P. 1
Configuracion de Servidor Proxy en Windows Server 2003 y Suse Linux 10.1

Configuracion de Servidor Proxy en Windows Server 2003 y Suse Linux 10.1

|Views: 865|Likes:
Published by Leo Vasquez Blas

More info:

Published by: Leo Vasquez Blas on Mar 29, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

04/04/2015

pdf

text

original

Presentación

El presente proyecto se encuentra basado en los conocimientos adquiridos durante el curso de Taller de Redes y ahora el curso de Telemática, en la consulta bibliográfica y en la información recibida por parte de la empresa BERENDSON S.A.C, con el deseo de brindar un aporte que sirva de base para mayores estudios e investigaciones Esperando sepan disculpar los vacíos u omisiones involuntarios que el proyecto presente y en espera de su justo criterio, anticipamos a usted nuestro sincero agradecimiento por todas las enseñanzas brindadas hacia nuestras personas

Trujillo, Octubre del 2006

INTRODUCCIÓN El presente proyecto de investigación titulado “CONFIGURACION DE SERVIDOR PROXY EN WINDOWS SERVER 2003 Y SUSE LINUX 10.1”, se ha desarrollado con el fin de ser orientado al diseño y posible implementación de un Servidor Proxy para una red de comunicación de área local para la empresa BERENDSON S.A.C que permita agilizar los procesos e integrar las diferentes áreas funcionales de la organización Para el desarrollo se recopilo la información necesaria sobre la organización y requerimientos de conexión de las áreas funcionales, la cual luego fue finalizada teniendo en cuenta la ubicación de los equipos, los recursos de hardware y software. Mediante el análisis se dieron 2 propuestas para la utilización de un Servidor Proxy, la primera propuesta es configurarlo en el Sistema Operativo Windows Server 2003, la segunda propuesta es configurarlo en el Sistema Operativo Suse Linux 10.1.

CAPITULO I GENERALIDADES DE LA EMPRESA

Sigfredo. comenzó a difundir la práctica del deporte. decidieron construir el local institucional en Zepita. pero con el mismo tesón de siempre. allá por el año 1965.1 Reseña Histórica Los comienzos Don WBA siguiendo una vocación interna. Magda. Por razones de salud de los niños se muda la familia a Huanchaco. En Zepita En Zepita se amplia la oferta de disciplinas. esgrima. karate. . Casi de inmediato se abre allí una sede de la fundación Berendson cuyo principal merito fue el de organizar el primer campeonato de caballitos de totora en dos disciplinas: acrobacia y velocidad. al año de fallecido don WBA. Generalidades de la empresa 1. doña William decide el traslado del tatami para ser instalado en la parte superior de su casa. allá por el año 1960. unos meses y luego en la casa de sus suegros en la independencia 565 (hoy banco del trabajo) hasta que… en reunión con sus hermanos Max. En Bolognesi En Zepita funciona hasta el año 1975. box. siempre pioneros siguió promocionando el judo. Aquí es cuando nace la Academia Berendson.1. se siguieron dictando las clases de judo y karate. esto sucedió el año 1962 y nació la Fundación Berendson. los primeros cursos de judo y karate se dictaron en el club libertad. Sin local propio. Todo muy precario.

Repetir por repetir. esfuerzo. calido y de calidad.Fue en 1985 cuando los herederos de don WBA deciden construir un nuevo local institucional que constara con piscinas propias para la enseñanza y practica de la natación. relajarse durmiéndonos en los “laureles”.3 Objetivos empresariales • Satisfacer las necesidades del diente.1. .2 Misión Ser líderes en la enseñanza deportiva y competir con mejores estándares de enseñanza que la ciudad haya visto antes. y ahora nuestro complejo deportivo ofrece a la comunidad trujillana la posibilidad de practicar natación. marinera.1. 1. box tai. No basta pertenecer a una gran institución.1. Venimos de una raíz pionera. una familia.1 Visión Ser líderes en el mercado trujillano. taekwondo. alegrías y sinsabores. 1. Dirección empresarial 1. no es compatible con nuestros “genes”. cumpliendo y mejorando los estándares de enseñanza de nuestro servicio y así poder llegar a mercados más competitivos a nivel nacional. LA BERENDSON es una institución . danzas modernas. karate. innovadora. voley. en unas instalaciones mejoradas y en un ambiente humano. hay que ser grandes con ella. que debe seguir creciendo en esta misma huella. bulbito. Desde ese entonces hasta ahora son años de crecimiento. tai chi. kun fu. capaz de riesgo y luchadora. aikido. basket.

Haciendo cada vez mas nadadores de más alto nivel competitivo. Mejorar permanentemente la calidad de la ACADEMIA BERENDSON. Desarrollar permanentemente nuevas estrategias de acuerdo a las necesidades del cliente.• • • Posición a la ACADEMIA BERENDSON como una empresa líder. .

CAPITULO II ANALISIS Y PLANTEAMIENTO PROBLEMATICO .

2 Análisis del problema • Indisponibilidad de comunicación en forma inoportuna. En base a los problemas de la empresa anteriormente mencionados. etc). departamento de La Libertad. 2. desarrolla sus actividades en el Jr.2. De acuerdo a la técnica para la recopilación de información (cuestionarios) se determinaron los siguientes problemas: • • • • Falta de seguridades la red. Perdida de tiempo en las tareas diarias. Falta de productividad de los usuarios de oficina porque a veces entran a paginas donde se distraen (Hotmail. dicha empresa cuenta con una red la cual permite conectar el conjunto de computadoras distribuidas en las diferentes áreas de la empresa. Yahoo. . hemos considerado como alternativa de solución del problema configurar un servidor Proxy para la red de comunicación de datos.1 Realidad problemática BERENDSON SAC dedicada a la enseñanza de distintas disciplinas deportivas. Bolognesi 239 ubicada en la ciudad de Trujillo. Falta de soporte informático. Análisis de la situación problemática 2. comparten recursos e información. estándares internacionales.

4 Hipótesis La configuración de un Servidor Proxy para la red de comunicación de datos que permita agilizar los procesos e integrar las diferentes áreas funcionales de la empresa BERENDSON SAC.5 Objetivos 2. 2.3 Enunciado del problema ¿Cómo integrar y agilizar los procesos de las diferentes áreas funcionales de la empresa BERENDSON SAC? 2. Contribuir a cumplir con las políticas de trabajo entre las diferentes áreas de la organización.• • • • Movimiento insatisfactorio de datos a través de toda la organización. Proponer una solución idónea de acuerdo a la magnitud de la organización.5.2 Objetivos específicos • Configurar el Servidor Proxy para la red de datos. .5. Aumento del flujo de información. 2.1 Objetivos generales Configurar un Servidor Proxy para la red de comunicación de datos para la empresa BERENDSON SAC con la finalidad de asegurar los procesos e integrar sus diferentes áreas funcionales optimizando la productividad de los usuarios de la organización. 2.

tan necesario en el medio competitivo de los negocios y de acuerdo a las actuales exigencias de los usuarios de este tipo de instituciones.6 Justificación del problema • La configuración de un Servidor Proxy para una red de comunicaciones de datos permitirá agilizar los procesos e integrar sus diferentes áreas de la organización. • Dotará a la institución de una red moderna tecnológicamente segura.• • • • Definir la topología de red adecuada a sus necesidades para la empresa BERENDSON SAC. Este proyecto servirá de base y guía para los otros proyectos posteriores en BERENSON SAC. • El sistema propuesto cambiará de alguna manera los métodos tradicionales de trabajo. . Calcular el costo de inversión para la tecnología propuesta. incrementando su prestigio e imagen. • • El desarrollo del proyecto nos permitirá obtener una cierta especialización en la configuración de Servidores Proxy para una red de comunicaciones de datos. la rapidez de las operaciones y la facilidad de interconectar información con otras áreas. Configurar la red de datos. Determinar los requerimientos de hardware y software necesarios para un buen funcionamiento del Servidor Proxy. 2.

CAPITULO III MARCO TEORICO .

Un portal de acceso del nivel de aplicación provee control nivelado más alto en el tráfico entre dos redes en que los contenidos de un servicio particular pueden ser monitoreados y filtrados según la política de seguridad de la red. para cualquier aplicación deseada.3. el código correspondiente del apoderado debe ser instalado en el portal de acceso para manejar ese servicio específico de paso a través del portal de acceso (vea a Figure 1). Figura 1 • • • La palabra proxy se usa en muchas situaciones en donde tiene sentido un intermediario: El uso más común es el de servidor proxy. Por consiguiente. De ellos. Portal de acceso del nivel de aplicación (PROXY) Un portal de acceso del nivel de aplicación es a menudo llamado un Proxy. que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino.1. el más famoso es el servidor proxy de web (comúnmente conocido solamente como "proxy"). Intercepta la navegación de los clientes .

por ejemplo cuando hay que hacer necesariamente la identificación. ya que hace de intermediario entre ordenadores. Anonimato. el uso de un intermediario puede provocar: . sólo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real. Pero esto puede ser malo. el proxy puede hacer caché: guardar la respuesta de una petición para darla directamente cuando otro usuario la pida. • • Desventajas En general (no sólo en informática). y dar permisos sólo al proxy. Por tanto. Ventajas En general (no sólo en informática). Como intermediario que es. Modificación. o modificarla siguiendo un algoritmo. Si todos los usuarios se identifican como uno sólo. rendimiento. y acaba más rápido. anonimato. • Ahorro. es difícil que el recurso accedido pueda diferenciarlos. un proxy puede falsificar información. por tanto se pueden limitar y restringir los derechos de los usuarios. por varios motivos posibles: seguridad. • • Filtrado.• • por páginas web. Si varios clientes van a pedir el mismo recurso. Velocidad. Así no tiene que volver a contactar con el destino. Sólo el intermediario hace el trabajo real. los proxys hacen posibles varias cosas nuevas: • Control. También existen proxys para otros protocolos. El Proxy ARP es una técnica para usar el ARP para proporcionar un mecanismo de enrutamiento ad hoc. El proxy puede negarse a responder algunas peticiones si detecta que están prohibidas. etc. como el proxy de FTP El proxy ARP puede hacer de enrutador en una red.

Irregularidad. es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. Cuando un equipo de la red desea acceder a una información o recurso. Si hace de caché. ha de controlar quién tiene acceso y quién no a sus servicios.: una página web) en una cache que permita acelerar sucesivas consultas coincidentes. Proxy de web / Proxy cache de web Se trata de un proxy para una aplicación específica: el acceso a la web. es posible que haga algún trabajo que no toque. • • Carga. y algunos usuarios pueden no querer pasar por el proxy. cosa que normalmente es muy difícil. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas. • Funcionamiento Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él. Al mismo tiempo libera la carga de los enlaces hacia Internet. que es compartida por todos los equipos de la red. Con esta denominación general de proxy se agrupan diversas técnicas.ej. Aparte de la utilidad general de un proxy. • Incoherencia. Por tanto. El hecho de que el proxy represente a más de un usuario da problemas en muchos escenarios. Y menos si hace de caché y guarda copias de los datos. proporciona una cache para las páginas web y los contenidos descargados. Intromisión.• Abuso. con la consiguiente mejora en los tiempos de acceso para consultas coincidentes. como puede ser la de mantener los resultados obtenidos (p. . en concreto los que presuponen una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP). En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el proxy añade una funcionalidad adicional. Es un paso más entre origen y destino. Un proxy ha de hacer el trabajo de muchos usuarios. es posible que se equivoque y dé una respuesta antigua cuando hay una más reciente en el recurso de destino.

Algunos operadores de red también tienen proxies para interceptar virus y otros contenidos hostiles servidos por páginas Web remotas. mediante un navegador web) de un recurso de Internet (una página web o cualquier otro archivo) especificado por una URL. Algunas aplicaciones que intentan bloquear contenido Web ofensivo están implementadas como proxies Web. Cuando el usuario crea una búsqueda el servidor Proxy ya no es utilizado y megared envía su petición y el cliente recibe su respuesta ahora sí desde Google. Cuando el proxy caché recibe la petición. Los proxies web también pueden filtrar el contenido de las páginas Web servidas. "Least Frequently Used"). lo devuelve al que lo pidió y guarda una copia en su caché para futuras peticiones. . 2. dependiendo de su antigüedad. El cliente realiza una petición (p. Dos de esos algoritmos básicos son el LRU (el usado menos recientemente. en inglés "Least Recently Used") y el LFU (el usado menos frecuentemente. Ejemplo Un cliente de un ISP manda una petición a Google la petición llega en un inicio al servidor Proxy que tiene este ISP. si no es así.Funcionamiento 1. devuelve el documento inmediatamente. Si la encuentra.e. El caché utiliza normalmente un algoritmo para determinar cuándo un documento está obsoleto y debe ser eliminado de la caché. no va directamente a la dirección IP del dominio de Google. mostrar una página en un teléfono móvil o una PDA. busca la URL resultante en su caché local. lo captura del servidor remoto. Esta página concreta suele ser muy solicitada por un alto porcentaje de usuarios. por lo tanto el ISP la retiene en su Proxy por un cierto tiempo y crea una respuesta mucho menor en tiempo. Otros tipos de proxy cambian el formato de las páginas web para un propósito o una audiencia específica. tamaño e histórico de acceso. por ejemplo.

los contenidos Web. • Un diseñador de páginas web puede indicar en el contenido de su web que los navegadores no hagan una caché de sus páginas. • Demanda a Usuarios: Puede cubrir a un gran número de usuarios.Otros usos Como método extra y de ayuda en las descargas mediante aplicaciones P2P. a los que llegan menos peticiones. Filtrado de contenidos: El servidor proxy puede hacer un filtrado de páginas o contenidos basándose en criterios de restricción establecidos por el administrador dependiendo valores y características de lo que no se permite. el cual es usado en Lphant y algunos Mods del Emule. Desventajas • Las páginas mostradas pueden no estar actualizadas si éstas han sido modificadas desde la última carga que realizó el proxy caché. Por lo tanto. aligera el tráfico en la red y descarga los servidores destino. • • Modificación de contenidos: Basándose en la misma función del filtrado. a través de él. pero este método no funciona habitualmente para un proxy. Ventajas • Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor Proxy y no a Internet directamente. creando una restricción cuando sea necesario. . y llamado Privoxy. puede ser configurado para bloquear direcciones y Cookies por expresiones regulares y modifica en la petición el contenido. para solicitar. tiene el objetivo de proteger la privacidad en Internet. • Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que evita transferencias idénticas de la información entre servidores durante un tiempo (configurado por el administrador) así que el usuario recibe una respuesta más rápida.

impide realizar operaciones avanzadas a través de algunos puertos o protocolos.• El hecho de acceder a Internet a través de un Proxy. comúnmente conocido como TCP / IP. Cuando se detecta un error en un datagrama en lugar de entregarlo a la aplicación se descarta. en vez de mediante conexión directa. El TCP / IP es la base del Internet que sirve para enlazar computadoras y computadoras centrales sobre redes de área extensa. _ Protocolo HTTP 3. se esta adoptando la siguiente nomenclatura para las redes basadas en este protocolo: _ Protocolo UDP Este protocolo es no orientado a la conexión. Es un protocolo DARPA que proporciona transmisión fiable de paquetes de datos sobre redes. y por lo tanto no proporciona ningún tipo de control de errores ni de flujo.2. _ Protocolo TCP/IP. El mas ampliamente utilizado es el Internet Protocol Suite. Protocolos. Este protocolo se ha definido teniendo en cuenta que el protocolo del nivel inferior (el protocolo IP) también es no orientado a la conexión y puede ser interesante tener un protocolo de transporte que explote estas características. TCP/IP fue desarrollado y demostrado por primera vez en 1972 por el departamento de defensa de los Estados Unidos. . • Almacenar las páginas y objetos que los usuarios solicitan puede suponer una violación de la intimidad para algunas personas. Se han desarrollado diferentes familias de protocolos para comunicación por red de datos para los sistemas UNIX. aunque si que utiliza mecanismos de detección de errores. Ante el auge del protocolo TCP/IP. ejecutándolo en el ARPANET una red de área extensa del departamento de defensa.

HyperText Transfer Protocol) es el protocolo usado en cada transacción de la Web (WWW). Para que la conexión funcione. El puerto que se utiliza generalmente es el 23.El protocolo de transferencia de hipertexto (HTTP. y la respuesta de esa web. para manejarla como si estuviéramos sentados delante de ella. y de esta forma reconocer a un visitante que ya estuvo en ese sitio anteriormente. También sirve el protocolo para enviar información adicional en ambos sentidos. y el protocolo de transferencia es el sistema mediante el cual se envían las peticiones de acceder a una página web. es decir. el sitio web puede almacenar gran número de información sobre cada visitante. Telnet es el nombre de un protocolo (y del programa informático que implementa el cliente) que sirve para acceder mediante una red a otra máquina. remitiendo la información que se verá en pantalla. la máquina a la que se acceda debe tener un programa especial que reciba y gestione las conexiones. como formularios con mensajes y otros similares. ofreciéndole así un mejor servicio. Gracias a esta identificación. como en todos los servicios de Internet. Por esto se popularizaron las cookies. _ Protocolo TELNET El protocolo TELNET proporciona una interfaz estandarizada. que no guarda ninguna información sobre conexiones anteriores. El hipertexto es el contenido de las páginas web. . que son pequeños ficheros guardados en el propio ordenador que puede leer un sitio web al establecer conexión con él. a través de la cual un programa de un host(el cliente de TELNET) puede acceder a los recursos de otro host (el servidor de TELNET) como si el cliente fuera una terminal local conectada al servidor. Al finalizar la transacción todos los datos se pierden. HTTP es un protocolo sin estado.

Se describe en el RFC 959 . Su status es recomendado. el usuario debe identificarse al servidor. un proceso de transferencia de datos. El usuario que inicia la conexión asume la función de cliente. Como es necesario hacer un login en el host remoto. Para acceder a ficheros remotos. La transferencia de datos entre cliente y servidor puede producirse en cualquier dirección. La copia de ficheros de una máquina a otra es una de las operaciones más frecuentes. Desde el punto de vista de un usuario de FTP. . FTP usa TCP como protocolo de transporte para proporcionar conexiones fiables entre los extremos. El cliente puede enviar o pedir un fichero al servidor._ Protocolo FTP FTP es un protocolo estándar con el STD 9. el usuario debe tener un nombre de usuario y un password para acceder a ficheros y a directorios. y una interfaz de usuario como muestra la imagen. En este punto el servidor es responsable de autentificar al cliente antes de permitir la transferencia de ficheros. Se emplean dos conexiones: la primera es para el login y sigue el protocolo TELNET y la segunda es para gestionar la transferencia de datos. es necesario que ambos hosts estén activos y ejecutando TCP/IP para establecer una transferencia de ficheros. mientras que el host remoto adopta la función de servidor En ambos extremos del enlace. la aplicación FTP se construye con intérprete de protocolo(PI). En otras palabras. el enlace está orientado a conexión.FTP("File Transfer Protocol").

La seguridad de las redes va adquiriendo importación con el aumento del volumen de información importante que se halla en las computadoras distribuidas. averías importantes. Seguridad.3. utilización de contraseñas que contengan muchos dígitos. vandalismo. ya sea el cambio constante de contraseñas de administradores. La seguridad también consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial. o evitar el acceso de personal ajeno a sala de servidores. Las amenazas pueden ser diversas: sabotaje. En este tipo de sistemas resulta muy sencillo para un usuario experto acceder subrepticiamente a datos de carácter confidencial. terrorismo. accidentes de distintos tipos. ya que en muchas organizaciones se suelen tomar medidas para prevenir la acción de un atacante que intenta acceder físicamente a la sala de operaciones o al lugar donde se depositan las impresiones del sistema. inundaciones. .3. incendios. Esto motiva que en determinadas situaciones un atacante se decline por aprovechar vulnerabilidad físicas en lugar de lógicas.

3. cuentas de acceso a la Internet y servicio local medido (SLM). es decir quien puede entrar para utilizar los recursos de red pertenecientes a la organización. ASDL o TV cable y donde cada equipo puede utilizar los distintos servicios de la Internet. conexión ISDN (RDSI).1. vía modem telefónico. explosiones. Un Firewall no puede enfrentar completamente nuevas amenazas. • • • • Un Firewall no puede proteger acciones de los usuarios internos. Un Firewall no puede proteger de los virus.10. . Desgraciadamente. Limitaciones de una Firewall. Un Firewall no puede proteger las conexiones que no pasan por el. Para que un Firewall sea efectivo.2. El Firewall podrá únicamente autorizar el paso del tráfico. Es una solución de software que permite conectar a 2 o más computadoras que se encuentran en una red a un acceso simultaneo a la Internet a través de una sola cuenta de acceso. obteniendo importantes ahorros en equipos. en forma simple y económica varias PC’s de su empresa pueden compartir una misma conexión y una cuenta de acceso a la Internet. De esta manera. así como otros que afectan a las personas y pueden impactar el funcionamiento de los centros. Un Firewall en la Internet es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y la Internet. todo tráfico de información a través de la Internet deberá pasar a través del mismo donde podrá ser inspeccionada la información.10.derrumbamientos. El Firewall determina cual de los servicios de red pueden ser accesados dentro de esta por los que están fuera. este sistema no puede ofrecer protección alguna vez que el agresor lo traspasa o permanece entorno a este. 3. Firewall. Proxy. y el mismo podrá ser inmune a la penetración.

CAPITULO IV PLANIFICACION .

4. Estudio de la situación actual del sistema 4.1 Listado de equipos de computo
Área Administración Administración Piscina Artes Marciales Unidades 1 1 1 1 Microprocesador POP-2.8 GHZ POP-2.8 GHZ POP-2.8 GHZ POP-2.8 GHZ RAM 512 MB 256 MB 256 MB 256 MB Disco duro 80 GB 80 GB 80 GB 80 GB Estado Bueno Bueno Bueno Bueno

Fuente: Elaboración propia 4.2 Listado de Impresoras
Área Administración Administración Modelo Lexmark HP

Fuente: Elaboración propia

4.3 Software y Sistemas de Información utilizada por la empresa 4.3.1 Office 2003 4.3.2 Windows XP Professional 4.3.3 Win Zip 4.3.4 Adobe Acrobat Reader 7.0 4.3.5 Pert Antivirus

CAPITULO V CONFIGURACION DE SERVIDOR PROXY EN SUSE LINUX 10.1

5.1 Suse Linux 10.1 5.1.1 Seguridad en Linux

La función de enmascaramiento y el cortafuegos garantizan el control en el flujo y el intercambio de los datos. SSH (shell seguro) permite iniciar la sesión en hots remotos a través de una conexión cifrada. El cifrado de archivos o de particiones completas protege los datos en el caso de que usuarios externos consigan acceder al sistema. Además de instrucciones técnicas, se incluye información acerca de los aspectos relacionados con la seguridad de las redes Linux. 5.1.2 Enmascaramiento y cortafuegos Siempre que Linux se utiliza en un entorno de red, se pueden emplear las funciones del núcleo que permiten la manipulación de los paquetes de red para conservar una separación entre las áreas de redes interna y externa. La estructura de Linux netfilter proporciona los recursos para instalar un cortafuegos efectivo que gestione las diferentes redes de forma distinta. Con la ayuda de iptables una estructura genérica de tabla para la definición de los conjuntos de tablas, controle de forma exhaustiva los paquetes que se permite que pasen a una interfaz de red. Este filtro de paquetes se puede configurar de forma relativamente sencilla con la ayuda de SuSEfirewall2 y el módulo YaST correspondiente. 5.1.3 Filtrado de paquetes con iptables Los elementos netfilter e iptables son responsables del filtrado y de la manipulación de paquetes de redes, así como de la NAT (conversión de direcciones de red). Los criterios de filtrado y cualquier acción relacionada con ellos se almacenan en cadenas, que se agrupan una tras otra por paquetes de red individuales cada vez que se reciben. Las cadenas que se deben ordenar se almacenan en tablas. El comando iptables le permite alterar estas tablas y los conjuntos de reglas. El núcleo de Linux mantiene tres tablas, cada una de ellas destinada a una categoría determinada de funciones del filtro de paquetes: filter Esta tabla incluye la totalidad de las reglas de filtros, debido a que implementa el mecanismo filtrado de paquetes en sentido estricto, lo que determina, por ejemplo, si se permiten los paquetes (ACCEPT) o si se descartan (DROP). nat

mangle Las reglas contenidas en esta tabla permiten manipular los valores almacenados en los encabezados IP (como. Haciendo uso de estas funciones podrá también recurrir al enmascaramiento. . el tipo de servicio). que es un caso especial de NAT que se emplea para enlazar una red privada a Internet.Esta tabla define todos los cambios realizados en las direcciones de origen y destino de los paquetes. por ejemplo.

Estas tablas contienen varias cadenas predefinidas para la coincidencia de paquetes: .

La Figura . normalmente una tarjeta de red y una interfaz que lo conecta a Internet. que actúa de gateway entre la LAN e Internet. . pero en realidad estas cadenas se sustentan en las propias tablas. El siguiente paso. ENTRADA Esta cadena se aplica a los paquetes destinados a los procesos internos del sistema. el paquete se deriva a la cadena PREROUTING de la tabla mangle y. sus direcciones privadas se traducen en direcciones oficiales. las ilustración muestra las tablas como partes de las cadenas. SALIDA Esta cadena se aplica a los paquetes originados en el sistema. “iptables: posibles vías del paquete” ilustra las vías por las que puede desplazarse un paquete de red en un sistema dado.1. ENCAMINAMIENTO POSTERIOR Esta cadena se aplica a todos los paquetes salientes. los paquetes no se enrutarán adecuadamente.4 Nociones básicas sobre el enmascaramiento El enmascaramiento es la forma específica de NAT (conversión de direcciones de red) de Linux Se puede emplear para conectar una LAN pequeña (donde los hosts utilizan direcciones IP de rango privado. debido a que las reglas de la tabla filter son coincidentes. Después de pasar por las cadenas INPUT de las tablas mangle y filter. asegúrese de que tanto la dirección de difusión como la máscara de red son las mismas para todos los hosts locales. el paquete alcanza finalmente su objetivo. Mientras que esta última enlaza el router con el exterior. establece que el destino real del paquete es un proceso del sistema. es posible enviar cualquier paquete no destinado a la red local a su gateway o router por defecto. 5.ENCAMINAMIENTO PREVIO Esta cadena se aplica a los paquetes entrantes. a continuación. una o varias de las demás lo conectan a los hosts de LAN. IMPORTANTE: Utilización de la máscara de red adecuada Cuando configure su red. Con los hosts de la red local conectados a la tarjeta de red (como por ejemplo eth0) del router. Para que los hosts de la LAN puedan conectarse a Internet. En primer lugar. Por razones de simplicidad. Si no toma esta precaución. a la cadena PREROUTING de la tabla nat. referido al enrutamiento del paquete. Esta operación se realiza en el router. ENVÍO Esta cadena se aplica solamente a los paquetes que se enrutan a través del sistema. El principio subyacente es muy sencillo: El router tiene más de una interfaz de red. La más sencilla de las situaciones se produce cuando un paquete de entrada destinado al sistema llega a la interfaz eth0.

a cada conexión que se encuentre establecida se le asigna una entrada de estado en la tabla. dicho alterno puede considerarse un host de enmascaramiento en el nivel de . SUSE Linux no habilita esta función en una instalación por defecto. Además. su servidor Web. el router debe configurarse antes de poder reenviar los paquetes. el programa FTP y muchos otros programas utilizan el modo PASV. es posible que se produzcan problemas con un número determinado de protocolos de aplicación. fije la variable IP_FORWARD en el archivo /etc/sysconfig/sysctl como IP_FORWARD=yes. Por razones de seguridad. 5. Únicamente se aceptan los paquetes dirigidos a la gateway de aplicación. Como consecuencia. abra de forma explícita el puerto correspondiente. el filtro de paquetes rechaza cualquier paquete que tenga como objetivo la inhabilitación de puertos. El router debe identificar estos paquetes entrantes y traducir sus direcciones de destino. En este caso. Para una conexión de este tipo no habría ninguna entrada en la tabla. éste se dirige al router por defecto. A consecuencia de la conversión de direcciones.1. De esta manera. el filtro de paquetes permitirá su acceso. es posible bloquear paquetes que. el filtro de paquetes no examina el contenido de los paquetes provenientes de direcciones legítimas. Estrictamente hablando. no existe ninguna manera de abrir una conexión con un host interno desde el exterior. Sin embargo. tales como ICQ. por lo que la entrada no podrá emplear ninguna otra conexión. por ejemplo. Para habilitarla. Este modo pasivo origina muchos menos problemas en lo referente al enmascaramiento y filtrado de paquetes. cucme.Como se ha mencionado. El filtro de paquetes regula el flujo de datos de acuerdo con determinados criterios. Por ejemplo. tales como protocolos. El host de destino de la conexión puede tener constancia de la existencia de su router. de acuerdo con sus direcciones de origen. En cierto modo. Para permitir el acceso público a. Un mecanismo más efectivo pero también más complejo es la combinación de distintos tipos de sistemas.5 Nociones básicas sobre el empleo de cortafuegos El término cortafuegos es probablemente el que se emplea con mayor frecuencia para describir un mecanismo que proporciona y gestiona un enlace entre redes al tiempo que controla también el flujo de datos entre ellos. de forma tal que los paquetes se reenvíen al host adecuado de la red local. Netscape. se pretende que no lleguen a su red. Esta gateway o este alterno simula ser el cliente real del servidor. IRC (DCC. el mecanismo que se describe en esta sección se denomina filtro de paquetes. Sin embargo. pero no dispone de información acerca del host que se encuentra situado en la red interna y que es donde se originaron los paquetes. CTCP) y FTP (en modo PORT). el router es el primer destino de todos los paquetes de respuesta. puertos y direcciones IP. como por ejemplo aquéllos que se envían a su servidor Web. si los paquetes entrantes están dirigidos a modificar un programa CGI de su servidor Web. cuando uno de los hosts de LAN envía un paquete destinado a una dirección de Internet. como por ejemplo la interacción de un filtro de paquetes con un gateway o alterno de aplicación. Gracias al enrutamiento del tráfico entrante dependiente de la tabla de enmascaramiento. Por esta razón esta técnica se denomina enmascaramiento.

Si los hosts de esta red utilizan direcciones IP de rango privado. en cuanto a las páginas no encontradas en la caché. En la mayoría de los casos. pero también podría tratarse de otra red insegura. Cualquier página HTTP que se solicite se sirve a partir de la caché alterna. el paquete SUSE Proxy-Suite (proxy-suite) proporciona un alterno para el protocolo. habilite la conversión de direcciones de red (NAT). En otro orden de cosas. Todo tipo de tráfico de red no permitido de forma expresa por la regla de filtrado se suprime por la acción de las iptables. Defina los servicios o protocolos permitidos para cada una de las zonas. lea el documento HOWTO mediante la opción less /usr/share/doc/howto/en/txt/Firewall-HOWTO.gz. un servidor alterno HTTP. Se definen tres zonas de seguridad. se encuentra disponible a modo de ejemplo una serie de situaciones en /usr/share/doc/packages/SuSEfirewall2/ EXAMPLES. de forma tal que los hosts de la red interna puedan acceder a la red externa. que se incluye en el paquete howto. el navegador se debe configurar para que se pueda comunicar a través del alterno. Zona desmilitarizada (DMZ) Mientras que se puede llegar a los hosts que se ubican en esta zona tanto desde la red externa como interna. Por lo tanto. aunque solamente se consideran la primera y la segunda en el siguiente ejemplo de configuración: Zona externa Debido a que no existe ninguna manera de controlar lo que sucede en la red externa.1. en la mayoría de los casos una red LAN. 5. dichos hosts no pueden acceder a la red interna. Un ejemplo para un alterno de este tipo es Squid. La regla que se establezca se aplica solamente a los paquetes procedentes de hosts remotos. cada una de las interfaces con tráfico de entrada deben ubicarse en una de las tres zonas. consulte el documento Firewall HOWTO. También se puede llevar a cabo de forma manual en el archivo /etc/sysconfig/SuSEfirewall2. Los paquetes generados en la zona local no son capturados por el cortafuegos. Zona interna Hace referencia a la red privada. La configuración se puede realizar con YaST. Para utilizar Squid. En otro orden de cosas. el host necesita estar protegido de dicha red. Esta configuración puede emplearse para incluir una línea adicional de defensa ante la red interna. Si este paquete se encuentra ya instalado. .6 SuSEfirewall2 SuSEfirewall2 es un guión que lee las variables establecidas en /etc/sysconfig/ SuSEfirewall2 para generar un juego de reglas de iptables. La siguiente sección se centra en el filtro de paquetes que se proporciona con SUSE Linux. la red externa es Internet. Para obtener más información sobre el filtrado de paquetes y el empleo de cortafuegos. éstas las recupera el alterno de Internet. debido a que los sistemas DMZ están aislados de la red interna.protocolo empleado por la aplicación. como por ejemplo una red WLAN. que se encuentra convenientemente comentado.

Cuando los objetos solicitados llegan del servidor. YaST iniciará de forma automática un cortafuegos en todas las interfaces configuradas. Squid actúa como caché alterno (proxy). También puede iniciar aquí tanto el inicio como la detención del cortafuegos. los navegadores Web) al servidor. desactivar o volver a configurar el cortafuegos. Para implementar la nueva configuración en un cortafuegos que se esté ejecutando. Se puede acceder a los cuadros de diálogo de YaST para la configuración gráfica a través del Centro de Control de YaST. SuSEfirewall2 se iniciará automáticamente. los ajustes necesarios para que funcione. Cuando se trate de una instalación por defecto.Configuración con YaST IMPORTANTE: Configuración automática del cortafuegos Después de la instalación. los entrega al cliente y conserva una copia en el caché del disco duro. 5. en un equipo más cercano a la estación de trabajo que los solicita que el servidor original. Algunos cuadros de diálogo del módulo del servidor incluyen un botón denominado Detalles del cortafuegos que permite activar servicios y puertos adicionales. En este capítulo se describe su configuración. Inicio Defina el comportamiento de inicio en este cuadro de diálogo. Redirige las solicitudes de objetos de los clientes (en este caso. cómo configurar el sistema para que el servicio del alterno sea transparente. cómo recopilar estadísticas de uso de caché con la ayuda de programas como Calamaris y cachemgr y cómo filtrar contenido Web con squidGuard. Seleccione Seguridad y usuarios → Cortafuegos. Esto significa que almacena los objetos de Internet solicitados. El módulo de configuración del cortafuegos de YaST se puede utilizar para activar. como los datos de un servidor Web o FTP.2 Squid Servidor alterno Squid Squid es un caché alterno (proxy) muy utilizado en plataformas Linux y UNIX. utilice la opción Guardar la configuración y reiniciar cortafuegos. La configuración se divide en siete secciones a las que se puede acceder directamente desde la estructura de árbol que se encuentra situada en la parte izquierda del cuadro de diálogo. Si se configura y se activa un servidor en el sistema. Una de las ventajas del almacenamiento en caché es que si . YaST puede modificar la configuración del cortafuegos que se ha generado automáticamente mediante las opciones Open Ports on Selected Interface in Firewall (Abrir puertos en la interfaz seleccionada del cortafuegos) o Open Ports on Firewall (Abrir puertos en el cortafuegos) de los módulos de configuración del servidor.

como la distribución de la carga en las jerarquías de los servidores alternos. Dado que Squid sólo es compatible con el protocolo UDP para proporcionar comunicaciones entre diferentes cachés. Si se combina con un cortafuegos. Squid controla por completo el acceso Web. la definición de estrictas listas de control de acceso para todos los clientes que accedan al alterno. muchos otros programas multimedia tampoco son compatibles. De este modo. SSL y WAIS.2. Además del almacenamiento en caché. 5. También es compatible con los protocolos FTP. Se pueden utilizar varios alternos al mismo tiempo. pero no es compatible con otros protocolos de Internet. Todas las conexiones Web deben establecerse a través del alterno. el servicio los puede proporcionar desde el caché del disco duro.1 Algunos aspectos de los cachés alternos Squid puede utilizarse de varios modos diferentes como caché alterno. . noticias o videoconferencia.3 Squid y la seguridad Existe la posibilidad de utilizar Squid con un cortafuegos para proteger las redes internas del exterior al utilizar un caché alterno. Normalmente sólo ejerce sus funciones con conexiones HTTP. También es posible determinar los tipos de objetos que deben almacenarse en caché y durante cuánto tiempo. Squid ofrece una amplia variedad de funciones. Gopher. 5. el permiso o la denegación de acceso a páginas Web concretas (con la ayuda de otras aplicaciones) y la generación de estadísticas de las páginas Web visitadas con más frecuencia con el fin de evaluar los hábitos de navegación de los usuarios. puede mejorar la seguridad. Squid no es un alterno genérico. como Real Audio.2. El cortafuegos deniega el acceso a los servicios externos a todos los clientes excepto a Squid. Con esta configuración. Este procedimiento también reduce el tráfico de la red. los clientes reciben los datos mucho más rápido que cuando tienen que obtenerlos desde Internet.varios clientes solicitan el mismo objeto.

o MISS si no es así. Todas estas comunicaciones se gestionan mediante ICP (protocolo de caché de Internet). Éstos responden a las solicitudes mediante respuestas ICP con un código HIT si se detecta el objeto. Si no se recibe ninguna respuesta satisfactoria. Las transferencias de datos entre cachés se gestionan mediante HTTP (protocolo de transmisión de hipertexto) basado en TCP. Esto simplifica la configuración de los clientes. el servidor alterno decide desde qué servidor desea efectuar la descarga.4 Cachés múltiples Existe la posibilidad de configurar varias sesiones de Squid de modo que intercambien objetos entre sí. que se ejecuta sobre el protocolo UDP. . cada caché envía una solicitud ICP a todos los alternos del mismo nivel. 5. dado que en este caso no necesitan ninguna información sobre el alterno. La selección de la topología adecuada para la jerarquía de caché es muy importante.2. el alterno debe funcionar en dicha zona. También es posible configurar jerarquías de caché. En una red muy grande. dependiendo de factores como el caché que envió la respuesta más rápida o el que se encuentra más cerca. Para encontrar el servidor más adecuado desde el que obtener los objetos. dado que no es deseable aumentar el tráfico general de la red. puede resultar conveniente configurar un servidor alterno para cada subred y conectarlos a un alterno principal.Si la configuración del cortafuegos incluye una zona DMZ. de modo que los objetos se obtengan de otro caché de la red local o directamente desde el origen. Se reduce así la carga total del sistema y aumentan las posibilidades de encontrar un objeto que ya exista en la red local. que a su vez esté conectado al caché alterno del proveedor de Internet. de modo que un caché pueda enviar solicitudes de objetos a cachés del mismo nivel o a cachés principales. la solicitud se envía al caché principal. Si se detectan varias respuestas HIT.

dado que cambian cada vez que se accede a ellos. Hay muchas páginas CGI generadas de forma dinámica. como CARP (protocolo de encaminamiento de matrices de cachés) o HTCP (protocolo de caché de hipertexto). junto a la fecha correspondiente. Los objetos en caché suelen sustituirse debido a la falta de espacio disponible en disco.2. Estos tipos de objetos no se almacenan en caché.2.5 Almacenamiento en caché de objetos de Internet No todos los objetos disponibles en la red son estáticos. Básicamente. Otros encabezados especifican que los objetos no deben almacenarse en caché. esto significa que el alterno desecha los objetos que no se han solicitado desde hace más tiempo. Por lo tanto. 5. Si tiene dudas. dado que pueden ser más de cuatro veces superiores a la media del día. La cuestión es cuánto tiempo deben permanecer en caché los demás objetos almacenados. dado que si Squid funciona cerca de su límite de capacidad. puede provocar una pérdida importante de calidad del . Los servidores Web y alternos averiguan el estado de los objetos añadiéndoles encabezados como “Última modificación” o “Caduca”. contadores de visitantes y documentos con contenido cifrado mediante SSL. a todos los objetos en caché se les asigna uno de los distintos estados posibles. Para ello se emplean algoritmos como el de uso más reciente (LRU). es preferible sobrestimar los requisitos del sistema. se emplean otros protocolos ICP. Para determinarlo. 5. Cuantos más objetos se mantengan en la red. es importante prestar más atención a los picos de carga.SUGERENCIA Para evitar la duplicación de objetos en diferentes cachés de la red. mayores son las posibilidades de encontrar el deseado.6 Requisitos del sistema Lo más importante es determinar la carga máxima de red que deberá soportar el sistema.

Si todo este tráfico acaba en el caché. suponiendo que sólo se genere tráfico en las ocho horas laborables.8 Tamaño de caché de disco En un caché pequeño. la velocidad máxima de transferencia es de 125 KB/s. 5. por lo que este factor merece una atención especial. Para los fines de un alterno. dado que permiten que el cabezal de lecturaescritura se coloque en el punto necesario más rápidamente. en una hora pueden llegar a añadirse hasta 450 MB y. puede suponerse que el volumen total de datos gestionados por el caché será de aproximadamente 2 GB. 5. Por ejemplo.2. dado que el caché se llena fácilmente y los objetos menos solicitados se sustituyen con objetos más recientes.servicio. El modo más sencillo de determinar el tamaño de caché necesario es tener en cuenta la velocidad máxima de transferencia de la conexión. si hay un GB disponible para el almacenamiento en caché y los usuarios sólo descargan unos diez MB diarios al navegar. los discos duros con velocidades de rotación elevadas son probablemente la mejor elección. Dado que los bloques de datos que Squid lee o escribe en el disco duro tienden a ser bastante pequeños. En las siguientes secciones se señalan los factores del sistema por orden de importancia. la probabilidad de una respuesta HIT (cuando se encuentra el objeto solicitado almacenado en caché) es pequeña. se . el tiempo de búsqueda del disco duro es más importante que la capacidad para proporcionar datos.7 Discos duros La velocidad juega un papel importante en el proceso de almacenamiento en caché.2. En el caso de los discos duros. este parámetro se describe como tiempo de búsqueda aleatoria y se mide en milésimas de segundo. tardarán más de cien días en llenar el caché. Con una conexión de 1 Mb/s. Dado que la conexión no suele utilizarse hasta el límite de su capacidad. Una posibilidad para acelerar el sistema es utilizar varios discos al mismo tiempo o emplear matrices RAID. el total puede llegar a ser de hasta 3.6 GB por día. En nuestro ejemplo.

Además. es preferible comprar discos más rápidos o añadir más memoria. listas de control de acceso. dado que el rendimiento del sistema sufre una reducción drástica si es necesario utilizar la memoria de intercambio del disco.cgi puede utilizarse para la gestión de la memoria caché. Squid también almacena en la memoria principal referencias a los objetos en caché y los objetos solicitados con mayor frecuencia. Los sitios con un tráfico de red muy intenso deben tener en cuenta la posibilidad de utilizar sistemas AMD64 o Intel EM64T con más de 4 GB de memoria. El uso de un equipo con varios procesadores no aumenta el rendimiento del sistema. debe configurar la red de modo que sea posible acceder al menos a Internet y a un servidor de nombres.necesitarían 2 GB de espacio en disco para que Squid conserve en caché los datos de navegación de un día.2. La herramienta cachemgr. como una tabla con todas las direcciones IP gestionadas. existen otros datos que Squid debe almacenar en la memoria. los objetos solicitados con mayor frecuencia. Para aumentar la eficacia.10 CPU Squid no requiere un uso intensivo de la CPU. 5. 5.2. Es muy importante disponer de memoria suficiente para el proceso Squid. un caché exacto de nombres de dominio. buffers y otros elementos.2. La memoria de acceso aleatorio es mucho más rápida que los discos duros. a fin de acelerar la recuperación de estos datos.9 RAM La cantidad de memoria (RAM) que Squid necesita es directamente proporcional al número de objetos almacenados en caché. Pueden surgir problemas si se emplea una conexión de acceso . La carga del procesador sólo aumenta cuando se carga o comprueba el contenido del caché. 5.11 Inicio de Squid Squid está ya preconfigurado en SUSE Linux. Para garantizar un inicio fluido. Puede empezar a utilizarse en cuanto concluye la instalación.

introduzca rcsquid start en la línea de comandos como usuario Root. modifique la entrada del archivo de configuración /etc/squid/squid. Para probar la funcionalidad de Squid en el sistema local.conf. Squid almacena los motivos de los . deberá definir listas ACL que controlen el acceso al alterno. Durante el primer inicio. deberá suprimir el caché dañado. deberá definir primero la estructura de directorios del caché en /var/cache/squid. El comando rcsquid stop detiene el funcionamiento de Squid. Esto puede tardar. utilice el comando rcsquid restart para reiniciar Squid completamente. Squid deberá volver a cargarlo. que puede tardar unos pocos segundos o incluso minutos. El guión de inicio /etc/init. En este caso.conf de http_access deny all a http_access allow all. Para que sea posible reiniciar Squid. Squid se ha cargado correctamente. Por lo tanto. Si a la derecha aparece done (Finalizado) en verde.2.conf.12 Comandos para iniciar y detener Squid Para iniciar Squid. aunque se haya iniciado correctamente. No obstante. Después de modificar el archivo de configuración /etc/squid/squid. tenga en cuenta que si lo hace. Si lo prefiere. Si Squid falla cuando transcurre un breve periodo de tiempo. Para ello. cualquier usuario podrá acceder sin restricciones a Squid. dado que Squid espera hasta medio minuto (opción shutdown_lifetime en /etc/squid/squid.conf. Para permitir que usuarios del sistema local y de otros sistemas puedan acceder a Squid y a Internet. emplee el comando rcsquid reload. introduzca localhost como alterno (proxy) y 3128 como puerto en el navegador.telefónico con una configuración de DNS dinámica. Puede emplear el comando rcsquid status para comprobar si el alterno se está ejecutando. AVISO: Cierre de Squid El cierre de Squid con los comandos kill o killall puede dañar el caché. dado que Squid no se inicia si no detecta un servidor DNS en /etc/resolv.d/squid lleva a cabo automáticamente esta acción. 5. debe introducir al menos el servidor de nombres. compruebe si hay una entrada de servidor de nombres errónea o si falta el archivo /etc/resolv.conf) antes de abandonar las conexiones de los clientes y escribir los datos en el disco.

De este modo. Para eliminarlos. 5. no se lleva a cabo ningún ajuste automático de DNS al establecer la conexión. y el archivo local /etc/resolv. y puede resolver solicitudes DNS mediante los servidores de nombres raíces sin que sea necesaria ninguna configuración especial. definiendo el valor YES (Sí) en la variable de configuración del sistema (sysconfig) MODIFY_NAMED_CONF_DYNAMICALLY. Este comportamiento se controla mediante el archivo /etc/sysconfig/network/config.2.0. Al desinstalar Squid no se elimina la jerarquía de caché ni los archivos de registro. introduzca el servidor DNS local en el archivo /etc/resolv. Servicio DNS estático Con el servicio DNS estático. por lo que no es necesario .errores de inicio en el archivo /var/log/squid/cache.log. Establezca el valor "no" para esta variable con el editor de configuración del sistema de YaST. suprima el directorio /var/cache/squid manualmente. Squid siempre encontrará el servidor de nombres local al iniciarse. A continuación. normalmente el proveedor de acceso define el servidor DNS al establecer la conexión a Internet. Para que sea posible acceder al servidor de nombres del proveedor. Con el servicio DNS dinámico.conf con la dirección IP 127. que tiene el valor "yes" (Sí). puede hacer que este paso se lleve a cabo automáticamente al establecer la conexión. con la variable de configuración del sistema (sysconfig) MODIFY_RESOLV_CONF_DYNAMICALLY. El modo en que se puede realizar esta acción depende de si se selecciona el ajuste de servicio de DNS dinámico durante la configuración de la conexión a Internet. Servicio de DNS dinámico Si se selecciona el servicio de DNS dinámico. actúa simplemente como un caché de servidor de nombres.conf.13 Servidor DNS local La configuración de un servidor DNS local puede resultar útil incluso aunque no gestione su propio dominio. Si Squid debe cargarse automáticamente al arrancar el sistema.1 para localhost. introdúzcalo junto a su dirección IP en la sección forwarders del archivo de configuración /etc/named.conf se ajusta automáticamente. En tal caso. utilice el editor de niveles de ejecución de YaST para activar Squid en los niveles de ejecución deseados.0.

no modifique los ejemplos e introduzca las opciones junto a los parámetros modificados en la línea siguiente. Casi todas las entradas empiezan por # (las líneas tienen comentarios) y las especificaciones relevantes se encuentran al final de las líneas.14 Archivo de configuración /etc/squid/squid. El puerto por defecto es el 3128.conf y aplicar sólo los cambios realizados en el archivo anterior.conf.conf Todos los ajustes del servidor alterno Squid se realizan en el archivo /etc/squid/squid. también deberá introducir manualmente el servidor de nombres estático del proveedor y su dirección IP en la sección forwarders del archivo /etc/ named. Además. No obstante. . no es necesario realizar ningún cambio en este archivo. compruebe que las solicitudes DNS pueden atravesarlo. tal y como se ha descrito anteriormente. pero al principio se deniega el acceso a los clientes externos. Los valores dados normalmente se corresponden con los valores por defecto. deberá introducir el servidor DNS local en el archivo /etc/resolv. El alterno sólo está disponible para localhost. Si es posible. proporciona información detallada sobre las opciones y muchos ejemplos.conf anterior. /etc/squid/squid. dado que a veces se modifican las opciones y se añaden nuevos cambios.modificar ninguna variable de configuración del sistema. 5. es recomendable editar el nuevo archivo /etc/squid/squid. podrá recuperar fácilmente los valores por defecto y compararlos con los cambios en cualquier momento.conf.2. De este modo. Para iniciar Squid por primera vez. SUGERENCIA: Adaptación del archivo de configuración después de una actualización Si ha efectuado una actualización a partir de una versión anterior de Squid.conf.conf. Si intenta utilizar el archivo squid. El archivo de configuración preinstalado. SUGERENCIA: DNS y cortafuegos Si utiliza un cortafuegos. es posible que la configuración ya no funcione. por lo que eliminar los signos de comentarios sin cambiar los parámetros suele producir pocos cambios en la mayoría de los casos.

El parámetro ufs no debe modificarse. El puerto por defecto es el 3128. cada uno de los cuales contiene 256 subdirectorios adicionales. si desea utilizar el alterno del proveedor de Internet. normalmente será el 8080. Si lo desea. Al especificar el espacio en disco que desea utilizar. Los números del final indican el espacio máximo en disco que debe utilizarse en MB y el número de directorios de primer y segundo nivel.15 Opciones de configuración generales (selección) http_port 3128 Este es el puerto que Squid utiliza para escuchar las solicitudes de los clientes. Squid se comportará como un navegador normal por lo que al alterno del proveedor respecta. introduzca parent.5. Este valor no especifica el uso total de memoria de Squid. puede especificar varios números de puerto separados por espacios. El valor por defecto es 8 MB. . introduzca el nombre y la dirección IP del alterno que desee utilizar y como tipo. pero el 8080 también suele utilizarse. reserve espacio suficiente. por ejemplo. Como nombre de host. por lo que es posible que el uso real sea superior. cache_mem 8 MB Esta entrada define la cantidad de memoria que puede emplear Squid para las respuestas más frecuentes. Establezca los valores 7 o 0 para el puerto icp si el puerto ICP del alterno principal es desconocido y su uso es irrelevante para el proveedor. En tal caso. cache_dir ufs /var/cache/squid/ 100 16 256 La entrada cache_dir define el directorio del disco en el que se almacenan todos los objetos. También puede especificar default y no-query tras los números de puerto para impedir el uso del protocolo ICP.2. Los valores por defecto implican 100 MB de espacio ocupado en disco por el directorio /var/cache/squid y la creación de 16 subdirectorios en él. cache_peer nombre de host tipo puerto del alterno puerto icp Introduzca un alterno principal. En puerto del alterno. introduzca el número de puerto proporcionado por el operador del alterno principal para su uso en el navegador.

dado que algunos servidores FTP las comprueban para verificar su validez.255 Esta entrada permite enmascarar las direcciones IP de los clientes en los archivos de registro. cache_mgr webmaster Una dirección de correo electrónico a la que Squid debe enviar un mensaje si se produce un error inesperado.log. Puede que sea una buena idea indicar una dirección de correo electrónico válida. al llegar al valor especificado. Squid puede rotar los archivos de registro protegidos.255. Si Squid experimenta una carga de uso intensa. client_netmask 255. se sobrescribe el archivo más antiguo. El valor por defecto es webmaster. El último dígito de la dirección IP tendrá el valor cero si introduce aquí 255. obtendrá archivos de registro legibles.0.255.log Estas tres entradas especifican las rutas en las que Squid registra todas sus acciones.log. ftp_user Squid@ Permite definir la contraseña que debe utilizar Squid para los inicios de sesión FTP anónimos. puede proteger la privacidad de los clientes. puede que resulte útil distribuir el caché y los archivos de registro en varios discos. De ese modo. cache_log /var/log/squid/cache. cache_store_log /var/log/squid/store. introduzca varias líneas cache_dir. dado que la existencia de demasiados directorios puede provocar problemas de rendimiento.255. dado que el almacenamiento y la supresión de archivos de registro en SUSE Linux se lleva a . Los archivos se numeran durante el proceso y. emulate_httpd_log off Si la entrada tiene el valor on. algunos programas de evaluación no podrán interpretarlos. Debe extremar las precauciones si decide aumentar los dos últimos números (referentes a los directorios). logfile_rotate 0 Si ejecuta squid -k rotate. Normalmente no es necesario realizar ningún cambio.Los valores más adecuados oscilan entre un mínimo del 50% y un máximo del 80% del espacio disponible en disco. Si tiene varios discos que comparten el caché.255. No obstante. El valor por defecto es 0. cache_access_log /var/log/squid/access.

Normalmente se introduce su propio dominio. Si especifica el valor all para la entrada acl_name. no necesita efectuar ningún cambio en estos valores. Si esto ocurre. si emplea un proveedor que estipula de forma estricta el uso de sus alternos o deniega al cortafuegos acceso directo a Internet. Dicho alterno deberá haberse introducido anteriormente en cache_peer. en ocasiones puede que no sea posible acceder a Internet.168. por ejemplo. Squid tiene en cuenta las solicitudes fallidas y rechaza emitir solicitudes nuevas.0. never_direct allow nombre_acl Para evitar que Squid acepte solicitudes directamente de Internet. utilice el comando anterior para forzar la conexión con otro alterno. el proceso de marcación debería volver a iniciarse en unos segundos. Squid eliminará la dirección IP y el nombre de sistema de los clientes de las solicitudes HTTP. append_domain <dominio> Utilice append_domain para especificar el dominio que debe adjuntarse automáticamente si no se proporciona ninguno. por lo que al introducir www en el navegador accederá a su propio servidor Web. De lo contrario. añadirá al encabezado una línea similar a la siguiente: X-Forwarded-For: 192.cabo mediante un cronjob establecido en el archivo de configuración /etc/logrotate/squid. Esto puede resultar necesario. si utiliza una conexión de acceso telefónico. . negative_dns_ttl 5 minutes Por lo general. forwarded_for on Si establece el valor off para esta entrada.0 negative_ttl 5 minutes. aunque la conexión a Internet se restablezca. cambie el valor de minutes (minutos) a seconds (segundos) y haga clic en el botón de actualización del navegador. forzará todas las solicitudes de modo que se envíen directamente al alterno principal. No obstante.

168.0-192. como all y localhost. No obstante.0/255. La configuración de dicho sistema es muy sencilla y completa mediante la implementación de ACL.com acl profesores src 192. deberá proporcionar listas ACL. Puede crear una lista con cualquier número de entradas http_access. Esto implica listas con reglas que se procesan de forma secuencial.9. dependiendo de lo que ocurra primero. A continuación encontrará algunos ejemplos sencillos: acl misusuarios srcdomain . El nombre <nombre_acl> puede elegirse arbitrariamente. por ejemplo mediante nombres de hosts. La última entrada siempre debe ser http_access deny all. seleccione entre la variedad de opciones diferentes que encontrará en la sección ACCESS CONTROLS (Controles de acceso) del archivo /etc/squid/squid. que se procesarán de arriba a abajo y.0/255.5.0 acl alumnos src 192.255. acl <nombre_acl> <tipo> <datos> Una lista ACL requiere al menos tres especificaciones para su definición. Las listas ACL deben definirse antes de proceder a su uso.168. La especificación de <datos> depende del tipo de ACL individual y también puede leerse desde un archivo.midominio. mientras que a todos los demás hosts se les deniega el acceso completamente. permitirán o denegarán el acceso a la dirección URL respectiva.7. ya existen. Para que esto sea posible. En el siguiente ejemplo localhost (host local) tiene acceso a todo. . localhost y all ya se han definido anteriormente y pueden permitir o denegar el acceso mediante los valores deny (Denegar) y allow (Permitir).168.1. direcciones IP o direcciones URL. Esto sólo ocurre con las reglas http_access.16 Opciones de control de acceso Squid proporciona un sistema detallado para controlar el acceso al alterno.255.255.255.conf.0 acl hora del almuerzo MTWHF 12:00-15:00 http_access allow <nombre_acl> http_access define quién puede utilizar el alterno y quién puede acceder a qué en Internet. En <tipo>. Algunas listas ACL.2. la definición de una lista ACL no implica automáticamente su aplicación.

entre el texto # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR # CLIENTS y la última entrada http_access deny all redirect_program /usr/bin/squidGuard Esta opción permite especificar un redireccionador como squidGuard. como pam_auth. squidGuard es un paquete aparte que puede instalarse y configurarse por separado. Es decir. por lo que sólo los clientes con un inicio de sesión válido podrán utilizar Internet: acl password proxy_auth REQUIRED http_access allow password http_access deny all . que permite bloquear las direcciones URL no deseadas. Además.conf. auth_param basic program /usr/sbin/pam_auth Si los usuarios deben autenticarse en el alterno. el usuario verá una ventana de inicio de sesión en la que podrá introducir el nombre de usuario y la contraseña. el grupo profesores siempre tiene acceso a Internet. El acceso a Internet se puede controlar de forma individualizada para distintos grupos de usuarios mediante la autenticación de alternos y las listas ACL adecuadas. la lista con las entradas http_access sólo debe introducirse en la posición designada en el archivo /etc/squid/squid. Al acceder a pam_auth por primera vez. sigue siendo necesaria una lista ACL.http_access allow localhost http_access deny all En otro ejemplo de uso de estas reglas. http_access deny localhost http_access allow profesores http_access allow alumnos hora del almuerzo http_access deny all En beneficio de la legibilidad del archivo. El grupo alumnos sólo tiene acceso de lunes a viernes durante la hora del almuerzo. defina un programa adecuado.

En Linux. . defina la lista ACL correspondiente aquí: acl identhosts ident REQUIRED http_access allow identhosts http_access deny all En esta entrada también puede sustituir REQUIRED por una lista de nombres de usuario permitidos. en Internet encontrará software gratuito disponible para su descarga. En el caso de Microsoft Windows. Si incluye all en <nombre_acl>. deberá haber un daemon de identidad en ejecución en todos los clientes. dado que las búsquedas de identidad se repiten para cada solicitud. instale el paquete pidentd. Además. Para garantizar que sólo se permitan los clientes con una búsqueda de identidad correcta.El valor REQUIRED tras proxy_auth puede sustituirse con una lista de nombres de usuario permitidos o con la vía a dicha lista. la solicitud será válida para todos los clientes. El uso de ident puede ralentizar bastante el tiempo de acceso. ident_lookup_access allow <nombre_acl> Permite ejecutar una solicitud de identidad para todos los clientes definidos en la lista ACL para averiguar la identidad de cada usuario.

Configuración de Squid .

.

.

0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https.1.0 acl pcmalignas src /etc/squid/pcmalignas acl CONNECT method CONNECT # TAG: http_access # Allowing or Denying access based on defined access lists # # Access to the HTTP port: # http_access allow|deny [!]aclname .CONFG #Examples: #acl macaddress arp 09:00:2b:23:45:67 #acl myexample dst_as 1241 #acl password proxy_auth REQUIRED #acl fileupload req_mime_type -i ^multipart/form-data$ #acl javascript rep_mime_type -i ^application/x-javascript$ # #Recommended minimum configuration: acl all src 0.168. If the last line was # deny. the default is to deny # the request.0/0. it is a # good idea to have an "deny all" or "allow all" entry at the end # of your access lists to avoid potential confusion.255.0.255.0.255. # # NOTE on default values: # # If there are no "access" lines present.0. For these reasons. the default is the # opposite of the last line in the list.0/255. the default will be deny.1/255. Conversely.. snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl puertoweb port 80 acl redlocal src 190.0.0 acl manager proto cache_object acl localhost src 127. if the last line # is allow.0.CONFIG --.REGLAS /ETC/SQUID/SQUID.255 acl to_localhost dst 127.Reglas establecidas por el Proxy SQUID.0.0.. the default is allow. # # If none of the "access" lines cause a match. .255.0.

d/squid restart root's password: Sorry.# #Default: # http_access deny all # #Recommended minimum configuration: # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports # Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports # Luego de definir las reglas debemos de reiniciar el servicio para que los cambios en Squid surjan efecto. try again. root's password: Shutting down WWW-proxy squid 2006/11/25 20:11:04| aclParseIpData: Bad host/IP: '/etc/squid/pcmalignas' 2006/11/25 20:11:04| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src /etc/squid/pcmalignas done Starting WWW-proxy squid done * Con este Comando: gerardo@gerardo:~> sudo /etc/init. podemos hacerlo de 3 formas: * Reiniciando la maquina. * Con este Comando: gerardo@gerardo:~> sudo /etc/init.d/squid reload Reloading WWW-proxy squid 2006/11/25 20:11:19| aclParseIpData: Bad host/IP: '/etc/squid/pcmalignas' 2006/11/25 20:11:19| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src /etc/squid/pcmalignas 2006/11/25 20:11:21| aclParseIpData: Bad host/IP: '/etc/squid/pcmalignas' 2006/11/25 20:11:21| aclParseAclLine: WARNING: empty ACL: acl pcmalignas src /etc/squid/pcmalignas .

Configuración del lado del cliente: .

CAPITULO VI CONFIGURACION DE SERVIDOR PROXY EN WINDOWS SERVER 2003. Usando ISA Server 2006 .

para ataques cuando tienen lugar . completos necesario de instrumentos detectar disparo de sistemas alertas a a otras. usuarios. Gusanos que ISA Server ofrece sobre recursos Web posibilitan una mayor resistencia a desde ataques de denegación de servicio (DOS) y DOS distribuido. Los ataques pasan Mejor respuesta de antes ataques y inadvertidos durante mediante horas. se Mayor resistencia a los gusanos propagan entre los para mitigar el impacto que las usuarios y de unas máquinas infectadas provocan sobre redes perjudicar clientes. partners y lo que hace aún más respuestas. Problemas principales Seguridad integrada Necesidad de hacer Mejor resistencia a la saturación frente al número funcionalidades para la gestión de y monitorización que creciente de ataques eventos visibles Internet. incluso días. la red mediante un sistema básicamente para simplificado de agrupamiento de las los alertas IP y cuotas de conexión. que pueden notificar al disponer instante a los administradores al mejores detectar problemas en la red.PROTECCIÓN DE ACCESO A INTERNET En la siguiente tabla se muestra de forma resumida cómo ISA Server 2006 resuelve los principales problemas a que se enfrentan los administradores de TI a la hora de salvaguardar su entorno.

Control granular y Gestión y monitorización unificadas Operations Manager creación de informes con el Management Pack para sobre los distintos Microsoft en la organización. la instalación y Herramientas de gestión sencilla configuración de la y fácil de aprender que simplifican seguridad perimetral tanto la configuración inicial como la es una tarea de alta administración posterior. como los antivirus y el filtrado de contenidos Web. Gestión eficiente Es preciso poder Mejor control de los recursos mediante un registro de actividad y la control de consumo de memoria y de las peticiones DNS pendientes. Acceso seguro rápido y de contenidos en y que mucho Es preciso proteger Inspección . y políticas a nivel de array y corporativas.Problemas principales y adoptar las medidas adecuadas. localizar rápidamente información relevante en caso de ataque. que permiten un control más sencillo de la seguridad y las reglas de acceso en toda la organización. calificación requiere tiempo. de amenazas. gateways instalados (MOM) 2005. gran que permiten de un abordar una variedad cambiante aspectos de la seguridad. Necesidad medidas seguridad para contexto combatir ISA Server ofrece de Un Kit de Desarrollo (DSK) flexible de para el desarrollo de complementos flexibles para ISA Server.

propiedad intelectual políticas los ataques y flexibles y muy corporativa frente a completas. filtros de protocolo el configurables. . 2. en Ejecutar. En el menú Archivo . haga clic en Agregar o quitar complemento y. PANTALLAS PRINCIPALES • Creación de Plantillas de seguridad Para crear una plantilla de seguridad. haga clic en Aceptar. a continuación. haga clic en Inicio. y relaciones de enrutamiento de red para combatir la de que los se código aprovechan actividad usuarios malintencionado que amenazas procedentes de Internet. escriba mmc y. en Aceptar. conectan en remoto. realice los siguientes pasos. a continuación. 1. Para abrir Plantillas de seguridad. haga clic en Agregar. a continuación. 3. Seleccione Plantillas de seguridad.Problemas principales ISA Server ofrece los activos de TI y la profundidad y a múltiples niveles. en Cerrar y. haga clic en Agregar.

a continuación. escriba la descripción de la nueva plantilla de seguridad y. haga clic en Aceptar. escriba el nombre de la nueva plantilla de seguridad. Expanda la nueva plantilla y. En Nombre de plantilla. a continuación. 7. En Descripción. haga clic con el botón secundario del ratón en la carpeta donde desee almacenar la nueva plantilla y haga clic en Nueva plantilla. 5. 6. . En el árbol de consola. haga clic en Servicios del sistema. haga clic en el nodo Plantillas de seguridad.4.

(Para Sistema de sucesos COM+. haga clic con el botón secundario del ratón en Sistema de sucesos COM+ y.8. Active Definir esta configuración de directiva en la plantilla y. En el panel de detalles. a continuación. 9. a continuación. el modo de inicio es Automático. haga clic en Propiedades. haga clic en el modo de inicio.) • Mas Seguridad .

en Ejecutar. en Cerrar y. en Aceptar. Seleccione la nueva plantilla de seguridad que desea importar y.Para aplicar la nueva plantilla al equipo servidor ISA. a continuación. 6. a continuación. Para abrir Plantillas de seguridad. realice los siguientes pasos. 4. 1. haga clic en Agregar. Seleccione la plantilla de seguridad que ha creado anteriormente. Haga clic con el botón secundario del ratón en Configuración y análisis de seguridad y. a continuación. a continuación. haga clic en Agregar. haga clic en Abrir. a continuación. En el menú Archivo . Escriba un nuevo nombre de base de datos y. En el árbol de consola haga clic en Configuración y análisis de seguridad. 3. haga clic en Agregar o quitar complemento y. . haga clic en Aceptar. 7. 2. haga clic en Abrir base de datos. haga clic en Inicio. 5. escriba mmc y. Seleccione Configuración y análisis de seguridad. haga clic en Abrir. a continuación.

Microsoft ISA Server y. 1. a continuación. haga clic en Microsoft ISA Server 2004 y. En la ficha Tareas. haga clic en Administración del servidor ISA. En la página de bienvenida del Asistente para la delegación de .• Funciones administrativas Para asignar funciones administrativas. a continuación. realice los siguientes pasos. haga clic en Definir funciones administrativas. En el árbol de consola de Administración del servidor ISA. en el nombre_de_servidor. seleccione Todos los programas. Haga clic en Inicio. 3. 4. 2.

Microsoft ISA Server y. realice los siguientes pasos. habilitado de forma predeterminada. . haga clic en Comprobadores de conectividad HTTP. aplique el principio de superficie de ataque reducida. se aplica a todos los equipos de la red interna. seleccione la función administrativa aplicable. En la ficha Tareas. En Función. haga clic en Editar directiva del sistema. Para reducir la cantidad de superficie de ataque. a continuación. 6. Puede limitarlo de modo que se aplique a un grupo de Active Directory específico de la red interna. 4. tal como se describe en la sección Consolidación de la seguridad de la infraestructura de Windows. siga estas directrices: • No ejecute aplicaciones y servicios innecesarios en el equipo servidor ISA. haga clic en Siguiente. seleccione Todos los programas. deshabilite el acceso de clientes de VPN. Haga clic en Agregar. • LIMITACION DE ACCESOS Para limitar este acceso. deshabilite las reglas de directiva del sistema asociadas. • Deshabilite las características del servidor ISA que no utilice. haga clic en Administración del servidor ISA. • ATAQUES Reducción de la superficie de ataque Para proteger todavía más el equipo servidor ISA. En el Editor de directivas del sistema. Por ejemplo. Haga clic en Inicio. si no necesita caché. En Grupo (recomendado) o usuario. escriba el nombre del grupo o usuario al que se asignarán los permisos administrativos específicos. haga clic en Microsoft ISA Server 2004. • Identifique los servicios y tareas que no son fundamentales para el modo en que administra la red y. a continuación. 1. deshabilítela. en el árbol Grupos de configuración. 2. En el árbol de consola de Administración del servidor ISA.administración del servidor ISA. a continuación. en el nombre_de_servidor y. • Limite la aplicación de las reglas de directiva del sistema únicamente a las entidades de red requeridas. Por ejemplo. en Directiva de firewall. Si no precisa la funcionalidad VPN del servidor ISA. 3. 5. 7. el grupo de configuración de directiva del sistema de Active Directory. Deshabilite los servicios y las funciones que no sean fundamentales para la tarea actual.

En la ficha Herramientas haga clic en Objetos de red. en Quitar. Se permitirá todo el tráfico HTTP desde la red del host local (el equipo servidor ISA) a las entidades de red enumeradas en la ficha A. Haga clic en Inicio. a continuación. . en Directiva de firewall. Haga clic en Agregar y. En la ficha A haga clic en Todas las redes (y host local) y. 3. a continuación. haga clic en Microsoft ISA Server 2004. seleccione las entidades de red cuya conectividad desee comprobar. Para modificar el conjunto de direcciones URL para incluir sitios Web adicionales. haga clic en Administración del servidor ISA. 2. seleccione Todos los programas. 1. en el nombre_de_servidor y. a continuación. a continuación.5. Microsoft ISA Server y. realice los siguientes pasos. • MODIFICACION DE SITIOS WEB 6. En el árbol de consola de Administración del servidor ISA.

a continuación. haga clic en Propiedades. En la ficha General haga clic en Nuevo y.4. escriba la dirección URL del sitio Web específico. . En Conjuntos de nombre de dominio. a continuación. 5. haga clic con el botón secundario del ratón en Sitios permitidos de directiva del sistema y.

a continuación. Se recomienda no cambiar estos límites preconfigurados. 2. . haga clic en Microsoft ISA Server 2004. realice los pasos siguientes. en el nombre_de_servidor. Cuando se haya alcanzado el número máximo de conexiones.El acceso HTTP y HTTPS se permitirá a los sitios Web especificados. Haga clic en Inicio. Las conexiones existentes no se desconectarán. Puede configurar el límite especificando un número máximo de conexiones simultáneas. no se crearán nuevas. Si debe modificar los límites de conexiones. ICMP y demás Raw IP permitidas por una regla de publicación o acceso a servidor. por segundo. haga clic en Administración del servidor ISA. Para configurar los límites de conexiones. en General. haga clic en Definir límites de conexiones. a continuación. se puede limitar de forma efectiva que los hosts malintencionados consuman recursos del equipo servidor ISA. Límites de conexión El servidor ISA limita el número de conexión en un momento dado. Puede limitar el número total de creación de sesiones UDP. en Configuración y. y a 160 conexiones por cliente. En el árbol de consola de Administración del servidor ISA. De este modo. seleccione Todos los programas. Cuando se sobrepasa el número especificado de conexiones. 1. configure un número de conexiones tan pequeño como sea posible. De forma predeterminada. Se recomienda configurar límites de conexiones bajos. Microsoft ISA Server y. En el panel de detalles. Estas limitaciones no se aplican a las conexiones TCP. se denegará cualquier nueva petición de cliente para dicho servicio de escucha Web. los límites para conexiones que no sean TCP están configurados a 1000 por segundo y regla. 3. Los límites para conexiones TCP están configurados en 160 por cliente.

5.4. En la ficha Límite de conexiones seleccione Limitar el número de conexiones por cliente a. Realice las siguientes acciones: .

haga clic en Microsoft ISA Server 2004. No obstante. 4. en el nombre_de_servidor. En Límite de conexiones por cliente (TCP y no TCP) escriba el número de conexiones permitidas por cliente. seleccione Todos los programas. realice los siguientes pasos. en General. 2. en Configuración y. que implica el uso de cifrado mediante un canal de control TCP. Esto incluye todo el software de cliente firewall para los equipos ISA Server 2004. esto impide que se conecten versiones anteriores del software de cliente firewall. En Conexiones creadas por segundo por regla (no TCP) escriba el número de conexiones permitidas por regla y segundo. Puede configurar el servidor ISA para aceptar conexiones únicamente de clientes que establezcan comunicación de esta forma segura. Microsoft ISA Server y. En la ficha Conexión compruebe que no está activado Permitir conexiones de cliente firewall sin usar cifrado. Clientes firewall El servidor ISA admite una forma más segura de comunicación entre el cliente firewall y el servidor ISA.1. haga clic en Administración del servidor ISA. Para configurar clientes firewall. . 3. 1. a continuación. Haga clic en Inicio. a continuación. 2. En el panel de detalles haga clic en Definir la configuración del cliente firewall. En el árbol de consola de Administración del servidor ISA. Se recomienda permitir que únicamente los clientes firewall puedan establecer comunicación sobre una conexión cifrada.

a continuación. Haga clic en Inicio.• CONECTIVIDAD A OTROS SERVIDORES Comprobación de la conectividad a servidores de autenticación Si utiliza un servidor RADIUS para la autenticación. En la ficha Tareas. . realice los siguientes pasos. 3. Para comprobar la conectividad. Configure las alertas de modo que se realice una acción adecuada cuando el servidor RADIUS no funcione. haga clic en la ficha Conectividad. haga clic en Crear nuevo comprobador de conectividad. seleccione Todos los programas. cree un comprobador de conectividad que supervise el estado del servidor. en Supervisión. 1. En el árbol de consola de Administración del servidor ISA. haga clic en Administración del servidor ISA. en el nombre_de_servidor y. En el panel de detalles. 4. haga clic en Microsoft ISA Server 2004. Microsoft ISA Server y. a continuación. 2.

9. . haga clic en Siguiente. En la página Bienvenida del asistente. En la ficha Propiedades compruebe que está activado Desencadenar una alerta si el servidor no responde dentro del tiempo de espera especificado. en 7. Haga clic en Siguiente y. En Supervisar la conectividad a este servidor o dirección URL escriba el nombre del servidor que se supervisará. En Método de comprobación seleccione un método para efectuar la comprobación. consulte la sección Comprobadores de conectividad. Si la regla de directiva del sistema que permite la comprobación de conectividad HTTP no está habilitada y ha activado Enviar una petición HTTP "Get".5. a continuación. En el panel de detalles. 6. escriba un nombre para el comprobador de conectividad y. 10. En la página Detalles de comprobación de conectividad haga lo siguiente: 1. En la ficha Tareas haga clic en Editar comprobador seleccionado. se le pedirá que habilite la regla de directiva del sistema. 8. a continuación. Haga clic en Sí. Finalizar. Para obtener más información acerca de las reglas de directiva del sistema de comprobación de conectividad HTTP. seleccione la regla que acaba de crear. 2.

.

ML370 G3 y ML350G3 Fuente: Elaboración Propia. HD 40 SCSI Video ATI RAGE XL 8MB.10: Comparación entre los servidores HP ML570 G2. . CD-ROM 52x. HD 40 SCSI Controlador SCSI: dual channel Wide Gigabit PCI-6 (64bits/100MHz) Ultra3.0 L2/ L3-512 Hasta 2 procesadores 256 MB PC 2100 ECC DDR hasta 8 GB Intel® Pentium® 4 630 a 3GHz Hasta 1 procesadores 512MB DIMM SDRAM DDRII PC2 4200 a 533MHz. Red NC7760 Gigabit PCI-6 (64bits/100MHz) 33MHz P. 1 PCI 32 bits Cuadro N° 5.4 SATA Tarjeta de red Broadcom Gigabit 5721 10/100/1000 (integrada) con WOL (Wake on LAN) 2 PCI-Express (x4 y x16) y 2 PCI de 32 bits/33MHz a 3. HD 80. Servidores Item Procesador Upgrade Memoria Intel Xeon 3.44 MB.44 MB.Propuesta de Servidores. NIC 10/100 encajado PCI-7 (64bits/100MHz) Floppy 1. Serial P.0 L2/ L3-512 Hasta 4 procesadores 1 GB PC 1600 ECC DDR hasta 32 GB Intel Xeon 3. SMART ARRAY 64. HD 80. Paralelo PS/2 RJ-45 Video(DB-15) USB 2 1 2 2 1 2 1 1 2 1 1 2 2 1 2 2 1 2 1 1 2 1 1 2 1 1 1 1 1 6 3 ML570 G2 ML530 G2 ML370 G3 ML350 G3 ML110 G3 hasta 8 GB Floppy 1.3V disponibles. CD-ROM 52x.4 SCSI Controlador SCSI: dual channel Wide Ultra3.44 MB.0 L2/ L3-512 Hasta 2 procesadores 1 GB PC 1600 ECC DDR hasta 16 GB Intel Xeon 3.44 MB.4 SCSI Controlador SCSI: dual channel Wide Ultra3. CD-ROM 52x. NIC 10/100 encajado PCI PCI-7 (64bits/100MHz) Floppy 1.0 L2/ L3-512 Hasta 2 procesadores 1 GB PC 2100 ECC DDR hasta 12 GB Intel Xeon 3. CD-ROM 52x.44 MB. HD 80. ECC de con serie funcionalidad Unidades de almacenamiento Incorpora Floppy 1. controlador SCSI: Dual Wide Ultra 3. CD-ROM 52x. RED NC7781 Floppy 1.

0. Consideraciones de Software.La tabla de comparación.2 WinZip 10. Item Sistema Operativo de Red Nombre Windows Server 2003 Suse Linux 10. Después d e haber realizado las respectivas comparaciones se sugiere para la red como de comunicaciones de datos utilizar el servidor HP Proliant ML110 G3 por ser el que da mejores soluciones al problema actual de la red. Cuadro N° 3: Software propuesto par las estaciones de trabajo.0 Nod32 v. BIBLIOGRAFÍA INTERNET: . Fuente: Elaboración Propia.1 Administrador de Base de Datos Correo Electrónico SQL Server 2005 Ms Exchange Server 2003 Ms Outlook 2003 Cuadro Nº 4: Software propuesto para los servidores. Fuente: Elaboración Propia. Servidores. Estaciones de Trabajo. nos permiten evaluar las ventajas y desventajas que presentan cada uno de los modelos de servidores HP así como también hacer una elección de acuerdo con las necesidades requeridas que se ajusten al modelo elegido. Item Sistema Operativo Software Ofimática Antivirus Utilitarios Otros Nombre Windows XP Profesional. Microsoft Office XP The Hacker Antivirus 6.0 Acrobat Reader 7.

linuxparatodos.php? page=manuales-indice T2: Descarga de Manuales Linux Autor: Germán A.es/evirtual/cdd/tutorial/aplicacion/ftp.A Trujillo 2005 .co/paquetes/download/indexDownload.univalle.net/geeklog/staticpages/index.uma.php? %20accion=Descargas&tipo=Descargas&titulo=Descargas T3: SuSE Linux Autor: Julio César Chavéz Urrea http://www.edu.2es/index.forosuse.T1: Linux para todos Autor: Omar Guenui http://www. Infiesta http://gluv.es/mozilla/varios/suselinux-adminguide-9.php? t=5822&goto=nextoldest T4: SuSE Linux manual de Administracion Autor: Cabletesting http://www.html T5: Protocolos Autor : 3COM http://neo.html TESIS T1: BAUTISTA ZÚÑIGA y NAVARRO MENDOZA Diseño de la red de comunicaciones de datos de la empresa TRUPAL S.org/forosuse/showthread.polinux.lcc.upv.

asp?IDI=12445271 3Com® OfficeConnect® Remote 812 ADSL Router http://www.es/products/adsl/ servidor http://www.es/productinformation/~404946~/3COM%20OC%20DS %20SWITCH%208P%2010%2F100%20RJ45.ar/Accdb/ViewItem.3com.deremate.com.misco.html .php D-Link DES-1008D 8-Port 10/100 Dual Speed Switch http://www.asp?code=105686 router MODEM ROUTER ENCORE ENDSL-AR4 http://www.es/product.hzcomputer.areapc.com/servidor_hp_proliant_ml110_g3__470063673__10408838_p.Referencias web: Switch 3COM OC DS SWITCH 8P 10/100 RJ45 http://www.com/l_precio.expansys.htm http://www.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->