Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Servidores Proxy. Parte 2 - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 5 de marzo de 2025 por Francisco J. G.

27 visualizaciones

Servidores Proxy. Parte 2

Más información Transcripción

Descargar la transcripción

Conclusión, que es muy sencillo de instalar, que tiene un control anular del tráfico de red y que además es compatible con varias plataformas, con lo cual Skid es una solución bastante eficaz para poder utilizarlo como proxy. 00:00:05
Vamos a meternos con las reglas ACL en Skid, que hasta ahora las he nombrado, pero no he detallado cómo hacerlas. 00:00:24
Las reglas ACLs, o lo que se llama la lista de control de acceso, pues no tiene más que una función, que sería por la de filtrar o controlar el tráfico en el propio proxy. 00:00:30
¿Cómo tiene o cuál es la estructura de una regla ACL? Primero le pones ACL, luego el nombre de la lista, el tipo de filtrado y luego los parámetros. 00:00:42
Esa CL es lo que indica la CL que estás generando. 00:00:51
El nombre de la lista es el nombre que le vas a llamar a la regla que vas a crear. 00:00:56
El tipo de filtrado define el tipo de criterio filtrado que se aplicará o viene a un puerto P, URL. 00:01:01
Y los parámetros se dedican a determinadas condiciones para ese tipo de filtrado. 00:01:07
Ahora veremos ejemplos. 00:01:11
En cuanto a parámetros, tenemos aquí tipos SRC, DST. 00:01:13
SRC sería filtrado por direcciones IP de origen, mientras que DST, Destinai, sería filtrado por direcciones IP de destino. 00:01:19
SRC serían direcciones de IP de origen. 00:01:31
Aquí tenemos varios ejemplos en los que, fijaos, aquí ha llamado a la CL IP-bloqueada y está diciendo que IP bloqueada va a filtrar el tráfico proveniente de esta IP. 00:01:34
porque es de fuente, source. Entonces, al aplicarle después el HTTP que un bajo hace de night IP bloqueada, 00:01:49
le estamos diciendo que deniega el acceso a todas estas que provengan de aquí. 00:01:57
En cuanto a DST, sería de destino, es lo mismo, pero ahora lo que está haciendo es bloquear la dirección IP, 00:02:02
esta que aparece aquí, sin importar la IP de origen, lo que nos importa es la de destino. 00:02:12
En cuanto a DST Domain, lo va a hacer el filtrador por nombres de dominio. Aquí le ha llamado a CL Redes-Bajos Sociales y está diciendo que va a negar, porque luego va a incluir la segunda línea, sería TTP Access Deny, niega el acceso a estos dominios. 00:02:17
Aquí lo está realizando a través de aquí, por medio de direcciones IP, aquí a través de dominios. Y nos están denegando el acceso a todos esos dominios que serían los dominios fijados en la regla CL, redes-bajosociales. 00:02:37
En cuanto a URL regues, es el filtrado pero aplicando una expresión regular. Al poner aquí el URL regues, está aplicándole una expresión regular. El guión y lo que nos hace es que no distingan ni entre mayúsculas ni minúsculas. 00:02:53
Y tendremos que la presión regular nos está indicando, pues, que bloquee URLs que terminen en mp3, que terminen en .exe, etc. Y, por último, tenemos time, el otro parámetro time, que es el filtrado por horarios específicos, en el que aquí tenemos el formato del horario. 00:03:11
Aquí nos está diciendo que deniegue el acceso a la ACL, horario con guión bajo restringido, que sería de lunes a viernes, que es lo que nos indica aquí. Esto viene por lunes a viernes porque viene en inglés, de Monday, Tuesday, Wednesday, etc. 00:03:27
Y luego, pues, en este horario, que sería el horario restringido, que sería de 9 a 5. Ejemplos de ACL aquí, permitir acceso solo a esta red específica, veis, aquí en la llamada aula 1 y aula 3, dice que permite a esta red y a esta red. Esto define que los equipos de esa red, pues, tienen ambos acceso. 00:03:46
Por eso, aquí tenemos otra regla CL en la que le llama a institutos y en la que la siguiente línea nos va a denegar el acceso a institutos, nos está negando a estas IPs de destino. 00:04:05
Para bloquear dominios en lugar de direcciones IP, lo hemos visto también, la hace el instituto aplicando dominio con esta regla que hemos puesto a continuación, nos está indicando que está denegando el acceso a estos dominios. 00:04:20
para bloquear 00:04:39
URLs que contengan ciertas palabras 00:04:41
pues aquí lo que ha hecho es que a través de esta 00:04:43
ruta, en etc. skin, palabras bloqueadas 00:04:45
ahí ha metido una serie de 00:04:48
expresiones regulares 00:04:49
esas expresiones regulares 00:04:51
están 00:04:52
bajo el nombre de la 00:04:55
CL llamado casinos, entonces 00:04:57
esas expresiones 00:04:59
regulares, aquí indica que es casino y juegos de apuestas 00:05:01
lo que tendrá es ese fichero 00:05:03
Y nos está indicando que dice ACL, si coinciden en las URLs que contengan esas expresiones, bloqueará a las URLs que coincidan con esas expresiones regulares que aparezcan dentro de palabras bloqueadas. 00:05:06
Ejemplo para definir un horario laboral, bueno, pues lo hemos visto anteriormente, es exactamente igual. 00:05:24
De lunes a jueves, de lunes a martes, miércoles, jueves y viernes, de lunes a viernes, de 9 a 7 y media, que bajo el nombre de horario laboral. 00:05:28
Esto está diciendo, pues, que permite el acceso, pues, solo en ese horario y fecha restringida. 00:05:38
Activación de aceles con HTTP access son las líneas que se ponen a continuación para permitir o denegar el acceso a las aceles que hemos escrito anteriormente. 00:05:45
Con el low nos está diciendo que permite el acceso a nombre guión bajo lista y con deny le está diciendo que lo bloquea. 00:05:57
Esta otra más particular nos está indicando que permite el acceso a todos salvo a aula 1. Fijaos que le ha puesto aquí delante la negación de aula 1, indicando que va a tener acceso a todo menos a ella. 00:06:04
Aquí tenemos otro caso también más especial en el que nos está indicando que deniega todo el acceso a aula 1, pero en un horario distinto al laboral. 00:06:20
Bien, importante en cuanto a las reglas, ¿en qué orden se ponen? Hay que ponerlas de arriba a abajo. 00:06:30
Si no hay una coincidencia, Skid va a evaluar las reglas de arriba a abajo, entonces cuando encuentra una que es coincidente con lo que ha expuesto, 00:06:39
pues entonces utilizará esa. Para evitar accesos indeseados, ¿qué se recomienda? Pues agregar al final la negación total. 00:06:48
La ubicación en el archivo de configuración, ¿dónde se pone? Donde aparezca este comentario que aparece aquí, este comentario que es el lugar donde debes definir tus reglas. Cualquier regla que pongas antes, pues a lo mejor esta va a ser ignorada. 00:06:55
En conclusión, las ACLs permiten un control preciso de acceso a SKID, que se pueden definir filtros por IP, por URL, por tiempo, que la combinación de ACLs y HTTP-ACCESS proporciona esa seguridad y flexibilidad y que es importante organizar las reglas adecuadamente para evitar los errores. 00:07:10
instalación y configuración de un cliente proxy 00:07:29
vamos a hablar ahora del proxy 00:07:32
transparente, que ya vimos 00:07:38
que nos permitía el que 00:07:40
el usuario 00:07:41
va a navegar sin necesidad de configurar 00:07:43
manualmente sus navegadores 00:07:46
esto se va a realizar de manera automática 00:07:47
para esos clientes que usen el proxy 00:07:50
sin configuración manual 00:07:52
se debe establecer el que, la IP del proxy 00:07:56
como puerta de enlace en la red, ahora lo veremos 00:07:58
cómo lo hacemos. ¿Cómo se hace? Pues a través de la regla IP Table en el proxy Firewall, 00:08:00
que sería esta que aparece aquí cuando tenemos que estar en la misma máquina que el Firewall. 00:08:07
Esta sería, ya la vimos en el tema anterior, nos está diciendo que todos los usuarios 00:08:11
que intenten acceder al puerto 80 de port, del puerto de destino, a través del protocolo PCP, 00:08:18
serán redirigidos al puerto 00:08:26
hacia el puerto 00:08:28
3128 00:08:30
diferencia con 00:08:31
que no estén en el mismo equipo 00:08:34
si él está en un servidor independiente 00:08:36
con el IP también lo vimos 00:08:38
en el tema anterior 00:08:40
en vez de hacerlo con Redirect 00:08:41
ahora lo haremos con The NAT 00:08:43
con The NAT en el que realizará lo mismo 00:08:45
y que nos enviará pues en redirigir 00:08:48
al tráfico HTTP hacia el servidor 00:08:50
proxy que será pues el 00:08:52
como está en otro servidor sería 00:08:53
indicado por esta IP que aparece aquí. Modificación del archivo skid.conf para convertir skid en proxy 00:08:56
transparente se debe pues añadir pues el http-port 3129 intercept que era el antiguo transparent 00:09:06
que se ponía anteriormente. Efecto del proxy transparente permite administrar y filtrar tráfico 00:09:15
sin intervención del usuario e impone restricciones y política de acceso automáticamente. Vimos 00:09:22
que, a pesar de que esto lo hace de manera transparente para el usuario, en el que no 00:09:27
se da cuenta, vimos que no ocultaba la IP de uno de los fallos por el proceso transparente. 00:09:33
Conclusión, la configuración de un proceso transparente optimiza la administración de 00:09:39
la red y facilita el control de tráfico sin requerir configuraciones individuales en los 00:09:42
clientes. 00:09:45
Métodos de autenticación en un proxy. 00:09:49
Skid soporta varios métodos de autenticación, que serían el EDAB, Kerberos, autenticación 00:09:53
básica. Configuraciones 00:09:58
kit.conf es donde se va 00:10:03
a realizar esa configuración y bueno, se realizará 00:10:05
pues, se habilitará pues a través 00:10:07
de esta línea 00:10:08
que aparece aquí con el out 00:10:10
guión bajo, para 00:10:12
define, pues aquí 00:10:13
al poner basic, pues estamos diciendo pues que 00:10:16
define una autentificación básica 00:10:18
este sería, especificaría pues program 00:10:20
sería pues el programa que se usará 00:10:22
para la autenticación y luego tenemos 00:10:24
el que, tenemos esta 00:10:26
estas dos líneas 00:10:28
Esta que sería el módulo de autenticación y esta otra que sería el archivo donde se almacenan los usuarios y contraseñas permitidas. 00:10:31
Se puede definir el número de instancias activas a través de la outpara, por medio de Children30, en el que nos indicaría el que establecerá 30 procesos hijos para gestionar autenticaciones simultáneas. 00:10:39
En cuanto a la personalización del mensaje en la ventana de login, se puede meter un mensaje. Una vez que quieras acceder y te pida la autenticación, aparecerá un mensaje. 00:10:54
Lo podemos indicar a través de esta otra línea. Aquí tenemos el round que nos indica el mensaje de autenticación que se mostrará a los usuarios, que será este de aquí. 00:11:07
En cuanto a tipo de validez de la credencial, pues podemos también a través de esta palabra que aparece aquí, podemos que es el que especifica el tiempo que va a durar esa autenticación y aquí lo ponemos que nos establecerá en dos horas. 00:11:16
El usuario en dos horas no tendrá que volver a autenticarse gracias a esta línea. 00:11:34
activación de la autenticación 00:11:38
pues se debe 00:11:41
definir una lista de control de acceso 00:11:43
una ACL, y aquí la he llamado 00:11:44
PassWeb, proxy 00:11:47
out, en el que lo que nos 00:11:49
está indicando pues es que 00:11:51
va a 00:11:52
requerir de autenticación 00:11:55
la gestión 00:11:57
de usuarios, se va a realizar 00:11:59
a través de HTPassWD 00:12:01
en el que bueno 00:12:03
esta va a ser la herramienta que se va a utilizar 00:12:04
y esta es la ruta donde se guardará el archivo de contraseñas. 00:12:07
Aquí este es el nombre del usuario que se agregará al archivo. 00:12:12
El parámetro C nos va a indicar que se va a crear un nuevo archivo si es que este no existe. 00:12:17
Si existe, pues lo sobrescriberá. 00:12:23
En cuanto a cómo activar skip como un proxy inverso, también se puede hacer 00:12:28
y esto se realizaría la configuración a través de esta línea que aparece aquí 00:12:33
que sería a través de estos parámetros. Esta sería la dirección IP y el puerto donde se quede aceptar con las conexiones HTTP. 00:12:37
Restricción de acceso. Se puede limitar el acceso a ciertos dominios. Esto es más de lo mismo de lo que habíamos visto anteriormente. 00:12:50
Cómo crear una regla ACL para limitar el acceso a ciertos dominios. Y luego, a través del HTTP access, permitirlas o bien no permitirlas. 00:12:57
Conexión directa a la red interna. También esto para que el proxy se conecte directamente a ciertos destinos se puede hacer a través de una ACL. Aquí, como veis, lo ha llamado Conexión Directa y nos está diciendo aquí que indica que cualquier tráfico que coincida con la ACL, con esta, con Conexión Directa, debe conectarse directamente sin pasar por un agache. 00:13:07
Conclusión, que la autenticación en proxy y el uso del proxy inverso mejoran la seguridad y el rendimiento de la red, asegurando un mejor control del tráfico y el acceso. 00:13:33
Luego tenemos en cuanto a las pruebas de funcionamiento de un proxy, aquí no me voy a detener mucho. 00:13:45
En cuanto a la configuración del proxy del cliente, que debe especificar la dirección IP y el puerto del proxy, y pruebas de restricciones, aquí no me voy a detener mucho. 00:13:49
si me importan los registros en Skid, vimos que los registros de acceso se hacían a través del fichero aces.log. 00:14:01
Hay una serie de códigos de registros y estos serían los más comunes, el tcp-hit, el tcp-miss y el tcp-deny. 00:14:10
El primero es la solicitud se atiende desde la caché, el segundo se realiza una nueva búsqueda y el tercero se deniega el acceso por restricciones. 00:14:20
Este sería el formato de los registros de acceso, cómo aparecerían. Veis, aquí tenemos el código y aquí tendríamos un ejemplo de esos códigos de registro en Skid, cómo aparecerían, lo que indica cada uno de los parámetros que aparecen aquí. 00:14:27
Aquí tenemos la URL solicitada, el método que se ha utilizado, aquí el tamaño de archivo entregado. En cuanto al TCPBHIT, que sería el que esta solicitud ha sido atendida desde la caché, no desde la manera directa y que ha sido OK con el código 200. 00:14:45
aquí tendríamos 00:15:05
el 100 sería el tiempo de respuesta en milisegundos 00:15:07
y este sería 00:15:10
la IP del cliente 00:15:11
aquí sería la 00:15:13
marca de tiempo 00:15:15
veis aquí tendríamos otro en el que 00:15:17
la diferencia sería el TCP-MIS 00:15:19
en el que pues 00:15:22
que sería pues 00:15:22
que se establecería la diferencia con el 00:15:26
registro anterior que aparece aquí 00:15:29
por último nos queda el uso de SAR 00:15:31
para el análisis de logs 00:15:37
SAR, que es una herramienta que nos permite 00:15:38
analizar el historial de navegación de los usuarios 00:15:40
esto se instala 00:15:42
como todos 00:15:43
en cuanto a 00:15:45
algunos parámetros importantes 00:15:49
se pueden configurar 00:15:50
en el fichero 00:15:53
SAR.conf 00:15:54
y serían estos que aparecen aquí 00:15:55
aquí he indicado 00:15:57
para que sirve cada uno 00:15:59
el primero es un archivo de registro 00:16:02
de logs 00:16:05
en cuanto 00:16:06
el segundo, el output dir 00:16:07
nos va a definir el directorio donde se guardarán los informes 00:16:13
generados por SAR y este index.js es para generar 00:16:17
el informe que nos va a generar SAR porque nos va a generar un formato 00:16:20
en formato HTML. La generación de reportes con SAR 00:16:24
se hace indicándole a través de SAR 00:16:30
y esto es el archivo de registros de SKID y también 00:16:34
y generar el informe en el directo de salida. 00:16:38
Los reportes se pueden visualizar con un navegador web. 00:16:44
Herramientas gráficas para gestión del proxy serían Cential y PFSense, 00:16:50
que hemos visto anteriormente cuáles son sus ventajas, cuáles son sus inconvenientes 00:16:55
y tenemos que las más utilizadas serían Stardust. 00:16:59
En cuanto a... Por último, la conclusión es que las formas de funcionamiento 00:17:03
y herramientas gráficas van a permitir monitorear y gestionar el proxy de manera eficiente 00:17:10
y asegurar el control de teo del tráfico de red. 00:17:16
Y esto sería todo en cuanto a la presentación. 00:17:20
Con respecto a la tarea, en cuanto a la descripción de la tarea, ya lo visteis, 00:17:25
la puse exactamente igual como está aquí. 00:17:41
como pasaba con la tarea 4 00:17:44
la podéis hacer 00:17:46
de las dos maneras 00:17:48
bien pues a través pues del netvm 00:17:50
y aquellos que 00:17:52
no tengan el netvm porque les de problemas 00:17:54
pues a través pues de creando esas tres máquinas 00:17:56
como he puesto aquí 00:17:58
creo que la tarea no tiene una gran dificultad 00:17:59
la verdad que al principio bueno 00:18:02
ha dado algunos problemas en cuanto pues a 00:18:04
el proxy transparente 00:18:06
pero en cuanto a lo demás pues la verdad 00:18:07
no tiene mucha dificultad en hacerla 00:18:10
He visto que algunos lo habéis entregado y que sepáis que tenéis ampliado el plazo hasta el 7 de este mes, o sea que tenéis hasta el viernes para poderla entregar hasta el viernes a las 12 de la noche. 00:18:12
Idioma/s:
es
Materias:
Informática
Niveles educativos:
▼ Mostrar / ocultar niveles
  • Formación Profesional
    • Ciclo formativo de grado básico
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado medio
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado superior
      • Primer Curso
      • Segundo Curso
Autor/es:
Francisco J. González Constanza
Subido por:
Francisco J. G.
Licencia:
Todos los derechos reservados
Visualizaciones:
27
Fecha:
5 de marzo de 2025 - 22:30
Visibilidad:
Público
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
18′ 28″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
352.80 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid