MEGATUTORIAL Squid 5. Sexta Parte. FINAL

Esta última entrega la dedicaremos a unificar en una configuración todo lo que se ha explicado en las anteriores entradas. Usando un ejemplo integrador de una situación en una empresa cubana.

ÍNDICE

Servidor Proxy. Conceptos y datos para el ejemplo a desarrollar.

1. Instalación de squid-5.0.2 por compilado.

1.1. Generando e instalando empaquetado “.deb” de squid-5.0.2.

2. Configuraciones en Squid.

2.1. Configuraciones básicas.

2.2. Proxy padre.

2.3. Caché.

2.4. Autenticación.

2.5. Patrones de refrescamiento.

2.6. Declaración de reglas (ACLs).

2.7. Aplicación de reglas.

2.8. Declaración y aplicación de otras reglas especiales.

2.8.1. Retardo con Delay Pools.

2.8.2. MITM con SSL Bump.

3. Integración de Squid-ADDC mediante Kerberos.

3.1. Configuraciones necesarias en el ADDC Samba4.

3.2. Sincronización de tiempo.

3.3. timesyncd.

3.4. ntpd & ntpdate.

3.5. Integración Squid-ADDC por Kerberos, mediante Ticket.

4. Ejemplo integrador de configuración de Squid.

4.1. Configuraciones del ejemplo.

Referencias Bibliográficas.

4. Ejemplo integrador de configuración de Squid con Kerberos, Delay Pools y SSL Bump

El fichero de configuración que se ofrece a continuación, representa un ejemplo práctico del caso de una red empresarial. El fichero contendrá tres importantes características:

  • Autenticación contra un ADDC mediante Kerberos.
  • Retardo de ancho de banda con Delay Pools.
  • Solución MITM de Squid “SSL Bump”.

Su autenticación es mediante Kerberos, así como la calidad de servicio, salvo el caso de los retardos de ancho de banda, que se hace con usuarios del directorio activo, especificados en ficheros de texto. La clasificación de dichos grupos se encuentra explicada en el propio fichero de configuración, así como la calidad del servicio que se le brinda a cada uno. El SSL Bump está habilitado (si no se desea usar SSL Bump omitir sus líneas de configuración).

En el propio fichero de configuración se explican muchas de sus opciones de configuración, así como la estructura elegida por los autores para la confección de la misma. Se trata de un ejemplo práctico para cualquier red empresarial que use un servidor proxy Squid.

Para este ejemplo se utilizaron los siguientes datos. Usted debe sustituir los valores del dominio y las IPs por las de su propia red, donde sea necesario.

Red:

  • Domain = empresa.midominio.cu
  • Subnet = 192.168.0.0/16
  • Cantidad de usuarios aproximados: 400

Servidor Proxy:

  • IP de eth0 = 192.168.120.43
  • IP de eth1 (opcional) = 172.16.120.43
  • HOSTNAME = proxysquid.empresa.midominio.cu
  • Kerberos computer name = PROXYSQUID

ADDC:

  • IP = 192.168.120.31
  • HOSTNAME = pdc1.empresa.midominio.cu

La definición de los grupos de usuarios que serán utilizados se explica en la siguiente tabla:

Grupos Generales:

ServicioDerecho de AccesoID de GrupoDescripciónLimitaciones
Internet

[inter]

Full

[f]

Redes

[redes]

Administradores de RedSin restricciones de ancho de banda. Todo el horario laboral.

Solo se encuentran limitados por las “blacklists”.

Informatica

[informatica]

Desarrolladores de Software, Taller Técnico, RSI e InformáticosPoseen los mismos derechos de acceso que «redes» pero menor ancho de banda, durante todo el horario laboral.

Sólo se encuentran limitados por las “blacklists”.

Directores

[directores]

Directores principales de la empresaSin restricciones de ancho de banda, durante todo el horario laboral.

Sólo se encuentran limitados por las “blacklists”.

Directivos

[directivos]

Directores de UEB y direcciones.Poseen los mismos derechos que «directores» pero menor ancho de banda, durante todo el horario laboral.

Sólo se encuentran limitados por las “blacklists”.

ComInst

[cominst]

Comunicación Institucional

(cara pública de la empresa)

Poseen los mismos derechos que «directores» pero menor ancho de banda, durante todo el horario laboral.

Sólo se encuentran limitados por las “blacklists”.

Restricted

[r]

Usuarios

[usuarios]

Resto de usuarios con internetRestricciones de acceso y ancho de banda, por horarios.
Intranet

[intra]

Restricted

[r]

UsuariosTodos los usuarios de la empresa, que no pertenezcan a ningún otro grupo.Restricciones de acceso a internet e intranet, y ancho de banda durante todo el horario laboral.

Todos los usuarios deben tener como mínimo, acceso a la prensa digital y los medios informativos digitales nacionales.

Full

[f]

Usuarios

[usuarios]

Usuarios de intranetRestricciones de acceso a internet y ancho de banda, durante todo el horario laboral.

Son usuarios de intranet sin limitaciones de acceso dentro de esta red.

Una representación gráfica de la anterior tabla, sería la siguiente imagen:

Sin embargo, también existen algunas violaciones de las fronteras entre estos grupos, generándose grupos específicos, que son explicados en la siguiente tabla:

Grupos Específicos (sus miembros son integrantes de alguno de los grupos generales):

ServicioDerecho de accesoID de GrupoDescripción
Internet

[inter]

YouTube

[yt]

Usuarios

[usuarios]

Usuarios de internet restringidos que necesitan acceder a YouTube en todo momento.
Intranet

[intra]

Priviledged

[p]

Usuarios

[usuarios]

Usuarios de intranet privilegiados, ya sean restringidos o con acceso completo a intranet, que pueden acceder a sitios en internet, relacionados con el trabajo de la empresa.

4.1. Configuraciones del ejemplo

Antes de proseguir, debido a los requisitos de este ejemplo integrador, se debe de haber configurado previamente la integración de Squid con Kerberos, así como las configuraciones previas para el uso del MITM por SSL Bump. Una vez hecho esto continuamos con el procedimiento.

Detenemos Squid:

Creamos un nuevo fichero de configuración para Squid:

Agregamos la siguiente configuración básica para un único proxy. Recuerde adaptar la configuración a su red:

NOTA: Gran parte de la configuración, solo será legible y entendible a través de un editor de texto en consola u otros programas a fines.