Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Servidor proxy squid y Dansguardian

No description
by

jose luis meca martin

on 13 May 2010

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Servidor proxy squid y Dansguardian

Servidor Proxy Squid y Dansguardian ¿Qué es un proxy? Primero que nada vamos a explicar que es un proxy funciona como un cache o una memoria pero en lugar de almacenar variables o procesos almacena paginas web y sus contenidos, esto para hacer mas rápido el acceso a Internet en lugar de pedir directamente la información al servidor externo de yahoo,youtube, etc, accedamos al servidor proxy y ya no recargamos imágenes, textos, etc y eso acelera el Internet. Ventajas del proxy squid Es que podemos crear reglas de acceso en las cuales podemos especificar a quienes si les damos acceso a descarga de archivos o denegar acceso a ciertas paginas o inclusive a direcciones Web completas o tipos de archivos y con esto nos aseguramos de que nuestros usuarios no descarguen archivos maliciosos de la Web.

El servidor debe contar con 2 tarjetas de red, la primera ira conectada a nuestro router dsl,o nuestro servicio de Internet , la segunda deberá ir conectada a nuestra red local.
Quedaría de la siguiente manera:
¿Cómo se instala el proxy squid? Para obtener el SQUID podemos hacerlo de 2 formas:

1ª. Podemos descargarlo de Internet que es la forma mas complicada.
2ª Podemos obtenerlo de apt-get install
Nosotros lo instalaremos en un sencillo paso: sudo apt-get install squid

Ya tenemos instalado SQUID para verlo usamos squid -v en la terminal.
Ahora vamos a configurar nuestro squid Los ficheros y directorios más importantes son:

El directorio /etc/squid : donde se guardan los ficheros de configuración: por ejemplo el fichero
squid.conf

Una parte importante de ficheros se encuentran en /usr/lib/squid, pero no tendremos que
preocuparnos de ellos por ahora.

La documentación se encuentra en /usr/share/doc/squid-x.x.x/
En /var/spool/squid se van a encontrar las páginas “cacheadas”, es decir, las traídas desde Internet
y que se almacenan para la próxima vez que las solicite alguien y no hayan cambiado.

En /var/log/squid se guardan los accesos de nuestros usuarios a Internet a través del proxy, así
como los posibles errores que hayan ocurrido.
Activar el enrutamiento: # Activar enrutamiento de forma temporal, ponemos el siguiente comando en la consola:

echo 1 >/proc/sys/net/ipv4/ip_forward
Configurar el Cortafuegos # Limpiar las reglas de filtrado y NAT del cortafuegos iptables
iptables --flush
iptables -t nat --flush
#Activamos el NAT con enmascaramiento
iptables -t nat -A POSTROUTING -s 172.26.0.0/16 -o eth1 -j MASQUERADE
# Permitir el tráfico de la red local que antes hemos enmascarado
iptables -A FORWARD -s 172.26.0.0/16 -i eth0 -j ACCEPT
# Política para la red local de todo permitido
iptables -A INPUT -s 172.26.0.0/16 -j ACCEPT
Configuración # cp /etc/squid/squid.conf /etc/squid/squid.conf.copia
# Default: http_port 3128
http_port 3128
http_port 8080
Parámetro cache_mem Cache_mem 16 MB por defecto viene 8 MB se lo cambiamos a 16MB. Parámetro cache_dir: Tamaño de la caché cache_dir ufs /var/spool/squid 100 16 256
cache_dir ufs /var/spool/squid 700 16 256
En este caso debemos cambiar el que viene de serie por 700 y listo iniciamos el Server!.

Iniciar: sudo /etc/init.d/squidstart
Parar: sudo /etc/init.d/squid stop
Reiniciar: sudo /etc/init.d/squid restart
¿Que es Dansguardian? Dansguardian es una utilidad de control para el filtrado de contenidos de paginas web que trabajan en conjunto con el servidor proxy squid u otro proxy cache similar en una red local. Dansguardian actua entre el navegador cliente y el servidor proxy limitando la comunicación entre ambos facilitando asi el filtrado del contenido de las paginas web que visita el usuario impidiendo que se acceda a paginas que no sean de interes para el usuario. La herramienta DansGuardian es código abierto, está desarrollada en C++ y permite una configuración flexible adaptándose a las necesidades del usuario.
Al instalar el paquete la configuración por defecto limita las visitas a páginas prohibidas para menores, pero dispone de gran cantidad de archivos de configuración para llevar a cabo un ajuste del servicio mas personalizado.
El mecanismo es el siguiente: los clientes mediante sus navegadores web hacen peticiones de páginas que son recibidas por DansGuardian y sólo son redireccionadas al servidor proxy SQUID aquellas que superan la fase de filtrado.

cliente web -> DansGuardian -> Squid -> servidor
Caracteristicas
Si el resultado del filtrado (dependiendo de los filtros configurados) es una denegación de acceso a una determinada página web se muestra al usuario el mensaje correspondiente al 'Acceso Denegado'.

La instalación y configuración se debe hacer como usuario administrador root o como un usuario 'sudo'. Instalación y configuración básica Instalación de DansGuardian


Para instalar el paquete Ubuntu de DansGuardian se debe tener disponible el repositorio Universe. Se puede comprobar que está disponible utilizando la herramienta Synaptic y con ella buscar dicho paquete y proceder a su instalación.
La versión disponible es la 2.8.0. La figura siguiente muestra el paquete ya instalado. Configuración de DansGuardian El archivo de configuración de DansGuardian es /etc/dansguardian/dansguardian.conf. Para editar dicho archivo ir a: Aplicaciones -> Accesorios -> Editor de textos que abre la aplicación gedit para modificar la configuración por defecto de DansGuardian.
Como se trata de un archivo de configuración del sistema sólo un usuario sudo puede hacerlo, por lo que, al editarlo desde el entorno gráfico, no es posible grabar las modificaciones hechas sobre él. Una solución es ejecutar desde una terminal de texto la siguiente orden:
$sudo gedit /etc/dansguardian/dansguardian.conf

Pasos para la configuración:
Establecer la línea que contiene la directiva UNCONFIGURED como un comentario. Para ello añadir al principio de la línea el carácter '#'.
#UNCONFIGURED - Please remove this line after configuration

Si no se está trabajando con el antivirus modificar la línea correspondiente desactivando la opción y comentar la indicada:
virusscan = off
#virusengine = 'clamav'

En la sección 'Network Settings' comprobar que están las líneas siguientes:
filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128

Esta sería la configuración para una máquina aislada, también llamada standalone o desktop. En el caso de tratarse de un aula con varias máquinas cliente que salen a Internet a través de un servidor de aula, habría que modificar el valor dado en proxyip por la dirección IP de la tarjeta de red del servidor que escucha dentro del aula.
Modificar el idioma por defecto. Para ello sustituir el inglés por 'spanish' y dejar las líneas como sigue:
languagedir = '/etc/dansguardian/languages'
# language to use from languagedir.
language = 'spanish'

Salir de gedit salvando los cambios.

Reiniciar el servicio dansguardian ejecutando la orden:
$sudo /etc/init.d/dansguardian restart

Para hacer una primera prueba de funcionamiento habrá que cambiar la configuración del navegador para usar como proxy la dirección del servidor pero con el puerto 8080.
En el caso de que se trate de una máquina aislada la dirección del proxy será la propia máquina, que deberá tener instalado SQUID.
Ahora ir a: Aplicaciones -> Internet -> Navegador web Firefox y en la opción de menú Editar -> Preferencias ir en la pestaña Red a Configurar la conexión. Por defecto la conexión a Internet es directa y habrá que dejarla como indica la figura. También es válido utilizar como dirección IP la propia de la tarjeta de red y no la interfaz de loopback (lo).
Utilización de IPTABLES Para evitar que los usuarios se salten el filtro, tendremos que usar IPTABLES.
Una regla sencilla que fuerza a pasar por el filtro a las peticiones que vienen por la interfaz interna (eth1) sería:
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3128 -j REDIRECT --to-port 8080

La regla indica que, utilizando la tabla nat, todas las peticiones que vengan desde eth1 y que tengan como puerto destino el 3128 (SQUID) sean redirigidas al puerto 8080 (dansguardian).
Esta regla es ineludible.
Configuración avanzada: métodos de filtrado Archivos de filtros en:

cd /etc/dansguardian/lists Archivo:Descripción
bannedphraselist: contiene una lista de frases prohibidas. Las frases deben estar entre <>. Por defecto incluye una lista ejemplo en inglés. Las frases pueden contener espacios. Se puede también utilizar combinaciones de frases, que si se encuentran en una página, serán bloqueadas.
bannedmimetypelist: contiene una lista de tipos MIME prohibidos. Si una URL devuelve un tipo MIME incluido en la lista, quedará bloqueada. Por defecto se incluyen algunos ejemplos de tipos MIME que serán bloqueados.
bannedextensionlist: contiene una lista de extensiones de archivos no permitidas. Si una URL termina con alguna extensión contenida en esta lista, será bloqueada. Por defecto se incluye un archivo ejemplo que muestra como denegar extensiones.
bannedregexpurllist: contiene una lista de expresiones regulares que si se cumplen sobre la URL ésta será bloqueada.
bannedsitelist: Contiene una lista de sitios prohibidos. Si se indica un nombre de dominio todo él será bloqueado. Si se quiere sólo bloquear partes de un sitio hay que utilizar el archivo bannedurllist. También se pueden bloquear los sitios indicados exeptuando los dados en el archivo exceptionsitelist. Existe la posibilidad de descargarse listas negras tanto de sitios como de URLs y situarlas en los archivos correspondientes.
bannedurllist: permite bloquear partes específicas de un sitio web. bannedsitelist bloquea todo el sitio web y ésta sólo bloquea una parte.
banneduserlist: lista de los nombres de usuario que estarán bloqueados.




Archivo: Descripción
exceptionsitelist: contiene una lista de los nombres de dominio que no serán filtrados Es importante tener en cuenta que el nombre de dominio no debe incluir http:// o www.
exceptioniplist: contiene una lista de las direcciones IP de los clientes a los que se permite el acceso sin restricciones. este sería el caso de la dirección IP del administrator.
exceptionuserlist: lista de los nombres de usuarios que no serán filtrados en el caso de utilizar control de acceso por usuario. Requiere autenticación básica o "ident".
exceptionphraselist: lista de las frases que, si aparecen en una página web, pasará el filtro.
Archivos de excepciones en:

/etc/dansguardian/lists
Full transcript