PROXY EN ENDIAN

SERGIO STEBEN ARIAS QUINTERO

JUAN PABLO MARTINEZ ZABALA

SENA
CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
GESTION DE REDES DE DATOS
FICHA 651743-3
MEDELLIN ANTIOQUIA
2015

INTRODUCCIN

En una red informtica existen muchos mecanismos para proteger y controlar la manera como el
usuario interacta en internet, previnindolo de sitios no deseados, de amenazas o del mal uso del
mismo.
Entre estos existe uno conocido como proxy que se puede describir como un software que permite
filtrar el contenido o el acceso a diferentes sitios de la web que solicita a un servidor ya sea
permitindolo, o bloquendolo. Este en algunos casos tambin permite hacer otro tipo de
configuraciones muy tiles como limitar el ancho de carga o descarga de datos de un cliente en la
red, crear un mtodo de autenticacin donde solo usuarios especficos puedan acceder a internet
desde la red informtica donde est situado el servidor proxy y registrar toda la actividad de los clientes
o usuarios finales de la red.
En este trabajo se desarrolla una actividad prctica que busca implementar una solucin de proxy en
una red corporativa evidenciando como se da el acceso a internet desde la misma mediante un filtrado
web que bloquea el acceso a varias pginas de internet por URL o por etiqueta de categora alojadas
en servidores pblicos y provee un proceso de autenticacin en el proxy.

OBJETIVOS

General
Implementar una solucin de proxy para una red corporativa con el sistema operativo Endian (Linux),
con polticas de filtrado web mediante URL, etiquetas de categora, procesos de autenticacin en el
mismo y almacenamiento chache.

Especficos

Instalar un servidor basado en Linux conocido como Endian.

Establecer perfiles de filtrado que bloqueen pginas web mediante Listas URL.

Establecer perfiles de filtrado que bloqueen pginas web con la opcin de categora Etiqueta
ofrecido por Endian.
Crear polticas de acceso que se vinculen a los perfiles de filtrado.

Generar un mtodo de autenticacin para poder navegar a travs del proxy creando y
administrando usuarios.
Habilitar Registro de actividades a travs del filtrado proxy para hacer el seguimiento a
usuarios finales.

MARCO TERICO

Servidores proxy
Un servidor proxy es en principio un equipo que acta como intermediario entre los equipos de una red
de rea local (a veces mediante protocolos, con excepcin del protocolo TCP/IP) e Internet.
Generalmente el servidor proxy se utiliza para la Web. Se trata entonces de un proxy HTTP. Sin
embargo, puede haber servidores proxy para cada protocolo de aplicacin (FTP, etc.).

Principio operativo de un servidor proxy

El principio operativo bsico de un servidor proxy es bastante sencillo: se trata de un servidor que
acta como "representante" de una aplicacin efectuando solicitudes en Internet en su lugar. De esta
manera, cuando un usuario se conecta a Internet con una aplicacin del cliente configurada para
utilizar un servidor proxy, la aplicacin primero se conectar con el servidor proxy y le dar la solicitud.
El servidor proxy se conecta entonces al servidor al que la aplicacin del cliente desea conectarse y
le enva la solicitud. Despus, el servidor le enva la respuesta al proxy, el cual a su vez la enva a la
aplicacin del cliente.

Caractersticas de un servidor proxy

En lo sucesivo, con la utilizacin de TCP/IP dentro de redes de rea local, la funcin de retransmisin
del servidor proxy est directamente asegurada por pasarelas y routers. Sin embargo, los servidores
proxy siguen utilizndose ya que cuentan con cierto nmero de funciones que poseen otras
caractersticas.
Almacenamiento en cach
La mayora de los proxys tienen una cach, es decir, la capacidad de guardar en memoria (en cach)
las pginas que los usuarios de la red de rea local visitan comnmente para poder proporcionarlas
lo ms rpido posible. De hecho, el trmino "cach" se utiliza con frecuencia en informtica para
referirse al espacio de almacenamiento temporal de datos (a veces tambin denominado "bfer").
Un servidor proxy con la capacidad de tener informacin en cach (neologismo que significa: poner
en memoria oculta) generalmente se denomina servidor "proxy-cach".
Esta caracterstica, implementada en algunos servidores proxy, se utiliza para disminuir tanto el uso
de ancho de banda en Internet como el tiempo de acceso a los documentos de los usuarios.
Sin embargo, para lograr esto, el proxy debe comparar los datos que almacena en la memoria cach
con los datos remotos de manera regular para garantizar que los datos en cach sean vlidos.
Filtrado
Por otra parte, al utilizar un servidor proxy, las conexiones pueden rastrearse al crear registros de
actividad (logs) para guardar sistemticamente las peticiones de los usuarios cuando solicitan
conexiones a Internet.
Gracias a esto, las conexiones de Internet pueden filtrarse al analizar tanto las solicitudes del cliente
como las respuestas del servidor. El filtrado que se realiza comparando la solicitud del cliente con una
lista de solicitudes autorizadas se denomina lista blanca; y el filtrado que se realiza con una lista de
sitios prohibidos se denomina lista negra. Finalmente, el anlisis de las respuestas del servidor que
cumplen con una lista de criterios (como palabras clave) se denomina filtrado de contenido.
Autenticacin
Como el proxy es una herramienta intermediaria indispensable para los usuarios de una red interna
que quieren acceder a recursos externos, a veces se lo puede utilizar para autenticar usuarios, es
decir, pedirles que se identifiquen con un nombre de usuario y una contrasea. Tambin es fcil
otorgarles acceso a recursos externos slo a las personas autorizadas y registrar cada uso del recurso
externo en archivos de registro de los accesos identificados.
Este tipo de mecanismo, cuando se implementa, obviamente genera diversos problemas relacionados
con las libertades individuales y los derechos personales.

Servidores de proxy inversos

Un proxy inverso es un servidor proxy-cach "al revs". Es un servidor proxy que, en lugar de
permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder
indirectamente a determinados servidores internos.

El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que desean
acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy inverso, el
servidor web est protegido de ataques externos directos, lo cual fortalece la red interna. Adems, la
funcin cach de un proxy inverso puede disminuir la carga de trabajo del servidor asignado, razn
por la cual se lo denomina en ocasiones acelerador de servidor.
Finalmente, con algoritmos perfeccionados, el proxy inverso puede distribuir la carga de trabajo
mediante la redireccin de las solicitudes a otros servidores similares. Este proceso se denomina
equilibrio de carga.

Ventajas
En general (no slo en informtica), los proxys hacen posible:

Control: slo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los
derechos de los usuarios, y dar permisos slo al proxy.

Ahorro. Slo uno de los usuarios (el proxy) ha de estar preparado para hacer el trabajo real.
Con estar preparado queremos decir que es el nico que necesita los recursos necesarios
para hacer esa funcionalidad. Ejemplos de recursos necesarios para hacer la funcin pueden
ser la capacidad y lgica de cmputo o la direccin de red externa (IP).

Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer cach:
guardar la respuesta de una peticin para darla directamente cuando otro usuario la pida. As
no tiene que volver a contactar con el destino, y acaba ms rpido.

Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que estn
prohibidas.

Modificacin. Como intermediario que es, un proxy puede falsificar informacin, o modificarla
siguiendo un algoritmo.

Desventajas
En general (no slo en informtica), el uso de un intermediario puede provocar:

Anonimato. Si todos los usuarios se identifican como uno slo, es difcil que el recurso
accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer
necesariamente la identificacin.

Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible

que haga algn trabajo que no toque. Por tanto, ha de controlar quin tiene acceso y quin no
a sus servicios, cosa que normalmente es muy difcil.

Carga. Un proxy ha de hacer el trabajo de muchos usuarios.

Intromisin. Es un paso ms entre origen y destino, y algunos usuarios pueden no querer

pasar por el proxy. Y menos si hace de cach y guarda copias de los datos.

Incoherencia. Si hace de cach, es posible que se equivoque y d una respuesta antigua

cuando hay una ms reciente en el recurso de destino. En realidad este problema no existe
con los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar
que la versin que tiene en cach sigue siendo la misma que la existente en el servidor remoto.

Irregularidad. El hecho de que el proxy represente a ms de un usuario da problemas en

muchos escenarios, en concreto los que presuponen una comunicacin directa entre 1 emisor
y 1 receptor (como TCP/IP).

Proxy Endian

Para la implementacin de esta actividad se utilizaron maquinas virtuales que simularon la siguiente
topologa:

Una vez instalado Endian y haber establecido las configuraciones bsicas de red en las dos NICs;
una de acceso a la red local y la otra de acceso a internet se procede con la configuracin del proxy.
Recuerde que para acceder al servidor Endian se debe hacer desde un pc cliente que se encuentre
en el mismo segmento de red LAN a travs del explorador web con la direccin que indica el servidor
como se aprecia en la siguiente imagen.

Una vez se accede a Endian y se realizan las configuraciones y parmetros all requeridos se dirige a
la pestaa de Proxy -> men de configuracin:
-

Habilite la opcin de Proxy HTTP

El tipo de proxy ser: No transparente (el cliente debe indicar cul es el proxy con el que ser
filtrado en el momento de navegar; se especifica en las configuraciones de internet).
En la seccin configuraciones de proxy se indica el puerto el que se desea que trabaje el
proxy (8080) el idioma, el nombre del servidor proxy, la cuenta de correo en la cual se enviaran
notificaciones sobre el mismo y el lmite de velocidad de carga y descarda de datos en la red.

En la seccin configuracin del registro se seleccionan todas las casillas para que el proxy
genere informes con registro de todo tipo de conexin que ha sido filtrada a travs de l.

En algunos casos en la red puede encontrar un proxy que se encuentra ms arriba de la red
corporativa, Para ello en la seccin proxy de subida se debe marcar la casilla Utilizar proxy de
subida y debe especificar cul es, por cual puerto trabaja y si hay autenticacin tambin debe ser
mencionada.

(Para Este caso no aplica ya que la prctica se est haciendo fuera de la red del SENA as que no se
debe marcar dicha casilla).

Una vez echas estas configuraciones se guardan y aplican los cambios.

Recuerde que como el tipo de proxy es no transparente debe poner el proxy creado previamente en
el cliente que est trabajando, indicando la Ip del servidor proxy y el puerto por el que trabaja en las
configuraciones de internet.

En otra pestaa del explorador del cliente se debe intentar navegar sin ningn problema ya que an
no se han establecido filtros en el proxy que impidan el acceso a sitios determinados.

Para evidenciar esto se ingresan a diferentes pginas, entre ellas:

-

www.facebook.com

www.youtube.com

www.danny.pe

Ahora se deben crear las reglas en el proxy, desde la interfaz grfica de administracin a la cual ya se
ha accedido a travs del explorador web del cliente, en la pestaas de proxy -> men de Filtrado
web, -> seccin Perfiles de filtrado web se aade un nuevo perfil.

Se indica el nombre del perfil, es en este caso Bloqueo de contenido.

Hay dos maneras de filtrar pginas mediante el proxy de Endian, la primeras es por categoras donde
se bloqueara las pginas web que contengan etiquetas o contenido pornogrfico como se ve en la
imagen.

La segunda manera es indicando la URL que se desea bloquear o permitir como se ve en la imagen
cuando se prohben tres pginas. Despus de haber realizado esto, se guardan y aplican los cambios.

En el men polticas de acceso de la pestaa de proxy se edita una poltica que se crea de manera
predeterminada en el servidor:
Se indica en el parmetro Filtro del perfil, el perfil previamente creado en el filtrado web es decir,
Bloqueo de contenido. Seguido de dar clic en actualizar poltica y aplicar cambios.

Esperamos que se apliques los cambios.

En una nueva pestaa del explorador web del cliente se intenta acceder a las URL de las pginas web
que se indicaron deberan ser bloqueadas e impedir el acceso. Como se puede observar el servidor
proxy notifica que no se permite el acceso estas, lo que indica que el proxy funciona adecuadamente.
-

www.danny.pe denegada.

www.facebook.com denegada.

-www.youtube.com denegada.

Ahora se debe comprobar que el bloqueo por filtro de etiquetas tambin funcione.
Se realiza una bsqueda de la etiqueta bloqueada y una vez all se elige una pgina que la contenga.

El intentar acceder a ella se es denegado por el filtro establecido.

Se puede observar que el ingreso a otras pginas ocurre sin ningn problema.

Autenticacin en el proxy. En Endian se pude configurar autenticacin para que solo usuarios
especficos puedan navegar en la red a travs del proxy para ello en la pestaa de proxy -> men
autenticacin:
-

se elige el mtodo de autenticacin Autenticacin local NCSA

la configuracin de autenticacin se deja tal cual esta.
Y se abre la ventana de Administrar usuarios dando clic en el botn.

Se ingresa el nombre y la contrasea de usuario seguido de clic en el botn crear usuario.

Se regresa al men polticas de acceso en el parmetro de autenticacin se indica la opcin En

base al usuario seguido de esto se seleccionan el o los usuarios que se desea permitir.

Se guardan y aplican cambios.

En la imagen se puede observar que la regla de poltica de acceso estn permitido el o los usuarios
seleccionados.

Se cierra el explorador y se abre de nuevo para comprobar que en el momento de intentar navegar
aparezca un recuadro de autenticacin en el proxy.

Una vez se autentica con un usuario previamente creado, podr navegar en la red libremente de
acuerdo a las reglas establecidas en el proxy.

Por ultimo pestaas de registros e informes podemos revisar todo tipo de eventualidad del proxy
dando clic en registro proxy http.

CONCLUSIONES

Un proxy tiene como objetivo controlar la manera como el usuario obtiene diferente contenido
de la web en cuanto a contenido y velocidad se refiere.
El uso que se le puede dar al proxy no solo es para filtrar paginas sino que tambin brinda
mtodos de autenticacin para que solo usuarios predeterminados accedan a internet
mediante las polticas de la red corporativa.
Mecanismos como el proxy permiten obtener un registro de la actividad que es filtrada a travs
de l, Facilitando que administradores de red puedan hacer un seguimiento detallado acerca
del uso que los usuarios finales le dan a internet.
Un proxy comprende diferentes procesos, desde perfiles de filtrado, polticas de acceso,
mtodos de autenticacin, almacenamiento de cache, entre otros.

WEBGRAFA

es.kioskea.net/contents/297-servidores-proxy-y-servidores-de-proxy-inversos
es.wikipedia.org/wiki/Proxy
www.endian.com/
en.flossmanuals.net/bypassing-es/proxis-web/