Firewall

Curso: Gestin de Servidores Equipo de Profesores del Curso

Logro del Curso

Al termino del curso, el alumno implementa y administra sistema de proteccin de datos RAID y LVM, servidores de seguridad de red Firewall, Proxy y VPN sobre el sistema operativo GNU/Linux.

Logro de la Unidad
Al termino de la Unidad, el alumno ccomprende el funcionamiento del Firewall, identifica las arquitecturas del Firewall e implementa un Firewall en el sistema.

Temario
Firewall Tipos de Firewall Arquitecturas de Firewall NAT Netfilter IPTables

Firewall
Un firewall (Cortafuegos) en Internet es un sistema o grupo de sistemas que impone una poltica de seguridad entre la organizacin de red privada y el Internet. Para que un firewall sea efectivo, todo trfico de informacin a travs de Internet deber pasar a travs del mismo, donde podr ser inspeccionada la informacin. El firewall es parte de una poltica de seguridad completa que crea un permetro de defensa diseada para proteger las fuentes de informacin.

Operacin bsica de un Firewall

Beneficios de un Firewall
Un Firewall administra los accesos que proviene de Internet hacia la red protegida. Un Firewall es parte de una poltica de seguridad que crea un permetro de defensa diseada para proteger las fuentes de informacin de una organizacin. Los Firewalls tambin son importantes desde el punto de vista de llevar las estadsticas del ancho de banda consumido por el trfico de la red. Permite realizar supervisin de eventos de seguridad, como registro de accesos, gestin de alarmas de seguridad, auditoras y otros eventos.

Limitaciones de un Firewall
Un Firewall no protege contra ataques provenientes de conexiones que estn fuera de su operacin de control. El Firewall tampoco provee de herramientas contra la filtracin de software o archivos infectados con virus. El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo trfico est permitido. Un firewall no puede defenderse contra nuevas amenazas.

Tipos de Firewall
Firewall filtrado de paquetes (Packet filters) Firewall a nivel de circuito (Circuit Level Firewall) Firewall a nivel de aplicacin (Aplication Level Firewall) Firewall de Estado (Stateful Packet Inspection)

Firewall filtrado de paquetes

Se realiza a nivel de red, filtrando los paquetes antes de encaminarlos. Parmetros de filtrado. Interfaz de entrada/salida. Direccin de origen/destino. Protocolo (tcp/udp/icmp) y puerto origen/destino.

Firewall filtrado de paquetes

Firewall a nivel de circuito

Son proxies genricos Recogen una conexin TCP del cliente. Autentican y verifican derechos de acceso del cliente. Establece una segunda conexin TCP al servidor. Reenva datos sin comprobaciones adicionales. Es necesario que los clientes tengan implementado el software necesario para soportarlos.

Firewall a nivel de circuito

Firewall a nivel de aplicacin

No existe conectividad entre redes interna y externa. Conexin en dos pasos. Cliente -> Proxy. Proxy -> Servidor. Necesidad de un proxy por servicio. Es necesario que los clientes tengan implementado el software necesario para soportarlos.

Firewall a nivel de aplicacin

Firewall de Estado
Un cortafuegos de estado es un tipo de cortafuego que trabaja en tres de las capas del modelo TCP/IP: Capa 3 (Capa de red Internet Protocol). Capa 4 (Capa de Transporte). Capa 5 (Capa de Aplicacin). Se caracterizan porque se genera una tabla donde se mantienen los estados de las conexiones de todas las sesiones examinando cada paquete cuando pasen a travs del Firewall y sean filtrados en funcin si forman parte una sesin de comunicacin, de este modo se permite o deniega el acceso a travs del Firewall.

Firewall de Estado

Arquitecturas de Firewall
Screening Router

Dual Homed Host Screened host Screened Subnet o DMZ

Screening Router
Esta arquitectura de firewall posee uno de los modelos ms sencillos y antiguos en la capacidad de realizar un enrutado selectivo, trabajan a nivel de Transporte y de Red del modelo OSI y se encuentran conectados en ambos permetros de la red. Presenta limitaciones en cuanto a la proteccin de capas superiores a nivel OSI y soporte de polticas de seguridad complejas como autentificacin de usuarios o listas de control de acceso. Como contra parte la gran ventaja es que suelen ser econmicos, transparentes para los usuarios y poseen un alto nivel de desempeo.

Screening Router

Dual Homed Host

Esta arquitectura consiste en un nico equipo que implementa funciones de filtrado tanto a nivel de red como de aplicacin, mediante el uso de dos interfaces conectadas lgica y fsicamente a ambos segmentos de red distintos (la red interna o privada y la red externa o Internet). Esta arquitectura es mucho ms segura que la anterior aunque igualmente presenta grandes desventajas ya que si el servidor es traspasado la totalidad de la red interna queda sin proteccin.

Dual Homed Host

Screened host
Para escalar un nivel ms en trminos de seguridad, se presenta la arquitectura de screened host, donde son combinadas dos de las alternativas anteriores (Screening Router y Dual Homed Host) donde en una primera instancia se filtran paquetes mediante el router y en la segunda lnea de defensa se sita el host bastin con un reducido nmero de servicios publicados hacia el exterior. Entonces, el router se encuentra configurado para dirigir todo el trfico de la red externa al host bastin, lo nico que se puede acceder desde el exterior y este mismo dirige todo el trfico de la red interna hacia el router.

Screened host

Screened Subnet o DMZ

La arquitectura de Screened Subnet, o ms conocida como zona desmilitarizada (De-militarized Zone), es actualmente la ms utilizada e implementada ya que incrementa el nivel de seguridad agregando una subred intermedia entre las redes externa e interna, donde se ubican los servidores y servicios pblicos, de este modo se evita tener un nico punto dbil como en el caso del host bastin. Para este caso es necesario aumentar la complejidad de la configuracin anterior ubicando dos router, uno conectado al exterior (Internet) es el encargado de bloquear el trfico no deseado entre la red perimetral y la DMZ, mientras que el router interior tiene el mismo objetivo pero entre la DMZ y la red interna

Screened Subnet o DMZ

Traduccin de Direcciones de Red (NAT)

El termino de traducciones de direcciones de red NAT (Network Address Translation) o tambin conocido como IP masquerading (RFC-3022), este mtodo consiste en que las direcciones IP privadas o locales de una organizacin son traducidos (mapeados) a direcciones IP pblicas o externas validas asignadas para acceso a Internet.

Netfilter
Netfilter es una infraestructura disponible en el ncleo Linux a partir de la versin 2.4. Est compuesto por una serie mdulos del ncleo y libreras. Proporciona el filtrado de paquetes, servicio traduccin de direcciones de red NAT o enmascaramiento IP, modificacin de la informacin de los encabezados IP para el enrutamiento avanzado y administracin de los estados de conexin de red.

Funcionamiento
La herramienta IPTables hace uso de la infraestructura que ofrece Netfilter para construir reglas de filtrado de paquetes, integrando funcionalidades de NAT, manipulacin de paquetes de red y mantenimiento de los registros. Permite al administrador del sistema definir reglas acerca de qu hacer con los paquetes de red. Las reglas se agrupan en cadena, cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas, cada tabla est asociada con un tipo diferente de procesamiento de los paquetes de red.

Funcionamiento
Tablas Para el filtrado de paquetes de red se dispone de tablas que deben manejar reglas y cadenas, que se define a continuacin: Filter La tabla filter es usada para el filtrado general de paquetes. Est compuesto por las cadenas. INPUT: Es aplicado a los paquetes entrantes con destino al firewall. OUTPUT: Es aplicado a los paquetes salientes originados por el firewall. FORWARD: Es aplicado a los paquetes que son enviados con destino a otro equipo.

Funcionamiento
Nat La tabla nat es usado para la traduccin de direcciones de red (NAT), principalmente IP Masquerading y Port Forwarding a los diferentes paquetes. Est compuesto por las cadenas. PREROUTING: Se modifica los paquetes recibidos traduciendo sus direcciones de destino. POSTROUTING: Se modifica los paquetes antes de que sean enviados a travs de una interfaz de red traduciendo sus direcciones de origen. OUTPUT: Esta cadena modifica los paquetes generados localmente antes de que sean dirigidos a travs de una interface de red. .

Funcionamiento
Mangle La tabla mangle permite modificar ciertos campos como el Tipo de Servicio TOS (Type of Service) y Tiempo de vida TTL (Time to Live) del paquete IP. Esta compuesto por las cadenas INPUT, OUTPUT, FORWARD, PREROUTING y POSTROUNTING . Raw La tabla raw esta configurado para realizar excepciones al seguimiento de los paquetes, esto reduce el consumo de recurso a cambio de no poder realizar anlisis del estado de los paquetes, esta conformado por las cadenas PREROUTING y OUTPUT.

Funcionamiento
Extensiones En Netfilter existen distintas extensiones que se dividen en dos tipos en Coincidencias (Matches) y Acciones (Targets). Algunas de estas extensiones son particulares para cada una de las tablas . Coincidencias (Matches) Una coincidencia se presenta cuando un paquete corresponde a lo especificado en una regla interna que pertenece a una de las determinadas cadenas. Acciones (Targets) Se indica como es el destino final del proceso de un paquete una vez que se ha cumplido la coincidencia.

IPtables
Las comandos que son reconocidas por iptables se pueden dividir en varios grupos diferentes que se usan para definir una regla de filtrado siguiendo la siguiente sintaxis:

iptables -t table [commands][chain][rulenum][parameters][options][match] target

IPtables
Operaciones bsicas Las operaciones bsicas son los siguientes: Para modificar cadenas. -N: Crea una cadena definida por el usuario. -X: Borra una cadena definida por el usuario. -P : Asigna la poltica a una cadena. -L: Listado de todas las reglas de la cadena. -F: Borra todas las reglas de las cadenas de una tabla. -Z: Inicializa a cero el contador de bytes y paquetes en todas las cadenas de una tabla.

IPtables
Operaciones bsicas Para la modificacin de reglas. -A: Agrega una regla al final de la cadena. -I: Inserta la regla en la posicin indicada a una cadena. -R: Reemplaza la regla situada en la posicin indicada en una cadena. -D: Borra una regla de la cadena.

IPtables
Coincidencias bsicas. Las coincidencias bsicas son las siguientes: -p [protocolo]: Se especifica qu protocolo debe realizarse la comprobacin. Algunos de los valores son tcp, udp, icmp o all. Tambin puede ser un nmero o alguno de los indicados en /etc/protocols. -s [direccin/mascara]: Se indica la direccin IP o de red origen del paquete. -d [direccin/mascara]: Se indica la direccin IP o de red destino del paquete.

IPtables
Coincidencias bsicas. -i [interfaz]: Se especifica la interfaz de entrada de los paquetes. (solamente usado por las cadenas INPUT, FORWARD y PREROUTING). -o [interfaz] : Se especifica la interfaz de salida de los paquetes (solamente usado por las cadenas OUTPUT, FORWARD y POSTROUTING). --sport: Indica el puerto o rango de puertos origen de la transaccin de paquetes. --dport: Indica el puerto o rango de puertos destino de la transaccin de paquetes.

IPtables
Acciones bsicas. Las acciones bsicas son las siguientes: ACCEPT: Acepta el paquete. DROP: Descarta el paquete. REJECT: Rechaza el paquete y se notifica al emisor que el paquete fue bloqueado. LOG: Se registra informacin sobre los paquetes.

IPtables
Se muestra algunos ejemplos de reglas de filtrado de paquetes usando la tabla Filter que a continuacin se menciona: Permitir el trafico ICMP de entrada. iptables -A INPUT -p icmp -j ACCEPT
Permitir por la interfaz eth0 enviar paquetes ICMP.

iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT

Denegar por la interfaz eth1, la conexin al puerto 25, protocolo TCP.

iptables -A INPUT -i eth1 -p tcp --dport 25 -j DROP

IPtables
Rechazar por la interfaz eth0, la conexin al puerto 65000, protocolo UDP, desde la red local 192.168.1.0/255.255.255.0

iptables -A INPUT -i eth0 -p udp --dport 65000 -s 192.168.1.0/255.255.255.0 -j REJECT

Denegar el trfico desde la interfaz eth0 hacia eth1 del protocolo TCP.

iptables -A FORWARD -i eth0 -o eth1 -p tcp -j DROP

Se indica colocar como tercera regla, que se permite la conexin al puerto 80, protocolo TCP. iptables -I INPUT 3 -p tcp --dport 80 -j ACCEPT

Firewall Filtrado de Paquetes

Se implementa un Firewall de filtrado de paquetes para la red local como se muestra en la figura siguiente:

Firewall Filtrado de Paquetes

Se asigna direccin IP a cada interface de red ifconfig eth0 10.40.32.68 netmask 255.255.252.0 ifconfig eth1 192.168.1.1 netmask 255.255.255.0 Se define puerta de enlace route add default gw 10.40.32.1 dev eth0 route add -net 192.168.1.0 netmask 255.255.255.0 dev eth1
Establece parmetro del kernel para el reenvi de paquetes IP a travs de las interfaces de red del Firewall. vim /etc/sysctl.conf net.ipv4.ip_forward = 1 sysctl -p /etc/sysctl.conf

Firewall Filtrado de Paquetes

Se habilita los mdulos requeridos de Netfilter en el sistema. modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe iptable_filter modprobe iptable_nat modprobe ip_nat modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_state modprobe ipt_multiport modprobe ipt_mark modprobe ipt_MASQUERADE modprobe ipt_REDIRECT

Firewall Filtrado de Paquetes

Se habilita los mdulos requeridos de Netfilter en el sistema. modprobe ipt_REJECT modprobe ipt_limit modprobe ipt_tos Se habilita tablas y cadenas vacas en el sistema. iptables -F iptables -Z iptables -t nat -F
Estableciendo poltica de filtrado. iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP

Firewall Filtrado de Paquetes

Se permite paquetes ICMP desde el firewall. iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
Se permite el acceso a servicios Web y DNS para el firewall iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT iptables -A OUTPUT -p tcp -o eth0 --dport 80 -j ACCEPT iptables -A INPUT -p tcp -i eth0 --sport 80 -j ACCEPT Se permite el acceso al servicio DNS para la red local. iptables -A FORWARD -p udp -i eth1 -s 192.168.1.0/24 --dport 53 -j ACCEPT iptables -A FORWARD -p udp -i eth0 --sport 53 -d 192.168.1.0/24 -j ACCEPT

Firewall Filtrado de Paquetes

Se permite el acceso al servicio Web para la red local. iptables -A FORWARD -p tcp -i eth1 -s 192.168.1.0/24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 --sport 80 -d 192.168.1.0/24 -j ACCEPT SNAT Se debe aplicar SNAT (Traduccin de direcciones de red origen) despus del encaminamiento, se modifica la direccin IP origen de los paquetes de la red local (LAN) cuando salen del Firewall hacia Internet. iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT -to-source 10.40.32.68

Firewall Filtrado de Paquetes

Los clientes externos (Internet) tienen acceso al servidor Web (120.20.1.10) siendo su direccin IP 192.168.2.4 en la red interna.

iptables -A FORWARD -p tcp -i eth0 -d 192.168.2.4 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth2 -s 192.168.2.4 --dport 80 -j ACCEPT
DNAT Se aplica DNAT (Traduccin de direcciones de red destino) antes del encaminamiento, se modifica la direccin IP destino de los paquetes de la red externa (Internet) cuando ingresa al Firewall que protege la red local. iptables -t nat -A PREROUTING -i eth0 -d 120.20.1.10 --dport 80 -j DNAT --to-destination 192.168.2.4

Estados de conexin
Es una de las caractersticas de la estructura Netfilter que permite el filtrado de paquetes basado en el seguimiento de conexiones (connection tracking ), mediante el registro de todas las conexiones y de este modo relacionado con los paquetes que pueden estar asociado a una determinada conexin. Los posibles estados definidos para una conexin son los siguientes:
NEW El estado NEW (nuevo) nos indica que el paquete es el primero de una nueva conexin. ESTABLISHED El estado ESTABLISHED (establecido) especifica una conexin establecida y que admite envi de paquetes en ambas direcciones.

Estados de conexin
RELATED Para considerar una conexin en estado RELATED (relacionado) primero debemos tener otra conexin en estado establecido, este genera una nueva conexin externa a la conexin principal y ser considerado como estado relacionado. INVALID El estado INVALID (invlido) indica que el paquete no puede ser identificado o no esta asociado a ningn estado de conexin.

Firewall de Estado
Procedimiento para la implementacin de un Firewall de Estado. Se habilita tablas y cadenas vacas en el sistema. iptables -F iptables -Z iptables -t nat -F
Estableciendo poltica de filtrado. iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP

Firewall de Estado
Se permite paquetes que pertenece a estados de conexin establecido y relativo que ingresa al firewall. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Se permite paquetes ICMP desde el firewall. iptables -A OUTPUT -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT Se permite el acceso a servicios Web y DNS desde el firewall. iptables -A OUTPUT -p udp -o eth0 --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp -o eth0 --dport 80 -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Firewall de Estado
Se permite el acceso al servicio DNS para la red local. iptables -A FORWARD -p udp -i eth1 -s 192.168.1.0/24 --dport 53 m state --state NEW -j ACCEPT
Se permite el acceso al servicio Web para la red local. iptables -A FORWARD -p tcp -i eth1 -s 192.168.1.0/24 --dport 80 -m state --state NEW -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Traduccin de direcciones origen - SNAT iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT -to-source 10.40.32.68

Firewall Proxy de Aplicacin

Un servidor proxy acta de intermediario entre una conexin a Internet y una red interna, de modo que todos los pedidos a Internet de los equipos que pertenecen a la red interna pasan a travs del proxy y este realiza las conexiones a Internet y luego enva las respuestas a los equipos correspondientes de la red interna.

Firewall Proxy de Aplicacin

SQUID Es un software de libre distribucin que implementa un servidor proxy ampliamente utilizado entre los sistemas operativos GNU/Linux y Unix. Tiene como funcin principal de servidor intermediario (Proxy) que proporciona un servicio de Proxy que recibe peticiones HTTP, HTTPS y FTP a equipos que necesitan acceder a Internet y a su vez provee la funcionalidad de cach de contenidos principalmente Web, que es almacenado de forma local las pginas consultadas recientemente por los usuarios. De esta forma, incrementa la rapidez de acceso a los servidores de informacin Web y FTP que estn en Internet.

Firewall Proxy de Aplicacin

Instalacin
yum install squid Se procede a realizar la configuracin del servicio SQUID se edita el archivo /etc/squid/squid.conf donde se habilitan los parmetros que son necesarios para el funcionamiento del servidor Proxy. Numero de Puerto donde escucha el servicio squid http_port 3128 Cantidad de memoria usada por el servicio squid cache_mem 16 MB

Firewall Proxy de Aplicacin

El tamao del cach es el espacio de disco donde se almacena las paginas web, en este caso usaremos 500 MB, distribuidos en 16 directorios de primer nivel y 256 subdirectorios de segundo nivel. cache_dir ufs /var/spool/squid 500 16 256 Registro de la actividad de los clientes. access_log /var/log/squid/access.log squid Se especifica el directorio donde se encuentra los mensajes de errores.
error_directory /usr/share/squid/errors/Spanish

Firewall Proxy de Aplicacin

Correo electrnico del administrador. cache_mgr admin@domain.com Se especifica nombre del servidor donde se ejecuta el servicio squid. visible_hostname proxy.domain.com

Firewall Proxy de Aplicacin

Control de Acceso Para el control de acceso al proxy se establece Listas de Control de Acceso (ACLs) donde se definen objetos como una red o ciertos equipos en particular que se especifica en la siguiente sintaxis:
acl [nombre de la lista] [tipo de lista] [componentes de la lista] Control de acceso que especifica la direccin de red que identifica a todos los equipos de una red local. acl lan src 192.168.1.0/255.255.255.0 Control de acceso que contiene una lista de equipos no permitidos de la red local. acl denegados src "/etc/squid/denegados"

Firewall Proxy de Aplicacin

Se edita el fichero denegados que contiene una lista de direcciones IP de los equipos de la red local
vim /etc/squid/denegados 192.168.1.20 192.168.1.22 192.168.1.40 192.168.1.42 Control de acceso a sitios Web Control de acceso que especifica una lista de expresiones regulares URL de sitios web restringido. acl webdenegados url_regex "/etc/squid/webdenegados"

Firewall Proxy de Aplicacin

Se edita el fichero webdenegados que contiene una lista de sitios Web restringido.
vim /etc/squid/webdenegados www.hotmail.com .yahoo.com gmail.com games www.youtube.com

Control de acceso a contenidos por su extensin Control de acceso que especifica una lista de expresiones regulares de enlaces URL de ficheros restringido por su extensin. acl filesdenegados urlpath_regex "/etc/squid/filesdenegados"

Firewall Proxy de Aplicacin

Se edita el fichero filesdenegados que contiene una lista de ficheros restringido.
vim /etc/squid/filesdenegados \.exe$ \.mp3$ \.mpeg$ \.avi$ \.gif$ \.wma$ Control de acceso por horarios Control de acceso que especifica un intervalo de horario establecido durante la semana. acl horario time MTWHF 09:00-18:00

Firewall Proxy de Aplicacin

Reglas de control de acceso Las Reglas de control de Acceso definen si se permite o no el acceso a travs de SQUID. Se aplican a las Listas de Control de Acceso especificando la siguiente sintaxis:
http_access [allow|deny] [Lista de control de Acceso] Denegar el acceso a sitios Web que contiene el fichero webdenegados. http_access deny webdenegados Denegar el acceso a ficheros por su extensin especificado en el fichero filesdenegados. http_access deny filesdenegados

Firewall Proxy de Aplicacin

Los equipos de la red local solamente se podr conectarse en el horario de Lunes a Viernes de 09:00 hasta las 18:00 horas.
http_access allow lan horario Se permite el acceso desde la equipo local. http_access allow localhost Denegar el acceso a todos. http_access deny all

Firewall Proxy de Aplicacin

Se procede a crear el directorio cach de Squid squid -z Inicio del servicio squid chkconfig squid on service squid start

Firewall Proxy de Aplicacin

Configuracin de los clientes En el navegador Web Firefox. Seleccionamos el men Herramientas y luego Opciones.

Firewall Proxy de Aplicacin

Se selecciona Configuracin y luego configuracin manual del proxy.

Firewall Proxy de Aplicacin

Proxy Transparente El servidor Proxy SQUID tambin funciona como proxy transparente que combina un servidor proxy con NAT de manera que las conexiones son enviadas dentro del proxy sin configuracin por parte de la aplicacin del cliente (navegador Web) para el acceso a Internet. Se modifica el parmetro http_port en el fichero de configuracin /etc/squid/squid.conf, para que funcione como servidor Proxy Transparente. Numero de Puerto donde escucha el servicio squid http_port 3128 transparent

Firewall Proxy de Aplicacin

Configuracin del Firewall Se permite a los clientes de la red local tener acceso al servidor Proxy .
iptables -A INPUT -p tcp -i eth1 -s 192.168.1.0/24 --dport 3128 -m state --state NEW -j ACCEPT

Se permite el redireccionamiento de todas las entradas del puerto 80 hacia el puerto 3128 del servidor proxy.
iptables -t nat -A PREROUTING -p tcp -i eth1 -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128

Firewall Proxy de Aplicacin

SARG El programa SARG (Squid Analisys Report Generator) permite generar reportes de la informacin que esta pasando a travs del squid, como podemos ver la informacin de cada equipo que paginas han visitado, tambin su histrico de cada equipo de nuestra red. Se requiere tener instalado el servicio de apache para el acceso a los reportes a travs del navegador Web. Instalacin
yum install sarg

Firewall Proxy de Aplicacin

Se procede a realizar la configuracin de Sarg, se edita el archivo /etc/sarg/sarg.conf donde se habilitan los siguientes parmetros:
Se define el idioma usado para los reportes. language Spanish

Se especifica el fichero donde se registra el acceso de los clientes. access_log /var/log/squid/access.log

Permite que muestre nombres de dominio en vez de direcciones IP. resolve_ip yes Permite una lista por direcciones IP y no por UID de usuario. user_ip yes

Firewall Proxy de Aplicacin

Se define el formato de fecha europeo. date_format e
Por defecto permite usar el punto como separador de miles. use_comma no Permite aumentar el numero de sitios del topsites. topsites_num 200

Se especifica el directorio donde se guarda los reportes. output_dir /var/www/html/squid-reports

Firewall Proxy de Aplicacin

Ejecucin Cuando se ejecuta el comando sarg se generan las paginas html estticas con los accesos del dia. sarg
Se configura en el fichero /etc/crontab para que se ejecute en forma peridica. Por ejemplo se ejecuta sarg a las 23:40 todos los das.

40 23 * * * /usr/bin/sarg > /dev/null Inicio del servicio crond chkconfig crond on service crond start

Firewall Proxy de Aplicacin

Reportes Para visualizar los reportes generados desde un navegador Web se accede especificando la siguiente direccin. http://IP_Proxy/squid-reports/

Preguntas