Professional Documents
Culture Documents
Un servidor proxy bsicamente lo que hace es filtrar la informacin que sale de un host a la
red y la redirige al proxy para controlar los sitios o las peticiones que realiza, ya sea por
motivos de seguridad, autenticacin, anonimato, re direccionamiento entre otros.
En esta practicas volveremos a trabajar con endian, sobre las reglas de firewall publicadas en
entradas anteriores, donde esta documentada la instalacin y la configuracin
( http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html ) aunque estas
reglas no son necesarias, crearemos nuestro proxy por autenticacin de usuarios y
restringiremos
algunos
sitios
por
usuarios.
Comenzamos eligiendo la opcin Proxy en la barra superior del endian, alli ingresaremos a
configuracin
y
damos
click
sobre
el
botn Habilitar
Proxy
HTTP.
Aqu lo pondremos en modo transparente si deseamos que el proxy este por defecto en el
sistema, o No trasparentesi queremos agregar el proxy manualmente en cada browser,
elegimos el puerto por el que queremos que corra nuestro proxy, el idioma para el despliegue
de error, un nombre cualquiera, una direccin de correo cualquiera, y elegimos los tamaos de
descarga y de subida de archivos.
Ahora realizaremos las restricciones por usuario, ingresamos a Contenfilter donde crearemos
un perfil para definir la autenticacin.
Cuando le damos crear nos despliega unas ventanas donde configuraremos las polticas de
perfil, en esta configuraremos el nombre, y tenemos otras siguientes a esta donde podemos
restringir por palabras o por contenidos.
La que nos importa a nosotros sera esta de listas negras y blancas personalizadas, donde
pondremos en la parte que dice Bloquear los siguientes sitios, agregaremos all los sitios a
bloquear en nuestro caso youtube, hotmail y facebook.
En autenticacin escogemos si queremos que sea por grupo o por usuario o para cualquiera,
en Filtro de perfil buscamos el perfil que creamos anteriormente llamado reglas, y le damos
crear poltica.
Aplicamos la regla.
Ahora si tenemos el proxy modo no trasparente, lo agregaremos en nuestro browser.
En este caso lo hicimos por usuario, nos logueamos con nuestras credenciales de usuario, y
vemos lo que pasa al intentar ingresar a uno de los sitios restringidos.
Y esto fue un servidor proxy en endian, con restricciones y autenticacin por usuario.
Direcciones:
LAN 192.168.100.0 /24
FTP LAN 192.168.100.3 /24
WEB LAN 192.168.100.3 /24
GateWay LAN (endian) 192.168.100.2 /24
DMZ 192.168.101.0 /24
FTP DMZ 192.168.101.3 /24
WEB DMZ 192.168.101.3 /24
GateWay DMZ (endian) 192.168.101.2 /24
WAN 192.168.10.0 /24
Endian Interfaz WEB 192.168.10.50 /24
GateWay WAN 192.168.10.1
Requerimientos:
* Red LAN: servicios privados solo accesibles desde la LAN, debe comunicarse con la DMZ y
con la WAN.
* Red DMZ: servicios pblicos accesibles desde la DMZ, LAN y WAN, no debe ver la LAN.
* Red WAN: Debe acceder a los servicios pblicos de la DMZ por el firewall (re
direccionamiento de IP) y no debe ver la LAN.
* Todas las redes deben salir a internet.
Configuracin:
Al igual que en la entrada del m0n0wall, en esta agregaremos tres adaptadores de red a
nuestra maquina de endian, uno para nuestra LAN otro para DMZ y otro para la WAN, una vez
tengamos estos adaptadores, crearemos tambin una maquina en Windows que funcionara
como servidor WEB y FTP, otra en CentOS que sera servidor WEB y FTP tambin, y un
cliente en la WAN.
La instalacin de endian es bastante sencilla una vez pongamos a bootear nuestra
maquina, escogeremos el lenguaje apropiado, que escriba los cambios en el disco duro,
habilitar el servicio de consola por cable serial, agregar una direccin ip por la que
accederemos va web a la interfaz web de endian, retiramos la ISO de intalacion de la unidad
de CD y finalizamos la instalacin, una vez hechos estos pasos empezaremos
la configuracin.
Cuando nos aparezca este pantallaso escogeremos la opcin 0 para ingresar a la shell.
Una vez alli le diremos login y pondremos la contrasea del root que por defecto es endian.
Aqui podremos administrar desde la shell de endian con algunos de los comandos que
usualmente usamos en nuestras maquina con SO en Linux.
Desde la maquina Windows, pondremos la direccion IP que le dimos en la instalacin, la
pondremos en la barra de direcciones y entraremos a la interfaz web de endian.
Escogemos la contrasea para nuestro usuario y para el servicio SSH del root y continuamos.
En endian, las Zonas se definen por colores, por eso es importante leer bien lo que hacemos
ya que alli esta todo muy bien definido.
En este paso configuraremos el tipo de interfaz para la zona ROJA que es la WAN,
seleccionaremos ETHERNET ESTATICO para que nuestra direccin sea esttica y le damos
siguiente, donde escogeremos el color para nuestra zona DMZ que
como all dice NARANJA para DMZ o AZUL para WI FI.
Aqu configuraremos la zona VERDE que sera la LAN, le pondremos una direccin ip, la que
nosotros destinemos a la LAN, la mascara y chuleamos la opcin verde en la tabla de abajo
para confirmar la mac el vinculo y la interfaz en este caso eth0.
para la DMZ y chuleamos la opcin naranja en la tabla, si queremos cambiamos el nombre del
equipo y del dominio y continuamos.
En el siguiente paso configuraremos la direccin esttica para nuestra WAN, como sabremos
que ip ponerle? en la shell de endian haremos un dhclient a la interfaz por la que este nuestra
WAN en nuestro caso la eth2 y vemos que ip nos entrega.
Aqu pondremos los servidores DNS que normalmente usamos para salir a internet y
continuamos, donde nos pedir una direccin de correo electrnico pero esto es opcional y se
puede omitir.
Una vez estemos en el ultimo paso le damos Aceptar, aplicar configuracin, esperamos 20
segundos y nos aparecera el login.
Entramos con el usuario admin y la contrasea endian (en la imagen dice conectar a
192.168.30.2, pido disculpas esto es un error de imagen, nuestra direccin es la
192.168.100.2)
Alli en Origen le diremos que es tipo Red/IP y agregaremos la direccin de nuestra LAN con
destino a cualquier destino (0.0.0.0) y le damos crear regla, esto es para que nuestra LAN
tenga acceso a internet, crearemos dos una para la LAN y otra para la DMZ.
Luego le daremos en Incoming Routed Traffic para denegar el acceso de la WAN a la LAN.
Alli en Origen le diremos que es tipo ROJA (WAN) y en destino tipo Zonas, seleccionamos
la VERDE (LAN) y en la politica le diremos DENEGAR y creamos la regla, esto quiere decir
que nuestra WAN no tendra acceso a la LAN.
Ahora configuraremos las reglas de reenvos nos dirigiremos a Port forwarding / Destination
NAT Rule Editor.
Y asi quedaran nuestras reglas de reenvio, ahora podemos acceder desde la WAN a los
servicios de la DMZ.
Ahora configuraremos el trafico entre zonas, nos dirigiremos a Trafico entre Zonas y
aadiremos una nueva.
Le diremos que de la Zona VERDE a la NARANJA permita cualquier servicio y le damos crear
regla.
Luego aadiremos otra, donde le diremos que deniegue todo el trafico de cualquier servicio de
la Zona NARANJA a laVERDE, ya que este es un requisito principal que la DMZ no vea a la
LAN, pero la LAN si tenga acceso a los servicios de la DMZ.
Pruebas:
En este paso intentaremos acceder al servidor FTP de la DMZ y como vemos nos pide el login
por lo tanto es exitoso.
Y como podemos ver tambin tenemos salida a internet, si estamos utilizando un proxy se lo
agregamos al navegador y listo.
Ahora desde la WAN:
En esta entrada, configuraremos un tnel virtual para conectarnos a una red LAN desde un
host en la WAN por medio de OpenVPN y una conexin virtual con IPsec, todo esto lo
haremos con endian firewall, y para el cliente utilizaremos the green bow.
Direcciones:
LAN: 192.168.100.0 /24
WAN: 192.168.10.0 /24
Rango OpenVPN: 192.168.100.129 - 192.168.100.190
Endian Firewall VPN Gateway LAN: 192.168.100.1
Endian Firewall VPN Gateway WAN: 192.168.10.1
Cliente Servidor en LAN: 192.168.100.2
Cliente remoto IP WAN: 192.168.10.159
Cliente remoto IP LAN mediante OpenVPN: 192.168.100.130
La instalacin de Endian Firewall es bastante sencilla y como en entradas anteriores ya esta
explicada, no la agregaremos a esta entrada, pero por si las dudas anexo este link con la
isntalacion y configuracion del mismo.
Link: http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html
Configuraciones
OpenVPN
En la barra de manu de endian, ingresaremos a VPN
Luego ingresamos a Cuentas donde crearemos el usuario con el que nos conectaremos, le
damos el nombre y la contrasea, y en Empujar solo estas redes, damos la direccin de la
LAN pero esto es opcional, y le damos guardar.
Una vez creado nuestro usuario lo podemos visualizar en Configuracion de la cuenta, alli nos
aparece un link de descarga el cual contiene nuestro certificado CA, lo descargaremos y lo
copiaremos en una maquina cliente VPN.
Lo copiamos en el cliente.
Ahora miraremos cual es la direccin de gateway por el que les servidor endian sale a la
WAN, ingresamos a Sistema, buscamos Enlaces activos y la miramos, en nuestro caso es la
192.168.10.124, esto es para saber a que gateway se dirigira el cliente.
http://openvpn.net/index.php/open-source/downloads.html
Una vez descargado, lo instalamos, la instalacin es sencilla no requiere configuraciones, nos
dirigiremos la carpeta de ejemplos de configuracin del OpenVPN, ubicada en: Mi PC, Disco
local C, Archivos de programa, OpenVPN, sample-config.
All buscaremos el archivo client, y lo abriremos con wordpad, lo editaremos, click derecho
abrir con, y buscamos wordpad.
;cipher x
# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo
# Set log file verbosity.
verb 3
# Silence repeating messages
;mute 20
auth-user-pass
Una vez terminado de editar el archivo client, lo copiaremos en la carpeta config.
Ahora copiaremos el certificado en la carpeta config, ubicada en la carpeta OpenVPN, (en el
pantallaso podemos ver la ruta completa)
En la conexin suele surgir un problema de falla de conexin, es porque falta generar la llave,
ingresaremos a Inicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN
key.
Ahora abriremos el OpenVPN GUI y nos saldr un icono en la barra inferior del equipo le
damos click derecho, Connect.
Ahora nos loggearemos con el usuario que creamos anteriormente en el servidor endian VPN.
usuario: daniel
contrasea: sena.123
Tunel IPSEC
ingresamos al servidor nuevamente a VPN.
En Estado y control de conexin aadiremos una nueva conexin, un nuevo tnel, le damos
aadir.
En Autenticacin la haremos por palabra clave compartida, la primera opcin, en caso tal de
que queramos hacerlo por certificado, tambin estn las opciones para subirlo, o generar uno,
y le damos guardar.
En avanzadas, podemos elegir el tipo de encriptacion, los grupos IKE entre otros parmetros
de cifrado.
Una vez creada la conexin vemos que el estado del tunel es CERRADO.
http://www.thegreenbow.com/es/vpn_down.html
Una vez descargado e instalado the green bow, lo configuraremos, la instalacin
no requiere configuraciones, por eso no la agregue en esta entrada , despus de
instalarlo nos creara el acceso directo en el escritorio, lo abrimos y vemos que nos despliega
un icono en la barra inferior de nuestra maquina, le damos click derecho e ingresamos al panel
de configuracin.
En este panel agregaremos las fases, que son como las reglas para el VPN y el tunel, le
damos click derecho en Configuracion de VPN, Nueva Fase1.
Esto nos creara una Fase llamada Gateway, alli configuraremos en la pcion Gateway Remoto
la direccion del gateway del servidor por el que sale a la WAN, la que vimos en pasos
anteriores, la 192.168.10.124 este es el gateway, en Autenticacin seleccionamos la opcin
Llave secreta, o si lo hicimos por certificado seleccionamos certificado y lo subimos, como lo
hicimos por palabra clave, pondremos la palabra clave que pusimos en la configuracin de la
autenticacin de la conexin, nuestra palabra es 1234567890, y en el IKE el tipo de
criptografa que seleccionamos tambin en las opciones avanzadas de la configuracin de la
conexin.
Esto nos creara la segunda fase llamada Tnel, all en las Direcciones, el tipo de Direccin le
diremos Direccin IP de Red, en Direccin de LAN remota, como su nombre lo especifica
pondremos el gateway del servidor endian de la LAN la 192.168.100.1 con su respectiva
mascara, y en PFS el grupo ya sea el DH2 o el DH5 (esto lo seleccionamos en la
configuracin avanzada de la conexin en el servidor endian VPN).
En el servidor nos dirigimos a IPsec, y vemos en estado y control de conexin, que nuestra conexin esta
abierta.
Si queremos ver los registros, los loggins, etc, ingresamos a Registros en la barra de menu.
Una vez alli, vemos una tabla con todos los registros que podemos ver, buscaremos el de
OpenVPN.
Hacemos click en Muestra este registro nicamente, y vemos el registro, que podemos ver
alli? por ejemplo la fecha, el usuario y la ip del cliente que se conecto al tnel.
Glosario
IKE (internet key exchange): es un protocolo que nos proporciona la seguridad en el protocolo
IPsec, como un mtodo de autenticidad, mediante llaves publicas o privadas.
AES: es un estndar de cifrado muy utilizado en criptografia simtrica que funciona mediante
un cifrado de bloques.
Creo que estos son los trminos mas desconocidos, cualquier inquietud por favor comentar y
esperar respuesta gracias.
Problemas Errores
Estas configuraciones e instalaciones son bastante sencillas pero a veces resultan pequeos
conflictos estas son algunas pautas en caso de algun posible error:
* Verificar rangos de direcciones, en the green bow verificar que tengamos bien los gateways
tanto de la LAN como de la WAN en las dos fases y que la maquina cliente pertenezca por al
menos un adaptador de red a alguno de estas dos redes.
Esto fue instalacin, configuracin e implementacin de una conexin virtual segura, mediante
el servidor Endian Firewall/OpenVPN e IPsec, utilizando como cliente The Green Bow, Hasta
pronto!!