Professional Documents
Culture Documents
DESPLIEGUE Y
ADMINISTRACION DE
PROXY
2019
IES Punta del Verde – Seguridad y Alta disponibilidad
2
PRÁCTICA 2: Despliegue y administración de proxy
MARCO TEORICO
1. Material de partida
PC – HP G6
RAM 8 GB
Disco duro 500 GB
S.O Anfitrion Windows 10 Profesional
S.O. Huesped Ubuntu desktop 18.04
2. Objetivos
Instalar un Proxy (SQUID) y comprender su funcionamiento.
Conocer las diversas posibilidades que admite este programa como son la restricción de accesos a
determinadas URL’s, crear jerarquías de caches y verificar los ficheros de log.
3. ¿Qué es un proxy?
Un proxy, o servidor proxy, en una red informática, es un servidor (un programa o sistema informático), que sirve de
intermediario en las peticiones de recursos que realiza un cliente (A) a otro servidor (C). Por ejemplo, si una hipotética
máquina A solicita un recurso a C, lo hará mediante una petición a B, que a su vez trasladará la petición a C; de esta
forma C no sabrá que la petición procedió originalmente de A
Funciones:
Auditoria y administración de recursos
Control de acceso
Mejorar el rendimiento
Mantener el anonimato
Características de SQUID
Es un servidor proxy
Controles de acceso avanzados avanzado en ACLs.
Registro de Logs y soporte SNMP.
IES Punta del Verde – Seguridad y Alta disponibilidad
Ventajas
Control: sólo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los
usuarios, y dar permisos sólo al proxy.
Ahorro: Sólo uno de los usuarios (el proxy) ha de estar preparado para hacer el trabajo real. Con estar
preparado queremos decir que es el único que necesita los recursos necesarios para hacer esa funcionalidad.
Ejemplos de recursos necesarios para hacer la función pueden ser la capacidad y lógica de cómputo o la
dirección de red externa (IP).
Velocidad: Si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché: guardar la respuesta
de una petición para darla directamente cuando otro usuario la pida. Así no tiene que volver a contactar con el
destino, y acaba más rápido.
Filtrado: El proxy puede negarse a responder algunas peticiones si detecta que están prohibidas.
Modificación: Como intermediario que es, un proxy puede falsificar información, o modificarla siguiendo un
algoritmo.
Instalación de squid3
IES Punta del Verde – Seguridad y Alta disponibilidad
Cuando un sistema de ficheros con journaling arranca no revisa y verifica los metadatos del mismo, sino que tiene que
7
revisar solamente aquellas transacciones que no se llevaron a cabo y las ejecuta . De esa manera se asegura
que la información del disco y los metadatos están sincronizados y son veraces.
El journal en un sistema de ficheros consiste básicamente en una lista de transacciones, de esta manera las
recuperaciones ante posibles accidentes son mucho más ágiles que en sistemas sin journaling.
El fichero resolv.conf contiene una lista de servidores, que si está vacía hará considerar al sistema que el servidor está
en su máquina.
La opción más importante del fichero resolv.conf es nameserver, que tiene la dirección IP del servidor de nombres a
usar. Si especifican varios servidores poniendo varias líneas nameserver, se intentarán usar en el orden dado; por lo
que debería poner en primer lugar el servidor de nombres más rápido o cercano.
5. Listas ACL
Para permitir o denegar que se puede hacer y que no puede hacer cada cliente proxy.
http_access allow | deny nombre_lista_acl
EJEMPLOS
## Reglas de acceso:
http_access allow localhost
http_access deny ip_sin_internet
http_access deny all
Acl basadas en puertos
IES Punta del Verde – Seguridad y Alta disponibilidad
Las acl de tipo method definen una lista en métodos HTTP usado en la petición.
En la mayoría de los casos los clientes usan el método GET o POST.
Algunos clientes usan el método CONNECT para realizar el túnel hacia el puerto TCP.
acl lista_CONNECT method CONNECT
¿Qué es kerberos?
IES Punta del Verde – Seguridad y Alta disponibilidad
Centralizar la autentificación de usuarios, manteniendo una única base de Datos de usuarios para toda la red.
Kerberos, como protocolo de seguridad, usa una Criptografía de claves simétricas, lo que significa que la clave utilizada
para cifrar es la misma clave utilizada para descifrar o autenticar usuarios. Esto permite a dos computadores en una
red insegura, demostrar su identidad mutuamente de manera segura. Kerberos entonces restringe los accesos sólo a
usuarios autorizados y autentica los requerimientos a servicios, asumiendo un entorno distribuido abierto, en el cual
usuarios ubicados en estaciones de trabajo acceden a estos servicios en Servidores distribuidos a través de una red.
Criptografía simétrica: La criptografía simétrica solo utiliza una clave para cifrar y descifrar el mensaje, que tiene que
conocer el emisor y el receptor previamente y este es el punto débil del sistema, la comunicación de las claves entre
ambos sujetos, ya que resulta más fácil interceptar una clave que se ha transmitido sin seguridad (diciéndola en alto,
mandándola por correo electrónico u ordinario o haciendo una llamada telefónica).
Criptografía asimétrica: La criptografía asimétrica se basa en el uso de dos claves: la pública (que se podrá difundir sin
ningún problema a todas las personas que necesiten mandarte algo cifrado) y la privada (que no debe de ser revelada
nunca).
¿Qué es gopher?
Gopher es un programa informático utilizado para organizar y presentar información en la internet, este servicio que
antecedió a la WWW (Word Wide Web) o red de informática mundial, fue creado en la universidad de Minnesota en el
año de 1991, siendo uno de los primeros sistemas que permitió trasladarse de un sitio a otro eligiendo una opción en el
menú de una página.
entidad emisora y el nombre corporativo del propietario del sitio web, se pueden ver haciendo clic en el símbolo de
candado de la barra del navegador. 10
SSL es el acrónimo de Secure Sockets Layer (capa de sockets seguros), la tecnología estándar para mantener segura
una conexión a Internet, así como para proteger cualquier información confidencial que se envía entre dos sistemas e
impedir que los delincuentes lean y modifiquen cualquier dato que se transfiera, incluida información que pudiera
considerarse personal. Los dos sistemas pueden ser un servidor y un cliente (por ejemplo, un sitio web de compras y
un navegador) o de servidor a servidor (por ejemplo, una aplicación con información que puede identificarse como
personal o con datos de nóminas).
Ejercicios
Denegar a vuestra red varios dominios peligrosos: www.proxysite.com, etc
acl dominios_peligrosos dstdomain proxysite.com kproxy.com
http_access deny dominios_peligrosos
Caso práctico 1
IES Punta del Verde – Seguridad y Alta disponibilidad
11
a) 192.168.7.0/24
b) 192.168.14.0/24
d) 192.168.28.0/24
e) 192.168.35.0/24
Caso práctico 2
Resto: denegados
Resto: denegados
Todos los de la red 192.168.6.32/27 si usan los puertos 23, 2323, 80,8080
IES Punta del Verde – Seguridad y Alta disponibilidad
Resto:denegado
14
acl descargas url_regex –i download
192.168.6.32/27
172.16.0.0/16
172.17.0.0/16:443
Caso práctico 3.
Dado el contenido indicando en el ejercicio terminar las acls y/o las http_access que corresponda:
3) denegar el acceso a todos los servidores cuyo nombre comience por “popup”, “banner” o “ads”.
4) denegar las conexiones a las url completas o incompletas que hay en el fichero
“/etc/squid/lista_negra.txt”
5) permitir bloquear el acceso a las paginas cuya url contenga las palabras sex,porn,xxx o nude
16
8) red con 3 niveles de reglas gerentes, nivel_b y nivel_c donde gerentes tiene acceso a todo, nivel_b a
todo menos paginas prohibidas y msn y nivel_c solo a páginas permitidas.
https://www.ecured.cu/Kerberos
https://www.genbeta.com/desarrollo/tipos-de-criptografia-simetrica-asimetrica-e-hibrida
https://www.websecurity.symantec.com/es/es/security-topics/what-is-ssl-tls-https