Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SE RV IDOR P ROXY
Febrero 2009
SERVIDOR PROXY
INDICE
1. Introduccin.................................................................................................................3
1.2 Ventajas de utilizar un servidor proxy.....................................................................3
1.3 Situacin actual.......................................................................................................4
1.4 Esquema de integracin de las tecnologas.............................................................5
1.5 Tabla de ruteo..........................................................................................................5
2. Servidor Squid............................................................................................................6
2.1 Pre requisitos...........................................................................................................6
2.2 Instalacin................................................................................................................6
2.3 Compilacin............................................................................................................6
2.4 Script de inicializacin............................................................................................7
2.5 Instalacin y configuracin modulo squid-webmin...............................................8
3. Kaspersky..................................................................................................................11
3.1 Requerimientos......................................................................................................11
3.2 Instalacin..............................................................................................................11
3.3 Pruebas de virus.....................................................................................................12
3.4 Funcionamiento del Antivirus Kaspersky.............................................................13
3.5 Reactivacin de licencia........................................................................................13
4. Dansguardian............................................................................................................14
4.1 Instalacin..............................................................................................................14
4.1.1 Instalacin de blacklists..................................................................................15
4.1.2 Configuracin archivo dansguardian.conf......................................................15
4.2 Instalacin y configuracin modulo dansguardian-webmin.................................15
4.3 Configuracin del Dansguardian...........................................................................17
4.4 Configuracin de los grupos..................................................................................18
4.4.1 Grupo 1...........................................................................................................19
4.4.2 Grupo 2...........................................................................................................19
4.4.3 Grupo 3...........................................................................................................19
4.4.4 Grupo 4...........................................................................................................20
4.5 Identificacin de usuarios......................................................................................20
4.5.1 Identificacin de usuarios segn nombre del equipo.....................................21
4.5.2 Identificacin de usuarios segn IP................................................................21
5. Iptables.......................................................................................................................22
5.1 Bloqueo de windows-live-messenger....................................................................22
6. Script de arranque....................................................................................................22
7. Opcin ICAP_PREVIEW.........................................................................................23
8. Autenticacin mediante LDAP................................................................................24
9. Configuracin de los navegadores........................................................................25
9.1 Internet Explorer....................................................................................................25
9.2 Mozilla Firefox......................................................................................................26
1. Introduccin
La finalidad del servidor proxy es de permite a otros equipos conectarse a una
red de forma indirecta a travs de l. Cuando un equipo de la red desea
acceder a una informacin o recurso, es realmente el proxy quien realiza la
comunicacin y a continuacin traslada el resultado al equipo inicial
DANSGUARDIAN
Diccionario
FIREWALL
SQUID
KASPERSKY
Gateway
*
*
*
10.17.10.135
Genmask
255.255.255.224
255.255.255.128
255.255.0
0.0.0.0
Iface
eth1
eth0
eth1
eth1
2. Servidor Squid
2.1 Pre requisitos
Plataforma Centos 5
Kernel Linux 2.6.18-8.el5 i686
Iptables
Versin iptables-1.3.5-1.2.1
Sharutils
Versin sharutils-4.6.1-2
Gcc
Versin gcc-4.1.2-42.el5
Webmin
webmin-1.441-1
El sistema operativo Centos 5 fue instalado en un servidor virtual bajo Vmware con 512
Mb de RAM y un disco virtual de 14Gb.
2.2 Instalacin
Antes de nada instalamos algunas utilidades necesarias para la compilacin.
yum install sharutils
yum install gcc*
Descargar la version 2.6 de Squid en su version binaria (squid2.6.xxx.tar.gz)
Descargado de la pgina:
http://www.kaspersky.com/productupdates?chapter=199055161
Guardarlo en: /tmp
Descomprimir el archivo: $ tar zxpf squid-2.6xxx.tar.gz
Entrar a la carpeta creada: $ cd squid-2.6xxx
2.3 Compilacin
Dentro de la carpeta creada squid-2.6xxx, escribir la siguientes parmetros de
configuracin, uno es para poder trabajar con icap y el segundo parametro es
# ./configure --enable-icap-support --enable-follow-x-forwarded-for with-largefiles --enable-auth=basic --enable-basic-auth-helpers=LDAP --enable-externalacl-herlpers=ldap-group
# make
# make install
# make clean
#!/bin/sh
# chkconfig: 2345 99 00
case "$1" in
'start')
/usr/local/squid/sbin/squid
touch /var/lock/subsys/squid
;;
'stop')
/usr/local/squid/sbin/squid -k shutdown
rm -f /var/lock/subsys/squid
;;
*)
echo "Usage: $0 { start | stop }"
;;
esac
exit 0
2.5 Instalacin y configuracin modulo squid-webmin
Descargamos la ltima versin de Webmin webmin-1.450-1.noarch.rpm del
sitio: http://www.webmin.com.
Precedemos con la instalacin.
# rpm i webmin-1.450-1.noarch.rpm
Una vez instalado, se nos informa que para acceder a webmin, lo hacemos
mediante el siguiente url: https://localhost:10000, accediendo a este a
travs del usuario root, en este caso: usuario:root, password: root123.
Una vez instalado, ingresamos a webmin mediante el siguiente url:
https//:10.17.10.20:10000, entramos a Webmin configuration y luego Webmin
Modules.
Una vez instalado el modulo squid aun no se mostrara en el webmin, por lo que
entramos de la siguiente manera: https//:10.17.10.20:10000/squid
Seguidamente nos mostrara el siguiente error:
Ahora lo que demos hacer es entrar al link de Module config y configurar los
parmetros del squid.
10
3. Kaspersky
3.1 Requerimientos
Se requiere tener SQUID 2.5 o 2.6 con soporte ICAP instalado.
Ejecutable de instalacin: kav4proxy-5.5-51.i386.rpm versin en ingls,
descargado de la pgina:
http://www.kaspersky.com/productupdates?chapter=199055161
Licencia: Licencia de prueba, vlida por 30 das.
3.2 Instalacin
# rmp i kav4proxy-5.5-51.i386.rpm
Una vez instalado el rpm, este automticamente nos preguntar:
1. Especificar la ruta de la licencia.
2. Especificar la direccin IP y el puerto del servidor proxy.
http//:10.17.10.20:3128
3. Descargar los archivos de actualizacin para la base de datos.
4. Elegir la opcin de configuracin con el squid. En este caso elegimos la
opcin 4 que nos muestra la ruta del archivo squid.conf,:
/usr/local/squid/etc/squid.conf al aceptar esta opcin se aadirn las
siguientes lneas en squid.conf:
icap_enable on
icap_send_client_ip on
icap_service is_kav_resp respmod_precache 0
icap://10.17.10.20:1344/av/respmod
icap_service is_kav_req reqmod_precache 0
icap://10.17.10.20:1344/av/reqmod
icap_class ic_kav is_kav_req is_kav_resp
icap_access ic_kav allow all
11
12
13
Observacin: Para poder renovar una licencia trial por otra licencia trial, la
nica opcin es de desinstalar kaspersky completamente y volver a instalarlo
con la nueva licencia.
4. Dansguardian
4.1 Instalacin
Antes de instalacin, actualizamos las librerias de libtool.
# yum update libtool
Descargamos la versin dansguardian-2.10.0.3.tar.gz del sitio:
www.dansguardian.org
Una vez que lo tenemos en la carpeta /tmp
Descomprimimos el archivo:
14
--enable-kavd
--with-
filterip = 10.17.10.20
filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128
15
16
## checkdgver();
## Check DG version for compatibility
sub checkdgver {
my $ver = `$config{'binary_file'} -v 2>&1`;
if ($ver =~ /(2\.4\.\d+-?(\d+)?)/ ||
$ver =~ /(2\.5\.\d+-?(\d+)?)/ ||
$ver =~ /(2\.6\.\d+-?(\d+)?)/ ||
$ver =~ /(2\.7\.\d+-?(\d+)?)/ ||
$ver =~ /(2\.8\.\d+-?(\d+)?)/ ||
$ver =~ /(2\.9\.\d+-?(\d+)?)/ ||
$ver =~ /(2\.10)/
||
$ver =~ /(2\.10\.\d+-?(\d+)?)/) {
return $1;
} else {
return $1;
}
}
17
Add-X-forwarded-For Add-X-forwarded-For
Estas opcines deben estar habilitadas para poder redireccionar el trfico del
puerto 3128 al 8080.
4.4 Configuracin de los grupos
Para poder tener un mejor control de filtrado sobre los usuarios, determinamos
4 tipos de grupos:
filter 1: Grupo sin salida web.
filter 2: Grupo filtrado a travs de listas grises y negras.
filter 3: Grupo con accesso web sin restricciones.
filter 4: Grupo con acceso web solo a sitios especficos.
Para poder crear los grupos, seguimos los siguientes pasos:
Copiamos
el
archivo
dansguardianf1.conf
con
los
nombres
dansguardianfN.conf, en donde N es el numero de grupo, de esta forma
tendremos: dansguardianf1.conf, dansguardianf2.conf, dansguardianf1
3.conf, dansguardianf4.conf.
4.4.1 Grupo 1
Grupo sin salida web, mode banned.
Archivo de configuracin dansguardianf1.conf
groupmode 0
4.4.2 Grupo 2
Grupo con salida web filtrada mediante listas negras.
Archivo de configuracin dansguardianf2.conf
groupmode 1
groupname = 'filtrado'
# Content filtering files location
bannedphraselist = '/usr/local/etc/dansguardian/lists/bannedphraselist'
weightedphraselist = '/usr/local/etc/dansguardian/lists/weightedphraselist'
exceptionphraselist = '/usr/local/etc/dansguardian/lists/exceptionphraselist'
bannedsitelist = '/usr/local/etc/dansguardian/lists/bannedsitelist'
greysitelist = '/usr/local/etc/dansguardian/lists/greysitelist'
exceptionsitelist = '/usr/local/etc/dansguardian/exceptionsitelist'
bannedurllist = '/usr/local/etc/dansguardian/lists/bannedurllist'
greyurllist = '/usr/local/etc/dansguardian/lists/greyurllist'
exceptionurllist = '/usr/local/etc/dansguardian/lists/exceptionurllist'
exceptionregexpurllist = '/usr/local/etc/dansguardian/lists/exceptionregexpurllist'
bannedregexpurllist = '/usr/local/etc/dansguardian/lists/bannedregexpurllist'
picsfile = '/usr/local/etc/dansguardian/lists/pics'
contentregexplist = '/usr/local/etc/dansguardian/lists/contentregexplist'
urlregexplist = '/usr/local/etc/dansguardian/lists/urlregexplist'
19
4.4.3 Grupo 3
Grupo con salida web sin restricciones.
Archivo de configuracin dansguardianf3.conf
groupmode = 2
# Filter group name
# name the group in the access logs
# Defaults to empty string
groupname = 'libre'
# Content filtering files location
bannedphraselist = '/usr/local/etc/dansguardian/listsf2/bannedphraselist'
weightedphraselist = '/usr/local/etc/dansguardian/listsf2/weightedphraselist'
exceptionphraselist = '/usr/local/etc/dansguardian/listsf2/exceptionphraselist'
bannedsitelist = '/usr/local/etc/dansguardian/listsf2/bannedsitelist'
greysitelist = '/usr/local/etc/dansguardian/listsf2/greysitelist'
exceptionsitelist = '/usr/local/etc/dansguardian/exceptionsitelist'
bannedurllist = '/usr/local/etc/dansguardian/listsf2/bannedurllist'
greyurllist = '/usr/local/etc/dansguardian/listsf2/greyurllist'
exceptionurllist = '/usr/local/etc/dansguardian/listsf2/exceptionurllist'
exceptionregexpurllist
=
'/usr/local/etc/dansguardian/listsf2/exceptionregexpurllist'
bannedregexpurllist = '/usr/local/etc/dansguardian/listsf2/bannedregexpurllist'
picsfile = '/usr/local/etc/dansguardian/listsf2/pics'
contentregexplist = '/usr/local/etc/dansguardian/listsf2/contentregexplist'
urlregexplist = '/usr/local/etc/dansguardian/listsf2/urlregexplist'
4.4.4 Grupo 4
Archivo de configuracin dansguardianf4.conf
Grupo con salida web a determinados sitios y dominios.
# Defaults to 0 if unspecified.
# Unauthenticated users are treated as being in the first filter group.
groupmode = 1
# Filter group name
# name the group in the access logs
# Defaults to empty string
groupname = 'especial'
# Content filtering files location
bannedphraselist = '/usr/local/etc/dansguardian/lists/bannedphraselist'
weightedphraselist = '/usr/local/etc/dansguardian/lists/weightedphraselist'
exceptionphraselist = '/usr/local/etc/dansguardian/lists/exceptionphraselist'
bannedsitelist = '/usr/local/etc/dansguardian/bannedsitelist'
greysitelist = '/usr/local/etc/dansguardian/lists/greysitelist'
exceptionsitelist = '/usr/local/etc/dansguardian/exceptionsitelist'
bannedurllist = '/usr/local/etc/dansguardian/lists/bannedurllist'
greyurllist = '/usr/local/etc/dansguardian/lists/greyurllist'
exceptionurllist = '/usr/local/etc/dansguardian/lists/exceptionurllist'
exceptionregexpurllist = '/usr/local/etc/dansguardian/lists/exceptionregexpurllist'
20
bannedregexpurllist = '/usr/local/etc/dansguardian/lists/bannedregexpurllist'
picsfile = '/usr/local/etc/dansguardian/lists/pics'
contentregexplist = '/usr/local/etc/dansguardian/lists/contentregexplist'
urlregexplist = '/usr/local/etc/dansguardian/lists/urlregexplist'
Para poder bloquear toda la salida web excepto aquellos sitios y dominios que
se encuentran en el archivo exceptionsitelist, se debe de configurar el
archivo
bannedsitelist
#Blanket Block. To block all sites except those in the
#exceptionsitelist and greysitelist files, remove
#the # from the next line to leave only a '**':
**
4.5 Identificacin de usuarios
Para la identificacin del cliente, utilizaremos el modo ident, el cual nos permite
identificar a los clientes mediante el nombre de usuario de su maquina.
Para poder utilizar el ident, primero habilitamos el plugin para ident en el archivo de
configuracin dansguardian.conf.
#authplugin = '/usr/local/etc/dansguardian/authplugins/proxy-basic.conf'
#authplugin = '/usr/local/etc/dansguardian/authplugins/proxy-digest.conf'
#authplugin = '/usr/local/etc/dansguardian/authplugins/proxy-ntlm.conf'
authplugin = '/usr/local/etc/dansguardian/authplugins/ident.conf'
authplugin = '/usr/local/etc/dansguardian/authplugins/ip.conf'
Seguidamente debemos de instalar el servicio de ident en los clientes y asegurarse en al
archivo de servicios del Windows services.msc, que el servicio inicia automticamente
al iniciar Windows.
22
7. Opcin ICAP_PREVIEW
La opcin ICAP_PREVIEW reduce trfico y tiempo de filtracin. La opcin
PREVIEW de Kaspersky, simplifica el proceso de envi del objeto analizado
con el servidor Proxy. De esta forma el servidor proxy no esperar hasta que el
Antivirus termine de analizar el archivo y vuelva a reenviar nuevamente el
objeto descargado al servidor Proxy, sino que enviara el archivo por partes y
as la ultima parte del objeto ser enviado cuando Kaspersky haya terminado el
scanneo y este bloquear el objeto si estuviera infectado.
Para poder habilitar la opcin ICAP_PREVIEW, se configur los archivos de
configuracin kav4proxy.conf y squid.conf.
Squid.conf
23
25
26
27
28