Proxy Politicas y filtros - tectijuana/redes7a-Archived GitHub Wiki

##Que es proxy? El servidor Proxy sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP. ##Políticas Un servidor proxy de políticas es un servidor que actúa como intermediario entre una red menos fiable y una más fiable. El servidor intermediario habilita a la empresa a proporcionar seguridad, control administrativo, y servicios de almacenamiento en antememoria.

Un servidor proxy de políticas está asociado o forma parte de un servidor de pasarela que separa la red empresarial de las redes externas. Un servidor proxy también se asocia con un servidor de cortafuegos que protege la red empresarial de las intrusiones externas.En un entorno de Security Access Manager, el servidor proxy de políticas se ejecuta en nombre del servidor de políticas para un número especificado de tareas administrativas y del gestor de recursos. Un ejemplo son los mandatos pdadmin.

El proxy es útil en un despliegue de red de área extensa (WAN)donde el servidor de políticas y varias aplicaciones están desplegados en distintas ubicaciones a través de una conexión lenta. Normalmente esto ocurre cuando el servidor de políticas y las aplicaciones están desplegadas en diferentes ubicaciones geográficas. Un proxy puede estar desplegado en la misma red que las aplicaciones y las aplicaciones pueden estar configuradas para atravesar el proxy. En este caso, solo el proxy, no cada aplicación, se contacta con el servidor de políticas. Esta configuración es importante por las siguientes razones:

  • El servidor proxy de políticas se puede configurar para copiar en caché la política de seguridad. Cuando se produce una actualización de política en el servidor de políticas, solo se transmitirá una copia de la política desde el servidor de políticas al proxy. A continuación, el proxy proporciona la política a todas las aplicaciones. Si no existiera el proxy, cada aplicación individual tendría que solicitar y recibir la política del servidor de políticas, aumentando significativamente el tráfico en la red.

  • Esta configuración también puede mejorar la seguridad. Puede configurar cortafuegos entre las ubicaciones de forma que solo el proxy se contacta con el servidor de políticas, no las aplicaciones.

En la imagen muestra la interacción entre las aplicaciones, el servidor proxy de políticas y el servidor de políticas. Servidor Proxy

##Filtros Funcionamiento Básico: Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el proxy añade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (Por Ejemplo: una página web) en una cache que permita acelerar sucesivas consultas coincidentes.

##Dansguardian DansGuardian es un filtro directo que se ubica entre el el cliente Web (web browser) y el Servidor Proxy Squid. Dansguardian acepta conexiones en el puerto 8080 y se conecta a squid en el puerto 3128. Por lo tanto, es importante que no haya otro servicio utilizando el puerto 8080.

Si lo que se desea es poder filtrar por contenido lo que se navega en tu red, DansGuardian te puede ayudar a poder poner las reglas de la navegación, solo se debe parametrizar al gusto y trabaja en conjunto con Squid.

Al instalar el paquete la configuración por defecto ya limita las visitas a páginas prohibidas para menores, pero dispone de gran cantidad de archivos de configuración para llevar a cabo un ajuste del servicio mas personalizado. El mecanismo es el siguiente: los clientes mediante sus navegadores web hacen peticiones de páginas que son recibidas por DansGuardian y sólo son redireccionadas al servidor proxy SQUID aquellas que superan la fase de filtrado.

cliente web -> DansGuardian -> Squid -> servidor

En realidad DansGuardian se ejecuta como un demonio independiente del proxy, acepta peticiones en el puerto 8080 y las redirecciona al proxy SQUID, que escucha en el puerto 3128. Por lo tanto, cuando una petición entra por el puerto 8080, DansGuardian la filtra y la pasa al proxy SQUID por el puerto 3128. Es importante, en consecuencia, que ningún otro servicio esté utilizando el puerto 8080. Si el resultado del filtrado (dependiendo de los filtros configurados) es una denegación de acceso a una determinada página web se muestra al usuario el mensaje correspondiente al 'Acceso Denegado'. Si DansGuardian está en la máquina que hace de cortafuegos y se configura un proxy transparente1 en SQUID, habrá que redireccionar todo el tráfico saliente en el cortafuegos del puerto 80 al puerto 8080. Es decir, se capturan todas las peticiones que se hagan a un servidor http (petición de páginas web) y se envían a DansGuardian (8080) para que se encargue del filtrado.

Bibliografia:

IBM