TALLER PROXY. CONFIGURANDO PROXY EN UNA APPLIANCE PFSENSE.

POR: Maicol Muoz. INSTRUCTOR: Andres Mauricio Ortiz.

Tecnlogo en administracin de redes informticas.

Gestin de la seguridad de la red. 35442.

Servicio nacional de aprendizaje (SENA) Antioquia Centro de Servicios y Gestin Empresarial. (CESGE) 2011

INTRODUCCION.La seguridad es la principal defensa que puede tener una organizacin si desea conectarse a Internet, dado que expone su informacin privada y arquitectura de red a los intrusos de Internet. El Firewall ofrece esta seguridad, mediante: Polticas de seguridad, determinando que servicios de la red pueden ser acezados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados. En este trabajo les dar a conocer como implementar y configurar un proxy con pfsense.Pfsense es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin.

MARCO TEORICO. Proxy.Un proxy me permite tener control sobre la navegacin en internet. Su finalidad ms habituales la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino. Existes mltiples proxys que cumplen la misma finalidad pero lo hacen de maneras diferentes. Estos son los tipos de proxys: Servicio Proxy o Proxy Web: Su funcionamiento se basa en el del Proxy HTTP y HTTPs, pero la diferencia fundamental es que la peticin se realiza mediante una Aplicacin Web embebida en un Servidor HTTP al que se accede mediante una direccin DNS, esto es, una pgina web que permite estos servicios. Proxy Cach: Su mtodo de funcionamiento es similar al de un proxy HTTP o HTTPs. Su funcin es precargar el contenido web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma informacin de la misma mquina u otras. Almacenar las pginas y objetos que los usuarios solicitan puede suponer una violacin de la intimidad para algunas personas. Proxys transparentes: Un proxy transparente combina un servidor proxy con NAT (Network AddressTranslation) de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores deservicios de internet (ISP).

Reverse Proxy / Proxy inverso: Un reverse proxy es un servidor proxy instalado en el domicilio de uno o ms servidores web. Todo el trfico entrante de Internet y con el destino de uno de esos servidores web pasa a travs del servidor proxy. Proxy NAT: Otro mecanismo para hacer de intermediario en una red es el NAT.La traduccin de direcciones de red (NAT, Network AddressTranslation) tambin es conocida como enmascaramiento de IPs. Es una tcnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ah el "enmascaramiento"). Proxy abierto: Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est o no conectado a su red. Cross-Domain Proxy: Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc.) que tienen restricciones para establecer una comunicacin entre elementos localizados en distintos dominios

Desarrollando.La topologa a realizar ser muy sencilla ser implementar un servidor proxy en pfsense en la interface de nuestra LAN. Ya luego de tener instalado el pfsense y configurado las interfaces no dirigimos a instalar el paquete Squid que es uno de los servidores proxy ms implementados a nivel mundial.

Para instalar el paquete Squid, entramos al sitio web administrativo del pfsense y seleccionamos la pestaa System y damos clic en la opcin Package

Luego vamos a buscar el paquete Squid y cuando ya lo encontremos al frente de paquete aparece un cuadrito con un Signo +, damos clic sobre el cuadrito para instalar el paquete.

Cuando hacemos el paso anterior nos aparecer una imagen como la que se muestra a continuacin, donde aparece el proceso de instalacin del paquete. Esperamos a que el proceso termine.

Ya de terminado el proceso de instalacin nos vamos a la opcin Services y nos debe aparecer el proxy instalado. El proxy en pfsense se hace llamar Proxy Server.Damos doble clic sobre la opcin Proxy Server para entrar a configurar y crear restricciones en el servidor proxy.

Nos vamos para la pestaa General para ver la configuracin bsica del proxy. Los cambios realizados fueron: *Especificar la interface a la cual se aplicara el servidor proxy. *Que todos los usuarios de la red LAN utilicen el proxy. *Especificamos la ruta de los logs. *Especificamos el puerto del servidor proxy. *Un nombre. *Un correo donde se enviaran los mensajes de error. *El lenguaje. Y el resto de opciones las dejamos por defecto.

Ahora lo que haremos ser crear nuestra lista de pginas a bloquear. Nos dirigimos a Services, proxy filter, general settings aqu habilitaremos todas las opciones de nuestro proxy.

Ahora para crear nuestra lista de pginas a bloquear, nos dirigimos ya dentro de la configuracin del proxy a la pestaa Target categories, para generar las listas de restricciones.

Y de la misma manera que creamos la lista para las paginas a bloquear crearemos otra lista con todas las anteriores restricciones, pero con el nombre de descanso esto para que, simplemente para que cuando creemos nuestra lista de acceso por tiempo se ejecute esta lista.

Aqu vemos nuestras dos listas.

Pasamos ya a crear una lista de tiempo, en esta lista lo que haremos ser determinar un tiempo en especifico, hay ser cuando se ejecutara nuestra lista Descanso.

Ahora lo que nos faltara ser crear una lista o mejor dicho un grupo el cual contenga nuestras dos listas (paginas denegadas y Descanso) y especificar qu lista es la que se permite y cual la que se deniega, adems de eso especificaremos que rango de ip sern aplicadas estas reglas. Para esto nos dirigimos a Groups ACL.

Y como vemos en la anterior imagen especificamos un nombre para nuestro grupo, un rango de direcciones ip y especificamos la lista de tiempo Descanso.

Aqu deberemos tener mucho cuidado y atencin, esta es la parte donde me tomo ms tiempo corregirla ya que no tena muy en claro como ejecutar bien la lista de tiempo, as que lo que deberemos hacer es, en target categores especificamos que nuestras listas todas se permitan ya que esto no nos sirve, ahora el target categories for oof-time son las ms importante para que se nos ejecuta nuestra lista de tiempo y dems, especificamos que la lista de paginas denegadas se deniegue y que la lista de Descanso y la lista por defecto se permitan. La mejor muestra de esta configuracin la puede observa en la anterior imagen.

Ahora tambin especificamos que se deniega y que no, en las actuales ACL.Nos dirigimos a common ACL. All tambin especificamos que listas se deniega y que cuales se permiten.

Ya lo nico que faltara seria guardar para que el proxy tome los cambios.

Probando.Para hacer nuestra prueba, lo realizaremos en una maquina de nuestra LAN que est dentro del rango que especificamos en nuestro grupo de ACL. A esta mquina deberemos especificarle la ip de la interface LAN o Gateway y el puerto de escucha de nuestro proxy 3128.

Denegacion por Palabras.

Denegacion por URL.

Ahora para mostrar bien la prueba por tiempo deberemos saber bien cul es la hora de nuestro pfsense especificar un tiempo para nuestra prueba.

Aplicamos todos los cambios para nuestro proxy.

Aqu vemos nuestra hora actual.

Aqu vemos que todava estn bloqueadas las paginas.

Aqu vemos que ya es la hora que especificamos en nuestra lista de tiempo,asi que ya podremos acceder a todas las paginas.

Y cuando ya se acaba el tiempo de nuevo se bloquean las pginas.

Ya con todo lo anterior se podra decir que tenemos una configuracin bsica de proxy que fue denegar por ip,por palabras,por dominios y por url adems creamos listas de acceso por tiempo. Ahora para complementar mucho ms nuestro proxy le daremos acceso por usuario. Nos dirigimos a Services, proxy server.

Aqu escogemos la pestaa local user, y creamos los usuarios los cuales podrn acceder a internet.

Ahora deberemos especificar que el mtodo de autenticacin sea por usuarios locales, nos dirigimos auth settings.

Y listo ya con esto tendremos autenticacin por usuarios locales de pfsense.

Y para complementar mucho mas nuestro proxy lo pondremos en modo tranparente esto para que el usuario no le toque especificar la ip del Gateway si no que el proxy se ejecuta en toda la red transparentemente.

Nos dirigimos a Services, proxy servers y seleccionamos la pestaa general.

Y listo ya con esto tendremos nuestro proxy transparente.

NOTA:Al habilitar el proxy transparente la opcin de autenticacin por usuario ya no nos servira.

Glosario:DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN. LAN: Una red de rea local. WAN: Las Redes de rea amplia. Router: Enrutador, en caminador. Dispositivo hardware o software para interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red. SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador. Esta herramienta soporta un amplio nmero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayora de los routers nuevos de Cisco. SSH:

SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo. JAVA: Java es un lenguaje de programacin. Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro y fiable. De porttiles a centros de datos, de consolas de juegos a superequipos cientficos, de telfonos mviles a Internet, Java est en todas partes. NAT: En las redes de computadoras, NAT es el proceso de modificacin de la direccin IP de informacin en los encabezados de paquetes IP, mientras que en trnsito a travs de un trfico de dispositivos de enrutamiento El tipo ms simple de NAT proporciona una traduccin a una de las direcciones IP. DNS: es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente.

TCP: Es uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipacin que el protocolo es TCP). TCP es un protocolo orientado a conexin, es decir, que permite que dos mquinas que estn comunicadas controlen el estado de la transmisin. UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls User Datagram Protocol) un protocolo sin conexin que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperacin de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisin de la informacin, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en ingls Trivial File Transfer Protocol), y puesto que es trivial, perder algo de informacin en la transferencia no es crucial Stateless: Crear reglas de ida y de respuesta. Statefull: Crear reglas de ida y las reglas de respuestas son automaticas no hay que crearlas. Mascara wildcard: Una mscara wildcard es sencillamente una agrupacin de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una mscara wildcard le recordar problablemente a una mscara de subred. Salvo esa apariencia, no existe otra

relacin entre ambas. Por ejemplo, una mscara wildcard puede tener este aspecto:192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255