SERVIDOR PROXY CON AUTENTICACIÓN DE USUARIOS DE SERVICIO DE DIRECTORIO

Hoy hemos decidido montar un servidor Proxy con los siguientes requerimientos • • • • •

Implementar Servidor proxy. Implementar políticas de acceso y restricción por URL, extensiones de archivo, imetypes y por acceso de horarios. Implementar listas negras para control de acceso. Implementar autenticación con usuarios de un servicio de directorio. Implementar un analizador de tráfico para generar reportes estadísticos, con acceso seguro para la visualización de los reportes.

Software a trabajar: Directorio activo- servicio de directorio Squid 2.7- Servidor Proxy ISS- Servidor Web Windows Server Enterprise Edition- Sistema Operativo Sarg- Analizador de Trafico SERVIDOR PROXY CON AUTENTICACIÓN DE USUARIOS DE SERVICIO DE DIRECTORIO.

INSTALACION ACTIVE DIRECTORY Primero se instalara directorio activo para crear los usuarios que se necesitan para la autenticación con el servidor proxy. Antes de instalar Active Directory y el DNS recuerde poner su dirección estática.

Aceptar. Desde “Ejecutar” escribimos dcpromo y le damos “Aceptar”.

Aparecerá el “Asistente para instalación de Active Directoy” da clic en “Siguiente”.

Aquí aparece el tipo de controlador que se desea instalar. En esta ocasión será un controlador de dominio para un dominio nuevo. Y pulsamos siguiente.

En la opción crear un nuevo dominio elegimos la opción que se desee en esta ocasión será, Dominio en un nuevo bosque.

Siguiente >

Se especifica el nombre de el dominio que se va a utilizar el de nosotros será proxy57.com

Siguiente > En el asistente aparece el nombre de la NetBIOS del dominio, se deja por defecto PROXY57

En este pantallazo aparecen las carpetas de la base de datos y registros. Se pueden

dejar por defecto.

Siguiente > Se deja por defecto la ruta que aparece en este asistente.

Siguiente > Aparece el diagnostico de registro de DNS, escogemos la opción se que deseemos. Hoy elegiremos la segunda ya que no tenemos un DNS instalado aun.

En el asistente de permisos se elige la segunda opción la cual es se está refiriendo al sistema operativo en cual se está trabajando.

.“Contraseña de administrador. Del modo de restauración de servicios de directorio” Escriba la contraseña que desee.

Siguiente >

“Resumen” para terminar aparece un resumen de todo lo que se hizo. Selecciona “Siguiente”.

Aparece un cuadro de dialogo de Asistente para instalación de Active Directoy, en este tiempo se está registrando la configuración que acabas de hacer.

Y por ultimo reiniciamos el equipo para que surtan efecto los cambios. Y ya que instalado el active directory

Al reiniciar vamos a herramientas administrativas > usuarios y equipos de Active Diretory.

Aquí muestra el dominio creado para active directory. Nos ubicamos en el dominio y le damos clic derecho elegimos la opción nuevo > unidad organizativa.

Escribimos el nombre la unidad organizativa. Aceptar

Cuando esta la unidad organizativa creada, dentro de ella creamos los usuarios con los cuales se van a utilizar para que se autentique con el squid.

Le escribimos su contraseña respectiva. Siguiente >

Y finalizar. Así sucesivamente se van creando los usuarios con los permisos que se deseen.

Aquí muestran los usuarios creados dentro de la unidad organizativa PROXY. INSTALACION Y CONFIGURACION DE EL SQUID CON AUTENTICACION CON ACTIVE DIRECTORY.

Primero se descarga el squid la versión que se desee, podría ser de la siguiente pagina. http://squid.acmeconsulting.it/download/dl-squid.html Lo descomprimimos dentro del disco C Cuando ya esté descomprimido entramos a c:\squid\etc. Estos son los archivos de configuración.

Los renombramos y recuerde dejar un respaldo para futuras referencias. Debe quedar de la siguiente manera.

CONFIGURACIÓN DE SQUID BASICO Este instala el servicio de Proxy en la lista de servicios de Windows NT. Escribimos squid –i

Con el Worpad o el editor de textos de tu preferencia abre el archivo squid.conf y busca los siguientes comandos y realiza las modificaciones siguientes.

http_port 3128 Squid por defecto utilizará el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto o bien que lo haga en varios puertos a la vez. cache_mem 32 MB El parámetro cache_mem establece la cantidad ideal de memoria para lo siguiente: • Objetos en tránsito. • Objetos Hot. • Objetos negativamente almacenados en el caché. Los datos de estos objetos se almacenan en bloques de 4 Kb. El parámetro cache_mem especifica Un límite máximo en el tamaño total de bloques acomodados, donde los objetos en tránsito tienen mayor prioridad. Sin embargo los objetos Hot y aquellos negativamente almacenados en el caché podrán utilizar la memoria no utilizada hasta que esta sea requerida. De ser necesario, si un objeto en tránsito es mayor a la cantidad de memoria especificada, Squid excederá lo que sea necesario para satisfacer la petición. cache_dir ufs c: /squid/var/cache 100 16 256 Este parámetro se utiliza para establecer que tamaño se desea que tenga el cache en el disco duro Para Squid. Por defecto Squid utilizará un cache de 100 MB. Los números 16 y 256 significan que el directorio del cache contendrá 16 subdirectorios con 256 niveles cada uno. No modifique esto números, no hay necesidad de hacerlo. Controles de acceso. Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular. A cada lista se le asignará una Regla de Control de Acceso que permitirá o denegará el acceso a Squid. Procedamos a entender cómo definir unas y otras. Listas de control de acceso. Regularmente una lista de control de acceso se establece siguiendo la siguiente sintaxis: Acl [nombre de la lista] src [lo que compone a la lista] Busca el siguiente grupo de líneas: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563

acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT Aquí podras agregar tus acls De momento bastara con que agregues la siguiente línea acl net src 172.20.0.0/255.255.0.0 Donde 172.20.0.0 representa el segmento de red en la que estas. Buscas la siguiente línea: http_access allow manager localhost y justo debajo de ella agregas la siguiente. http_access allow net Donde net representa a tu red, esta instrucción está dando permisos a la red en la que estas de usar tu proxy. Después agregas esta línea al final del archivo visible_hostname localhost Busca esta línea y desconténtala, (elimina el símbolo de número antes de la misma). ACLs Ahora crearemos diferentes archivos donde estarán las restricciones y las páginas de acceso para el público. En estos se pondrán en las rutas de las acls, estos archivos podremos ubicarlos donde queramos siempre y cuando la ruta este correcta en la acl. Por ejemplo: c:/squid/etc/denegados marcexchange.blogspot.com richarsalazar.blogspot.com redes.com ostau2008.blogspot.com servidoresyseguridad.blospot.com vanny27.blogspot.com

Ejemplo acl: Acl denegados dstdomain "c:/squid/etc/denegados" c:/squid/etc/listas/palabrasNO.acl porno Juego Video Peli Macizorras Sexo c:/squid/etc/listas/ficherosNo.acl .mp3$ .avi$ .jpeg$ mp3 avi Jpeg Juegos games .jpg$ .png$ .jif$ c:/squid/etc/listas/BLACKprox.acl aquí está las listas negras 12.144.83.2:80 12.32.88.30:80 152.88.1.13:80 155.229.204.25:80 155.229.77.2:8080 167.206.112.85:80 168.95.19.27:8080 192.84.155.28:80 195.117.39.16:3128 195.168.84.16:80 195.83.249.62:80 200.161.5.229:8080 200.27.138.94:80 202.156.2.83:8080 202.54.13.146:80 202.57.125.40:80 202.57.125.41:8080 202.57.221.111:80 202.79.160.4:80 203.130.206.194:3128 203.17.102.19:8080 203.52.233.2:8080 205.162.223.74:8080

205.168.2.230:80 205.205.143.254:8002 205.213.2.2:8080 205.214.211.194:80 205.216.196.66:80 205.238.79.145:80 205.247.166.233:80 205.252.224.66:8080 207.136.80.236:81 207.15.44.62:80 207.150.137.130:8000 207.166.1.25:8080 207.173.172.98:8000 207.208.169.67:80 207.226.253.3:80 207.232.162.22:80 207.243.156.9:80 207.3.112.250:8080 207.30.224.108:80 207.6.138.170:80 207.61.234.99:80 207.61.37.218:80 207.61.38.67:8000 207.63.170.2:80 207.7.58.111:8000 207.70.158.2:80 207.86.145.51:80 207.96.1.42:80 209.113.184.98:8080 209.205.19.122:3128 211-23-199-103.hinet-ip.hinet.net:80 211.11.212.99:80 212.234.239.205:8080 213.140.5.195:80 216.155.175.188:8080 216.245.172.3:8080 217.6.124.34:8080 217.6.135.122:3128 217.6.171.35:80 217.6.180.2:80 217.6.192.146:8080 217.6.27.2:3128 217.6.85.165:8080 24.153.177.210:8080 24.166.67.119:8080 62.2.157.242:3128 62.30.231.155:8080 62.30.40.22:3128 62.30.62.73:8080 63.68.93.166:80 64.9.10.226:80 80.105.188.180:3128 Bess-proxy2.maine207.k12.il.us:80 cache.voicenet.com:80 cache1.powertolearn.net:80

cartman.sunbeach.net:3128 dhcp024-166-067-119.neo.rr.com:8080 family.look.ca:81 filter.clean4all.com:8983 ipac.wfpl.net:80 ipserv1.central-lee.k12.ia.us:8000 isaic.crlibrary.org:8000 jupiter.mripa.org:80 mail.britain-info.org:80 mail.ndhsb.org:80 mail.uastpa.com:80 mail.woodland-container.com:8000 mail2.ayrnet.com:80 mchr01.erols.com:8080 metafix.com:80 ns1.moline.lth2.k12.il.us:80 orocache.bcoe.butte.k12.ca.us:80 pluto-e0.in.bellnexxia.net:8080 proxy.psrc.schoollink.net:80 proxy.robeson.k12.nc.us:80 proxy.schoollink.net:80 rrcs-central-24-123-80-138.biz.rr.com:80 rrcs-sw-24-153-177-210.biz.rr.com:8080 ruby.look.ca:81 schools.ci.burbank.ca.us:8080 sms.edu.gd:80 sun2.sunworks.com:8000 ts.care.org:80 w162.z064221053.det-mi.dsl.cnc.net:8080 watnet.watkinson.org:80 www.antigua.com:80 www.sfis.k12.nm.us:80 www.walsingham.org:80 www.westwood.k12.ia.us:80 207.60.**.** and 207.61.**.** - FBI Linux servers used to trap scanners 6.*.*.* - Army Information Systems Center 21.*.*.* - US Defense Information Systems Agency Here is a little more info.... 6.*.*.* - Army Information Systems Center 21.*.*.* - US Defense Information Systems Agency 22.*.*.* - Defense Information Systems Agency 26.*.*.* - Defense Information Systems Agency 29.*.*.* - Defense Information Systems Agency 30.*.*.* - Defense Information Systems Agency 49.*.*.* - Joint Tactical Command 50.*.*.* - Joint Tactical Command 55.*.*.* - Army National Guard Bureau CanXit 22.*.*.* - Defense Information Systems Agency 26.*.*.* - Defense Information Systems Agency 29.*.*.* - Defense Information Systems Agency 30.*.*.* - Defense Information Systems Agency 49.*.*.* - Joint Tactical Command 50.*.*.* - Joint Tactical Command 55.*.*.* - Army National Guard Bureau

62.0.0.1 - 62.30.255.255 ######.*.* 64.225.*.* 64.226.*.* 195.10.* 205.96.* - 205.103.* 207.30.* - 207.120.* 207.60.* - 207.61.* 209.35.*.* 216.25.* conexiones > Configuración de LAN

En Firefox Herramientas > Opciones > Avanzado > Red >configuración

PROBANDO LA CONFIGURACION

Esta pagina la hemos agregado en denegados, lo que indica que hemos hecho una buena configuración.

AUTENTICACION PROXY CON ACTIVE DIRECTORY Al inicio de el archivo de configuración de el squid agregamos las siguientes líneas en donde mswin_auth.exe será nuestro método de autenticación y PROXY57 auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57 children 5 auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57 realm Squid proxy-caching web server auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57 credentialsttl 1 minute auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57 casesensitive off Una vez hecho esto buscamos nuestra lista de acl´s y agregamos la siguiente. acl password proxy_auth REQUIRED

Donde password es el nombre que le daremos a la acl de autenticación. - A continuación vamos a nuestras reglas de acceso y usamos la autenticación donde queramos. Por ejemplo así queremos que no deje navegar a nadie si no esta autenticado ponemos antes de todas nuestras reglas de acceso la restricción. Es indispensable que este comando este antes de todas las instrucciones http_access que tengas implementadas para lograr este efecto si se desea . http_access deny ¡password Pero en nuestro caso deberemos permitirlas para que todos los usuarios puedan acceder http_acces allow password Para poner en funcionamiento la autenticación no olvide reiniciar el servicio de SquidNT con el comando squid –z después de implementar este manual. Así nos queda el archivo de configuración del squid terminado con la autenticación. ARCHIVO DE CONFIGURACION COMPLETO auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57 children 5 auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57 realm Squid proxy-caching web server auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57 credentialsttl 1 minute auth_param basic program c:/squid/libexec/mswin_auth.exe -O PROXY57 casesensitive off http_port 172.20.0.12:3128 icp_port 0 cache_mem 32 MB cache_dir ufs c:/squid/var/cache 100 16 256 # POLITICAS DE ACCESO #ACL URLs acl denegados dstdomain "c:/squid/etc/denegados" acl correo dst www.hotmail.com acl noquiero dst www.yahoo.com #ACL PALABRAS acl palabras url_regex "c:/squid/etc/listas/palabrasNO.acl" #ACL EXTENCIONES DE ARCHIVOS acl ficherosNo urlpath_regex -i "/squid/etc/listas/ficherosNo.acl" #ACL MIME_TYPE acl javascript rep_mime_type -i ^application/x-javascript$ acl ejecutables rep_mime_type -i ^application/octet-stream$

acl audiompeg rep_mime_type -i ^audio/mpeg$ #ACL HORARIOS acl restriccion time SMTWHFA 13:00-13:3 acl equipo2 time F 08:00-12:00 172.20.0.16 #LISTAS NEGRAS acl ln1 url_regex "c:/squid/etc/listas/BLACKprox.acl" #CON AUTENTICACION DE USUARIOS POR SERVICIO DE DIRECTORIO acl password proxy_auth REQUIRED #ID DE RED acl all src 0.0.0.0/0.0.0.0 acl red src 172.20.0.0/255.255.255.0 visible_hostname localhost #RESTRINCIONES Y ACCESOS #DENEGAMOS ACCESA A URLs http_access deny correo http_access deny noquiero http_access deny denegados #RESTRINCCION POR PALABRAS http_access deny palabras #DENEGAMOS LAS EXTENCIONES DE ARCHIVO http_access deny ficherosNO #DENEGAMOS LOS MIME_TYPES http_access deny javascript http_access deny ejecutables http_access deny audiompeg #IMPLEMENTAMOS EL ACCESO POR HORARIO /DENEGAMOS http_access deny restriccion #LISTAS NEGRAS PARA EL CONTROL DE ACCESO /DENEGAMOS http_access deny ln1 #PERMITIMOS LA AUTENTICACION DE USUARIOS http_access allow password #PERMITIMOS NUESTRO RANGO DE RED /ACCESO PROXY http_access allow red http_access deny all request_header_max_size 10 KB request_body_max_size 512 KB

PROBAREMOS EL FUNCIONAMIENTO DESDE EL NAVEGADOR Ahora nos tendremos que logear para el ingreso. Recuerde limpiar la cache para que se pueda se pueda logear.

Ingresamos el usuario y contraseña creados en active director debe acceder perfectamente

ANALIZADOR DE TRÁFICO PARA GENERAR REPORTES ESTADÍSTICOS. Se utilizo en analizador de tráfico llamado SARG (Squid Analysis Report Generator) SARG: es una herramienta que permite saber dónde han estado navegando los usuarios en Internet , a través del análisis del fichero de log “access.log” del proxy Squid. El poder de esta herramienta es increíble, pudiendo saber qué Usuarios accedieron a qué sitios, a qué horas, cuantos bytes han sido descargados, relación de sitios denegados ,errores de autentificación...entre otros.. Descargamos el SARG para Windows puede ser de la siguiente página: http://translate.google.com.co/translate?hl=es&sl=en&u=http://sourceforge.net/project/s howfiles.php%3Fgroup_id%3D68910&ei=cK_TSaKCDqPflQe8_pz7Cw&sa=X&oi=trans late&resnum=3&ct=result&prev=/search%3Fq%3Dsarg%2B%252B%2Bwindows%26hl %3Des%26client%3Dfirefox-a%26rls%3Dorg.mozilla:esES:official%26hs%3D6ck%26sa%3DG

lo descomprimimos dentro del disco C:

No vamos configurar nada simplemente lo ponemos a correr de la siguiente manera por consola desde la ruta donde esta descomprimido. Cd \ sarg\sbin Luego de estar allí escribimos: Sarg.exe

Esto genera un reporte en el c:\sarg\reports Recuerde esta ruta ya que la necesitaremos más adelante.

Se necesita montar un servidor web puede ser IIS o apache para que el sarg muestre la parte grafica. Vamos a Administre su servidor > agregar o quitar función

Siguiente>

En este asistente escogemos la opción Servidor de aplicaciones ( IIS, ASP NET)

Le damos siguiente sin señalar ninguna opción.

Damos siguiente después que nos muestra el resumen de lo que acabamos de hacer.

Finalizar > Al terminar la instalación de el servicio nos dirigimos a >sitios web

Cuando estemos ubicados en sitios web damos clic derecho y elegimos la opción > nuevo > sitio web

Comienza el asistente para crear el sitio web. Siguiente >

Se hace una pequeña

descripción del sitio web, siguiente >

Se llenan los espacios con la información que se desee, en la primera casilla se escribe la dirección de mi equipo y en el segundo el puerto por donde va a correr en servicio web, el cual vienen por defecto. Siguiente >

Se acuerdan que más delante en el documento les dice que no olvidaran la ruta C:\sarg\reports Esta se utilizara para que el servidor web la vea como una página.

Damos clic en examinar y buscamos esa ruta. Siguiente >

En los permisos se pueden seleccionar los que usted desee en este caso solo los usuarios podrán leer el sitio web. Siguiente >

finalizar

después de esto regresamos de nuevo a sitios web y observamos que ya esta nuestro sitio llamado sarg damos clic derecho sobre este y clic en propiedades, elegimos la pestaña Documentos

Agregar,,, y escribimos el nombre da la página index.html Aplicar y aceptar Si entramos por el navegador no nos va a dar ya que no se ha hecho el registro del servidor web. Hay que terminar de configurar el DNS así: Vamos a inicio > Administre su servidor > administrar el DNS

clic derecho sobre zona de búsqueda inversa > crear nueva zona. Seguimos el asistente.

Siguiente >

Elegimos el tipo de zona esta será una zona principal por eso señalamos la primera opción.

En el ámbito de replicación elegimos la opción que queremos que se repliquen los datos de zona para todos los servidores DNS en el bosque proxy57.com de Active Directory. Siguiente >

Escribimos en id de la red la de nosotros es 172.20.0.X Siguiente >

Permitimos las actualizaciones dinámicas seguras.

Siguiente >

Y finalizamos viendo el resumen de la zona inversa creada. Ahora creamos la zona directa, después de tenerla creada registramos el servidor web. Sobre la zona directa damos clic derecho en Host nuevo.

En el primer espacio escribimos www y creamos el PTR de una vez.

Reiniciamos todo. Vamos al navegador y escribimos la dirección de nuestro dominio.

Debe aparecer este pantallazo. ACCESO SEGURO PARA LA VISUALIZACION DE LOS REPORTES. Nos dirigimos a servidor de aplicaciones > sitios web > sarg

Clic derecho > propiedades seleccionamos la pestaña seguridad de directorios. Autenticación y control de acceso, clic en modificar.

Se le agrega un nombre de usuario > elegimos el nombre de el usuario para que autentique por un usuario de active directory.

Aceptar > aplicar > aceptar. Le habilitamos la contraseña y la confirmamos.

De nuevo nos dirigimos al navegador, asegúrese que el proxy este puesto y entramos al dominio creado. www.proxy57.com

Escribimos el usuario con que se desea ingresar.

Aparece la parte grafica de SARG, con cada los usuarios que se han registrado.