Buscar este blog

miércoles, 30 de mayo de 2012

Configuracion de un servidor proxy en Endian

¿Que es Proxy?

Un servidor proxy es un equipo intermediario situado entre el sistema del usuario e Internet. Puede utilizarse para registrar el uso de Internet y también para bloquear el acceso a una sede Web. El servidor de seguridad del servidor proxy bloquea algunas sedes o páginas Web por diversas razones
Vamos a hacer una solución de proxy, que contenga autenticacion de usuarios,que me filtre el contenido,Teniendo previamente el S.O Endian instalado, procedemos a crear nuestro Proxy, para ello nos vamos a la pestaña Proxy, esta pestaña se encuentra al lado de la pestaña cortafuego. damos click.

Nota: la instalación y configuración de Endian se encuentra en este link  http://andressanta.blogspot.com/2012/05/instalacion-y-configuracion-de-endian.html

damos click en HTTP y click en configuracion, en esta parte se hace las configuraciones pertinentes como son  el tipo de puerto a usar por el proxy, el tipo de idioma a utilizar, un correo el cual sera el del administrador, y los otros dos campos los dejamos por defecto osea como se encuentren, no hay que olvidar que antes de esto hay que habilitar el proxy dando click en el botón verde que se muestra en la imagen.


Permitimos los puertos  necesarios tanto desde el cliente como el cliente (SSL), este proceso es debido hacerlo en conjunto a lo que queremos, en nuestro caso filtrar contenido web, una vez echo este proceso procedemos con el proceso de autenticacion. 


Una vez clicamos en configuración de autenticaciòn se lleva a cabo un nombre de autenticaciòn el cual por defecto sera (Proxy Server), es mejor que en este paso dejen los otros campos vacíos ya que mas adelante el valor que hayas colocado se convertirán en un conflicto(Por Defecto), Luego de hacer este proceso tenemos que crear un usuario con el cual nos autenticaremos y poder tener nuestro servicio de Proxy, para ello damos click en Administrar Usuarios y nos sale esta Wizard.


                              
Acá damos el nombre con el cual nos autenticaremos, y poder tener acceso al Servicio Proxy, damos clic en Crear usuario


Luego damos en la misma pestaña (Autenticacion) echo este paso damos en Administrar Grupos y creamos un grupo para el usuario previamente creado(harry), se crea un grupo por la facilidad de crear reglas y aplicarlas a todos los usuarios pertenecientes al grupo en este caso el grupo se llamara (Killers) y damos en crear grupo.


Para que nuestro Servicio proxy coja las configuraciones damos aplicar, echo este paso procedemos a crear los Filtros para esto le damos en la pestaña Contenfilter.


Una vez que damos click en Contenfilter y crear perfil, se nos depliega este menu en el cual le damos un nombre al Filtro que sera (Contenido) , luego nos dice que podemos filtrar paginas cuyos fraces contengan ya sea pornografia, Audio Citas, etc. Escojes las fraces que quieres Filtrar.


Esta segunda Opción nos dice que podemos Filtrar las paginas con categoría ya sea Porno, Audio, Anuncios, Chat, Escojes el contenido que quieres filtar pueden ser los mismo que has escogido anterior mente.


En esta tercera Opción no deja Tanto permitir como bloquear las Paginas que queremos, en este caso bloqueare ( facebook, youtube, hotmail ) Echo este paso procederemos a Actualizar Perfil.


Damos Actualizar Perfil, para que nuestro servidor proxy tome las configuraciones echas, echo este proceso nos vamos a crear las políticas de acceso para ello damos clic en la pestaña Política de Acceso.


Una vez damos clic en Política de acceso, damos clic en Agregar política de acceso y nos lanza esta Wizard.


Colocamos que la fuente sea cualquiera igualmente hacemos con el tipo de destino esto se hace por que queremos que cualquier PC se pueda pegar al proxy siempre y cuando tenga la contraseña, en autenticación seleccionamos  Group Based  nos aparecerá el grupo creado anteriormente lo seleccionamos, luego nos aparece esto...


En este proceso dejamos los primeros campos así osea (Por Defecto), ahora en política de acceso damos Permitir Acceso y seleccionamos el nombre del filtro creado anteriormente el cual se llama (Contenido), y lo ponemos en la primera posición.


Amigos antes de este paso hay que agregarle la dirección de nuestro Servidor Proxy, en este navegador (Mozilla Firefox) se hace así: damos  clic en (editar) luego nos dirigimos a (preferencias)  luego en (avanzado) seleccionamos (Red) y damos clic en configuración manual de proxy y  agregamos la dirección del proxy y el puerto que le dimos anteriormente. Echo este paso no lanzara una Wizard la cual sera una autenticacíon asía el servidor proxy, le damos el nombre del usuario y la contraseña creado anteriormente, damos aceptar y procedemos a probrar si efectivamente nuestro servidor proxy esta en optimas condiciones de funcionamiento.


Podemos observar que la maquina que esta unida al proxy tiene salida a internet, ahora copiaremos en el browser una de las paginas bloqueadas desde el filtro..


Vemos que (www.hotmail.com) no responde esto se debe a que cuando estábamos configurando el filtro la bloqueamos, eficazmente nuestro proxy esta funcionando, vamos a probar con otras de las WEB's bloqueadas.

 
Como vemos otra pagina bloqueada era (www.youtube.com) vemos que la regla de filtrado hace su trabajo correctamente puesto que no nos deja ingresar a youtube, por ultimo probaremos la ultima pagina bloqueada.


Por mas que intentemos ingresar a (www.facebook.com) no nos dejara, esta es la forma en que nos cercioramos de que nuestro servidor proxy esta en correcto funcionamiento, y como lo vieron esto es un servidor proxy en Endian.                          

Hasta pronto!!!!!!!!!!


martes, 22 de mayo de 2012

Instalación y configuración de endian firewall

Endian

Esta es una herramienta OpenSource, desarrollada para el funcionamiento de cortafuego (firewall), gestionar amenazas, servicios de VPN y PROXY, etc. endian esta basado originalmente en IPCop.

La inplemetacion de esta herramienta es totalmente gratis, ya que es una distribucio GNU/Linux y su licencia es OpenSource. Se puede descargar la iso en este link: http://sourceforge.net/projects/efw/files/Development/EFW-2.5.1/EFW-COMMUNITY-2.5.1-201201261800.iso/download .

Características

-Mejorar la distribución de su red implementando zonas (WAN, LAN, WiFi, DMZ), moldeo de tráfico y soporta VoIP.

-Incluye paquete dinámico de firewall para la seguridad de su red, detección de intrusiones, detección de escaneo de puertos, entre otros.

-Distribuye la carga de datos.
-Hacer comunicaciones seguras con otras sedes o clientes remotos a través de VPN .

-Antivirus y filtrado de contenido para un acceso a internet más seguro.

-Manejo de proxy.

-Enrutamiento.

-Antivirus y Antispam para el correo electrónico.

-Alta disponibilidad.

-Manejo de redes inalámbricas seguras, con posibilidad de suministrar tickets de acceso.

-Su administración es por via web.

Diagrama de red
En este manual enseñaremos a implementar un endian como firewall, donde definiremos tres redes que son (WAN, LAN y DMZ). vamos a utilizar tres maquinas virtuales donde la de Endian ará las veces de firewall y salida a Internet (adaptador puente), la maquina virtual de la red LAN con el sistema operativo Windows XP (red interna), y la zona DMZ es donde tendremos los servicios de red con el sistema operativo centOS (red interna).
El firewall como tal nos ofrecera las restricciones necesariad a nuestro caso de trabajo, el cual consiste en que los usuarios de red WAN no puedan tener acceso a la red LAN pero si puedan tener acceso a la Zona DMZ, tambien la zona DMZ no podra tener acceso a la Red LAN pero si tendra salida  a Internet, por otra parte la red LAN tiene acceso a la Zona DMZ y a la Red WAN (Salida a internet).


LAN: zona verde
Dirección IP 192.168.20.0/24
servicios de red: FTP

DMZ: zona naranja (DMZ)
Dirección IP 192.168.30.0/24
servicios de red: HTTP, FTP, DNS

WAN: zona roja
Dirección IP 192.168.10.101



Instalación de ENDIAN FIREWALL

Aca escogemos el idioma deseado en este caso es el ingles.

Hacemos clic en OK.

Aceptamos la instalación y hacemos clic en OK.

Aceptamos para la posibilidad de activar el servicio de consola a través de un cable serial conectado al puerto serial del PC, hacemos clic en OK.


En este paso es cuando el programa instalador toma la posesión de todo el disco duro para así crear las particiones correspondientes.

Acá ingresamos la dirección ip para mas adelante configurar el endian firewall desde un navegador de internet, hacemos clic en OK.


Acá debemos de retirar el CD de instalación para poder continuar con la instalación, hacemos clic en OK.


Hacemos clic en OK para finalizar la instalación del ENDIAN.


En estas dos imágenes nos muestra cuando esta terminando la instalación del ENDIAN.


Tras el reinicio de la maquina, escogemos la opción de la shell que es (0), y hacemos enter.


Después al escoger la opción de la shell nos logeamos con el comando LOGIN y la contraseña es ENDIAN. Para poder entrar como root.



Configuración de ENDIAN FIREWALL

Nota:

Para la configuración del endian necesitamos una maquina windows xp que este en el mismo rango de dirección de la maquina de endian, cuando las maquinas ya hagan ping entre ellas podemos ingresar al navegador de internet de esta forma http://192.168.20.2 que es la dirección donde esta instalada la herramienta endian, y procederemos a configurar el endian por via web.


En este imagen como lo pueden observar estamos configurando la red estática para que esta maquina de windows pueda comunicarse con la maquina de endian, para hallar la configuración por via web.


Para poder acceder a la configuración del endian ingresamos a un navegador web, y colocamos la dirección ip de la maquina donde se instaló la herramienta. Hacemos clic en la flecha de abajo como lo pueden observar en la imagen.



Seleccionamos el idioma en este caso es español, hacemos clic en siguiente.




Aceptamos la licencia de la aplicación y hacemos clic en siguiente.


En esta imagen como lo pueden observar podemos realizar un respaldo de la aplicación pero en este caso no vamos hacer ningún respaldo, hacemos clic en siguiente.


En esta imagen como lo pueden ver podemos cambiar la contraseña por defecto de la herramienta, ya sea la contraseña del usuario admin y del root por el servicio de ssh, podemos utilizar la misma contraseña para ambos, hacemos clic en siguiente.


En esta imagen escogemos el primer ítem que es ( ethernet estático), aca señalamos el tipo de conexión que va a ver en la zona roja que es la WAN ya sea inalámbrico o por ethernet. Hacemos clic en siguiente.


Acá escogemos la zona naranja donde va a ir la DMZ ( zona desmilitarizada), hacemos clic en siguiente.


En esta imagen como lo pueden observar escogemos las preferencias de la red, donde decidimos que interface va hacer la zona verde donde es la red LAN, también le asignamos la dirección ip de la interface seleccionada y su correspondiente mascara de red, hacemos clic en siguiente.




En esta imagen como lo pueden observar es donde escogemos que interface va hacer la zona naranja donde es la DMZ, también colocamos la dirección ip de la interface y su correspondiente mascara de red, hacemos clic en siguiente.


En esta imagen como lo pueden observar escogemos que interface va hacer la zona roja donde va a salir a internet los usuarios de la zona verde y naranja, también especificamos la dirección y su mascara de red correspondiente, hacemos clic en siguiente.


Asignamos las direcciones ip de los DNS, hacemos clic en siguiente.


Este paso es opcional, acá colocamos la dirección de correo del administrador, hacemos clic en siguiente.


En esta imagen como lo pueden observar estamos finalizando con la configuración de la herramienta de endian, hacemos clic en acepta y aplicar la configuración.


En esta imagen como lo pueden observar esperaremos 20 segundos para acceder al endian.


Después de haber esperado los 20 segundos, nos pide el usuario y contraseña para acceder a la herramienta de endian.


Esta es la herramienta, lista para administrarla.


Asignación de reglas



LAN: zona verde
Dirección IP 192.168.20.0/24
servicios de red: FTP

LAN: zona naranja (DMZ)
Dirección IP 192.168.30.0/24
servicios de red: HTTP, FTP, DNS

WAN: zona roja
Dirección IP 192.168.10.101



Configuración del NAT PUENTE acceso a internet.


En esta imagen como lo pueden observar estamos haciendo un NAT FUENTE para que los de la zona verde puedan salir a internet por medio de la zona roja.


En esta imagen realizamos lo mismo pero para que la zona naranja (DMZ) pueda tener acceso a internet por medio de la zona roja que es la (WAN).

Configuración del trafico de ruteo (INCOMING ROUTED TRAFFIC).


Ahora nos dirigimos a (incoming routed traffic) para que la zona roja nunca se conecte con la zona verde, por el motivo de que los usuarios de la red WAN no puedan tener acceso a red LAN.

Configuración de reenvío de puertos (PORT FORWARDING/DESTINATION NAT RULE EDITOR).


En esta imagen como lo pueden observar estamos configurando para que los usuarios de la zona roja puedan tener acceso a los servicios de la zona naranja (DMZ), en nuestro caso vemos que es el servicio FTP. así sucesivamente lo pueden realizar con los otros servicios.


En esta imagen como lo pueden observar estamos configurando para que los usuarios de la zona roja se puedan conectar a la zona naranja (DMZ).así mismo lo hacemos con todos los servicios de la DMZ.


Como lo pueden ver hemos agregado previamente los servicios que van a salir a la red WAN.


Configuración del Trafico entre zonas.

En esta imagen como lo pueden observar estamos permitiendo la conexión entre la zona verde con la naranja, para que los usuarios de la zona verde puedan acceder a los servicios de la zona DMZ.


En esta imagen como lo pueden observar estamos denegando la conexión entre la zona naranja y la zona verde, para que los usuarios de la zona roja no puedan acceder por ningún motivo a la zona verde.



Configuración del trafico de salida.

En esta imagen como lo pueden observar estamos permitiendo que la zona naranja pueda abrir la conexión con la zona roja, para que los usuarios de la zona WAN ingresan a los servicios de red naranja.

Resultados de las reglas

Los usuarios de la zona verde se pueden conectar a internet satisfactoriamente.


Los usuarios de la zona verde se pueden conectar con el servicio FTP de la zona naranja (DMZ) satisfactoriamente.


Los usuarios de la zona verde se pueden conectar con el servicio HTTP de la zona naranja (DMZ) satisfactoriamente.



Los usuarios de la zona naranja se pueden conectar a internet satisfactoriamente.


La zona naranja nunca puede conectarse con la zona verde.


Como lo pueden observar desde la zona roja (WAN) no se puede obtener respuesta a la zona verde, por dicha configuración realizada anteriormente.




Vemos que desde la zona roja (WAN) podemos tener acceso a la zona naranja(DMZ) y por ello tener acceso a los servicios implementados en dicha zona, servicios como el WEB y el FTP.


Hasta pronto!!!!!!!!!!!!!