PDF de programación - Instalación de Servicios Proxy basados en Squid con autenticación NTLM

Instalación de Servicios Proxy

basados en Squid

con autenticación NTLM

Flavio Alberto Fernández

Georgina Halladjián

LABORATORIO DE INVESTIGACIÓN

EN SEGURIDAD INFORMÁTICA

DINFO – GETEC

VILLA MARTELLI, SEPTIEMBRE 2004



SI6







Instalación de Servicios Proxy
basados en Squid
con autenticación NTLM



Versión 1.0
23/09/2004





Índice
Índice ....................................................................................................................................... 1
Objetivo ................................................................................................................................... 2
Esquema propuesto ................................................................................................................ 3
Samba ..................................................................................................................................... 4
Instalación............................................................................................................................ 4
Configuración....................................................................................................................... 4
Uso de Samba ..................................................................................................................... 5
Name Service Switch .............................................................................................................. 6
Instalación............................................................................................................................ 6
Configuración....................................................................................................................... 6
Pruebas................................................................................................................................ 6
Squid ....................................................................................................................................... 7
Instalación............................................................................................................................ 7
Pruebas de instalación......................................................................................................... 7
Configuración....................................................................................................................... 8
Autenticación.................................................................................................................... 8
Listas de Control de Acceso............................................................................................. 9
Delay Pools ...................................................................................................................... 9
Uso de Squid ..................................................................................................................... 11
Resumen Operativo ........................................................................................................... 12
Instalación y Configuración de Samba........................................................................... 12
Instalación y Configuración de Squid ............................................................................. 13



- 1 -




Objetivo

El presente informe tiene como objetivo principal detallar los pasos necesarios para la instalación
y configuración de un servidor proxy basado en software libre que permita la autenticación NTLM
contra un Dominio de NT. Esto permite brindar mayor seguridad al esquema de navegación por
Internet, permitiendo el registro de todas las actividades, filtros de control de accesos por usuarios
y por grupos y control de anchos de banda por tipos de acceso. El presente documento describe
la configuración de las mencionadas funciones.

Para cumplir con este objetivo, se eligió como solución la instalación de los servicios Squid,
Samba y Winbind. Este trabajo consiste en integrar las aplicaciones mencionadas anteriormente
para ofrecer un acceso controlado a Internet utilizando el acceso al Dominio como único
componete de autenticación.



- 2 -




Esquema propuesto

El esquema que se propone consiste en la instalación de un servidor proxy basado en Linux, el
cual se integrará fácilmente a un dominio NT. En el servidor Linux se instalará SQUID
(http://www.squid-cache.org) para cumplir la función de proxy y SAMBA (http://www.samba.org)
para poder interactuar correctamente con el dominio NT.

Samba provee un servicio denominado winbind que permite obtener la información sobre los
usuarios y grupos de un dominio NT. Además se proporcionan las librerías necesarias para
acceder a sus funcionalidades, lo que permite que servicios como SQUID accedan al mismo.
Utilizando las ventajas que aporta winbind, el proceso de autenticación de los usuarios se llevará a
cabo a través de los servidores del dominio habituales permitiendo de esta forma mantener un
ambiente homogéneo en el mismo, evitando que los usuarios deban recordar múltiples
contraseñas de acceso.

Respecto a la seguridad, SQUID posee un mecanismo de control de contenido web mediante un
esquema de control de accesos (acl). Además se propone la utilización de los mecanismos que
ofrece SQUID para el control de ancho de banda del acceso a Internet, permitiendo de esta forma
un mejor uso de los recursos.

Los pasos necesarios para la implementación del esquema propuesto se detallan en las
siguientes secciones.



- 3 -




Samba

La aplicación Samba está compuesta por un conjunto de demonios que ofrecen servicios para
compartir recursos (archivos e impresoras) en una red de clientes Microsoft Windows®.
Dependiendo de su configuración, el equipo sobre el cual se instale puede actuar como puesto de
trabajo, servidor de archivos e impresión, o controlador principal de dominio.

Instalación
Se puede obtener la última versión de Samba en el sitio oficial http://www.samba.org/ en la
sección download. Una vez obtenida la versión que se desea utilizar se debe descomprimir el
código fuente para proceder a su compilación.

#tar xjvf samba-latest.tar.bz2
#cd samba-3.0.5/source


En este caso particular la única opción de compilación indispensable es --with-winbind, con esta
opción se habilita la compilación del demonio winbind, que permite obtener la lista de usuarios y
grupos de un dominio NT para utilizarla en el proceso de autenticación del servidor proxy.

#./configure –-with-winbind
#make
#make install



Configuración
Una vez realizado exitosamente el proceso de compilación e instalación, se debe configurar
Samba para luego poder iniciar los demonios. El archivo que se debe editar es smb.conf que se
encontrará en la ruta especificada en el momento de compilación. Los parámetros mínimos
necesarios para lograr el objetivo propuesto en este documento son los que se detallan en el
siguiente cuadro:

netbios name = SERVER
workgroup = EJEMPLO
security = server
password server = 192.168.x.x
#----------------------------------------
winbind separator= +
winbind cachetime= 10 #tiempo en segundos
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell= /bin/bash
winbind use default domain = yes


En esta situación Samba esta configurado como un servidor del dominio EJEMPLO y accede al
Controlador Primario de Dominio (PDC) (192.168.x.x) para obtener información referente a los
usuarios y grupos del dominio. Los parámetros que se encuentran en la segunda sección del
archivo de configuración son los necesarios para que winbind funcione correctamente.



- 4 -




Uso de Samba

Para iniciar Samba se deben ejecutar dos demonios, smbd y nmbd los cuales son aplicaciones
UNIX® que se ejecutan en background.

#smbd –D
#nmbd -D


Para el uso correcto de winbind, previamente a su ejecución se debe asociar el servidor al dominio
EJEMPLO. Para ello, se ejecuta lo siguiente desde la línea de comandos:

#net join -S PDC -U Administrator
#winbind


Además se debe ejecutar el demonio winbind que brindará la posibilidad de obtener un listado de
grupos y usuarios del dominio, así como posibilitar el proceso de autenticación contra las bases
del mismo.

Una vez iniciados los tres demonios se deben realizar algunas pruebas para verificar el correcto
funcionamiento de Samba. Se puede utilizar el comando wbinfo para obtener la lista de usuarios
o grupos del dominio al cual pertenece el servidor.


#wbinfo –u // obtiene la lista de usuarios del dominio
#wbinfo –g // obtiene la lista de grupos del dominio
#wbinfo –a user%password // autentica al usuario user en el dominio


Si el resultado de la ejecución de estos comandos es satisfactorio, se puede proseguir con la
configuración del servidor.



- 5 -




Name Service Switch

Name Servicie Switch o más conocido como nss es una librería que actua como interfaz entre las
aplicaciones y diferentes mecanismos de almacenamiento remotos o locales. Está presente en
varios sistemas derivados de UNIX® y fue desarrollada para la versión GNU de la librería C. El
servicio nss permite, de esta forma, la resolución de nombres a través de una gran variedad de
mecanismos, por ejemplo nis, mysql, servidores DNS, LDAP dierctory, etc.

Instalación
Las librerías básicas de Name Service Switch se instalan con