IMPLEMENTACIÓN Proxy Firewall
IMPLEMENTACIÓN Proxy Firewall
IMPLEMENTACIÓN Proxy Firewall
POLÍTICAS DE SEGURIDAD.
INDICE
INDICE............................................................................................................2
NTRODUCCIÓN...............................................................................................3
OBJETIVOS...................................................................................................... 5
CAPITULO 1: .................................................................................................. 6
BASE TEÓRICA................................................................................................6
MARCO TEÓRICO............................................................................................7
CAPITULO 2:................................................................................................. 24
IMPLEMENTACIÓN Y CONFIGURACIÓN........................................................24
PRUEBAS Y RESULTADOS.............................................................................62
CONCLUSIONES............................................................................................67
RECOMENDACIONES.....................................................................................68
BIBLIOGRAFÍA...............................................................................................69
ANEXOS........................................................................................................70
Redes y Telecomunicaciones II
Página 2
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Dansguardian:...........................................................................................83
Squid:........................................................................................................85
NTRODUCCIÓN
Redes y Telecomunicaciones II
Página 3
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso
público en el Internet.
Redes y Telecomunicaciones II
Página 4
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
OBJETIVOS
• GENERAL
• ESPECIFICOS
Redes y Telecomunicaciones II
Página 5
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
CAPITULO 1:
BASE TEÓRICA
Redes y Telecomunicaciones II
Página 6
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
MARCO TEÓRICO
I. CENTOS
Porqué CentOS?
CentOS tiene claras ventajas frente a otras distribuciones de Linux como SO de
servidor a causa de una gran activa y creciente comunidad de usuarios de soporte,
actualizaciones de seguridad rápida mantenida por CentOS, dedicado equipo de
desarrolladores, y el apoyo de respuesta rápida a través de chat IRC, manuales en
línea, FAQ, listas de correo y foros. Siendo ya un usuario hace un buen tiempo de
CentOS, he encontrado por mí mismo que el apoyo en estos lugares es tan bueno
como y, a menudo superior a los soportes pagados de otras empresas. CentOS
siempre tiene una ventaja clara entre el personal de apoyo de alojamiento web.
Por término medio, los administradores de servidores Linux y personal de apoyo
están más familiarizados con la distribución CentOS que cualquier otra distribución
y los problemas se resuelven más rápido, ya que es muy probable que ellos
incurran en algún mismo problema. CentOS también está siendo constantemente
actualizado con nuevos parches de seguridad, los parches y mejoras en el
Redes y Telecomunicaciones II
Página 7
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
desempeño. El tiempo necesario para parchar CentOS es mejor que el tiempo
necesario para los parches de cualquier otro servidor de OS.
Al igual que antes de que la empresa Red Hat, CentOS es increíblemente estable
y eficaz de los recursos. A través de sus cinco iteraciones, se ha optimizado para
correr Apache, PHP, MySQL, Ruby on Rails, y una variedad de otros marcos de
desarrollo con la máxima eficacia. Si estás buscando alojarte a ti mismo, CentOS
es probablemente el sistema operativo que usted desea utilizar como se hace
desde el suelo hasta que sea fácil de mantener y muy apto para el uso a largo
plazo.
Estas razones, junto con el hecho de que siempre hay para mejorar el desarrollo
activo de la plataforma, la infraestructura de la comunidad, una comunidad de
amistad, y el apoyo de una gran cantidad de proveedores de alojamiento web
CentOS hacer la elección clara para el alojamiento web tanto ahora como para la
previsible futuro.
II. PROXY
a) Definición
Redes y Telecomunicaciones II
Página 8
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
o También existen proxies para otros protocolos, como el proxy de
FTP.
- Una guerra proxy es una en la que las dos potencias usan a terceros para
el enfrentamiento directo.
• Principio de funcionamiento
• El filtrado
Redes y Telecomunicaciones II
Página 9
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
• Autenticación
• Almacenamiento de Logs
- Cookies
- Pop-ups
- Banners
- Scripts
- Información confidencial en los campos de texto (nombre de usuario y
contraseña)
c) Proxys transparentes
Muchas organizaciones (incluyendo empresas, colegios y familias) usan los
proxies para reforzar las políticas de uso de la red o para proporcionar seguridad y
servicios de caché. Normalmente, un proxy Web o NAT no es transparente a la
aplicación cliente: debe ser configurada para usar el proxy, manualmente. Por lo
tanto, el usuario puede evadir el proxy cambiando simplemente la configuración.
Una ventaja de tal es que se puede usar para redes de empresa.
Página 10
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
d) Ventajas
En general (no sólo en informática), los proxies hacen posibles varias cosas
nuevas:
- Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar equipado
para hacer el trabajo real.
e) Desventajas
Redes y Telecomunicaciones II
Página 11
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
- Intromisión. Es un paso más entre origen y destino, y algunos usuarios
pueden no querer pasar por el proxy. Y menos si hace de caché y guarda
copias de los datos.
III. FIREWALL
Por muchas razones, esta amenaza es aún mayor cuando la máquina está
permanente conectada a internet:
Por lo tanto, es necesario que tanto las redes de las compañías como los usuarios
de internet con conexiones por cable o ADSL se protejan contra intrusiones en la
red instalando un dispositivo de protección.
Redes y Telecomunicaciones II
Página 12
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
a) ¿Qué es un Firewall?
Redes y Telecomunicaciones II
Página 13
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
No se ejecute ningún otro servicio más que el servicio de filtrado
de paquetes en el servidor.
− Ruteador Filtra-paquetes.
− Gateway a nivel-aplicación.
− Gateway a nivel-circuito.
Ruteador Filtra-paquetes.
Gateways a nivel-aplicación
Gateway a nivel-circuito
Redes y Telecomunicaciones II
Página 14
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Tal como se menciono anteriormente, este gateway simplemente trasmite la
conexión a través del firewall sin examinarlo adicionalmente, filtrarlo, o
dirigiendo el protocolo de Telnet.
Redes y Telecomunicaciones II
Página 15
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
- Audita y registra internet.- Permite al administrador de red justificar el gasto
que implica la conexión a internet, localizando con precisión los cuellos de
botella potenciales del ancho de banda.
Redes y Telecomunicaciones II
Página 16
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
- Bloquear la conexión (denegar)
- Rechazar el pedido de conexión sin informar al que lo envió
(negar)
El primer método es sin duda el más seguro. Sin embargo, impone una
definición precisa y restrictiva de las necesidades de comunicación.
Así, los paquetes de datos que se han intercambiado entre un ordenador con
red externa y uno con red interna pasan por el firewall y contienen los
siguientes encabezados, los cuales son analizados sistemáticamente por el
firewall:
Redes y Telecomunicaciones II
Página 17
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
La siguiente tabla proporciona ejemplos de reglas del firewall:
Los puertos reconocidos (cuyos números van del 0 al 1023) están asociados
con servicios ordinarios (por ejemplo, los puertos 25 y 110 están asociados con
el correo electrónico y el puerto 80 con la Web). La mayoría de los dispositivos
de firewall se configuran al menos para filtrar comunicaciones de acuerdo con
el puerto que se usa. Normalmente, se recomienda bloquear todos los puertos
que no son fundamentales (según la política de seguridad vigente).
g) Filtrado Dinámico
Página 18
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
dinámica (es decir, aleatoria) para establecer una sesión entre la máquina que
actúa como servidor y la máquina cliente.
El hecho de que el filtrado dinámico sea más efectivo que el filtrado básico de
paquetes no implica que el primero protegerá el ordenador contra los hackers
que se aprovechan de las vulnerabilidades de las aplicaciones. Aún así, estas
vulnerabilidades representan la mayor parte de los riesgos de seguridad.
h) Filtrado de aplicaciones
Redes y Telecomunicaciones II
Página 19
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente
"pasarela de aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes
mediante la intervención y la realización de una evaluación completa del
contenido en los paquetes intercambiados. Por lo tanto, el proxy actúa como
intermediario entre los ordenadores de la red interna y la red externa, y es el
que recibe los ataques. Además, el filtrado de aplicaciones permite la
destrucción de los encabezados que preceden los mensajes de aplicaciones, lo
cual proporciona una mayor seguridad.
El término firewall personal se utiliza para los casos en que el área protegida
se limita al ordenador en el que el firewall está instalado.
Redes y Telecomunicaciones II
Página 20
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Los firewalls en Internet administran los accesos posibles del Internet a la red
privada. Sin un firewall, cada uno de los servidores propios del sistema se
expone al ataque de otros servidores en el Internet. Esto significa que la
seguridad en la red privada depende de la "Dureza" con que cada uno de los
servidores cuenta y es únicamente seguro tanto como la seguridad en la
fragilidad posible del sistema.
Redes y Telecomunicaciones II
Página 21
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Con el paso de algunos años, el Internet ha experimentado una crisis en las
direcciones, logrando que el direccionamiento IP sea menos generoso en los
recursos que proporciona. Por este medio se organizan las compañías
conectadas al Internet, debido a esto hoy no es posible obtener suficientes
registros de direcciones IP para responder a la población de usuarios en
demanda de los servicios. Un firewall es un lugar lógico para desplegar un
Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio
de direccionamiento acortando y eliminando lo necesario para re-enumerar
cuando la organización cambie del Proveedor de Servicios de Internet (ISPs).
Por supuesto que los sistemas firewall no brindan seguridad absoluta; todo lo
contrario. Los firewalls sólo ofrecen protección en tanto todas las
comunicaciones salientes pasen sistemáticamente a través de éstos y estén
configuradas correctamente. Los accesos a la red externa que sortean el
Redes y Telecomunicaciones II
Página 22
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
firewall también son puntos débiles en la seguridad. Claramente, éste es el
caso de las conexiones que se realizan desde la red interna mediante un
módem o cualquier otro medio de conexión que evite el firewall.
Redes y Telecomunicaciones II
Página 23
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
CAPITULO 2:
IMPLEMENTACIÓN Y
CONFIGURACIÓN
Redes y Telecomunicaciones II
Página 24
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
I. EQUIPOS Y/MATERIALES NECESARIOS PARA LA CONFIGURACIÓN DEL
PROXY/FIREWALL (Ver Anexo 2)
1 Router.
1 Switch.
1 PC servidor Proxy/Firewall.
1 PC servidor Web.
2 PC Clientes para nuestra LAN o red corporativa.
Cables par trenzado 3 directos y 2 cruzados.
Conectores RJ45.
Cable consola para la configuración del Router.
Redes y Telecomunicaciones II
Página 25
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Configurar los parámetros de red en una estación de trabajo Linux se realizo los
siguientes procedimientos:
Lo anterior devuelve una salida similar a la siguiente (en el caso de una tarjeta
3Com 905 C).
Redes y Telecomunicaciones II
Página 26
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Se debe establecer un nombre para el sistema. Este deberá ser un FQDN
(acrónimo de Fully Qualified Domain Name o Nombre de Dominio
Plenamente Calificado) resuelto por un servidor de nombres de domino
(DNS) o bien. En el caso de sistemas sin conexión a red o sistemas
caseros, sea resuelto localmente en el fichero /etc/hosts. De tal modo, el
nombre del anfitrión (hostname) del sistema se definirá dentro del
fichero /etc/sysconfig/network del siguiente modo:
NETWORKING=yes
HOSTNAME=localhost.tobe
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.1.1
NETMASK=255.255.255.0
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.2.2
NETMASK=255.255.255.0
GATEWAY=192.168.2.1
• Servidores de nombres.
Redes y Telecomunicaciones II
Página 27
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Debe modificarse con un editor de textos vim /etc/resolv.conf, donde se
establecerán los servidores del sistema de resolución de nombres de
dominio (DNS). Ejemplo:
nameserver 192.168.3.2
net.ipv4.ip_forward = 1
• La función Zeroconf.
Redes y Telecomunicaciones II
Página 28
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
NETWORKING=yes
HOSTNAME=localhost.tobe
NOZEROCONF=yes
Al terminar, solo hay que reiniciar el servicio de red para que surtan efecto
los cambios y comprobar de nuevo con el mandato route -n que la ruta
para Zeroconf ha desaparecido:
Redes y Telecomunicaciones II
Página 29
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
service mDNSResponder stop
IPv4 solo incluye soporte para 4,294 mil millones (4,294 x 109) de
direcciones IP, lo cual es adecuado para asignar una dirección IP a cada
persona del planeta. IPv6 incluye soporte para 340 undecillones (340 x
1038) de direcciones IP. Se espera que IPv4 siga siendo útil hasta
alrededor del año 2025, lo cual dará tiempo a corregir errores y problemas
en IPv6.
Redes y Telecomunicaciones II
Página 30
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
tobe net-pf-10 off
Al terminar utilice:
depmod -a
reboot
Redes y Telecomunicaciones II
Página 31
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Se realizo la seguridad a nivel consola y acceso remoto.
Redes y Telecomunicaciones II
Página 32
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
a) Instalación
Para poder instalar el servicio de Squid tendremos que ejecutar los siguientes
comandos como usuario root.
Con esto instalaremos nuestro servidor Squid más las dependencias que
tenga.
/etc/squid
Redes y Telecomunicaciones II
Página 33
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Ya dentro de esta carpeta se encontraran varios archivos pero el más
importante es el squid.conf el cual se encarga de la configuración del servicio.
c) Configuración Squid.
- http_port
- cache_dir
- httpd_accel_host
- httpd_accel_port
- httpd_accel_with_proxy
• Parámetro http_port
http_port 3128
• Parámetro cache_mem
Redes y Telecomunicaciones II
Página 34
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Establece la cantidad de memoria RAM dedicada para almacenar los datos
más solicitados. Esta opción viene comentada por los cual la des
comentaremos para darle un valor reservado en memoria RAM.
# cache_mem 8 MB
Por:
cache_mem 50 MB
• Parámetros cache_swap
#cache_swap_low 90
#cache_swap_high 95
Por:
cache_swap_low 90
cache_swap_high 95
Con esto decimos al squid que mantenga los niveles del espacio del area
de intercambio entre 90% y 95%.
• Parámetros maximum_object_size
Utilizamos esta directiva para indicar el tamaño maximo para los objetos a
almacenar en la cache.
#maximum_object_size 4096 KB
Por:
Redes y Telecomunicaciones II
Página 35
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
maximum_object_size 10240 MB
• Parámetro hierarchy_stoplist
Este parámetro es útil para indicar a squid que páginas que contengan
ciertos caracteres no deben almacenarse en cache. También se pueden
incluir como sitios de web mail y paginas locales en su red ya que no sería
necesario almacenarlas en el cache, esta opción ya viene habilitada
solamente tendremos que modificarle algunos datos de la misma.
hierarchy_stoplist cgi-bin ?
por
• Parámetro visible_hostname
Es el nombre del equipo, el nombre debe ser igual a los siguientes ficheros
/etc/hosts y en /etc/sysconfig/network. Este parámetro no viene
configurado en el archivo de configuración, tendremos que agregar y que
en ocasiones pueda ser que nuestro servicio de squid no quiera iniciar.
visible_hostname mantis
• Parámetro cache_dir
por
Redes y Telecomunicaciones II
Página 36
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Con esto establecemos el tamaño que deseamos que tenga la cache en el
disco, se puede incrementar hasta el tamaño que desee el administrador,
nosotros establecemos 700MB de cache con 16 directorios subordinados y
256 niveles cada uno.
• Parámetro access_log
• Parámetro cache_log
cache_log /var/log/squid/cache.log
d) Reglas acl
Una ACL es una definición de control de acceso, que utiliza squid para
especifica mediante el, existen varios tipos de reglas ACL que comentaremos
en la tabla.
src Time
dts url_regex
srcdomain urlpath_regex
dstdomain req_mime
srcdom_regex Macaddress
dstdom_regex Password
Redes y Telecomunicaciones II
Página 37
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Las reglas que usaremos serán las siguientes:
o 192.168.1.2
o 192.168.1.3
o 192.168.1.4
o 192.168.1.5
En esta regla es llamada webmail la cual contendrá como destino final las
direcciones de webmail mas conocidos de internet.
Redes y Telecomunicaciones II
Página 38
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
acl webmailip2 dst 192.168.3.0 255.255.255.0
Archivo noporno.txt:
- Sex
- xxx
- adult
- pornotube
- chicas
- porn
- playboy
- lolitas
Redes y Telecomunicaciones II
Página 39
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
- Todas las computadoras de la red corporativa se encuentra dentro del
segmento de red 192.168.1.0/24.
Solo nos falta que en las más máquinas clientes configuremos la salida a
internet por proxy.
- Firefox
- Opera.
- Internet Explorer.
Redes y Telecomunicaciones II
Página 40
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Este tipo de configuración de squid transparente, lo que hace es que
conexiones son enrutadas al proxy sin hacer ninguna configuración en los
clientes para que tengan salida a internet. Este tipo de configuración depende
de reglas de nuestro firewall.
h) Parámetro http_port
i) Control de Acceso
Redes y Telecomunicaciones II
Página 41
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
httpd_accel_host 192.168.3.2
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
rm -f /etc/squid/errors
ln -s /usr/share/squid/errors/Spanish /etc/squid/errors
a) Configuración de DansGuardian/Squid
Redes y Telecomunicaciones II
Página 42
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
cd /etc/dansguardian
language = 'spanish'
filterip = 192.168.2.2
filterport = 8080
proxyip = 192.168.2.2
proxyport = 3128
Redes y Telecomunicaciones II
Página 43
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
daemonuser = 'clamav'
daemongroup = 'clamav'
clamdsocket = '/tmp/clamd.socket'
virusengine = 'clamdscan, clamav'
loglocation = '/var/log/dansguardian/access.log'
nonstandarddelimiter = on
usecustombannedimage = 1
custombannedimagefile = '/etc/dansguardian/transparent1x1.gif'
filtergroups = 1
filtergroupslist = '/etc/dansguardian/filtergroupslist'
bannediplist = '/etc/dansguardian/bannediplist'
exceptioniplist = '/etc/dansguardian/exceptioniplist'
banneduserlist = '/etc/dansguardian/banneduserlist'
exceptionuserlist = '/etc/dansguardian/exceptionuserlist'
showweightedfound = on
weightedphrasemode = 0
urlcachenumber = 3000
urlcacheage = 900
phrasefiltermode = 2
preservecase = 0
hexdecodecontent = 0
forcequicksearch = 0
reverseaddresslookups = off
reverseclientiplookups = off
createlistcachefiles = on
maxuploadsize = -1
maxcontentfiltersize = 256
usernameidmethodproxyauth = on
usernameidmethodident = off
preemptivebanning = on
forwardedfor = off
usexforwardedfor = off
logconnectionhandlingerrors = on
maxchildren = 120
minchildren = 8
Redes y Telecomunicaciones II
Página 44
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
minsparechildren = 4
preforkchildren = 6
maxsparechildren = 32
maxagechildren = 500
ipcfilename = '/tmp/.dguardianipc'
urlipcfilename = '/tmp/.dguardianurlipc'
pidfilename = '/var/run/dansguardian.pid'
nodaemon = off
nologger = off
daemonuser = 'nobody'
daemongroup = 'nobody'
softrestart = off
accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgi-
bin/dansguardian.pl'
Ahora nos dirigimos a configurar squid para que se pueda comunicar con
Dansguardian:
vi /etc/squid/squid.conf
Redes y Telecomunicaciones II
Página 45
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Chekamos los servicios para que se inicien con el reboot del server:
chkconfig squid on
chkconfig dansguardian on
Redes y Telecomunicaciones II
Página 46
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
STARTUP_ENABLED=Yes
CLAMPMSS=Yes
Este fichero se utiliza para definir las zonas que se administrarán con Shorewall
y el tipo de zona (firewall, ipv4 o ipsec). La zona fw está presente en el fichero
/etc/shorewall.conf como configuración predefinida. En el siguiente ejemplo se
registrarán las zonas de Internet (net), Red Local (loc) :
Redes y Telecomunicaciones II
Página 47
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
En éste se establecen cuales serán las interfaces para las tres diferentes
zonas. Se establecen las interfaces que corresponden a la Internet y Red
Local. Se cuenta con una interfaz eth0 para acceder hacia la lan y una interfaz
eth1 para acceder hacia internet, y en todas se solicita se calcule
automáticamente la dirección de transmisión (Broadcast):
En el siguiente ejemplo, se cuenta con una interfaz eth0 para acceder hacia
Internet, una interfaz eth1 para acceder hacia la LAN, y en todas se solicita se
calcule automáticamente la dirección de transmisión (Broadcast):
Hay una cuarta zona implícita que corresponde al cortafuegos mismo y que se
denomina fw.
Redes y Telecomunicaciones II
Página 48
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
para la interfaz ppp0, a través del servicio DHCP del ISP; en este mismo
anfitrión opera simultáneamente un servidor DHCP, el cual es utilizado en la
red de área local para asignar direcciones IP; por todo lo anterior se debe
activar la opción DHCP para las interfaces eth0 y eth1, que
correspondientemente son utilizadas por la zona de Internet y la red de área
local:
En este fichero se establece como se accederá desde una zona hacia otra y
hacia la zona de Internet.
Redes y Telecomunicaciones II
Página 49
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
1. La zona Lan puede acceder hacia la zona de Internet.
2. El cortafuego mismo puede acceder hacia la zona de Internet.
3. La zona Lan puede acceder hacia la zona del cortafuegos.
4. Se impiden conexiones desde Internet hacia el resto de las zonas.
5. Se establece una política de rechazar conexiones para todo lo que se haya
omitido.
Todo lo anterior permite el paso entre las diversas zonas hacia Internet, lo cual
no es deseable si se quiere mantener una política estricta de seguridad. La
recomendación es cerrar todo hacia todo e ir abriendo el tráfico de acuerdo a
como se vaya requiriendo. Es decir, utilizar algo como lo siguiente:
Redes y Telecomunicaciones II
Página 50
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Lo anterior permite al propio cortafuego acceder hacia la zona de Internet. Esta
sería la política más relajada que se pudiera recomendar para mantener un
nivel de seguridad aceptable.
eth0 192.168.0.0/24
eth0 192.168.1.0/24
Redes y Telecomunicaciones II
Página 51
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
de los servicios se asignan de acuerdo a como estén listados en el fichero
/etc/services.
ACCEPT
REDIRECT
Redes y Telecomunicaciones II
Página 52
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
(Proxy) como Squid. En el siguiente ejemplo las peticiones hechas desde la
red local y desde la DMZ serán redirigidas hacia el puerto 8080 del
cortafuegos, en donde hay un Servidor Intermediario (Proxy) configurado
de modo transparente.
Redes y Telecomunicaciones II
Página 53
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
service shorewall start
Para hacer que los cambios hechos a la configuración surtan efecto, utilce:
Cabe señalar que detener el cortafuego también detiene todo tráfico de red,
incluyendo el tráfico proveniente desde la LAN. Si se desea restaurar el tráfico
de red, sin la protección de un cortafuego, será necesario también utilizar el
guión de iptables.
chkconfig shorewall on
Redes y Telecomunicaciones II
Página 54
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
VII. CONFIGURACION DE PARÁMETROS DE SEGURIDAD
Con esto estamos desviando el trafico que venga por la LAN que vaya por web
al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no se
pueden desplegar las paginas seguras, para eso necesitamos aplicar otras
reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente
manera:
Aceptamos que todo el tráfico que viene desde la red local vaya hacia los
puertos
80/443 sean aceptadas estas son solicitudes http/https
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT
Página 55
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp --dport 53 -j ACCEPT
/etc/init.d/iptables restart
Para hacer que los cambios hechos a la configuración surtan efecto, utilce:
Redes y Telecomunicaciones II
Página 56
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
service shorewall stop
Cabe señalar que detener el cortafuegos también detiene todo tráfico de red,
incluyendo el tráfico proveniente desde la LAN. Si se desea restaurar el tráfico
de red, sin la protección de un cortafuego, será necesario también utilizar el
guión de iptables.
chkconfig shorewall on
Para hacer la configuración básica del sitio Web sigue estos pasos:
Redes y Telecomunicaciones II
Página 57
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
b) Expande *nombre del servidor (donde nombre del servidor es el nombre del
servidor) y, a continuación, expande Sitios Web.
Redes y Telecomunicaciones II
Página 58
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
NOTA:
Cada cliente que explora un sitio Web suele utilizar aproximadamente tres
conexiones.
Redes y Telecomunicaciones II
Página 59
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
NOTA:
g) Haz clic en la ficha Documentos. Anota la lista de documentos que IIS puede
utilizar como documentos de inicio predeterminados. Si deseas emplear
Index.html como documento de inicio, debes agregarlo. Para ello, sigue estos
pasos:
Redes y Telecomunicaciones II
Página 60
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
• Haz clic en Aceptar para cerrar el cuadro de diálogo Propiedades de sitio
Web predeterminado.
De esta forma, el servidor está configurado para aceptar las solicitudes Web de
entrada al sitio Web predeterminado. Puedes sustituir el contenido del sitio Web
predeterminado por el contenido Web que desees o puedes crear un sitio Web nuevo
Redes y Telecomunicaciones II
Página 61
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
CAPITULO III:
PRUEBAS Y RESULTADOS
I. PRUEBAS
Redes y Telecomunicaciones II
Página 62
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
• Luego de realizar las configuraciones de las interfaces y los
enrutamientos, se procede a comprobar si hay realmente conectividad y
para ello utilizamos el comando ping.
Redes y Telecomunicaciones II
Página 63
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Redes y Telecomunicaciones II
Página 64
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
II. RESULTADOS
• Existe una red corporativa que tiene conectividad completa entre todos los
hosts, verificamos la conexión haciendo ping a todos los puertos de
interfaces habilitados en la LAN.
Redes y Telecomunicaciones II
Página 65
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
• Existe conexión total de extremo a extremo (de la LAN corporativa hacia el
servidor WEB).
Redes y Telecomunicaciones II
Página 66
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
CONCLUSIONES
Redes y Telecomunicaciones II
Página 67
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
RECOMENDACIONES
Redes y Telecomunicaciones II
Página 68
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
BIBLIOGRAFÍA
• http://www.alcancelibre.org/staticpages/index.php/como-centos5-grafico
- Guía de instalación del centos 5.4
• http://linux-web-py.blogspot.com/2009/02/porque-centos-es-el-sistema-
operativo.html - Definición de CentOs
• http://www.linuxparatodos.net/portal/staticpages/index.php?page=19-0-
como-squid-general-Configuracion de Proxy
• http://www.linuxparatodos.net/portal/staticpages/index.php?page=como-
shorewall-3-interfaces-red – Configuracion de Firewall
• http://www.icetex.gov.co/portal/Default.aspx?tabid=1012 - Politicas De
Seguridad De La Información
Redes y Telecomunicaciones II
Página 69
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
ANEXOS
Redes y Telecomunicaciones II
Página 70
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Si desea verificar la integridad del disco a partir del cual se realizará la instalación,
seleccione «OK» y pulse la tecla ENTER, considere que esto puede demorar
varios minutos. Si está seguro de que el disco o discos a partir de los cuales se
realizará la instalación están en buen estado, seleccione «Skip» y pulse la tecla
ENTER.
Redes y Telecomunicaciones II
Página 71
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Salvo que exista una instalación previa que se desee actualizar (no recomendado),
deje seleccionado «Instalar CentOS» y haga clic en el botón «Siguiente» a fin de
realizar una instalación nueva.
Para crear las particiones de forma automática, lo cual puede funcionar para la
mayoría de los usuarios, puede seleccionar:
Redes y Telecomunicaciones II
Página 72
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Conviene crear una disposición que permita un mayor control. Seleccione «Crear
disposición personalizada».
Redes y Telecomunicaciones II
Página 73
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Se verifica la cantidad de espacio de disco con la que tenemos asignado al centos
y distribuimos para las diferentes partes: por ejemplo al boot le asignamos 100 MB
Si está conforme, haga clic otra vez en el botón «Nuevo» y proceda a crear la
siguiente partición.
Configuramos:
/: 25Gb
Swap: 2Gb
Asigne a la partición / el resto del espacio disponible menos lo que tenga calculado
asignar para la partición de intercambio (200% de la memoria física, o cuanto
baste para 2 GB). Se recomienda asignar / como partición primaria, siempre que la
tabla de particiones lo permita.
Si está conforme, haga clic otra vez en el botón «Nuevo» y proceda a crear la
siguiente partición.
Redes y Telecomunicaciones II
Página 74
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
especificando valores ligeramente por debajo y ligeramente por arriba de lo
planeado.
/usr: 8Gb
/tmp: 3Gb
/var: 10Gb
/home: 10Gb
Si está conforme con la tabla de particiones creada, haga clic sobre el botón
«siguiente» para pasar a la siguiente pantalla.
Redes y Telecomunicaciones II
Página 75
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Para configurar los parámetros de red del sistema, haga clic sobre el botón
«Modificar» para la interfaz eth0.
Redes y Telecomunicaciones II
Página 76
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Seleccione la casilla «El sistema horario usará UTC», que significa que el reloj
del sistema utilizará UTC (Tiempo Universal Coordinado), que es el sucesor de
GMT (b>Greenwich Mean Time, que significa Tiempo Promedio de Greenwich), y
es la zona horaria de referencia respecto a la cual se calculan todas las otras
zonas del mundo. Haga clic con el ratón sobre la región que corresponda en el
mapa mundial o seleccione en el siguiente campo la zona horaria que corresponda
a la región donde se hospedará físicamente el sistema.
Asigne una clave de acceso al usuario root. Debe escribirla dos veces a fin de
verificar que está coincide con lo que realmente se espera. Por razones de
seguridad, se recomienda asignar una clave de acceso que evite utilizar palabras
provenientes de cualquier diccionario, en cualquier idioma, así como cualquier
combinación que tenga relación con datos personales.
Redes y Telecomunicaciones II
Página 77
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Al terminar, haga clic sobre el botón «Siguiente», y espere a que el sistema haga
la lectura de información de los grupos de paquetes.
Redes y Telecomunicaciones II
Página 78
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Se realizará automáticamente una copia de la imagen del programa de instalación
sobre el disco duro a fin de hacer más eficiente el proceso. Dependiendo de la
capacidad del microprocesador y cantidad de memoria disponible en el sistema,
este proceso puede demorar algunos minutos.
Una vez concluida la instalación de los paquetes, haga clic sobre el botón
«Reiniciar».
Redes y Telecomunicaciones II
Página 79
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Redes y Telecomunicaciones II
Página 80
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Figura 2. Host de los clientes que servira para la comunicación dentro y fuera
de la LAN.
Redes y Telecomunicaciones II
Página 81
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Redes y Telecomunicaciones II
Página 82
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Dansguardian:
Redes y Telecomunicaciones II
Página 83
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Redes y Telecomunicaciones II
Página 84
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Squid:
Redes y Telecomunicaciones II
Página 85
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Redes y Telecomunicaciones II
Página 86
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Redes y Telecomunicaciones II
Página 87
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Redes y Telecomunicaciones II
Página 88