ciencias exactas
o 172.22.0.36/24
WBS-2400 Av. Cultural
o 172.22.0.51/24
WBS-2400 Modulo 214
o 172.22.0.42/24
WBS-2400 Modulo 224
o 172.22.0.59/24
Pgina
93
[Montao Rodrguez]
WBS-2400 Medicina
o 172.22.0.67/24
WBS-2400 Veterinaria
o 172.22.0.76/24
EOC-5611P Av. Cultural
o 172.22.0.50/24
EOC-5611P Modulo 214
o 172.22.0.41/24
EOC-5611P Modulo 224
o 172.22.0.58/24
EOC-5611P Medicina
o 172.22.0.66/24
EOC-5611P Veterinaria
o 172.22.0.75/24
2.10. Diseo Fsico del servidor
2.10.1.
HP Proliant ML350P Gen 8
Caractersticas del sistema

Familia de procesador
Familia de productos Intel Xeon E5-2600; Familia de productos

Intel Xeon E5-2600 v2
Nmero de procesadores
o 21
Ncleo de procesador disponible
o 12 10 u 8 6 4 2
Form factor (totalmente configurado)
o 5U
Tipo de fuente de alimentacin
o 2 unidades de ranura comn
Ranuras de expansin
o 9 mximo
Memoria
Memoria, mxima
o 768 GB
Pgina
94
[Montao Rodrguez]
Ranuras de memoria
o 24 ranuras DIMM; Mximo, segn el modelo
Tipo de memoria
o RDIMM, LRDIMM o UDIMM DDR3
Almacenamiento
Descripcin de unidad
o 24 SAS/SATA/SSD SFF o (18) SAS/SATA/SSD LFF; Conexin en
caliente, segn el modelo
Tarjetas controladoras
Controlador de red
o Adaptador Ethernet 331i de 1 Gb y 4 puertos por
controlador; Aplicable a todos los modelos
Controlador de almacenamiento
o Smart Array P420i; Aplicable a todos los modelos
Dimensiones y peso
Dimensiones (ancho x prof. x alt.)

o 21,8 x 74,0 x 46,2 cm (8,58 x 29,13 x 18,18 pulgadas)
Peso
o 30,4 kg
Administracin de servidores
Administracin de infraestructura
o Motor de gestin iLO, Insight Control
Pgina
95
[Montao Rodrguez]
Figura 31: Servidor HP Proliant ML350P Gen 8.

Fuente: Catalogo On-line de productos de la pgina oficial de HP (Consulta 7
de nov. Del 2014).
Pgina
96
[Montao Rodrguez]
Pgina
97
[Montao Rodrguez]
Captulo VII: Implementacin
Capitulo VII: Implementacin
Pgina
98
[Montao Rodrguez]
1. Identificar la manera ms eficiente de implementar Squid

Cdigo Pre compilado de Squid: Cuando se implementa un servidor
con el cdigo pre compilado se restringe a las configuraciones del
servidor que se realiz anteriormente, se puede conseguir un cdigo pre
compilado con los siguientes comandos
En Fedora,Centos o Redhat
Yum install squid
En Debian o Ubuntu
Apt-get install squid3.4
En FreeBSD
Pkg_add r squid3.4
En OpenBSD o NetBSD
Pkg_add squid3.4
En Dragonfly BSD
Pkg_radd squid3.4
En Gentoo
Emerge=squid3.4*
Compilar cdigo de Squid: Cuando se compila el cdigo de un

servidor tiene ms ventajas que un cdigo pre compilado, porque se
pueden habilitar varias funciones las cuales no pueden ser habilitadas
en un cdigo pre compilado siendo as tambin se puede quitar
funciones que no se crean convenientes por ejemplo: --disable-identlookups ms adelante se explicar el significado del anterior cdigo
Eleccin: en mi caso elegimos compilar el cdigo de Squid por las
razones ya mencionadas.
2. Obtener Squid
Para obtener Squid se debe dirigir hacia la pgina oficial de Squid:
Pgina
99
[Montao Rodrguez]
http://www.squid-cache.org/Versions/
Figura 32: Pgina de descarga del software Squid.

Como se puede observar en la anterior imagen hay 2 tipos de versiones:

las estables y las Betas. Las versiones estables son versiones que ya han
sido testeadas y probadas; en cambio las versiones Beta puede que
funcione bien como que tambin no. Para este caso se va a tomar la
Versin Estable para que no haya problemas posteriores.
Pgina
100
[Montao Rodrguez]
Figura 33: Distintos paquetes del software Squid.

En la imagen anterior se puede las distintas versiones estables y los

diferentes tipos de descarga en este caso se va a descargar el archivo
con la extensin tar.gz.
Pgina
101
[Montao Rodrguez]
Figura 34: Squid-3.4.9.tar.gz elegido para el presente trabajo.

Una vez descargado el archivo se procede a descomprimirlo porque el

archivo se encuentra comprimido con la extensin tar.gz. Esto se puede
realizar con el siguiente comando:
$ tar xzvf squid-3.4.9.tar.gz
Pgina
102
[Montao Rodrguez]
Figuras 35: Descompresin del Software Squid.

Pgina
103
[Montao Rodrguez]
3. Configurando Squid
Configurar el servidor es el primer paso para la compilacin esto se logra
escribiendo ./configure en la lnea de comandos. Seguido de este
comando se agrega las configuraciones, es decir las funcionales que se
desea activar o desactivar dependiendo el caso y hacia que entorno est
orientado el servidor.
En las siguientes lneas hare una descripcin de las configuraciones
posibles en Squid.
3.1 Configuraciones posibles de Squid
--help | less
Este Comando muestra una descripcin resumida para configurar Squid
el cual contiene muchas lneas y puede navegarse con las teclas de
navegacin.
./configure --help | less
Las figuras a continuacin, como se haba dicho anteriormente,
conforman una misma pantalla, as que puede tomrselas como una
sola.
Pgina
104
[Montao Rodrguez]
Pgina
105
[Montao Rodrguez]
Pgina
106
[Montao Rodrguez]
Pgina
107
[Montao Rodrguez]
Figuras 36: Descripcin resumida para configurar Squid.

./configure prefix
La opcin --prefix es normalmente usada cuando se est testeando una
nueva versin de Squid o en su defecto, probar varias versiones de
Squid al mismo tiempo. Es una buena prctica instalar en diferentes
directorios. Por ejemplo si se instala Squid 3.3, podra usar el
directorio
/opt/squid/3.3/ y el comando correspondiente seria el
siguiente:
./configure --prefix=/opt/squid/3.1.10/
Igualmente seria para la versin 3.4 de Squid, el directorio seria
/opt/squid/3.4/.
--enable-gnuregex
Pgina
108
[Montao Rodrguez]
Las expresiones regulares son usada para construir las ALCs (Access
Control List) en Squid. Esta opcin no es necesaria si se est usando una
moderna versin del sistema operativo Linux/Unix, pero en el caso de
que la versin de Linux sea antigua es necesario habilitar esta opcin.
./configure --enable-gnuregex
--disable-inline
Squid tiene una gran cantidad de cdigo que est en lnea, lo cual es
bueno para su uso en produccin. Pero el cdigo en lnea tarda ms
tiempo para compilar y es til cuando tenemos que compilar una fuente
de una sola vez. Esta opcin est destinada a ser utilizada durante el
desarrollo cuando tenemos que compilar Squid tiempo y otra vez.
./configure --disable-inline
--disable-optimizations
Squid es por defecto compilado con optimizaciones siendo as el
resultado un mejor rendimiento. Esta opcin podra ser usada mientras
hubiera un problema de debugging o probando diferentes versiones.
./configure --disable-optimizations
--enable-storeio
El rendimiento de Squid depende en gran medida del rendimiento que
tiene el disco en I/O, cuando el disco est siendo utilizado para realizar
el caching la velocidad de Squid depende de la velocidad con la que
puede leer/escribir los archivos ala cache
El rendimiento de Squid depende en gran medida el rendimiento de la
E / S de disco, cuando el almacenamiento en cach del disco est
activada. Squid podra leer / escribir archivos de cach ms rpido, el
menor tiempo que va a tomar para satisfacer una solicitud, que a su vez
Pgina
109
[Montao Rodrguez]
dar lugar a retrasos menores depende las tcnicas de almacenamiento

y del disco. Diferentes tcnicas de almacenamiento pueden conducir a
un rendimiento optimizado, dependiendo del tipo de trfico y el uso.
Podemos usar esta opcin para construir Squid con soporte para varias
tipos de E / S.
./configure --enable-storeio=ufs,aufs,coss,diskd,null
--enable-removal-policies
Durante el uso de almacenamiento de cach en el disco, se indica a
Squid que va a utilizar un espacio de disco especificado para el
almacenamiento en cach de documentos web. Durante un perodo de
tiempo, se consume el espacio y Squid todava necesitar ms espacio
para almacenar en cach los documentos nuevos. Squid entonces tiene
que decidir los archivos que deben ser retirados o purgados de la cach
para hacer espacio para el almacenamiento de los nuevos. Hay
diferentes polticas para eliminar los documentos para lograr los
mximos beneficios de almacenamiento en cach.
Las polticas se basan en estructuras de datos y en almacenamiento
dinmico de la lista. La estructura de datos de la lista est activada por
defecto.
./configure --enable-removal-policies=heap,lru
--enable-icmp
Esta opcin es til en la determinacin de la distancia de los otros
vecinos de cach y los servidores remotos para estimar la latencia
aproximada. Esto es til slo si tenemos otros vecinos de cach en la
red.
Pgina
110
[Montao Rodrguez]
./configure --enable-icmp
--enable-delay-pools
Squid utiliza grupos de retardo para limitar o ancho de banda que
pueden ser utilizados por un cliente o un grupo de clientes. Grupos de
retardo son como baldes con goteras que se filtran los datos de trfico
(web) para los clientes y se rellenan a una velocidad controlada. Estos
son muy tiles cuando tenemos que controlar el ancho de banda
utilizado por un grupo de usuarios.
./configure --enable-delay-pools
--enable-esi
Esta
opcin
permite
utilizar
Squid
Edge
Side
Includes
(ver
http://www.esi.org para obtener ms informacin). Si esta opcin est

activada, Squid ignora por completo las cabeceras de control de cach
de los clientes. Esta opcin slo est destinada a ser utilizado cuando se
utiliza en modo de Squid acelerado.
./configure --enable-esi
--enable-useragent-log
Esto proporciona la capacidad de registro de las cabeceras de agente de
usuario de solicitudes HTTP por los clientes.
./configure --enable-useragent-log
--enable-referer-log
Si habilitamos esta opcin, Squid ser capaz de escribir en un campo de
la cabecera de peticiones HTTP.
./configure --enable-referer-log
Pgina
111
[Montao Rodrguez]
--disable-wccp
Esta
opcin
deshabilita
el
soporte
para
Cisco's
Web
Cache
Communication Protocol (WCCP). WCCP habilita la comunicacin

entre servidores caches. Tambin ayuda en la localizacin del trfico. Por
defecto el soporte WCCP est habilitado.
./configure --disable-wccp
--disable-wccpv2
Similar a la anterior, esta opcin deshabilita el soporte para Cisco's
WCCP versin 2, WCCPv2 es una mejora de la versin de WCCP y ahora
tiene soporte para balanceo de carga, escalabilidad, tolerancia de fallo y
mecanismos de aseguracin del servicio, por defecto WCCPv2 est
activado.
./configure --disable-wccpv2
--disable-snmp
En la versin 3.x de squid, SNMP (Simple Network Management Protocol)
est
activado
por
defecto.
SNMP
es
un
popular
sistema
de
administracin para monitorear servidores y dispositivos de redes.

--enable-cachemgr-hostname
Cach Manager (cachemgr.cgi) es una utilidad CGI para manejar el
cach de Squid y ver las estadsticas usando una interfaz web. El
nombre del host para acceder al administrador de cache puede ser
configurado usando esta opcin.
Por defecto se puede acceder al administrador de cache usando una
interfaz web en la maquina local o la direccin IP del servidor Squid.
./configure --enable-cachemgrhostname=squidproxy.example.com
Pgina
112
[Montao Rodrguez]
--enable-arp-acl
Squid soporta ACLs basadas en direcciones MAC (o Ethernet). Este
aspecto esta deshabilitado por defecto. Si se quiere controlar los accesos
a clientes basados en direcciones Ethernet, se podra habilitar esta
opcin, habilitar esta opcin es una buena idea cuando se est
aprendiendo sobre Squid.
./configure --enable-arp-acl
--disable-htcp
Hipertexto Caching Protocol (HTCP) Puede ser usado por Squid para
enviar y recibir cach digests para los vecinos de cach (otros servidores
web caching) esta opcin deshabilita el soporte a HTCP.
./configure --disable-htcp
--enable-ssl
Cuando Squid es configurado en modo de proxy reverso, Squid puede
finalizar las conexiones SSL iniciadas por clientes y nombres de usuario
esto
puede
ser
gracias
al
servidor
web
en
el
backend.
Esto
esencialmente significa que el servidor web en el backend no tendra

que hacer algn trabajo con SSL, El cual significa en ahorro de procesos.
En este caso la comunicacin entre Squid y el servidor web en el
backend ser puro HTTP, Pero los clientes siempre estarn viendo esto
como una conexin segura con el servidor web. Esto es muy til solo
cuando Squid es configurado para trabajar en modo acelerado o en
modo proxy reverso
./configure --enable-ssl
--enable-cache-digests
Pgina
113
[Montao Rodrguez]
Cach digests son la manera de compartir informacin de Squid con los

dems vecinos servidores web caching acerca de los documentos web
que ya han sido cacheados, y el formato de compresin
./configure --enable-cache-digests
--enable-default-err-language
Cada vez
que Squid encuentra un error (por ejemplo: una pgina no
encontrada, acceso denegado, o un error de red inalcanzable). Esto

podr ser
transmitido al cliente; Squid usa pginas por defecto para
mostrar estos errores. Las pginas de error son disponibles en diferentes

idiomas. Esta opcin puede ser usada para especificar el lenguaje para
todas las pginas de errores. El lenguaje por defecto es el ingls.
./configure --enable-default-err-language=Spanish
4. Compilando cdigo de Squid
Ahora hay que bajar g++ y otras dependencias se instala g++ para que
se pueda compilar el cdigo del servidor en otras palabras consiste en
generar un ejecutable con las configuraciones mostradas en el apartado
3, logrando as luego poder instalarlo.
Las figuras a continuacin corresponden a una misma pantalla, dividida
en varias partes, conformando as una sola expresin.
Pgina
114
[Montao Rodrguez]
Pgina
115
[Montao Rodrguez]
Figura 37: Proceso de compilacin del cdigo de Squid.

Una vez instalado todo esto se comenzar a realizar la configuracin que

en este caso ser la siguiente:
./configure
--prefix=/opt/squid/
--enable-default-err-language=Spanish
--enable-linux-netfliter
--enable-storeio=ufs,aufs,coss,diskd
--with-logdir=/var/log/squid/
--enable-removal-policies=lru,heap
--enable-icmp
--enable-delay-pools
--enable-useragent-log
--enable-referer-log
Pgina
116
[Montao Rodrguez]
--enable-snmp
--enable-arp-acl
--enable-ssl
--enable-cache-digests
--disable-ident-lookups
--enable-auth
--with-pidfile=/var/run/squid.pid
--with-large-files
Pgina
117
[Montao Rodrguez]
Pgina
118
[Montao Rodrguez]
Pgina
119
[Montao Rodrguez]
Pgina
120
[Montao Rodrguez]
Figura 38: Proceso de configuracin de Squid.

Ahora el siguiente comando realiza la compilacin del servidor:

# make all && echo S?
Pgina
121
[Montao Rodrguez]
Pgina
122
[Montao Rodrguez]
Pgina
123
[Montao Rodrguez]
Pgina
124
[Montao Rodrguez]
Pgina
125
[Montao Rodrguez]
Pgina
126
[Montao Rodrguez]
Figura 39: Compilacin del servidor.

5. Instalando Squid
Una vez compilado el cdigo se genera un archivo ejecutable. El
siguiente paso es la instalacin del servidor Squid. Como ya tenemos un
ejecutable, por lo tanto, se va a pasar a instalarlo con el siguiente
comando:
Pgina
127
[Montao Rodrguez]
Pgina
128
[Montao Rodrguez]
Figura 40: Instalacin del servidor Squid.

Ya se ha terminado con el proceso de compilacin e instalacin del

servidor Squid.
Pgina
129
[Montao Rodrguez]
En la siguiente imagen se ver el directorio donde se encuentran los

archivos de configuracin principales:
Figura 41: Archivos de configuracin principales de Squid.

Fuente: referencia propia.
Creando los directorios del cach:
Pgina
130
[Montao Rodrguez]
Figura 42: Directorios del cach.

6. Configuracin del servidor Web Caching

Para configurar Squid se tiene que editar el archivo llamado squid.conf.
Este archivo contiene las configuraciones del servidor. Sabiendo esto se
va a pasar a mostrar el archivo ya configurado, aclarando que el
carcter # significa que esa fila despus de este signo esta comentado,
es decir que se ignora del resto de las configuraciones.
cache_dir aufs /drive/squid# cache 5120 32 512
En la anterior lnea se puede observar que se est configurando la
direccin donde se va almacenar los objetos cacheados y tambin el
tamao del disco y los respectivos campos L1 y L2.
acl my_machine src 192.168.0.0/24 # Replace with your IP address
http_access allow my_machine
Pgina
131
[Montao Rodrguez]
En las 2 lneas anteriores se establece el rango de red que abarcara el

servidor y en la siguiente lnea se aplica la anterior ACL permitiendo el
acceso.
# Recommended minimum configuration:
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8
# RFC1918 possible internal network
acl localnet src fc00::/7

range
# RFC 4193 local private network
acl localnet src fe80::/10

plugged) machines
# RFC 4291 link-local (directly
acl SSL_ports port 443

acl Safe_ports port 80
# http
# ftp
# https
# gopher
# wais
acl Safe_ports port 1025-65535
# unregistered ports
# http-mgmt
# gss-http
# filemaker
# multiling http
acl CONNECT method CONNECT

# Recommended minimum Access Permission configuration:
Pgina
132
[Montao Rodrguez]
# Deny requests to certain unsafe ports

http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager
# We strongly recommend the following be uncommented to protect
innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR
CLIENTS
#
cache_mem 2500 MB
memory_cache_mode always
store_dir_select_algorithm least-load
minimum_object_size 0 KB
maximum_object_size 96 MB
cache_swap_low 96
cache_swap_high 97
memory_replacement_policy lru
cache_replacement_policy heap LFUDA
Pgina
133
[Montao Rodrguez]
quick_abort_min 1024 KB
quick_abort_max 2048 KB
quick_abort_pct 90
# Example rule allowing access from your local networks.

# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy

http_access deny all
# Squid normally listens to port 3128

http_port 3128
# Uncomment and adjust the following to add a disk cache directory.

#cache_dir ufs /opt/squid/var/cache/squid 100 16 256
# Leave coredumps in the first cache dir

coredump_dir /opt/squid/var/cache/squid
#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:
1440 20% 10080
refresh_pattern ^gopher:
1440 0%
1440
Pgina
134
[Montao Rodrguez]
refresh_pattern -i (/cgi-bin/|\?) 0
refresh_pattern .
0%
20% 4320
7. Montando el disco
Se procedi al montaje de una particin del disco duro de sistema
operativo:
Figura 43: Montaje de la particin del disco.

8. Exportando el ejecutable
Se exporta el ejecutable para que se pueda iniciar el servidor de una
manera fcil la cual sera colocar Squid en la lnea de comandos:
9. Iniciando Squid
Para iniciar Squid, una vez ya exportada la ruta simplemente se lo puede
realizar con el siguiente comando:
Una vez ya iniciado Squid se procede a configurar en el navegador:

Pgina
135
[Montao Rodrguez]
Figura 44: Configuracin del navegador con Squid.

10.
Analizando el trfico con Wireshark

Pgina
136
[Montao Rodrguez]


Pgina
137
[Montao Rodrguez]

Pgina
138
[Montao Rodrguez]


Pgina
139
[Montao Rodrguez]
Captulo VIII: Costos
Pgina
140
[Montao Rodrguez]
Capitulo VIII: Costos

Tras haber presentado el diseo de la solucin y su implementacin,
vamos a continuar con la justificacin econmica del proyecto.
Las tablas siguientes expresan los costos de los materiales y dispositivos
necesarios para la implementacin fsica del servidor, ms orientado a la
construccin del mismo.
11.
Costos de los equipos
Descripcin
Precio Unitario
Cantidad
($)
Servidor PROLIANT ML-350P GEN 8
2480
Precio Total
($)
2480
HP
Pgina
141
[Montao Rodrguez]
Disco Duro SAS 300 GB (15000 rpm)
1100
1100
Cable UTP Categora 6 Certificado
0.8 por metro
3 metros
2.4
Conectores RJ-45
0.8
3.2
Capuchones
8 por 1$
Suma Total 1
3586.6
Tabla 10: Costos de los equipos.

Fuente: Empresa DATA MAX (Consulta 2 de nov. Del 2014)
12. Costos de la Implementacin
Descripcin
Precio Unitario
Cantidad
($)
Precio Total
($)
Ensamblaje del Servidor
100
100
Configuracin del Servidor
400
400
Suma Total 2
500
Tabla 11: Costos de Configuracin.

Pgina
142
[Montao Rodrguez]
13.
Costo Total
Descripcin
Costo Total ($)
Costo de los equipos
3586.6
Costo de Implementacin
500
Total
4086.6
Tabla 11: Costo total.

Pgina
143
[Montao Rodrguez]
Captulo IX: Conclusin
Pgina
144
[Montao Rodrguez]
Capitulo IX: Conclusin

Dado los estudios y visto todos los motivos examinados anteriormente,
justificamos la implementacin de un servidor Web Caching en la red
principal de la universidad Gabriel Ren Moreno, para que su trabajo
permita ahorrar ancho de banda que podra estar disponible para otros
usuarios, mejorando la experiencia laboral no solo para los alumnos, si
no para los docentes y administrativos.
Pgina
145
[Montao Rodrguez]
Los beneficios de implementar el servidor Web Caching no afectar en

absoluto el pago que hace el CPD a ENTEL s.a. para que le provea el
servicio, Pero si ganar mucha ms eficiencia en su red, pudiendo as
abarcar un mayor nmero de usuarios que tendrn, como se haba
mencionado antes, una experiencia de navegacin ms rpida.
Es importante la proteccin de los equipos que se encuentran alojados en el CPD, ya que
son el corazn y el cerebro de la misma universidad, en cuanto a datos se refiere.
Cualquier dao podra significar una prdida econmica gigantesca tanto en informacin
como perdidas por daos materiales.
Figura 51: Diseo completo de la red Wi-Fi de la UAGRM.

Fuente: Administrativos del CPD UAGRM.
Pgina
146
[Montao Rodrguez]
Bibliografa
Libros
Davison, Brian D. A Web Caching Primer: Volumen 5. Impreso en

New Jersey, USA. IEEE, 2001, 45 pginas.
Hatch, Brian; Lee, James; Kurtz, George. Hackers en Linux. Impreso
en Madrid, Espaa: Mcgraw-Hill, 2001, 624 pginas.

Helmke, Matthew; Hudson, Andrew; Hudson, Paul. Ubuntu
Unleashed 2012 Edition: Covering 11.10 and 12.04. Impreso en los
Estados Unidos de America: Pearson Education Inc., 2012, 858
pginas.
Wessels, Duane. Web Caching. Impreso en los Estados Unidos de
America: O'Reilly Media, Inc., 2001, 300 pginas.
Documentos Online
Allain, Alex. Programming.com: your resource for c and c++.

[Online].1997.
<http://www.cprogramming.com/g++.html>
[Consulta 22 de sep. de 2014].
Pgina
147
[Montao Rodrguez]
Chadd, Adrian. Squid-Cache Project Page. [ONLINE]. 2013
< http://www.squid-cache.org/> [Consulta 19 de sep. del 2011].

Davis, Ziff. Computer Desktop Encyclopedia, [ONLINE]. 2014.
<http://www.pcmag.com/encyclopedia/term/54281/web-cache>
[Consulta 23 sep. del 2014]

Jacobsen, Ole. The Internet Protocol Journal. [Online]. 2013.
<http://www.cisco.com/web/about/ac123/ac147/about_cisco_the_i
nternet_protocol_journal.html> [Consulta 14 de oct. Del 2014]
Jara, Pablo; Nazar, Patricia. Estandar IEEE 802.11 X de las WLAN.

2008. [ONLINE]
<http://www.edutecne.utn.edu.ar/monografias/standard_802_11.p
df> [Consulta 21 de sep. del 2014]

Jara, Andrs; Pintado, Juan; Serrano, Marcelo; Ullauri, Rul; Juca,
Angel. Configurando un servidor Proxy utilizando Squid. [ONLINE].
<http://www.uazuay.edu.ec/estudios/sistemas/teleproceso/ciclo2/pr
oxy.doc> [Consulta 21 de sep. del 2014].
Wessels, Duane; K. Claffy; RFC2187: Application of Internet

Protocol (ICP). [Online]. 1997. <http://icp.ircache.net/rfc2187.txt>
[Consulta 22 de oct. Del 2014].
Pgina
148

Montaño Rodriguez v5

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Montaño Rodriguez v5

Uploaded by

Copyright:

Available Formats

Universidad

Implementacin de un servidor Web Caching para la

: Ing. Javier Alanoca Gutirrez

: Ing. En Redes y Telecomunicaciones

Un servidor de Web Caching tiene como finalidad compartir la

y el uso de ancho de banda. Al recibir las peticiones, el

servidor buscar dentro de s, si posee la pgina o el recurso

2. Anlisis del diseo............................................................................... 64

Diseo Fsico del servidor.........................................................84

Capitulo VII: Implementacin......................................................................88

Figura 13: Estadsticas de los equipos Microtik

Figura 24: Modelo Fsico de la

Figura 37: Proceso de compilacin del cdigo de

Tabla 10: Costos de

Captulo I: Introduccin al proyecto

Captulo I: Introduccin al Proyecto

Segn estudios realizados anteriormente, el ancho de banda que la

directamente de su gestin y administracin. El servidor Web Caching

utilizacin de la red Wi-Fi de libre acceso y, en la bsqueda de la salida a

Estudio de polticas de seguridad aplicable al servidor

Se debe considerar a cada punto como un prerrequisito indispensable

Contar con un estudio o estadstica del trfico de la red.

4.2. Anlisis / Evaluacin

La simulacin del servidor Cach en varios estados de trabajo,

para analizar su rendimiento.

Realizar un informe detallado de todos los equipos necesarios a

4.4. Anlisis de riesgos

4.5. Implementacin y pruebas

Utilizacin de software sniffer tal como Wireshark para el rastreo

e inspeccin del correcto funcionamiento del servidor.

Capitulo II: Universidad Gabriel Ren

Capitulo II: Universidad Gabriel Ren Moreno

reas del conocimiento. La UAGRM, ha considerado de vital importancia

Figura 1: Ubicacin y espacio de la Universidad Autnoma Gabriel Ren

La Universidad Autnoma Gabriel Ren Moreno est ubicada en la

1. Misin y visin de la UAGRM

La misin es de formar profesionales de xito, con la finalidad de

Desarrollar funciones de extensin universitaria e interaccin social, en

Crear las condiciones para la investigacin y el anlisis cientfico

con sentido social e histrico.

del sistema educativo nacional.

regional. (U.A.G.R.M, 2014).

El Gobierno de la Universidad lo ejercen los profesores y los alumnos,

profesores de las distintas Facultades, Escuelas e Institutos

renuncias; y removerlos, considerando y votando su destitucin

Universidad Gabriel Ren Moreno

Facultad de Ingeniera en Ciencias de la Computacin y

Tabla 2: Principales Administrativos de la Facultad de origen.

5. Topologa Actual de la red Wi-Fi

Figura 2: Topologa de la red Wi-Fi actual

6. Anlisis del trfico de la red Wi-Fi

Figura 3: Anlisis del trfico de la red Wi-Fi de un da.

En la figura anterior podemos observar el anlisis del trfico de la red

Capitulo III: Web Caching

Capitulo III: Web Caching

computacional recientemente adquirida para futuras referencias.,

instante. Dado que el contenido de las pginas Web pueden cambiar, el

administradores de red y los creadores de contenido

- El almacenamiento en cach Web reduce la latencia percibida

Figura 4: Una transaccin Proxy Web (Ole Jacobsen, 2013).

Si la cach contiene la direccin URL de referencia se comprueba por la

contenido, el objeto se destac como fresco. Objetos frescos son

1. RFC2186: Protocolo de cach de Internet (ICP), versin 2

almacenamiento en Web cach. Un intercambio de consulta / respuesta