{"id":585,"date":"2011-07-01T05:06:31","date_gmt":"2011-07-01T11:06:31","guid":{"rendered":"http:\/\/www.lastdragon.net\/?p=585"},"modified":"2015-01-08T20:32:40","modified_gmt":"2015-01-09T02:32:40","slug":"proxy-invertido-usando-squid-para-cualquier-servidor-web-apache-iis-etc","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=585","title":{"rendered":"Proxy Invertido usando Squid para cualquier servidor WEB ( Apache, IIS, ETC )"},"content":{"rendered":"

En el articulo anterior de el fracaso de Anonymous contra Iniciativa M\u00e9xico<\/a>, un comentario proveniente de Armando, me pregunta si la cueva esta preparada para un ataque de Anonymous.<\/p>\n

Es muy dif\u00edcil prepararse para millones de conexiones, no se trata de no saber como defender la cueva, se trata de infraestructura y dinero, el conocimiento lo tengo, aunque no tanto dinero como para armar una infraestructura como la de televisa, aqu\u00ed voy a mostrar como armar un sitio distribuido con proxy inverso, la combinaci\u00f3n que puso en jaque a Anonymous, seg\u00fan sus propias declaraciones. Sin embargo con mis conocimientos y las redes que tengo bajo mi control creare la distribuci\u00f3n de carga junto proxy invertido, anonymous no pudo con 5 servidores distribuidos, yo solo usare 3 por que es lo que tengo en este momento disponible a la hora de escribir el articulo.<\/p>\n

Requerimiento 1<\/p>\n

1\tConfigurar tu servidor WEB para escuchar en un puerto diferente al 80, yo usare en este articulo el 85, el puerto 80 lo usara el SQUID para Proxy Invertido<\/p>\n

2\tevitar que las conexiones lleguen al puerto 85 de forma directa, solo los proxys deben alcanzar este puerto, si es posible por medio de VPN, para este ejemplo no usare VPN, pero ser\u00eda lo ideal<\/p>\n

3\tLos usuarios ni los atacantes deben conocer la IP real del servidor, en este caso no voy a ocultarla, la ip real al momento de escribir esto es 189.204.51.51, pero en una zona militarizada, no debe conocerse, por eso se usan VPN ya que todos los atacantes est\u00e1n ciegos, no saben donde est\u00e1 el servidor realmente y como le paso a Anonymous, intentaran atacar IPs al azar, pero son superficiales, jam\u00e1s tocaron la ip real, no la conocen ni la conocer\u00e1n<\/p>\n

Requerimiento 2<\/p>\n

Contar con los servidores a los cuales de preferencia, se les debe instalar GNU\/Linux y el software de proxy inverso, yo uso SQUID, se configuran de forma similar, seg\u00fan el caso en el archivo squid.conf<\/p>\n

http_port 80 accel defaultsite=www.lastdragon.net vhost
\nforwarded_for on<\/p>\n

cache_peer 189.204.51.51 parent 85 0 no-query no-digest originserver name=apache login=PASS
\nacl sites_apache dstdomain www.lastdragon.net lastdragon.net
\nacl our_sites dstdomain www.lastdragon.net lastdragon.net
\ncache_peer_access apache allow sites_apache<\/p>\n

acl all src 0.0.0.0\/0.0.0.0
\nacl manager proto cache_object
\nacl localhost src 127.0.0.1\/255.255.255.255
\nacl to_localhost dst 127.0.0.0\/8
\nacl SSL_ports port 443
\nacl Safe_ports port 80 # http
\nacl CONNECT method CONNECT<\/p>\n

http_access allow our_sites<\/p>\n

http_access allow manager all
\nhttp_access allow manager
\nhttp_access deny !Safe_ports
\nhttp_access deny CONNECT !SSL_ports
\nhttp_access deny all<\/p>\n

access_log \/var\/log\/squid\/access.
\ncache_mgr david@lastdragon.net<\/p><\/blockquote>\n

Repites la configuraci\u00f3n que de hecho ser\u00e1 id\u00e9ntica en cada servidor que vayas sumando para distribuir la carga, desde 2 hasta N cantidad<\/p>\n

Requerimiento 3<\/p>\n

Configuraci\u00f3n de tu DNS como round robin para que resuelva en cada vez una de las ips del arreglo, cada ip es uno de los servidores distribuidos<\/p>\n

Para este articulo la configuraci\u00f3n es de 3 servidores para distribuir la carga<\/p>\n

Non-authoritative answer:
\nName: www.lastdragon.net
\nAddress: 189.204.51.51
\nName: www.lastdragon.net
\nAddress: 75.125.15.77
\nName: www.lastdragon.net
\nAddress: 174.123.118.202<\/p><\/blockquote>\n

Video demostrando la situaci\u00f3n.<\/p>\n