Servidor Proxy en Endian
of 47
-
Upload
lfelipe1501 -
Category
Documents
-
view
111 -
download
4
description
Como montar un servidor proxy con endian
Transcript of Servidor Proxy en Endian
Servidor Proxy en Endian
Un servidor proxy bsicamente lo que hace es filtrar la informacin que sale de un host a la red y la redirige al proxy para controlar los sitios o las peticiones que realiza, ya sea por motivos de seguridad, autenticacin, anonimato, re direccionamiento entre otros.
Comenzamos eligiendo la opcinProxyen la barra superior del endian, all ingresaremos a configuracin y damos click sobre el botnHabilitar Proxy HTTP.
Aqu lo pondremos en modotransparentesi deseamos que el proxy este por defecto en el sistema, oNo trasparentesi queremos agregar el proxy manualmente en cada browser, elegimos el puerto por el que queremos que corra nuestro proxy, el idioma para el despliegue de error, un nombre cualquiera, una direccin de correo cualquiera, y elegimos los tamaos de descarga y de subida de archivos.
Aqui veremos los puertos que tenemos permitidos.
Aqu habilitaremos el registro, los trminos de consulta de registro, el registro de filtro de contenido, y el registro por usuarios.
Aqui agregaremos un sitio para que no quede registrado en la cache, es opcional.
Y aplicamos las reglas una vez guardadas.
Ahora realizaremos las restricciones por usuario, ingresamos aContenfilterdonde crearemos un perfil para definir la autenticacin.Le damos crear perfil, o si ya tenemos uno lo editamos.Cuando le damos crear nos despliega unas ventanas donde configuraremos las polticas de perfil, en esta configuraremos el nombre, y tenemos otras siguientes a esta donde podemos restringir por palabras o por contenidos.
La que nos importa a nosotros sera esta delistas negras y blancas personalizadas, donde pondremos en la parte que diceBloquear los siguientes sitios, agregaremos all los sitios a bloquear en nuestro caso youtube, hotmail y facebook.
Le damoscrear perfily aplicamos las reglas.
Ahora nos dirigiremos aAutenticacin, y le damos enadministrar usuarios, para crear los usuarios a los que restringiremos los sitios anteriormente mencionados.
Agregamos el nombre y la contrasea del usuario, y le damoscrear usuario.
Ahora crearemos el grupo donde estar nuestro usuario, volvemos aAutenticaciny le damos enadministrar grupos.Agregamos el nombre del grupo y seleccionamos los usuarios pertenecientes a este.
Vamos aPoltica de accesopara definir a quienes le aplicaremos estas.
En autenticacin escogemos si queremos que sea por grupo o por usuario o para cualquiera, en Filtro de perfil buscamos el perfil que creamos anteriormente llamado reglas, y le damos crear poltica.
O por usuario, le damos user based en Autenticacin y seleccionamos el usuario.
Aplicamos la regla.Ahora si tenemos el proxy modo no trasparente, lo agregaremos en nuestro browser.
Y hacemos las pruebas.
En este caso lo tenemos en autenticacin por grupo entonces al intentar ingresar a www.youtube.com nos pide que nos registremos.
En este caso lo hicimos por usuario, nos logueamos con nuestras credenciales de usuario, y vemos lo que pasa al intentar ingresar a uno de los sitios restringidos.
Nos deniega el acceso a youtube.Igualmente para hotmail.
Y tenemos acceso a otros sitios como google.
Y esto fue un servidor proxy en endian, con restricciones y autenticacin por usuario.ENDIAN FIREWALL CONFIGURACION Y ADMINISTRACION
Endian es un firewall de OpenSourcebsicamentepara el control deamenazasen nuestra red, perotambincuenta concaractersticasespeciales ya que funciona como proxy, canales VPN, enrutador, antivirus y filtrado de datos, antispam entre otras. Es bastantefcilde administrar y de instalar, conversingratuitaque podemos adquirir desde la pgina oficial como ISO de descarga.
En esta entrada configuraremos ENDIAN como firewall para implementar la seguridad a la siguiente topologa:
Direcciones:
LAN 192.168.100.0 /24FTP LAN 192.168.100.3 /24WEB LAN 192.168.100.3 /24GateWay LAN (endian) 192.168.100.2 /24DMZ 192.168.101.0 /24FTP DMZ 192.168.101.3 /24WEB DMZ 192.168.101.3 /24GateWay DMZ (endian) 192.168.101.2 /24WAN 192.168.10.0 /24Endian Interfaz WEB 192.168.10.50 /24GateWay WAN 192.168.10.1
Requerimientos:
* Red LAN: servicios privados solo accesibles desde la LAN, debe comunicarse con la DMZ y con la WAN.* Red DMZ: serviciospblicosaccesibles desde la DMZ, LAN y WAN, no debe ver la LAN.* Red WAN: Debe acceder a los serviciospblicosde la DMZ por el firewall (re direccionamientode IP) y no debe ver la LAN.* Todas las redes deben salir a internet.
Configuracin:
Al igual que en la entrada del m0n0wall, en esta agregaremos tres adaptadores de red a nuestra mquina de endian, uno paranuestraLAN otro para DMZ y otro para la WAN, una vez tengamos estos adaptadores, crearemostambinuna maquina en Windows que funcionara como servidor WEB y FTP, otra en CentOS que sera servidor WEB y FTPtambin, y un cliente en la WAN.
Lainstalacinde endian es bastante sencilla una vez pongamos a bootear nuestra maquina,escogeremosel lenguaje apropiado, que escriba los cambios en el disco duro, habilitar el servicio de consola por cable serial, agregar unadireccinip por la que accederemosvaweb a la interfaz web de endian, retiramos la ISO de intalacion de la unidad de CD y finalizamos lainstalacin, una vez hechos estos pasos empezaremos laconfiguracin.
Cuando nos aparezca este pantallaso escogeremos laopcin0para ingresar a la shell.
Una vez alli le diremosloginy pondremos la contrasea del root que por defecto esendian.
Aqui podremos administrar desde la shell de endian con algunos de los comandos que usualmente usamos en nuestras maquina con SO en Linux.
Desde la maquina Windows, pondremos la direccion IP que le dimos en lainstalacin, la pondremos en la barra de direcciones y entraremos a la interfaz web de endian.
Una vezallle daremos en elbotncon las flechas (siguiente).
Si queremos hacer un respaldo de nuestro firewall escogemos laopcinsi en el siguiente paso, en este caso le diremos que no, y continuamos.
Escogemos la contrasea para nuestro usuario y para el servicio SSH del root y continuamos.
En endian, las Zonas se definen por colores, por eso es importante leer bien lo que hacemos ya que alli esta todo muy bien definido.
En este paso configuraremos el tipo de interfaz para la zonaROJAque es la WAN, seleccionaremos ETHERNET ESTATICOpara que nuestradireccinseaesttica y le damos siguiente, donde escogeremos el color para nuestra zona DMZ que comoalldiceNARANJApara DMZ oAZULpara WI FI.
Aquconfiguraremos la zonaVERDEque sera la LAN, le pondremos unadireccinip, la que nosotros destinemos a la LAN, la mascara ychuleamoslaopcinverde en la tabla de abajo para confirmar la mac el vinculo y la interfaz en este caso eth0.
En la misma pagina configuraremos la zonaNARANJAque sera la DMZ, le pondremos unadireccinipestticay su respectiva mascara que asignamos en una previa planeacion para la DMZ y chuleamos laopcinnaranja en la tabla, si queremos cambiamos el nombre del equipo y del dominio y continuamos.
En el siguiente paso configuraremos ladireccinestticapara nuestra WAN, como sabremos que ip ponerle? en la shell de endian haremos un dhclient a la interfaz por la que este nuestra WAN en nuestro caso la eth2 y vemos que ip nos entrega.
Agregaremosla ip queobtuvimoscon la mascara, chuleamos laopcinroja o la ultima de la tabla, y agregamos el gateway.
Aqupondremos los servidores DNS que normalmente usamos para salir a internet y continuamos, donde nospedirunadireccinde correoelectrnicopero esto es opcional y se puede omitir.
Una vez estemos en el ultimo paso le damos Aceptar, aplicarconfiguracin, esperamos 20 segundos y nos aparecera el login.
Entramos con el usuarioadminy la contraseaendian(en la imagen dice conectar a 192.168.30.2, pido disculpas esto es un error de imagen, nuestradireccines la 192.168.100.2)
Configuracion del NAT
Nos dirigiremos a laopcincortafuegosyallReenvio de puertos / NATy luegoNat Fuente
Alli enOrigenle diremos que es tipoRed/IPy agregaremos ladireccinde nuestra LAN con destino a cualquier destino (0.0.0.0) y le damoscrear regla, esto es para que nuestra LAN tenga acceso a internet, crearemos dos una para la LAN y otra para la DMZ.
Aplicamos las reglas haciendo click enAplicar
Luego le daremos enIncoming Routed Trafficpara denegar el acceso de la WAN a la LAN.
Alli enOrigenle diremos que es tipoROJA(WAN) y en destino tipoZonas, seleccionamos laVERDE(LAN) y en la politica le diremosDENEGARy creamos la regla, esto quiere decir que nuestra WAN no tendra acceso a la LAN.
Ahora configuraremos las reglas de reenvosnos dirigiremos aPort forwarding / Destination NAT Rule Editor.
En tipo buscamos laopcinZona/VPN/Enlace activoy buscamos el enlace activo de nuestra WAN y lo seleccionamos, le diremos q es para el servicioFTPy en la parte Mapear a, escogemos tipoIPy ponemos ladireccinde la DMZ donde esta nuestro servicio FTP y su respectivo puerto, y que tenga acceso desde cualquier enlace activo y le damos crear regla, y creamos otra igual pero para nuestro servicio WEB.
Y asi quedaran nuestras reglas de reenvio, ahora podemos acceder desde la WAN a los servicios de la DMZ.
Ahora configuraremos el trafico entre zonas, nos dirigiremos aTrafico entre Zonasy aadiremos una nueva.
Le diremos que de la ZonaVERDEa laNARANJApermita cualquier servicio y le damos crear regla.
Luego aadiremos otra, donde le diremos que deniegue todo el trfico de cualquier servicio de la ZonaNARANJAa la VERDE, ya que este es un requisito principal que la DMZ no vea a la LAN, pero la LAN si tenga acceso a los servicios de la DMZ.
Pruebas:
Primero probaremos nuestra red LAN
En este paso intentaremos acceder al servidor FTP de la DMZ y como vemos nos pide el login por lo tanto es exitoso.
Haremos lo mismo para el servidor WEB, ytambines exitoso.
Y como podemos vertambintenemos salida a internet, si estamos utilizando un proxy se lo agregamos al navegador y listo.
Ahora desde la WAN:
Intentaremos acceder al FTP de la DMZ por reenvi, colocamos la ip de nuestro firewall la 192.168.10.50 y como vemos nos pide el login por lo tanto el reenvi fue exitoso.
Lo mismo para nuestro servidor WEB en la DMZ,tambines exitoso.
Tunel VPN endian conexin virtual IPSEC, the green bow
Tnel VPN conexin virtual IPsec
En esta entrada, configuraremos un tnel virtual para conectarnos a una red LAN desde un host en la WAN por medio de OpenVPN y una conexin virtual con IPsec, todo esto lo haremos con endian firewall, y para el cliente utilizaremos the green bow.
VPN (Virtual private network)
Red privada virtual, es una tecnologa de red que nos permite realizar una conexin de una red local a una red publica, como por ejemplo conectarnos desde nuestro hogar a nuestra oficina a travs de internet, con unas caractersticas esenciales tales como la autenticacin, la integridad y la confidencialidad sin olvidar el no repudio ( verificacin de firma).
Algunos tipos:
VPN de acceso remoto: es una de las conexiones ms comunes, un ejemplo de esta sera una conexin desde nuestro hogar a nuestra oficina mediante internet.
VPN punto a punto: esta conexin podra ser implementada por ejemplo cuando queremos conectar varias oficinas remotas de una sede en particular entre s, mediante un tnel permanente en internet.
IPsec
Son varios protocolos que actan en la capa 3 del modelo OSI, implementando seguridad, en este caso a los tneles vpn, se encarga de autenticar usuarios, cifrar datos enviados, en resumen permitir una conexin virtual segura.
Software's:
OpenVPN
Es un software que permite realizar conexiones virtuales con autenticacin de usuarios y host remotos, lo utilizaremos en el servidor, y OpenVPN Client para el cliente fuera de la LAN.
The Green Bow
Es un software que ofrece soluciones de seguridad y acta como Cliente VPN, lo instalaremos en el cliente remoto en la WAN.
Direcciones:
LAN: 192.168.100.0 /24WAN: 192.168.10.0 /24Rango OpenVPN: 192.168.100.129 - 192.168.100.190
Endian Firewall VPN Gateway LAN: 192.168.100.1Endian Firewall VPN Gateway WAN: 192.168.10.1Cliente Servidor en LAN: 192.168.100.2Cliente remoto IP WAN: 192.168.10.159Cliente remoto IP LAN mediante OpenVPN: 192.168.100.130
La instalacin de Endian Firewall es bastante sencilla y como en entradas anteriores ya est explicada, no la agregaremos a esta entrada, pero por si las dudas anexo este link con la instalacin y configuracin del mismo.
Link:http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html
Configuraciones
OpenVPN
En la barra de manu de endian, ingresaremos a VPN
Una vez all en Servidor OpenVPN activaremos el servidor, y le daremos el rango de ip disponibles de la LAN que entregara a nuestros clientes VPN.
Luego ingresamos a Cuentas donde crearemos el usuario con el que nos conectaremos, le damos el nombre y la contrasea, y en Empujar solo estas redes, damos la direccin de la LAN pero esto es opcional, y le damos guardar.Una vez creado nuestro usuario lo podemos visualizar en Configuracion de la cuenta, alli nos aparece un link de descarga el cual contiene nuestro certificado CA, lo descargaremos y lo copiaremos en una maquina cliente VPN.
Lo copiamos en el cliente.
Continuando con la configuracin, ingresamos a Avanzado, donde configuraremos el puerto (1194) y el protocolo (UDP), le damos guardar y reiniciar.En opciones global de envo de parmetros, agregaremos la direccin de nuestro servidor aunque esto es para un DNS, nosotros no tenemos servidor de nombres pero igual pondremos la direccin del gateway de LAN de nuestro servidor endian.
En la configuracin de autenticacin le diremos que es tipo PSK (usuario/contrasea), le damos guardar y reiniciar.
Ahora miraremos cual es la direccin de gateway por el que les servidor endian sale a la WAN, ingresamos a Sistema, buscamos Enlaces activos y la miramos, en nuestro caso es la 192.168.10.124, esto es para saber a que gateway se dirigira el cliente.
Ahora desde la maquina cliente descargaremos y configuraremos OpenVPN para la conexion, lo podemos descargar de:http://openvpn.net/index.php/open-source/downloads.htmlUna vez descargado, lo instalamos, la instalacin es sencilla no requiere configuraciones, nos dirigiremos la carpeta de ejemplos de configuracin del OpenVPN, ubicada en: Mi PC, Disco local C, Archivos de programa, OpenVPN, sample-config.
All buscaremos el archivo client, y lo abriremos con wordpad, lo editaremos, click derecho abrir con, y buscamos wordpad.
El archivo debe quedar de la siguiente manera:
############################################### Sample client-side OpenVPN 2.0 config file ## for connecting to multi-client server. ## ## This configuration can be used by multiple ## clients, however each client should have ## its own cert and key files. ## ## On Windows, you might want to rename this ## file so it has a .ovpn extension ###############################################
# Specify that we are a client and that we# will be pulling certain config file directives# from the server.client
# Use the same setting as you are using on# the server.# On most systems, the VPN will not function# unless you partially or fully disable# the firewall for the TUN/TAP interface.dev tap#dev tun
# Windows needs the TAP-Win32 adapter name# from the Network Connections panel# if you have more than one. On XP SP2,# you may need to disable the firewall# for the TAP adapter.#dev-node MyTap
# Are we connecting to a TCP or# UDP server? Use the same setting as# on the server.;proto tcpproto udp
# The hostname/IP and port of the server.# You can have multiple remote entries# to load balance between the servers.remote 192.168.10.124 1194( esta es la ip del gateway del servidor en la WAN y el puerto)#remote my-server-2 1194
float
# Choose a random host from the remote# list for load-balancing. Otherwise# try hosts in the order specified.#;remote-random
# Keep trying indefinitely to resolve the# host name of the OpenVPN server. Very useful# on machines which are not permanently connected# to the internet such as laptops.resolv-retry infinite
# Most clients don't need to bind to# a specific local port number.nobind
# Downgrade privileges after initialization (non-Windows only)#;user nobody#;group nobody
# Try to preserve some state across restarts.persist-keypersist-tun
# If you are connecting through an# HTTP proxy to reach the actual OpenVPN# server, put the proxy server/IP and# port number here. See the man page# if your proxy server requires# authentication.#;http-proxy-retry # retry on connection failures#;http-proxy [proxy server] [proxy port #]
# Wireless networks often produce a lot# of duplicate packets. Set this flag# to silence duplicate packet warnings.#;mute-replay-warnings
# SSL/TLS parms.# See the server config file for more# description. It's best to use# a separate .crt/.key file pair# for each client. A single ca# file can be used for all clients.ca efw-1339012775.pem(nombre del certificadoCA que descargamos)#cert client.crt#key client.key
# Verify server certificate by checking# that the certicate has the nsCertType# field set to "server". This is an# important precaution to protect against# a potential attack discussed here:# http://openvpn.net/howto.html#mitm## To use this feature, you will need to generate# your server certificates with the nsCertType# field set to "server". The build-key-server# script in the easy-rsa folder will do this.;ns-cert-type server
# If a tls-auth key is used on the server# then every client must also have the key.;tls-auth ta.key 1
# Select a cryptographic cipher.# If the cipher option is used on the server# then you must also specify it here.;cipher x
# Enable compression on the VPN link.# Don't enable this unless it is also# enabled in the server config file.comp-lzo
# Set log file verbosity.verb 3
# Silence repeating messages;mute 20
auth-user-pass
Una vez terminado de editar el archivo client, lo copiaremos en la carpeta config.
Ahora copiaremos el certificado en la carpeta config, ubicada en la carpeta OpenVPN, (en el pantallaso podemos ver la ruta completa)
En la conexin suele surgir un problema de falla de conexin, es porque falta generar la llave, ingresaremos aInicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN key.
Esto nos generara una llave llamada key en la carpeta config.
Ahora abriremos el OpenVPN GUI y nos saldr un icono en la barra inferior del equipo le damosclick derecho, Connect.
Ahora nos loggearemos con el usuario que creamos anteriormente en el servidor endian VPN.
usuario: danielcontrasea: sena.123
Ahora tenemos conexion con el servidor mediante OpenVPN.
Como lo verificamos? ingresamos a la consola de administracin y hacemos un ipconfig, veremos como nos asigno un nuevo adaptador de red con la ip del rango que asignamos al principio la 192.168.100.129.
Y vemos que el icono paso de rojo a verde, la conexin es exitosa.
Tunel IPSEC
ingresamos al servidor nuevamente a VPN.
ingresamos a IPsec y activamos el servicio, le damos guardar.
En Estado y control de conexin aadiremos una nueva conexin, un nuevo tnel, le damos aadir.
El tipo de conexion sera VPN tipo host-to-net (roadwarrior).
En la configuracin solo agregaremos el nombre y lo activaremos los dems parmetros los dejamos como estn, a no ser de que queramos hacer otro tipo de configuracin, como por ejemplo cambiar la accin de cuando se cae el tnel.
En Autenticacin la haremos por palabra clave compartida, la primera opcin, en caso tal de que queramos hacerlo por certificado, tambin estn las opciones para subirlo, o generar uno, y le damos guardar.
En avanzadas, podemos elegir el tipo de encriptacion, los grupos IKE entre otros parmetros de cifrado.
Una vez creada la conexin vemos que el estado del tunel es CERRADO.
Configuracion del cliente
Software: The Green Bow (VPN Client)
Este software lo podemos descargar de:http://www.thegreenbow.com/es/vpn_down.htmlUna vez descargado e instalado the green bow, lo configuraremos, la instalacin no requiere configuraciones, por eso no la agregue en esta entrada, despus de instalarlo nos creara el acceso directo en el escritorio, lo abrimos y vemos que nos despliega un icono en la barra inferior de nuestra maquina, le damos click derecho e ingresamos al panel de configuracin.
En este panel agregaremos las fases, que son como las reglas para el VPN y el tunel, le damos click derecho en Configuracion de VPN, Nueva Fase1.
Esto nos creara una Fase llamada Gateway, alli configuraremos en la pcion Gateway Remoto la direccion del gateway del servidor por el que sale a la WAN, la que vimos en pasos anteriores, la 192.168.10.124 este es el gateway, en Autenticacin seleccionamos la opcin Llave secreta, o si lo hicimos por certificado seleccionamos certificado y lo subimos, como lo hicimos por palabra clave, pondremos la palabra clave que pusimos en la configuracin de la autenticacin de la conexin, nuestra palabra es 1234567890, y en el IKE el tipo de criptografa que seleccionamos tambin en las opciones avanzadas de la configuracin de la conexin.
Ahora crearemos el tunel, le damos en gateway click derecho, Nueva Fase2.
Esto nos creara la segunda fase llamada Tnel, all en las Direcciones, el tipo de Direccin le diremos Direccin IP de Red, en Direccin de LAN remota, como su nombre lo especifica pondremos el gateway del servidor endian de la LAN la 192.168.100.1 con su respectiva mascara, y en PFS el grupo ya sea el DH2 o el DH5 (esto lo seleccionamos en la configuracin avanzada de la conexin en el servidor endian VPN).
Una vez configuradas las dos fases, le damos guardar y aplicar.
Vamos al icono de la barra inferior, y le damos Abrir tunel'Gateway-Tunnel'.
Si nuestras configuraciones estn bien, y no tenemos problemas de conectividad entre maquinas, tendremos xito en la conexin por IPsec, y nos saldr Tnel abierto.
En el servidor nos dirigimos a IPsec, y vemos en estado y control de conexin, que nuestra conexin esta abierta.
Si queremos ver los registros, los loggins, etc, ingresamos a Registros en la barra de menu.
Una vez alli, vemos una tabla con todos los registros que podemos ver, buscaremos el de OpenVPN.
Hacemos click en Muestra este registro nicamente, y vemos el registro, que podemos ver alli? por ejemplo la fecha, el usuario y la ip del cliente que se conecto al tnel.
Glosario
IKE (internet key exchange): es un protocolo que nos proporciona la seguridad en el protocolo IPsec, como unmtododeautenticidad, mediante llaves publicas o privadas.
AES: es unestndarde cifrado muy utilizado en criptografiasimtricaque funciona mediante un cifrado de bloques.
Creo que estos son lostrminosmas desconocidos, cualquier inquietud por favor comentar y esperar respuesta gracias.
Problemas Errores
Estas configuraciones e instalaciones son bastante sencillas pero a veces resultan pequeos conflictos estas son algunas pautas en caso de algun posible error:
* Verificar rangos de direcciones, en the green bow verificar que tengamos bien los gateways tanto de la LAN como de la WAN en las dos fases y que la maquina cliente pertenezca por al menos un adaptador de red a alguno de estas dos redes.
* Muchas veces en el OpenVPN no agregamos el KEY el cual algunas veces es necesario para la autenticacion,ingresaremos aInicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN keyy esto nos generara la llave en la carpeta config del OpenVPN y la autenticacion y la conexion deberan ser exitosas.
Esto fueinstalacin,configuracine implementacin de unaconexinvirtual segura, mediante el servidor Endian Firewall/OpenVPN e IPsec, utilizando como cliente The Green Bow, Hasta pronto!!
