viernes, 14 de marzo de 2008

CONFIGURACION BASICA SQUID

Squid es un popular programa diseñado para implementar un servidor proxy. esta publicado bajo licencia GPL. Ademas tiene una amplia gama de utilidades, desde acelerar un servidor web, guardando en cache peticiones que realizan los usuarios ademas de filtar el trafico esta diseñado para ejecutarse bajo entornos tipo Unix. Esta orientado principalmente a HTTP y FTP, se puede implementar con varios madalidades de cifrado como TLS, SSL, y HTTPS.

instalar el proxy
apt-get install squid

luego editamos /etc/squid/squid.conf
en el archivo por defecto esta la configuracion con sus respectivos ejemplos pero para no complicarlos tanto movemos el archivo por defecto y creamos uno con la nueva configuracion.

mv /etc/squid/squid.conf /etc/squid/squid.old
-------Nombre original-------Nuevo nombre

Creamos el nuevo archivo y lo editamos para la nueva configuracion
touch squid.conf
pico /etc/squid/squid.conf

hay que tener en cuenta que el proxy aplica las reglas en el orden que sean especificadas

AHORA LA CONFIGURACION
#puerto por defecto del proxy 3128 pero tambien puede ser el 8080
http_port 3128

#si existen varias interfaces el servicio escuchara por las dos pero tambien podemos especificarla
http_port 10.3.6.159:3128

#Si existe otro proxy en la red para salir a internet
cache_peer proxylan.sena.edu.co parent 8080 0 default

#Compartir cache si existe algun otro proxy en la red SI 3130 NO 0
icp_port 0 (por default 0)

#Nombre de la maquina local
visible_hostname localhost

#Cantidad de memoria que utilizara la ram para almacenar la cache,
la cantidad de memoria se asigna dependiendo de la capacidad que tiene el equipo.
cache_mem 35 MB

#Directorio donde se almacenara la cache, el tamaño de la cache tambien puede variar. por default es 100MB
cache_dir ufs /etc/squid/cache 200 16 256
100=tamaño en la cache
16=cantidad de directorios
256=cantidad de subdirectorios

#Listas de control de acceso ACL
especificamos quienes tendran acceso y quien no al proxy para navegar a traves de el hacia inetput y teniendo control a que paginas pueden acceder o denegar

Especificamos el rango de IP que tendran acceso al proxy para que puedan tener acceso a internet

#En este caso toda la red
acl all src 0.0.0.0/0.0.0.0
acl mired src 10.3.6.128/255.255.255.128

acl=lista de control de acceso
all=acepte
deny=deniege
dst=direccion destino hacia donde va la maquina
src=direccion de origen
mired=todas las maquinas que tienen acceso a cualquier maquina que tenga una ip en el rango de 10.3.6.128 /255.255.255.128 con mascara de 25

Para que los usuarios no visualicen paginas en las que su contenido sean imagenes, archivos .exe, videos etc. agregamos la siguiente linea.
acl varios urlpath_regex \.jpg$ \.exe$ \.avi$

otra forma de darle acceso a los computadores es crear listas negras o acl con ip estaticas(no cambian) en un archivo determinado.
ejemplo: /etc/squid/maquinas_permitidas
acl equipos src "/etc/squid/maquinas_permitidas"
ejemplo de lo q contiene el archivo maquinas_permitidas
10.3.6.212
10.3.6.208

#en este caso especificamos las acl
acl imagenes urlpath_regex \.jpg$ \.exe$ \.mp3$
acl chat dst www.chatiapues.com
acl correo dst www.hotmail.com

#Acceso permitido para toda la red, si tus reglas no aplican es por que la primera regla que tienes es permitir el acceso de toda la red a internet, para aplicar las reglas debes comentar la siguiente linea
http_access allow mired

#Permitir o denegar las acl especificadas anteriormente
http_access deny imagenes
http_access deny chat
http_access deny correo
#http_access allow localhost

#Denegar todo lo que no este en la red
http_access deny all

#con estas lineas especificamos el tamaño de los archivos que tienen permitidos los usuarios para descargar
request_header_max_size 10 KB
request_body_max_size 512 KB
reply_body_max_size 512 KB

luego guardas los cambios y le das squid -z para crear los directorios para almacenar la cache

reiniciamos el servicio
/etc/init.d/squid restart
cada vez que realicemos un arreglo en la configuracion debemos recargar el servicio.
restart(reiniciar)
start(iniciar o subir)
stop(para o detener)

para probar que nuestro proxy funcione configuramos nuestro navegador web para que use nuestro proxy

miércoles, 5 de marzo de 2008

ICEWEASEL VS MOZILLA FIREFOX


IceWeasel es el nombre elegido para sustituir a Firefox.
La reciente polémica entre Debían y Mozilla ha provocado la aparición de un nuevo proyecto con un navegador GNU que es básicamente una rama del Firefox original. IceWeasel (Comadreja de hielo)

La casi absurda batalla comenzó cuando Debían decidió que la licencia de uso del logo de Firefox no le gustaba. Esto dio lugar al nacimiento de dos proyectos.

En primer lugar, GNUzilla, la versión totalmente GNU de la suite de Mozilla (a la que califican de 'not-so-free', no tan libre), y por otro lado, IceWeasel, la aplicación más importante de esa suite, que no es más que un Firefox cambiado de nombre y que emplea esa nueva licencia

Debían IceWeasel está basado en una versión modificada de Firefox, pero se le han remplazado las marcas de Firefox por las de Iceweasel. Actualmente es el navegador por defecto de Debian Etch. Thunderbird y SeaMonkey se renombraron a IceDoce y IceApe respectivamente, de la misma forma y por la misma razón.

FIREWALL "IPTABLES"

Iptables permite al administrador del sistema definir reglas acerca de qué hacer con los paquetes de red. Las reglas se agrupan en cadenas: cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas: cada tabla está asociada con un tipo diferente de procesamiento de paquetes.
Las reglas se agrupan en 3 cadenas básicas
INPUT (Paquetes Entrantes)
OUTPUT (paquetes Salientes).
FORWARD (Reenvío de paquetes)

Tablas de Iptables
filter tables: (Tabla de filtros)
bloquear o permitir que un paquete continúe su camino).
Nan tables: (Tabla de traducción de direcciones de red) Esta tabla es la responsable de configurar las reglas de reescritura de direcciones o de puertos de los paquetes.
Mangle tables: (Tabla de destrozo)Esta tabla es la responsable de ajustar las opciones de los paquetes. Todos los paquetes pasan por esta tabla. contiene todas las cadenas predeterminadas posibles.

Destino de las reglas
ACCEPT:
Este destino acepte el paquete dependiendo de la cadena utilizada
REJECT:
Este destino tiene el mismo efecto que 'DROP', salvo que envía un paquete de error a quien envió originalmente.
DROP:
Este destino descarta el paquete sin ningún otro tipo de procesamiento el paquete desaparece sin respuesta alguna

Ejemplo
iptables -t filter -A INPUT -s 10.10.214.x -d 10.10.214.x -j ACCEPT
-----------Tabla---Cadena ---------- Match (regla)-------Acción

Iptables es un aplicativo del espacio de usuario que le permite a un administrador de sistema configurar las tablas, cadenas y reglas de netfilter (descritas más arriba). Debido a que iptables requiere privilegios elevados para operar, el único que puede ejecutarlo es el superusuario. En la mayoría de los sistemas Linux, iptables está instalado como /bin/iptables. La sintaxis detallada del comando iptables está documentada en su página de man, la cual puede utilizar con "man iptables" desde la línea de comando.



lunes, 3 de marzo de 2008

SEGURIDAD PERIMETRAL

La seguridad perimetral es un conjunto de sistemas de detección electrónica diseñado para proteger perímetros internos y externos. La característica que hace que la seguridad perimetral sea mas efectiva que los sistemas de seguridad convencionales o no-perimetrales es que detecta, disuade y frena al intruso con mucha mas antelación.

Estos sistemas detectan las señales provenientes del perímetro protegido, generadas por escalamiento, intentos de corte, o golpes en las vallas o bien simples pisadas en el interior del área protegida.

Reconocido mundialmente por su fiabilidad y adaptabilidad en las condiciones topográficas y climáticas más exigentes.
Principales ventajas de la sefuridad perimetral

Principales ventajas de la Seguridad Perimetral

  • La posibilidad de actuar en concordancia y con suficiente tiempo y calma para repeler la agresión.
  • En un sistema de seguridad NO perimetral, al activarse la alarma el intruso ya está dentro de la propiedad.
  • La Seguridad Perimetral es mas recomendable en todos aquellos casos que existe un espacio entre la vía pública y el lugar donde están los bienes a proteger:

  • Aeropuertos, prisiones, Empresas en general, Empresas de transporte

    Este concepto emergente asume la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la proteccion de perímetros físicos, detección de tentativas de intrusión o disuacion en instalaciones especialmente sensibles. En estos sistemas cabe destacar los radares tácticos, videosensores, vallas sensorizadas, cables sensores, sistemas para el control de acceso etc.

    Los sistemas de seguridad perimetal pueden clasificarse según la geometría de su cobertura(superficiales, lineales, etc), según el principio físico de actuación(cable de radiofrecuencia, de presión, de micrófono etc.)o bien por el sistema de soportacion autosoportados, soportados, enterrados, detección visual etc.