Ejercicio 4 - Servidor Proxy caché
PREGUNTAS
¿En qué consiste un proxy-caché? ¿Sirve para todas las páginas? ¿En qué consiste un proxy-caché transparente?
¿Qué ventajas proporciona? ¿Por qué? ¿Qué desventajas proporciona? ¿Por qué?
Dibuja el esquema de una red local donde se utiliza un proxy-caché.
¿En qué consiste un proxy-caché inverso? Dibuja el esquema de una granja de servidores web donde se utiliza un proxy-caché inverso.
¿Viene algún software de proxy-caché con Windows Server? ¿Cuál es el software de proxy-caché más conocido para Windows?
¿Cuál es el software de proxy-caché más conocido para Linux?
Al instalar un servicio de proxy-caché, ¿Qué parámetros a configurar piensas que serán los más importantes?
¿Crees que un proxy-caché funciona de la misma manera en las peticiones HTTP que en las HTTPS?
En la red local de nuestro centro la mayor parte del ancho de banda se la comen las actualizaciones de Windows, de antivirus, de Linux. Estudia diferentes métodos que podemos utilizar para cachear dichas actualizaciones y así liberar el ancho de banda. Pistas:
Microsoft Windows Server Update Services.
Mirror o caché de paquetes Debian: apt-mirror, approx, apt-cacher-ng
Proxy-caché para antivirus
Proxy-caché para navegación
DATOS DE LA PRÁCTICA LINUX Y WINDOWS
Los parámetros que configuraremos en el servidor proxy-caché son:
1Gb de tamaño de caché.
Permitir el acceso a algunos ordenadores de nuestra red y denegaremos el resto.
Filtrar las páginas del sitio web http://www.facebook.com/ , y los ficheros mp3.
Tiempo de caducidad del contenido: 1 mes.
PRÁCTICA WINDOWS
Instalaremos algun software de proxy-cache para Windows. Exploraremos la interfície gráfica de administración del servicio, configurando los parámetros básicos.
Probaremos el servidor.
PRÁCTICA LINUX SQUID HTTP
Instala el servidor proxy-caché Squid y configura el puerto, el tamaño de la caché, y el identificador que aparecerá en las páginas web de bloqueo
Entrega capturas de pantalla o los comandos utilizados
Crea las listas de acceso para localhost, para los ordenadores de tu red, y para el resto.
Permite acceso a los ordenadores de tu red y localhost, y deniega acceso al resto
Entrega capturas de pantalla o los comandos utilizados
¡AVISO IMPORTANTE! Las reglas
http_access
se intentan aplicar por orden de escritura, una a una, hasta encontrar a la primera que encaja con la lista de control de acceso del ordenador que intenta acceder. Si hubiéramos escrito en primera posiciónhttp_access deny all
ningún ordenador hubiera podido acceder, ya que todos encajan en esta lista de control de acceso. Será fundamental en los siguientes apartados que penséis bien en qué posición colocareis la regla, o no funcionará como deseas.Prueba el servicio desde un cliente. Para ello configura su navegador para que navegue a través de la IP del proxy y del puerto 3128.
Si el servicio no funcionara, ¿Con qué comandos probarías si ha arrancado?
Si el servicio ha arrancado, ¿Con que comandos consultarías sus logs de acceso?
¿Qué debes cambiar para denegar el acceso a los ordenadores de tu red, y tan solo permitir el acceso a algunos pocos (-como por ejemplo, al 192.168.100.150-)?
¿Cómo boquearías el acceso a Facebook?
¿Cómo bloquearías el acceso a ficheros mp3?
¿Cómo harás para indicar al proxy que las páginas del dominio mired.org no las guarde en la caché?
Instala Webmin y utilízalo para configurar gráficamente Squid desde un navegador
PRÁCTICA LINUX SQUID HTTPS
Configura Squid para que actue correctamente de proxy-caché en sitios HTTPS.
https://www.howtoforge.com/filtering-https-traffic-with-squid
PRÁCTICA IPFIRE
En la máquina que hace de router con IPFire, activa y configura el módulo de proxy-caché
https://wiki.ipfire.org/configuration/network/proxy/wui_conf
PRÁCTICA CACHE DE PAQUETES .DEB
Instala y configura en tu servidor una caché de paquetes con apt-cacher-ng, y configura un cliente con Debian o Ubuntu para que se actualice a través de él
https://blog.ichasco.com/apt-cache-ng-repositorio-local-cacheado/
PRÁCTICA SALTAR FILTRADO DE UN PROXY
Hemos protegido una red de una organización con un proxy para evitar el acceso web a páginas de piratería y hacking. Dicha red también filtra Tor y el acceso a proxys públicos. Pero una persona de dicha organización un día necesita acceder a unas páginas filtradas de serguridad informática, aprovechando que dispone de servidores en Internet (por ejemplo, Oracle Cloud y Amazon AWS).
Implementa cómo dicha persona puede pasar las restricciones de nuestro proxy mediante un tunel SSH.
PREGUNTAS ACLs SQUID
Sabiendo que Squid cuenta, entre otros, con los siguientes elementos de ACL:
src: source (client) IP addresses
dst: destination (server) IP addresses
dstdomain: destination (server) domain name
url_regex: URL regular expression pattern matching
time: time of day, and day of week
Sabiendo también que:
Varias ACL en una regla es la intersección ("y") de todas ellas.
Las reglas se evalúan por orden hasta que una de ellas se aplica.
Explica las siguientes configuraciones:
¿Quién podrá acceder a la web?
¿Qué está permitido y qué está denegado en la siguiente configuración?
¿Qué está permitido y qué está denegado en la siguiente configuración?
¿Qué está permitido y qué está denegado en la siguiente configuración?
¿Qué está permitido y qué está denegado en la siguiente configuración?
¿Qué está permitido y qué está denegado en la siguiente configuración?
¿Qué está permitido y qué está denegado en la siguiente configuración?
¿Qué está permitido y qué está denegado en la siguiente configuración?
¿Qué está permitido y qué está denegado en la siguiente configuración?
REFERENCIAS
Last updated