UNIVERSIDAD TECNOLOGICA DE LA SELVA

IP en Seguridad en Redes y Software Libre

Integrantes: lvarez Domnguez Marco Antonio Hernndez Gmez Enrique Fidel Rodrguez Velsquez Suna

Catedrtico: IP. Oscar Paulino Valdiviezo Trujillo Grado y Grupo:

8 Cuatrimestre A

Tema: Manual de configuracin de Dansguardian y Squid Materia:

Administracin de servidores

Ocosingo Chiapas, a 12 de abril del 2012

INTRODUCCION
El servidor proxy es un intermediario entre una red privada y una publica, el uso mas comun es el de servidor proxy, que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino. De ellos, el mas famoso es el servidor proxy de web comunmente conocido solamente como proxy. Intercepta la navegacion de los clientes por paginas web segn sean las politicas de alguna empresa determinada: seguridad, rendimiento, politicas, fines educativos, etc.

SQUID Squid es un popular programa de sofware libre que implementa un servidor proxy y un demonio para cache de pagina web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un Servidor web, guardando en cache peticiones repetidas a DNS y otras busquedas para un grupo de gente que comparte recursos de la red, hasta cache de web, ademas de aadir seguridad filtrado el trafico. Esta especialmente diseado para ejecutarse bajo entornos tipo Unix. Squid ha sido desarrollado durante mucho aos y se le considera muy completo y robusto. Aunque orientado a principalmente a HTTP y FTP es compatible con otros protocolos como Internet Gopher Implementa varias modalidades de cifrado como TLS, SSL y HTTPS.

DANSGUARDIAN DansGuardian es un filtro directo que se ubica entre el cliente Web (web browser) y el Servidor proxy squid dansguardian acepta conexiones en el puerto 8080 y se conecta aquid en el puerto 3128. Por lo tanto, es importante que no haya otro servicio utilizando el puerto 8080. Si lo que se desea es poder filtrar por contenido lo que se navega en tu red, DansGuardian te puede ayudar a poder poner las reglas de la navegacion, solo se debe parametrizar al gusto y trabaja en conjunto con squid. La herramienta DansGuardian es codigo abierto, esta desarrollada en C++ y permite una configuracion flexible adaptandose a las necesidades del usuario. Al instalar el paquete la configuracion por defecto ya limita las visitas a paginas prohibidas para menores, pero dispone de gran cantidad de archivos de configuracion para llevar a cabo un ajuste del servicio mas personalizado.

El mecanismo es el siguiente: los cliente mediante sus navegadores web hacen peticiones de paginas que son recibidas por DansGuardian y solo son radireccionadas al servidor proxy SQUID aquellas que superan las fase de filtrado. Cliente web DansGuardian Squid

En relidad DansGuardian se ejecuta como un demonio independiente del proxy, acepta peticiones en el 8080 y kas redirecciona al proxy SQUID, que escucha en el puerto 3128. Por lo tanto, cuando un perticion en tra por el puerto 8080,DansGuardian la pasa al proxy SQUID por el puerto 3128. Es importante, em consecuencias, que ningun otro servicio en te utilizando el puerto 8080. Si el resultado del filtrado (deoendiendo de lo filtros configurados) es una denegacion de accesso a una determinada pagina web se muestra al usuario el mensaje correspondiente al Acceso Denegado.

CONFIGURACION DE SQUID Configuracin e instalacin del servidor proxy (Squid) Desde una terminal y como superusuario iniciar el proceso de instalacin de squid. 1. yum -y install squid

Esta poltica hace que SELinux permita al servicio Squid acepte conexiones de los clientes desde cualquier direccin IP. 2. setsebool -P squid_connect_any 1

Edite el archivo /etc/squid/squid.conf: 3. /etc/squid/squid.conf

Para poder controlar el trfico de los clientes hacia Internet, es necesario establecer Listas de Control de Acceso (ACL) que definan una red o bien ciertos anfitriones en particular. A cada lista se le asignar una Regla de Control de Acceso que permitir o denegar el acceso a Squid. Listas de control de acceso. De modo predeterminado en CentOS 6 y Red Hat Enterprise Linux 6, Squid habilita el acceso a todas las redes locales, definidas en el RFC1918. Es decir, permite el acceso a 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, fc00::/7 y fe80::/10.

Deshabilite todo lo anterior, colocando una almohadilla (# al inicio de cada lnea.

Establecer una lista de control de acceso que abarque a toda la red local, basta definir la IP correspondiente a la red y la mscara de la sub-red. 4. acl [nombre de la lista] src [lo que compone a la lista] Por ejemplo:

A continuacin se procede a aplicar la regla de control de acceso:

5. http_access [deny o allow] [lista de control de acceso]

Por ejemplo:

Esta opcin es utilizada para indicar el puerto a travs del cual escuchar peticiones Squid. 6. http_port 3128

Definir el parmetro cache_mem para dedicar este lote de memoria al servicio squid. Este se coloca al final del archivo. 7. cache_mem 64 MB

Descomentar la linea cache_dir y modificar el 100 por 2048. Esto para definir el tamao en disco duro que usara squid como cache.

8. cache_dir ufs /var/spool/squid 2048 16 256

Colocar el directorio de idiomas al final del archivo 9. error_directory /usr/share/squid/errors/es-es

Guardar y salir

Iniciar el servicio squid 10. service squid start

CONFIGURACION DE DANSGUARDIAN Configuracin e instalacin el filtro (DansGuardian) Desde una terminal y como superusuario iniciar el proceso de instalacin de DanG uardian. 11. rpm Uvh dansguardian-2.10.1.1-1.el5.rf.i386.rpm

Edite el archivo /etc/dansguardian/dansguardian.conf:

Los principales parmetros a configurar son los siguientes:

language=spanish ; Idioma en el que enviar mensajes de denegacin a los usuarios de la red local. El directorio de ubicacin est en la siguiente ruta /usr/share/dansguardian/languages. loglocation=/var/log/dansguardian/access.log observar la actividad del servicio dansguardian. Filterip ; La tarjeta de red donde escuchar el dansguardian. filterport=8080 dansguardian. proxyport=3128 ; Puerto por donde el servicio dansguardian conecta al proxy (squid). ; Puerto por donde escuchar el servicio

log

para

bannediplist=/etc/dansguardian/lists/bannediplist direcciones IP que estn bloqueadas.

; Lista

de

 exceptioniplist=/etc/dansguardian/lists/exceptioniplist Lista de direcciones IP que se encuentran en excepcin.

Se inicia por primera vez el servicio dansguardian

12. service dansguardian start 13. chkconfig dansguardian on

Pasemos a prohibir las pginas pornogrficas, en primer lugar abrimos el fichero /etc/dansguardian/lists/bannedsitelist. y descomentamos la lnea mascada en roja. 14. Vim /etc/dansguardian/lists/bannedsitelist

Abriendo Puertos de Iptables

1. iptables I INPUT p tcp --dport 8080 j ACCEPT 2. iptables I INPUT p tcp --dport 3128 j ACCEPT 3. service iptables save 4. service iptables restart Hacemos la verificacin del servicio, visitando algn sitio permitido o denegado para ver el funcionamiento.