Вы находитесь на странице: 1из 7

Configuracin de servidores DHCP y DNS para WPAD

En esta seccin veremos como configurar los servicios DHCP y DNS tanto de ISC (Internet
System Consortium) como de Microsoft Windows Server 2003. Los clientes que son
configurados va DHCP usarn el primer mtodo y DNS aquellos con direcciones IP fija.
Configurando el servidor ISC dhcpd para WPAD
El servidor ISC dhcpd soporta el uso de la opcin 252 asignada para proveer informacin
para localizar el script de auto configuracin PAC. En la seccin de parmetros globales del
archivo de configuracin dhcpd.conf(5) defina la opcin wpad con el cdigo 252 y de
tipo text, por ejemplo:
option wpad code 252 = text;
Adems, en el bloque de las opciones de la subred, agregue el valor para la opcin wpad,
por ejemplo:
subnet 192.168.221.0 netmask 255.255.255.0 {

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.221.255;
option routers 192.168.221.254;
option domain-name "example.com";
option domain-name-servers 192.168.221.254;
option wpad
"http://proxy.example.com/proxy.pac\n";

range 192.168.X.50 192.168.X.200;

}

Nota
Se agrega el carcter de salto de lnea para compensar el bug de IE 6+ que elimina el
ltimo carcter.
Valide la configuracin:
# dhcpd -t
Re inicie el servidor dhcpd para que los cambios tomen efecto:
# /etc/init.d/dhcp3-server restart
Configure los clientes web como se describen en la seccin Configuracin de parmetros
de proxy usando la deteccin automtica WPAD para validar su funcionamiento.
Configurando el servidor Microsoft DHCP para WPAD
Para proveer los parmetros del proxy automticamente usando el servidor DHCP de
Windows Server 2003 siga los siguientes pasos:
1. Entrar al men Inicio => Programas => Herramientas Administrativas =>
DHCP.
2. Seleccione el servidor, despus vaya al men Accin y seleccione la opcin
Configurar opciones predefinidas..., en el cuadro de Valores y opciones
predefinidas haga clic sobre el botn Agregar.
3. Agregue la opcin de nombre WPAD de tipo de dato Cadena, cdigo 252 y en
Descripcin Web Proxy Auto Discovery, por ejemplo:

Haga clic en Aceptar para guardar la nueva opcin.
4. Seleccione el mbito al que desea agregar el soporte WPAD, vaya al men Accin
y seleccione la opcin Opciones de mbito, en pestaa General de la ventana
Opciones de mbito seleccione la opcin 252 WPAD y agregue el URL del
archivo wpad.dat, por ejemplo:


Importante
Recuerde escribir el puerto 80 explcitamente en el URL.
5. Verifique que la opcin 252 WPAD este visible en las opciones del mbito, por
ejemplo:

Configure los clientes web como se describen en la seccin Configuracin de parmetros
de proxy usando la deteccin automtica WPAD para validar su funcionamiento.
Configurando el servidor ISC bind para WPAD
Si el servidor proxy tiene asignado un nombre DNS a travs de un registro A en la zona dns
local entonces se aconseja que cree un registro CNAME llamado wpad y que apunte a
nombre del servidor proxy.
Edite el archivo de la zona directa para el dominio de la red local, por ejemplo:
# vim /etc/bind/db.example.com.zone
Agregue un registro tipo CNAME apuntando al nombre del servidor proxy, por ejemplo:
proxy IN A 192.168.221.252
wpad IN CNAME proxy.example.com.

Importante
No olvide incrementar el nmero de serie de la zona.
En caso de que el servidor web en el que vaya a hospedar el script PAC se aconseja que
cree un registro A wpad apuntando a la direccin IP del servidor web, por ejemplo:
wpad IN A 192.168.221.254
Algunos clientes web localizan los parmetros de proxy haciendo consultas DNS al registro
SRV wpad.tcp, cree un registro SRV, por ejemplo:
wpad.tcp IN SRV 0 0 80 wpad.example.com.
Otra alternativa que usan algunos clientes web es localizar el URL del proxy pac va una
consulta a un registro TXT, por ejemplo:
wpad IN CNAME proxy.example.com.
wpad IN TXT "service:
wpad:!http://wpad.example.com:80/proxy.pac"
Valide el archivo de la zona:
# named-checkzone example.com /etc/bind/db.example.com.zone
Y recargue la zona:
# rndc reload example.com
Realice una consulta usando el comando host:
# host wpad.example.com
Asegurese de que desde un navegador pueda alcanzar el script usando el URL:
http://wpad.example.com/wpad.dat
Configure los clientes web como se describen en la seccin Configuracin de parmetros
de proxy usando la deteccin automtica WPAD para validar su funcionamiento.
Configurando el servidor Microsoft DNS para WPAD
Para proveer los parmetros del proxy automticamente usando el servidor DHCP de
Windows Server 2003 siga los siguientes pasos:
1. Entrar al men Inicio => Programas => Herramientas Administrativas => DNS.
2. Seleccione el servidor DNS y sobre el bloque Zonas de bsqueda directa
seleccione la zona a la que desea agregar el soporte WPAD. Vaya al men Accin y
seleccione la opcin Alias nuevo (CNAME)...
3. Cree el registro CNAME llamado wpad apuntando al host destino
proxy.example.com o como sea que se llame su servidor proxy, por ejemplo:


Nota
Tambin puede agregar el recurso wpad como un registro A.
4. Verifique que el registro fue agregado exitosamente:

Como puede ver el registro CNAME wpad apunta al host proxy que tambin tiene
un registro de tipo A.
5. Adicionalmente haga una consulta al registro wpad.example.com usando el
comando nslookup, por ejemplo:

Como puede ver la resolucin al host wpad.example.com apunta al host
proxy.example.com y el cual tiene la direccin IP 192.168.221.254, verifique que
los resultados correspondan con su entorno de red.
En sistemas Windows Server 2003 con la actualizacin de seguridad MS09-008 instalada
se enfrentarn con el problema que los clientes no pueden resolver e nombre de host
wpad.example.com aun cuando esta 100% seguro que el registro fue agregado, el origen del
problema es que la actualizacin de seguridad MS09-008 bloquea las peticiones DNS al
registro WPAD (tanto registros A como CNAME) mediante la funcionalidad Global Query
block list, por lo que los clientes no podrn localizar los parmetros del proxy a travs del
registro WPAD del servidor DNS.
En sistemas Windows Server 2003 DNS y la actualizacin MS09'008, la administracin de
la global query block list es a travs de la siguiente llave del registro:
HKLM\SYSTEM\CurrentControlSet\Services
\DNS\Parameters\GlobalQueryBlockList, por default estan incluidos los registros wpad
y isatap. Para permitir el uso del registro DNS WPAD edite el registro de windows y
modifique la llave HKLM\SYSTEM\CurrentControlSet\Services
\DNS\Parameters\GlobalQueryBlockList y elimine el valor wpad de la lista de valores,
reinicie el servicio DNS.
En sistemas Windows Server 2009 la Global query block list esta habilitada por default,
para permitir el registro DNS WPAD en el servicio DNS edite la global query block list con
el siguiente comando:
dnscmd /config /globalqueryblocklist isatap
El comando anterior remplaza la lista actual solo con isatap, recuerde ejecutar el comando
en todos los servidores DNS que son autoritativos para la zona especificada.
Para ms informacin sobre la actualizacin de seguridad MS09-008 vea el post en el blog
Security Research & Defense de Microsoft.
Configure los clientes web como se describen en la seccin Configuracin de parmetros
de proxy usando la deteccin automtica WPAD para validar su funcionamiento.