Servidor Proxy en Endian

Un servidor proxy bsicamente lo que hace es filtrar la informacin que sale de un host a la
red y la redirige al proxy para controlar los sitios o las peticiones que realiza, ya sea por
motivos de seguridad, autenticacin, anonimato, re direccionamiento entre otros.
En esta practicas volveremos a trabajar con endian, sobre las reglas de firewall publicadas en
entradas anteriores, donde esta documentada la instalacin y la configuracin
( http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html ) aunque estas
reglas no son necesarias, crearemos nuestro proxy por autenticacin de usuarios y
restringiremos
algunos
sitios
por
usuarios.

Comenzamos eligiendo la opcin Proxy en la barra superior del endian, alli ingresaremos a
configuracin
y
damos
click
sobre
el
botn Habilitar
Proxy
HTTP.

Aqu lo pondremos en modo transparente si deseamos que el proxy este por defecto en el
sistema, o No trasparentesi queremos agregar el proxy manualmente en cada browser,
elegimos el puerto por el que queremos que corra nuestro proxy, el idioma para el despliegue

de error, un nombre cualquiera, una direccin de correo cualquiera, y elegimos los tamaos de
descarga y de subida de archivos.

Aqui veremos los puertos que tenemos permitidos.

Aqu habilitaremos el registro, los trminos de consulta de registro, el registro de filtro de

contenido, y el registro por usuarios.

Aqui agregaremos un sitio para que no quede registrado en la cache, es opcional.

Y aplicamos las reglas una vez guardadas.

Ahora realizaremos las restricciones por usuario, ingresamos a Contenfilter donde crearemos
un perfil para definir la autenticacin.

Le damos crear perfil, o si ya tenemos uno lo editamos.

Cuando le damos crear nos despliega unas ventanas donde configuraremos las polticas de
perfil, en esta configuraremos el nombre, y tenemos otras siguientes a esta donde podemos
restringir por palabras o por contenidos.

La que nos importa a nosotros sera esta de listas negras y blancas personalizadas, donde
pondremos en la parte que dice Bloquear los siguientes sitios, agregaremos all los sitios a
bloquear en nuestro caso youtube, hotmail y facebook.

Le damos crear perfil y aplicamos las reglas.

Ahora nos dirigiremos a Autenticacin, y le damos en administrar usuarios, para crear los
usuarios a los que restringiremos los sitios anteriormente mencionados.

Agregamos el nombre y la contrasea del usuario, y le damos crear usuario.

Ahora crearemos el grupo donde estar nuestro usuario, volvemos a Autenticacin y le damos
en administrar grupos.

Agregamos el nombre del grupo y seleccionamos los usuarios pertenecientes a este.

Vamos a Poltica de acceso para definir a quienes le aplicaremos estas.

En autenticacin escogemos si queremos que sea por grupo o por usuario o para cualquiera,
en Filtro de perfil buscamos el perfil que creamos anteriormente llamado reglas, y le damos
crear poltica.

O por usuario, le damos user based en Autenticacin y seleccionamos el usuario.

Aplicamos la regla.
Ahora si tenemos el proxy modo no trasparente, lo agregaremos en nuestro browser.

Y hacemos las pruebas.

En este caso lo tenemos en autenticacin por grupo entonces al intentar ingresar a

www.youtube.com nos pide que nos registremos.

En este caso lo hicimos por usuario, nos logueamos con nuestras credenciales de usuario, y
vemos lo que pasa al intentar ingresar a uno de los sitios restringidos.

Nos deniega el acceso a youtube.

Igualmente para hotmail.

Y tenemos acceso a otros sitios como google.

Y esto fue un servidor proxy en endian, con restricciones y autenticacin por usuario.

ENDIAN FIREWALL CONFIGURACION Y ADMINISTRACION

Endian es un firewall de OpenSource bsicamente para el control de amenazas en nuestra
red, pero tambin cuenta con caractersticas especiales ya que funciona como proxy, canales
VPN, enrutador, antivirus y filtrado de datos, antispam entre otras. Es bastante fcil de
administrar y de instalar, con versin gratuita que podemos adquirir desde la pagina oficial
como
ISO
de
descarga.
En esta entrada configuraremos ENDIAN como firewall para implementar la seguridad a la
siguiente topologia:

Direcciones:
LAN 192.168.100.0 /24
FTP LAN 192.168.100.3 /24
WEB LAN 192.168.100.3 /24
GateWay LAN (endian) 192.168.100.2 /24
DMZ 192.168.101.0 /24
FTP DMZ 192.168.101.3 /24
WEB DMZ 192.168.101.3 /24
GateWay DMZ (endian) 192.168.101.2 /24
WAN 192.168.10.0 /24
Endian Interfaz WEB 192.168.10.50 /24
GateWay WAN 192.168.10.1

Requerimientos:
* Red LAN: servicios privados solo accesibles desde la LAN, debe comunicarse con la DMZ y
con la WAN.
* Red DMZ: servicios pblicos accesibles desde la DMZ, LAN y WAN, no debe ver la LAN.
* Red WAN: Debe acceder a los servicios pblicos de la DMZ por el firewall (re
direccionamiento de IP) y no debe ver la LAN.
* Todas las redes deben salir a internet.
Configuracin:

Al igual que en la entrada del m0n0wall, en esta agregaremos tres adaptadores de red a
nuestra maquina de endian, uno para nuestra LAN otro para DMZ y otro para la WAN, una vez
tengamos estos adaptadores, crearemos tambin una maquina en Windows que funcionara
como servidor WEB y FTP, otra en CentOS que sera servidor WEB y FTP tambin, y un
cliente en la WAN.
La instalacin de endian es bastante sencilla una vez pongamos a bootear nuestra
maquina, escogeremos el lenguaje apropiado, que escriba los cambios en el disco duro,
habilitar el servicio de consola por cable serial, agregar una direccin ip por la que
accederemos va web a la interfaz web de endian, retiramos la ISO de intalacion de la unidad
de CD y finalizamos la instalacin, una vez hechos estos pasos empezaremos
la configuracin.

Cuando nos aparezca este pantallaso escogeremos la opcin 0 para ingresar a la shell.

Una vez alli le diremos login y pondremos la contrasea del root que por defecto es endian.

Aqui podremos administrar desde la shell de endian con algunos de los comandos que
usualmente usamos en nuestras maquina con SO en Linux.
Desde la maquina Windows, pondremos la direccion IP que le dimos en la instalacin, la
pondremos en la barra de direcciones y entraremos a la interfaz web de endian.

Una vez all le daremos en el botn con las flechas (siguiente).

Si queremos hacer un respaldo de nuestro firewall escogemos la opcin si en el siguiente
paso, en este caso le diremos que no, y continuamos.

Escogemos la contrasea para nuestro usuario y para el servicio SSH del root y continuamos.

En endian, las Zonas se definen por colores, por eso es importante leer bien lo que hacemos
ya que alli esta todo muy bien definido.

En este paso configuraremos el tipo de interfaz para la zona ROJA que es la WAN,
seleccionaremos ETHERNET ESTATICO para que nuestra direccin sea esttica y le damos
siguiente, donde escogeremos el color para nuestra zona DMZ que
como all dice NARANJA para DMZ o AZUL para WI FI.

Aqu configuraremos la zona VERDE que sera la LAN, le pondremos una direccin ip, la que
nosotros destinemos a la LAN, la mascara y chuleamos la opcin verde en la tabla de abajo
para confirmar la mac el vinculo y la interfaz en este caso eth0.

En la misma pagina configuraremos la zona NARANJA que sera la DMZ, le pondremos

una direccin ip esttica y su respectiva mascara que asignamos en una previa planeacion

para la DMZ y chuleamos la opcin naranja en la tabla, si queremos cambiamos el nombre del
equipo y del dominio y continuamos.
En el siguiente paso configuraremos la direccin esttica para nuestra WAN, como sabremos
que ip ponerle? en la shell de endian haremos un dhclient a la interfaz por la que este nuestra
WAN en nuestro caso la eth2 y vemos que ip nos entrega.

Agregaremos la ip que obtuvimos con la mascara, chuleamos la opcin roja o la ultima de la

tabla, y agregamos el gateway.

Aqu pondremos los servidores DNS que normalmente usamos para salir a internet y
continuamos, donde nos pedir una direccin de correo electrnico pero esto es opcional y se
puede omitir.

Una vez estemos en el ultimo paso le damos Aceptar, aplicar configuracin, esperamos 20
segundos y nos aparecera el login.

Entramos con el usuario admin y la contrasea endian (en la imagen dice conectar a
192.168.30.2, pido disculpas esto es un error de imagen, nuestra direccin es la
192.168.100.2)

Configuracion del NAT

Nos dirigiremos a la opcin cortafuegos y all Reenvio de puertos / NAT y luego Nat Fuente

Alli en Origen le diremos que es tipo Red/IP y agregaremos la direccin de nuestra LAN con
destino a cualquier destino (0.0.0.0) y le damos crear regla, esto es para que nuestra LAN
tenga acceso a internet, crearemos dos una para la LAN y otra para la DMZ.

Aplicamos las reglas haciendo click en Aplicar

Luego le daremos en Incoming Routed Traffic para denegar el acceso de la WAN a la LAN.

Alli en Origen le diremos que es tipo ROJA (WAN) y en destino tipo Zonas, seleccionamos
la VERDE (LAN) y en la politica le diremos DENEGAR y creamos la regla, esto quiere decir
que nuestra WAN no tendra acceso a la LAN.
Ahora configuraremos las reglas de reenvos nos dirigiremos a Port forwarding / Destination
NAT Rule Editor.

En tipo buscamos la opcin Zona/VPN/Enlace activo y buscamos el enlace activo de nuestra

WAN y lo seleccionamos, le diremos q es para el servicio FTP y en la parte Mapear a,
escogemos tipo IP y ponemos la direccin de la DMZ donde esta nuestro servicio FTP y su
respectivo puerto, y que tenga acceso desde cualquier enlace activo y le damos crear regla, y
creamos otra igual pero para nuestro servicio WEB.

Y asi quedaran nuestras reglas de reenvio, ahora podemos acceder desde la WAN a los
servicios de la DMZ.
Ahora configuraremos el trafico entre zonas, nos dirigiremos a Trafico entre Zonas y
aadiremos una nueva.

Le diremos que de la Zona VERDE a la NARANJA permita cualquier servicio y le damos crear
regla.

Luego aadiremos otra, donde le diremos que deniegue todo el trafico de cualquier servicio de
la Zona NARANJA a laVERDE, ya que este es un requisito principal que la DMZ no vea a la
LAN, pero la LAN si tenga acceso a los servicios de la DMZ.

Pruebas:

Primero probaremos nuestra red LAN

En este paso intentaremos acceder al servidor FTP de la DMZ y como vemos nos pide el login
por lo tanto es exitoso.

Haremos lo mismo para el servidor WEB, y tambin es exitoso.

Y como podemos ver tambin tenemos salida a internet, si estamos utilizando un proxy se lo
agregamos al navegador y listo.
Ahora desde la WAN:

Intentaremos acceder al FTP de la DMZ por reenvio, colocamos la ip de nuestro firewall la

192.168.10.50 y como vemos nos pide el login por lo tanto el reenvio fue exitoso.

Lo mismo para nuestro servidor WEB en la DMZ, tambin es exitoso.

Tunel VPN endian conexin virtual IPSEC, the green bow

Tnel VPN conexin virtual IPsec

En esta entrada, configuraremos un tnel virtual para conectarnos a una red LAN desde un
host en la WAN por medio de OpenVPN y una conexin virtual con IPsec, todo esto lo
haremos con endian firewall, y para el cliente utilizaremos the green bow.

VPN (Virtual private network)

Red privada virtual, es una tecnologa de red que nos permite realizar una conexin de una
red local a una red publica, como por ejemplo conectarnos desde nuestro hogar a nuestra
oficina a travs de internet, con unas caractersticas esenciales tales como la autenticacin, la
integridad y la confidencialidad sin olvidar el no repudio ( verificacin de firma).
Algunos tipos:
VPN de acceso remoto: es una de las conexiones mas comunes, un ejemplo de esta seria una
conexin desde nuestro hogar a nuestra oficina mediante internet.
VPN punto a punto: esta conexin podra ser implementada por ejemplo cuando queremos
conectar varias oficinas remotas de una sede en particular entre si, mediante un tnel
permanente en internet.
IPsec
Son varios protocolos que actan en la capa 3 del modelo OSI, implementando seguridad, en
este caso a los tneles vpn, se encarga de autenticar usuarios, cifrar datos enviados, en
resumen permitir una conexin virtual segura.
Software's:
OpenVPN
Es un software que permite realizar conexiones virtuales con autenticacin de usuarios y host
remotos, lo utilizaremos en el servidor, y OpenVPN Client para el cliente fuera de la LAN.
The Green Bow

Es un software que ofrece soluciones de seguridad y acta como Cliente VPN, lo

instalaremos en el cliente remoto en la WAN.

Direcciones:
LAN: 192.168.100.0 /24
WAN: 192.168.10.0 /24
Rango OpenVPN: 192.168.100.129 - 192.168.100.190
Endian Firewall VPN Gateway LAN: 192.168.100.1
Endian Firewall VPN Gateway WAN: 192.168.10.1
Cliente Servidor en LAN: 192.168.100.2
Cliente remoto IP WAN: 192.168.10.159
Cliente remoto IP LAN mediante OpenVPN: 192.168.100.130
La instalacin de Endian Firewall es bastante sencilla y como en entradas anteriores ya esta
explicada, no la agregaremos a esta entrada, pero por si las dudas anexo este link con la
isntalacion y configuracion del mismo.
Link: http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html
Configuraciones

OpenVPN
En la barra de manu de endian, ingresaremos a VPN

Una vez all en Servidor OpenVPN activaremos el servidor, y le daremos el rango de ip

disponibles de la LAN que entregara a nuestros clientes VPN.

Luego ingresamos a Cuentas donde crearemos el usuario con el que nos conectaremos, le
damos el nombre y la contrasea, y en Empujar solo estas redes, damos la direccin de la
LAN pero esto es opcional, y le damos guardar.

Una vez creado nuestro usuario lo podemos visualizar en Configuracion de la cuenta, alli nos
aparece un link de descarga el cual contiene nuestro certificado CA, lo descargaremos y lo
copiaremos en una maquina cliente VPN.

Lo copiamos en el cliente.

Continuando con la configuracin, ingresamos a Avanzado, donde configuraremos el puerto

(1194) y el protocolo (UDP), le damos guardar y reiniciar.

En opciones global de envo de parmetros, agregaremos la direccin de nuestro servidor

aunque esto es para un DNS, nosotros no tenemos servidor de nombres pero igual
pondremos la direccin del gateway de LAN de nuestro servidor endian.

En la configuracin de autenticacin le diremos que es tipo PSK (usuario/contrasea), le

damos guardar y reiniciar.

Ahora miraremos cual es la direccin de gateway por el que les servidor endian sale a la
WAN, ingresamos a Sistema, buscamos Enlaces activos y la miramos, en nuestro caso es la
192.168.10.124, esto es para saber a que gateway se dirigira el cliente.

Ahora desde la maquina cliente descargaremos y configuraremos OpenVPN para la conexion,

lo podemos descargar de:

http://openvpn.net/index.php/open-source/downloads.html
Una vez descargado, lo instalamos, la instalacin es sencilla no requiere configuraciones, nos
dirigiremos la carpeta de ejemplos de configuracin del OpenVPN, ubicada en: Mi PC, Disco
local C, Archivos de programa, OpenVPN, sample-config.

All buscaremos el archivo client, y lo abriremos con wordpad, lo editaremos, click derecho
abrir con, y buscamos wordpad.

El archivo debe quedar de la siguiente manera:

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
#
#
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files.
#
#
#
# On Windows, you might want to rename this #
# file so it has a .ovpn extension
#
##############################################
# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client
# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap
#dev tun
# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel

# if you have more than one. On XP SP2,

# you may need to disable the firewall
# for the TAP adapter.
#dev-node MyTap
# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote 192.168.10.124 1194 ( esta es la ip del gateway del servidor en la WAN y el puerto)
#remote my-server-2 1194
float
# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
#;remote-random
# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite
# Most clients don't need to bind to
# a specific local port number.
nobind
# Downgrade privileges after initialization (non-Windows only)
#;user nobody
#;group nobody
# Try to preserve some state across restarts.
persist-key
persist-tun
# If you are connecting through an

# HTTP proxy to reach the actual OpenVPN

# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
#;http-proxy-retry # retry on connection failures
#;http-proxy [proxy server] [proxy port #]
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
#;mute-replay-warnings
# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca efw-1339012775.pem (nombre del certificadoCA que descargamos)
#cert client.crt
#key client.key
# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server
# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.

;cipher x
# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo
# Set log file verbosity.
verb 3
# Silence repeating messages
;mute 20
auth-user-pass
Una vez terminado de editar el archivo client, lo copiaremos en la carpeta config.
Ahora copiaremos el certificado en la carpeta config, ubicada en la carpeta OpenVPN, (en el
pantallaso podemos ver la ruta completa)

En la conexin suele surgir un problema de falla de conexin, es porque falta generar la llave,
ingresaremos a Inicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN
key.

Esto nos generara una llave llamada key en la carpeta config.

Ahora abriremos el OpenVPN GUI y nos saldr un icono en la barra inferior del equipo le
damos click derecho, Connect.

Ahora nos loggearemos con el usuario que creamos anteriormente en el servidor endian VPN.

usuario: daniel
contrasea: sena.123

Ahora tenemos conexion con el servidor mediante OpenVPN.

Como lo verificamos? ingresamos a la consola de administracin y hacemos un ipconfig,

veremos como nos asigno un nuevo adaptador de red con la ip del rango que asignamos al
principio la 192.168.100.129.

Y vemos que el icono paso de rojo a verde, la conexin es exitosa.

Tunel IPSEC
ingresamos al servidor nuevamente a VPN.

ingresamos a IPsec y activamos el servicio, le damos guardar.

En Estado y control de conexin aadiremos una nueva conexin, un nuevo tnel, le damos
aadir.

El tipo de conexion sera VPN tipo host-to-net (roadwarrior).

En la configuracin solo agregaremos el nombre y lo activaremos los dems parmetros los

dejamos como estn, a no ser de que queramos hacer otro tipo de configuracin, como por
ejemplo cambiar la accin de cuando se cae el tnel.

En Autenticacin la haremos por palabra clave compartida, la primera opcin, en caso tal de
que queramos hacerlo por certificado, tambin estn las opciones para subirlo, o generar uno,
y le damos guardar.

En avanzadas, podemos elegir el tipo de encriptacion, los grupos IKE entre otros parmetros
de cifrado.

Una vez creada la conexin vemos que el estado del tunel es CERRADO.

Configuracion del cliente

Software: The Green Bow (VPN Client)
Este software lo podemos descargar de:

http://www.thegreenbow.com/es/vpn_down.html
Una vez descargado e instalado the green bow, lo configuraremos, la instalacin
no requiere configuraciones, por eso no la agregue en esta entrada , despus de

instalarlo nos creara el acceso directo en el escritorio, lo abrimos y vemos que nos despliega
un icono en la barra inferior de nuestra maquina, le damos click derecho e ingresamos al panel
de configuracin.

En este panel agregaremos las fases, que son como las reglas para el VPN y el tunel, le
damos click derecho en Configuracion de VPN, Nueva Fase1.

Esto nos creara una Fase llamada Gateway, alli configuraremos en la pcion Gateway Remoto
la direccion del gateway del servidor por el que sale a la WAN, la que vimos en pasos
anteriores, la 192.168.10.124 este es el gateway, en Autenticacin seleccionamos la opcin
Llave secreta, o si lo hicimos por certificado seleccionamos certificado y lo subimos, como lo
hicimos por palabra clave, pondremos la palabra clave que pusimos en la configuracin de la
autenticacin de la conexin, nuestra palabra es 1234567890, y en el IKE el tipo de
criptografa que seleccionamos tambin en las opciones avanzadas de la configuracin de la
conexin.

Ahora crearemos el tunel, le damos en gateway click derecho, Nueva Fase2.

Esto nos creara la segunda fase llamada Tnel, all en las Direcciones, el tipo de Direccin le
diremos Direccin IP de Red, en Direccin de LAN remota, como su nombre lo especifica
pondremos el gateway del servidor endian de la LAN la 192.168.100.1 con su respectiva
mascara, y en PFS el grupo ya sea el DH2 o el DH5 (esto lo seleccionamos en la
configuracin avanzada de la conexin en el servidor endian VPN).

Una vez configuradas las dos fases, le damos guardar y aplicar.

Vamos al icono de la barra inferior, y le damos Abrir tunel'Gateway-Tunnel'.

Si nuestras configuraciones estn bien, y no tenemos problemas de conectividad entre

maquinas, tendremos xito en la conexin por IPsec, y nos saldr Tnel abierto.

En el servidor nos dirigimos a IPsec, y vemos en estado y control de conexin, que nuestra conexin esta
abierta.

Si queremos ver los registros, los loggins, etc, ingresamos a Registros en la barra de menu.

Una vez alli, vemos una tabla con todos los registros que podemos ver, buscaremos el de
OpenVPN.

Hacemos click en Muestra este registro nicamente, y vemos el registro, que podemos ver
alli? por ejemplo la fecha, el usuario y la ip del cliente que se conecto al tnel.

Glosario
IKE (internet key exchange): es un protocolo que nos proporciona la seguridad en el protocolo
IPsec, como un mtodo de autenticidad, mediante llaves publicas o privadas.
AES: es un estndar de cifrado muy utilizado en criptografia simtrica que funciona mediante
un cifrado de bloques.
Creo que estos son los trminos mas desconocidos, cualquier inquietud por favor comentar y
esperar respuesta gracias.

Problemas Errores
Estas configuraciones e instalaciones son bastante sencillas pero a veces resultan pequeos
conflictos estas son algunas pautas en caso de algun posible error:
* Verificar rangos de direcciones, en the green bow verificar que tengamos bien los gateways
tanto de la LAN como de la WAN en las dos fases y que la maquina cliente pertenezca por al
menos un adaptador de red a alguno de estas dos redes.

* Muchas veces en el OpenVPN no agregamos el KEY el cual algunas veces es necesario

para la autenticacion, ingresaremos a Inicio, todos los programas, OpenVPN, utilities,
Generate a static OpenVPN key y esto nos generara la llave en la carpeta config del OpenVPN
y la autenticacion y la conexion deberan ser exitosas.

Esto fue instalacin, configuracin e implementacin de una conexin virtual segura, mediante
el servidor Endian Firewall/OpenVPN e IPsec, utilizando como cliente The Green Bow, Hasta
pronto!!