Usar un servidor proxy de caché con Sophos Cloud

  • N.º del artículo: 121131
  • Actualizado: 20 may 2015

Este artículo explica cómo configurar un proxy de caché para estaciones de trabajo administradas con Sophos Cloud de modo que la mayoría de los equipos efectúen sus descargas desde una memoria caché local en lugar de conectarse directamente a Internet para obtener las actualizaciones.  Esto puede ser necesario por los siguientes motivos:

  • Disminuir el uso de ancho de banda de una o varias ubicaciones.
  • Agilizar la instalación inicial y reducir los tiempos de futuras actualizaciones más grandes.

Nota: si usted está usando un dispositivo como una UTM, que actúa como un proxy, le recomendamos que habilite la caché en ese dispositivo siempre que sea posible.  Por ejemplo, para habilitarla en Sophos UTM:

  • Inicie sesión en la UTM.
  • Vaya a "Protección web" > "Opciones de filtrado" > "Avanzadas".
  • Habilite la caché local.

Detectado por primera vez en

Sophos Cloud

Qué hacer

Se requieren dos componentes:

  • Un servidor proxy para almacenar en caché las actualizaciones.  Este artículo describe cómo utilizar Squid, aunque se pueden aplicar los mismos principios a otros servidores proxy.
  • Implementación del protocolo de descubrimiento automático de proxy web (WPAD) y un archivo de configuración automática de proxy (PAC) asociado. Esto es necesario para asegurar que los clientes se actualizan a través del servidor proxy de caché.

Servidor proxy

Un servidor proxy estándar configurado con almacenamiento en caché:

  1. Por defecto, Squid permitirá el almacenamiento de archivos en caché. Sin embargo, se recomienda aumentar el Tamaño máximo de objetos almacenables en caché para poder almacenar también en la caché las actualizaciones más grandes. Para ello, basta con añadir lo siguiente a "squid.conf":

    #configure squid to cache large files.
    maximum_object_size 64 MB

  2. Por defecto, squid permite todo el tráfico HTTP. Para evitar ejecutar un servidor proxy abierto en su red, esto debería restringirse.

    #only allow access to Sophos domains
    acl sophos-update-sites dstdomain .sophosupd.com .sophosupd.net
    http_access allow sophos-update-sites
    http_access deny all


  3. Se recomienda que la caché esté configurada con al menos 2 GB.

    cache_dir ufs /var/spool/squid 2048 16 256

WPAD/PAC

El servicio Sophos AutoUpdate utiliza WinHTTP para solicitudes de actualización. Por tanto, WPAD y PAC se pueden utilizar para asegurarse de que las actualizaciones se descargan a través del servidor proxy.

Resumen del procedimiento:

  1. Si todavía no usa WPAD en su entorno, configure una entrada de DNS de wpad, es decir: wpad.<sudominio>.

    Notas: 
  2. Configurar un servidor web para proporcionar un PAC al wpad del nombre del host.<sudominio>
    Este es un archivo PAC de muestra. Si no está usando un PAC existente, puede usar este directamente. Si ya tiene uno implementado, deberá modificarlo en consecuencia.

    function FindProxyForURL(url, destHost)
    {
    var myProxy = "DIRECT";
    if (dnsDomainIs(destHost, "sophosupd.com")) { myProxy = "PROXY wpad.<yourdomain>:3128"; }
    if (dnsDomainIs(destHost, "sophosupd.net")) { myProxy = "PROXY wpad. <yourdomain>:3128"; }
    return myProxy;
    }

Verificación

En la siguiente actualización puede comprobar si la configuración funciona correctamente consultando el registro del servidor proxy. Debería empezar a ver mensajes de "TCP_HIT" para los dominios "sophosupd", por ejemplo:

# egrep 'sophosupd\.(com|net)' /var/log/squid/access.log

1403060582.236 0 10.101.101.211 TCP_HIT/200 855 GET http://d1.sophosupd.com/update/cd2a5386-f08c-42b1-8d98-40240059e361/55ca257cbadbfe606fe9b35fd7719e0cx000.xml - NONE/- application/octet-stream
1403060582.240 0 10.101.101.211 TCP_HIT/200 850 GET http://d1.sophosupd.com/update/FF5DF0B0-E558-493f-9B45-A70E89B7A359/a62acc9bf0b27f4126e67301c9ba59dbx000.xml - NONE/- application/octet-stream
1403060582.245 0 10.101.101.211 TCP_HIT/200 857 GET http://d1.sophosupd.com/update/E17FE03B-0501-4aaa-BC69-0129D965F311/b51eb99e12b564ca675a471fc6820248x000.xml - NONE/- application/octet-stream

 
Si necesita más ayuda, póngase en contacto con soporte técnico.

Valore el artículo

Muy malo Excelente

Comentarios