PDF de programación - Proxy caché Squid 2

Proxy caché - Squid

I

ÍNDICE



1. Definiciones:

1.1.Proxy y cache
1.2.Web proxy cache
1.3.Proxy inverso
1.4.Proxy transparente

2. Squid Web Proxy Cache:

2.1.Qué es Squid
2.2.Sistemas operativos soportados
2.3.Licencias de Squid
2.4.Integración en dominios Microsoft

3. Inspección de contenido:

3.1.En qué consiste
3.2.DansGuardian

4. Escenarios:

4.1.Squid como único proxy en nuestra red
4.2.Squid en una jerarquía de proxies en nuestra red
4.3.Squid con inspección de contenido

5. Referencias

Página 1 de 11

Proxy caché - Squid

1

DEFINICIONES



1.1.- Proxy y cache

El servicio que permite a los usuarios realizar indirectamente conexiones a Internet es conocido
como servidor proxy.

Un servidor proxy se situa entre la estacion cliente (el usuario) y el acceso a internet (ADSL,
cable, Frame Relay...). El cliente se conecta al servidor proxy, solicita un recurso de Internet (una
conexión, un fichero o cualquier otro recurso) y es el servidor proxy el encargado de solicitar ese
recurso a Internet para proporcionárselo al cliente. La traducción de la palabra inglesa “proxy”
viene a ser “por poderes”, es decir dejaremos que sea el servidor proxy el que se conecte a
Internet por nosotros.

En algunos casos es posible que el proxy no se conecte a Internet para obtener el recurso
solicitado sino que lo obtenga de una cache. El término cache es utilizado en el ámbito
informático para designar un conjunto de datos replicando a los originales, residentes en un
almacenamiento remoto: Cuando se accede por primera vez a un dato, se hace una copia en el
caché, los accesos siguientes se realizan a dicha copia, haciendo que el tiempo de acceso
aparente al dato sea menor.

Página 2 de 11

1.2.- Web proxy cache

Proxy caché - Squid

Se dice que un servidor esta actuando como web proxy cache cuando almacena en su disco duro
las páginas web descargadas de forma que, en próximas consultas, pueda acceder a ellas de
forma muy rápida. De esta forma estamos optimizando el canal de acceso a Internet de la
organización y mejoramos la sensación de navegación del usuario en momentos de ocupación
importante de la línea.

Este tipo de proxy se suele usar en alguno de estos entornos:

•

•

Cuando, por motivos de seguridad, no deseas permitir acceso libre a Internet a los
usuarios pero se desea proporcionarles acceso a la web: se les proporciona a través del
proxy.
Cuando se desea optimizar el ancho de banda y acelerar la navegación para los usuarios.
Por ejemplo, una oficina con muchos trabajadores que suelen visitar frecuentemente las
mismas paginas.

Esta sería una posible estructura para impedir que los usuarios puedan acceder directamente a
Internet:

1.3.- Proxy inverso

Un proxy inverso (o reverse proxy) es aquel que se sitúa cerca de uno o mas servidores web, de
forma que es el proxy quien recibe las peticiones y las reenvía a los servidores web. Este tipo de
proxy se suele usar en algunos de estos entornos:

•

•

•

•

Para añadir seguridad a los servidores web: en ningún momento se accede directamente
a ellos sino al proxy.
Para balancear la carga de los servidores: el servidor proxy es el encargado de enviar las
peticiones a aquellos servidores que estén mas descargados.
Para descargar a los servidores webs de contenido estático como imágenes o
documentos.
En caso de sitios webs seguros se puede dejar al proxy que haga el encriptado de los
datos y descargar así a los servidores web.

Página 3 de 11

1.4.- Proxy transparente

Proxy caché - Squid

Tal como hemos visto es posible usar un proxy para aplicar políticas de control de acceso a
Internet. Normalmente esa configuración no es transparente: es necesario modificar el cliente
para que use el proxy al acceder a Internet, de forma que es posible que un usuario modifique
esa configuración.

Una configuración de proxy transparente hace que no sea necesaria modificación alguna en las
máquinas clientes, eliminando el riesgo de que un usuario modifique dicha configuración a su
antojo. El uso de un proxy transparente combina un servidor proxy con NAT, de forma que todas
las conexiones son encaminadas a través del proxy sin la intervención de la máquina cliente.

Página 4 de 11

Proxy caché - Squid

2

SQUID WEB PROXY CACHE



2.1.- Qué es Squid

Squid es un servidor proxy cache para clientes web que soportaFTP, gopher y HTTP.

Algunas características:

Almacena en RAM los metadatos y los objetos muy consultados

•
• Guarda en cache las consultas DNS
•
•
•
•
•

Soporta consultas de DNS no bloqueantes
Soporta SSL
Políticas de control de acceso
Permite reescrituras de consultas
Permite integración con dominios de Active Directory de Microsoft

2.2.- Sistemas operativos soportados

Estos son los sistemas operativos soportados a fecha de Marzo de 2005:

BSDI

Linux
•
FreeBSD
•
• NetBSD
• OpenBSD
•
• MacOS X
• OSF / Digital Unix / Tru64
•
•
• NeXTStep
SCO Unix
•
AIX
•
• HP-UX
• OS/2

IRIX
SunOS / Solaris

Además existen algunos proyectos que proporcionan Squid para sistemas operativos Windows.

2.3.- Licencias de Squid

•
•
•

Squid tiene copyleft por parte de la Universidad de California San Diego.
Squid es software libre [1].
Squid está licenciado bajo los términos de la licencia GNU GPL [2].

Página 5 de 11

2.4.- Integración en dominios Microsoft

Proxy caché - Squid

Una de las necesidades que tienen las organizaciones que trabajan con Active Directory de
Microsoft es integrar la política de acceso a Internet (controlada desde el Proxy) con lo que
tengan estructurado en el LDAP.

Mediante el uso de Samba es posible realizar una integración de Squid en dominios Microsoft de
forma que podamos controlar que los usuarios que acceden a Internet son los proporcionados en
una lista o, de forma mas óptima, los miembros de un grupo de usuarios de Active Directory.

Es importante destacar que dicha integración se comporta diferente si los clientes trabajan con
un navegador u otro:

• Navegador propietario de Microsoft: al ser capaz de gestionar autenticación NTLM (NT Lan
Manager) de forma que Samba puede obtener directamente el usuario autenticado en
dominio que intenta acceder a Internet.

• Otros navegadores: al no disponer de la autenticación NTLM el proxy les solicitará su
usuario y password de dominio para poder determinar si pertenecen o no al grupo de
usuarios que pueden acceder a Internet.

Para realizar esta integración será necesario:

1. Descargar e instalar Samba 2.x o 3.x en el servidor que ejecuta Squid. A la hora de

instalar es importante indicar a Samba que trabaje con winbind.

2. Configurar Samba indicándole el nombre de dominio Microsoft con el que tendrá que

dialogar, así como los Domain Controlers de dicho dominio.

3. Configurar Squid para que use ntlmauth como sistema de autenticación de usuarios.

4. Meter la máquina en el dominio Microsoft.

Página 6 de 11

Proxy caché - Squid

3

INSPECCIÓN DE CONTENIDOS



3.1.- En qué consiste

Es posible que nos interese proteger a los usuarios de contenido no deseado o, directamente,
evitar que puedan acceder a contenido que no sea adecuado.

Para eso existen herramientas que inspeccionan el contenido que van a enviar (web, correo,
etc...) al cliente y bloquean aquel que no es considerado adecuado.

3.2.- DansGuardian

Es un filtro de contenido web que funciona sobre Linux, FreeBSD, OpenBSD, NetBSD, MacOS X,
HP-UX y Solaris. Su filtrado no se basa simplemente en una lista negra de URLs sino:

•
•
•

Buscando determinadas frases o patrones en el contenido web
Filtrado de imágenes
Filtrado de URLs

Para cualquier uso no comercial su licencia es GPL [2].

Se integra perfectamente con Squid: DansGuardian escucha en un puerto y reenvía las
solicitudes de descarga a Squid. En función del contenido de la web le envía el contenido de
dicha web al cliente o le muestra una página indicando que el contenido al que quería acceder
no es considerado adecuado.

Para implantarlo en nuestra red simplemente deberemos de poner a DansGuardian como el
proxy al que se conectan nuestros clientes y él será el encargado de comunicarse con Squid.

Página 7 de 11

Proxy caché - Squid

4

ESCENARIOS



4.1.- Squid como único proxy en nuestra red

Es la configuración básica pero probablemente la adecuada para muchas organizaciones:

•
•

•

Se impide el acceso a Internet a todos los clientes.
Se configuran los navegadores de las máquinas clientes para que accedan por nuestro
proxy.
Se concede a nuestro proxy permiso para acceder a los puertos HTTP/HTTPS de Internet.

Página 8 de 11

4.2.- Squid en una jerarquía de proxies en nuestra red

Proxy caché - Squid

Esta característica será importante a la hora de integrar con DansGuardian y LDAP de Microsoft,
consiste en:

•
•

•

•

Se impide el acceso a Internet a todos los clientes.
Se configuran los navegadores de las máquinas clientes para que accedan por nuestro
proxy de segundo nivel.
El proxy de segundo nivel se configura para que reenvíe las solicitudes a otro proxy que
será el encargado de obtenerlas.
Se concede al proxy de primer nivel permiso para acceder a los puertos HTTP/HTTPS de
Internet.

Esta estructura es útil si tenemos varias sedes conectadas con la central a través de lineas con
poco caudal: poniendo un proxy en cada sede periférica estamos reduciendo el tráfico web entre
esas sedes y la central.

Página 9 de 11

4.3.- Squid con inspección de conte