Professional Documents
Culture Documents
SERVICIO DE DIRECTORIO
Presentado a:
1
INDICE
1.INTRODUCCION
2.OBJETIVOS
3. MARCO CONCEPTUAL
3.1.seguridad informática
3.5 Funcionamiento
3.7 Squid.
9.VENTAJAS.
10. DESVENTAJAS.
2
11.CONCLUSIÓN
12. CIBERGRAFIA.
3
INTRODUCCION
4
OBJETIVOS
OBJETIVO GENERAL
OBJETIVOS ESPECIFICOS.
5
MARCO CONCEPTUAL
Seguridad Informática
Servidor Proxy
Funcionamiento
6
CLASES DE PROXIES
Esto es lo que ocurre cuando varios usuarios comparten una única conexión a
Internet y Se dispone de una única dirección IP pública, que tiene que ser
compartida. Dentro de la red de área local (LAN) los equipos emplean
direcciones IP reservadas para uso privado y será el Proxy el encargado de
traducir las direcciones privadas a esa única dirección pública para realizar las
peticiones, así como de distribuir las páginas recibidas a aquel usuario interno
que la solicitó.
-PROXY TRANSPARENTE
-REVERSE PROXY
8
Este proporciona mejoras como
-Proxy Abierto
Este tipo de Proxy que acepta peticiones desde cualquier ordenador, esté o no
conectado a su red.
SQUID
9
SERVIDOR PROXY CON AUTENTICACIÓN DE USUARIOS DE SERVICIO
DE DIRECTORIO.
Primero se instalara directorio activo para crear los usuarios que se necesitan
para la autenticación con el servidor proxy.
Aceptar.
10
Aparecerá el “Asistente para instalación de Active Directoy” da clic en
“Siguiente”.
Aquí aparece el tipo de controlador que se desea instalar. En esta ocasión será
un controlador de dominio para un dominio nuevo. Y pulsamos siguiente.
11
En la opción crear un nuevo dominio elegimos la opción que se desee en esta
ocasión será, Dominio en un nuevo bosque.
Siguiente >
12
Se especifica el nombre de el dominio que se va a utilizar el de nosotros será
proxy57.com
Siguiente >
13
En este pantallazo aparecen las carpetas de la base de datos y registros. Se
pueden dejar por defecto.
Siguiente >
Siguiente >
14
Aparece el diagnostico de registro de DNS, escogemos la opción se que
deseemos. Hoy elegiremos la segunda ya que no tenemos un DNS instalado
aun.
15
.“Contraseña de administrador. Del modo de restauración de servicios de
directorio”
Escriba la contraseña que desee.
Siguiente >
16
“Resumen” para terminar aparece un resumen de todo lo que se hizo.
Selecciona “Siguiente”.
Y por ultimo reiniciamos el equipo para que surtan efecto los cambios.
17
ya que instalado el active directory
18
Aquí muestra el dominio creado para active directory.
19
Cuando esta la unidad organizativa creada, dentro de ella creamos los usuarios
con los cuales se van a utilizar para que se autentique con el squid.
20
Y finalizar.
Así sucesivamente se van creando los usuarios con los permisos que se
deseen.
21
INSTALACION Y CONFIGURACION DE EL SQUID CON AUTENTICACION
CON ACTIVE DIRECTORY.
http://squid.acmeconsulting.it/download/dl-squid.html
22
CONFIGURACIÓN DE SQUID BASICO
Escribimos squid –i
23
y busca los siguientes comandos y realiza las modificaciones siguientes.
http_port 3128
Squid por defecto utilizará el puerto 3128 para atender peticiones, sin embargo
se puede especificar que lo haga en cualquier otro puerto o bien que lo haga en
varios puertos a la vez.
cache_mem 32 MB
Este parámetro se utiliza para establecer que tamaño se desea que tenga el
cache en el disco duro
Para Squid.
Por defecto Squid utilizará un cache de 100 MB.
Los números 16 y 256 significan que el directorio del cache contendrá 16
subdirectorios con 256 niveles cada uno. No modifique esto números, no hay
necesidad de hacerlo.
Controles de acceso.
24
Busca el siguiente grupo de líneas:
Donde net representa a tu red, esta instrucción está dando permisos a la red en
la que estas de usar tu proxy.
visible_hostname localhost
ACLs
Ahora crearemos diferentes archivos donde estarán las restricciones y las
25
páginas de acceso para el público.
En estos se pondrán en las rutas de las acls, estos archivos podremos
ubicarlos donde queramos siempre y cuando la ruta este correcta en la acl.
Por ejemplo:
c:/squid/etc/denegados
marcexchange.blogspot.com
richarsalazar.blogspot.com
redes.com
ostau2008.blogspot.com
servidoresyseguridad.blospot.com
vanny27.blogspot.com
Ejemplo acl:
c:/squid/etc/listas/palabrasNO.acl
porno
Juego
Video
Peli
Macizorras
Sexo
c:/squid/etc/listas/ficherosNo.acl
.mp3$
.avi$
.jpeg$
mp3
avi
Jpeg
Juegos
games
.jpg$
.png$
.jif$
12.144.83.2:80
12.32.88.30:80
152.88.1.13:80
26
155.229.204.25:80
155.229.77.2:8080
167.206.112.85:80
168.95.19.27:8080
192.84.155.28:80
195.117.39.16:3128
195.168.84.16:80
195.83.249.62:80
200.161.5.229:8080
200.27.138.94:80
202.156.2.83:8080
202.54.13.146:80
202.57.125.40:80
202.57.125.41:8080
202.57.221.111:80
202.79.160.4:80
203.130.206.194:3128
203.17.102.19:8080
203.52.233.2:8080
205.162.223.74:8080
205.168.2.230:80
205.205.143.254:8002
205.213.2.2:8080
205.214.211.194:80
205.216.196.66:80
205.238.79.145:80
205.247.166.233:80
205.252.224.66:8080
207.136.80.236:81
207.15.44.62:80
207.150.137.130:8000
207.166.1.25:8080
207.173.172.98:8000
207.208.169.67:80
207.226.253.3:80
207.232.162.22:80
207.243.156.9:80
207.3.112.250:8080
207.30.224.108:80
207.6.138.170:80
207.61.234.99:80
207.61.37.218:80
207.61.38.67:8000
207.63.170.2:80
207.7.58.111:8000
207.70.158.2:80
207.86.145.51:80
207.96.1.42:80
209.113.184.98:8080
209.205.19.122:3128
27
211-23-199-103.hinet-ip.hinet.net:80
211.11.212.99:80
212.234.239.205:8080
213.140.5.195:80
216.155.175.188:8080
216.245.172.3:8080
217.6.124.34:8080
217.6.135.122:3128
217.6.171.35:80
217.6.180.2:80
217.6.192.146:8080
217.6.27.2:3128
217.6.85.165:8080
24.153.177.210:8080
24.166.67.119:8080
62.2.157.242:3128
62.30.231.155:8080
62.30.40.22:3128
62.30.62.73:8080
63.68.93.166:80
64.9.10.226:80
80.105.188.180:3128
Bess-proxy2.maine207.k12.il.us:80
cache.voicenet.com:80
cache1.powertolearn.net:80
cartman.sunbeach.net:3128
dhcp024-166-067-119.neo.rr.com:8080
family.look.ca:81
filter.clean4all.com:8983
ipac.wfpl.net:80
ipserv1.central-lee.k12.ia.us:8000
isaic.crlibrary.org:8000
jupiter.mripa.org:80
mail.britain-info.org:80
mail.ndhsb.org:80
mail.uastpa.com:80
mail.woodland-container.com:8000
mail2.ayrnet.com:80
mchr01.erols.com:8080
metafix.com:80
ns1.moline.lth2.k12.il.us:80
orocache.bcoe.butte.k12.ca.us:80
pluto-e0.in.bellnexxia.net:8080
proxy.psrc.schoollink.net:80
proxy.robeson.k12.nc.us:80
proxy.schoollink.net:80
rrcs-central-24-123-80-138.biz.rr.com:80
rrcs-sw-24-153-177-210.biz.rr.com:8080
ruby.look.ca:81
schools.ci.burbank.ca.us:8080
28
sms.edu.gd:80
sun2.sunworks.com:8000
ts.care.org:80
w162.z064221053.det-mi.dsl.cnc.net:8080
watnet.watkinson.org:80
www.antigua.com:80
www.sfis.k12.nm.us:80
www.walsingham.org:80
www.westwood.k12.ia.us:80
29
155.78.0.0 PEO STAMIS (NET-CEAP6)
155.79.0.0 US Army Corps of Engineers (NET-CEAP7)
155.80.0.0 PEO STAMIS (NET-CEAP8)
155.81.0.0 PEO STAMIS (NET-CEAP9)
155.82.0.0 PEO STAMIS (NET-CEAP10)
155.83.0.0 US Army Corps of Enginers (NET-CEAP11)
155.84.0.0 PEO STAMIS (NET-CEAP12)
155.85.0.0 PEO STAMIS (NET-CEAP13)
155.86.0.0 US Army Corps of Engineers (NET-CEAP14)
155.87.0.0 PEO STAMIS (NET-CEAP15)
155.88.0.0 PEO STAMIS (NET-CEAP16)
155.178.0.0 Federal Aviation Administration (NET-FAA)
155.213.0.0 USAISC Fort Benning (NET-FTBENNNET3)
155.214.0.0 Director of Information Management (NET-CARSON-TCACC )
155.215.0.0 USAISC-FT DRUM (NET-DRUM-TCACCIS)
155.216.0.0 TCACCIS Project Management Office (NET-FTDIX-TCACCI)
155.217.0.0 Directorate of Information Management (NET- EUSTIS-EMH1)
155.218.0.0 USAISC (NET-WVA-EMH2)
155.219.0.0 DOIM/USAISC Fort Sill (NET-SILL-TCACCIS)
155.220.0.0 USAISC-DOIM (NET-FTKNOX-NET4)
155.221.0.0 USAISC-Ft Ord (NET-FTORD-NET2)
128.47.0.0 Army Communications Electronics Command (NET-TACTNET)
128.50.0.0 Department of Defense (NET-COINS)
128.51.0.0 Department of Defense (NET-COINSTNET)
128.56.0.0 U.S. Naval Academy (NET-USNA-NET)
128.63.0.0 Army Ballistics Research Laboratory (NET-BRL-SUBNET)
128.80.0.0 Army Communications Electronics Command (CECOM) (NET-
CECOMNET)
128.98.0.0 - 128.98.255.255 Defence Evaluation and Research Agency (NET-
DERA-UK)
128.154.0.0 NASA Wallops Flight Facility (NET-WFF-NET)
128.155.0.0 NASA Langley Research Center (NET-LARC-NET)
128.156.0.0 NASA Lewis Network Control Center (NET- LERC)
128.157.0.0 NASA Johnson Space Center (NET-JSC-NET)
128.158.0.0 NASA Ames Research Center (NET-MSFC-NET)
128.159.0.0 NASA Ames Research Center (NET-KSC-NET)
128.160.0.0 Naval Research Laboratory (NET- SSCNET)
128.161.0.0 NASA Ames Research Center (NET-NSN-NET)
128.183.0.0 NASA Goddard Space Flight Center (NET-GSFC)
128.216.0.0 MacDill Air Force Base (NET-CC-PRNET)
128.217.0.0 NASA Kennedy Space Center (NET-NASA-KSC-OIS)
128.236.0.0 U.S. Air Force Academy (NET-USAFA-NET)
http_port 172.20.0.12:3128
icp_port 0
cache_mem 32 MB
cache_dir ufs c:/squid/var/cache 100 16 256
30
# POLITICAS DE ACCESO
#ACL URLs
acl denegados dstdomain "c:/squid/etc/denegados"
acl correo dst www.hotmail.com
acl noquiero dst www.yahoo.com
#ACL PALABRAS
acl palabras url_regex "c:/squid/etc/listas/palabrasNO.acl"
#ACL MIME_TYPE
acl javascript rep_mime_type -i ^application/x-javascript$
acl ejecutables rep_mime_type -i ^application/octet-stream$
acl audiompeg rep_mime_type -i ^audio/mpeg$
#ACL HORARIOS
acl restriccion time SMTWHFA 13:00-13:3
acl equipo2 time F 08:00-12:00 172.20.0.16
#LISTAS NEGRAS
acl ln1 url_regex "c:/squid/etc/listas/BLACKprox.acl"
#ID DE RED
acl all src 0.0.0.0/0.0.0.0
acl red src 172.20.0.0/255.255.255.0
visible_hostname localhost
#RESTRINCIONES Y ACCESOS
31
http_access deny javascript
http_access deny ejecutables
http_access deny audiompeg
request_header_max_size 10 KB
request_body_max_size 512 KB
Cd \squid\sbin
32
Lo reiniciaremos con el comando squid –z
33
Los agregaremos de la siguiente forma:
En Firefox
Herramientas > Opciones > Avanzado > Red >configuración
34
PROBANDO LA CONFIGURACION
Esta pagina la hemos agregado en denegados, lo que indica que hemos hecho
una buena configuración.
35
Una vez hecho esto buscamos nuestra lista de acl´s y agregamos la siguiente.
Por ejemplo así queremos que no deje navegar a nadie si no esta autenticado
ponemos antes de todas nuestras reglas de acceso la restricción. Es
indispensable que este comando este antes de todas las instrucciones
http_access que tengas implementadas para lograr este efecto si se desea .
Pero en nuestro caso deberemos permitirlas para que todos los usuarios
puedan acceder
http_port 172.20.0.12:3128
icp_port 0
cache_mem 32 MB
cache_dir ufs c:/squid/var/cache 100 16 256
# POLITICAS DE ACCESO
#ACL URLs
acl denegados dstdomain "c:/squid/etc/denegados"
36
acl correo dst www.hotmail.com
acl noquiero dst www.yahoo.com
#ACL PALABRAS
acl palabras url_regex "c:/squid/etc/listas/palabrasNO.acl"
#ACL MIME_TYPE
acl javascript rep_mime_type -i ^application/x-javascript$
acl ejecutables rep_mime_type -i ^application/octet-stream$
acl audiompeg rep_mime_type -i ^audio/mpeg$
#ACL HORARIOS
acl restriccion time SMTWHFA 13:00-13:3
acl equipo2 time F 08:00-12:00 172.20.0.16
#LISTAS NEGRAS
acl ln1 url_regex "c:/squid/etc/listas/BLACKprox.acl"
#ID DE RED
acl all src 0.0.0.0/0.0.0.0
acl red src 172.20.0.0/255.255.255.0
visible_hostname localhost
#RESTRINCIONES Y ACCESOS
37
#LISTAS NEGRAS PARA EL CONTROL DE ACCESO /DENEGAMOS
http_access deny ln1
request_header_max_size 10 KB
request_body_max_size 512 KB
Ahora nos tendremos que logear para el ingreso. Recuerde limpiar la cache
para que se pueda se pueda logear.
38
ANALIZADOR DE TRÁFICO PARA GENERAR REPORTES ESTADÍSTICOS.
SARG: es una herramienta que permite saber dónde han estado navegando los
usuarios en Internet , a través del análisis del fichero de log “access.log” del
proxy Squid. El poder de esta herramienta es increíble, pudiendo saber qué
Usuarios accedieron a qué sitios, a qué horas, cuantos bytes han sido
descargados, relación de sitios denegados ,errores de autentificación...entre
otros..
http://translate.google.com.co/translate?hl=es&sl=en&u=http://sourceforge.net/p
roject/showfiles.php%3Fgroup_id%3D68910&ei=cK_TSaKCDqPflQe8_pz7Cw&
sa=X&oi=translate&resnum=3&ct=result&prev=/search%3Fq%3Dsarg%2B%25
2B%2Bwindows%26hl%3Des%26client%3Dfirefox-a%26rls%3Dorg.mozilla:es-
ES:official%26hs%3D6ck%26sa%3DG
39
Cd \ sarg\sbin
Sarg.exe
40
Se necesita montar un servidor web puede ser IIS o apache para que el sarg
muestre la parte grafica.
41
Siguiente>
42
Damos siguiente después que nos muestra el resumen de lo que acabamos de
hacer.
Finalizar >
Al terminar la instalación de el servicio nos dirigimos a >sitios web
43
Cuando estemos ubicados en sitios web damos clic derecho y elegimos la
opción > nuevo > sitio web
44
Siguiente >
Se hace
una
pequeña
45
Siguiente >
46
En los permisos se pueden seleccionar los que usted desee en este caso solo
los usuarios podrán leer el sitio web.
Siguiente >
finalizar
47
Agregar,,, y escribimos el nombre da la página index.html
Aplicar y aceptar
48
clic derecho sobre zona de búsqueda inversa > crear nueva zona. Seguimos el
asistente.
Siguiente >
49
Elegimos el tipo de zona esta será una zona principal por eso señalamos la
primera opción.
50
Siguiente >
Siguiente >
51
Permitimos las actualizaciones dinámicas seguras.
Siguiente >
52
En el primer espacio escribimos www y creamos el PTR de una vez.
Reiniciamos todo.
53
Debe aparecer este pantallazo.
54
Clic derecho > propiedades seleccionamos la pestaña seguridad de directorios.
Autenticación y control de acceso, clic en modificar.
55
Se le agrega un nombre de usuario > elegimos el nombre de el usuario para
que autentique por un usuario de active directory.
56
De nuevo nos dirigimos al navegador, asegúrese que el proxy este puesto y
entramos al dominio creado.
www.proxy57.com
57
Aparece la parte grafica de SARG, con cada los usuarios que se han
registrado.
58
VENTAJAS
59
DESVENTAJAS
60
CONCLUSIONES
Las ACLs y una http Access es una parte esencial para la instalación de un
Servidor Proxy y también son parte esencial para poder crear políticas de
seguridad las cuales nos permiten el acceso o la denegación de una pagina,.
Las listas negras hacen parte de la seguridad en Servidores Proxy ya que estas
listas tienen dominios donde se encuentran alojados los spam, virus u otras
cosas que pueden hacerle daño a nuestra información.
61
CIBERGRAFIA
http://www.puppisoft.com/node/47
http://www.taringa.net/posts/ebooks-tutoriales/1512234/Squid-en-Windows.html
http://sarg.sourceforge.net/sarg.php
http://www.freedownloadmanager.org/es/downloads/Analizador_de_Eficiencia_
de_Calamar_20673_p/
http://rubioq.blogspot.com/2006/05/squidnt-restriccin-por-autenticacin.html
62