TALLER PROXY. CONFIGURANDO PROXY EN WINDOWS 2003 CON ISA SERVER 2006.
POR: Maicol Muñoz. INSTRUCTOR: Andres Mauricio Ortiz.
Gestión de la seguridad de la red. 35442. Tecnólogo en administración de redes Informáticas. Informáticas . Servicio nacional de aprendizaje (SENA) Antioquia Centro de Servicios y Gestión Empresarial.
(CESGE) 2011
INTRODUCCION.
La seguridad es la principal defensa que puede tener una Organización si desea conectarse a Internet, dado que expone su información privada privada y arquitectura de red a los intrusos de Internet. El Firewall ofrece esta seguridad, mediante: mediante: Políticas de seguridad, seguridad, determinando que servicios de la red pueden ser acezados y quienes pueden utilizar estos recursos, recursos, manteniendo al margen a los usuarios no-autorizados. En este trabajo les daré daré a conocer como implementar y configurar un proxy con ISA server en Windows 2003.
MARCO TEORICO. Proxy. Un proxy me permite tener control sobre la navegación en internet. Su finalidad f inalidad más habituales habituales la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino. Existes múltiples proxys que cumplen cump len la misma finalidad pero lo hacen de maneras diferentes. Estos son los tipos de proxys:
Servicio Proxy o Proxy Web: Su funcionamiento se basa en el del Proxy HTTP y HTTPs, pero la diferencia fundamental fundamental es que la petición se realiza mediante una Aplicación Web embebida embebid a en un Servidor HTTP al que se accede mediante mediante una dirección dirección DNS, esto es una página web que permite estos servicios.
Proxy Caché: Su método de funcionamiento es similar al de un proxy HTTP o HTTPs. Su función es precargar el contenido contenido web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma información de la misma máquina u otras. Almacenar las páginas y objetos que los usuarios solicitan puede suponer una violación de la intimidad para algunas personas.
Proxys transparentes: Un proxy transparente combina combina un servidor proxy con NAT (Network AddressTranslation) AddressTranslation) de manera manera que las conexiones son enrutadas dentro del proxy sin configuración configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores proveedores de servicios de internet (ISP).
Reverse Proxy / Proxy inverso: Un reverse proxy es un servidor proxy instalado en el domicilio de uno o más servidores web. Todo el tráfico entrante de Internet y con el destino de uno de esos servidores servidores web pasa a través del servidor proxy. Proxy NAT: Otro mecanismo para hacer de intermediario en una red es el NAT. La traducción de direcciones d irecciones de red (NAT, Network AddressTranslation) también es es conocida como enmascaramiento de IPs. Es una técnica técnica mediante la cual las direcciones fuente o destino d estino de los paquetes IP son reescritas, sustituidas por otras (de ahí el "enmascaramiento"). Proxy abierto: Este tipo de proxy es el que acepta peticiones peticiones desde cualquier ordenador, esté o no conectado a su red.
Cross-Domain Proxy: Típicamente usado por Tecnologías web asíncronas (flash, ajax, comet, etc.) que tienen restricciones para establecer una comunicación entre elementos localizados localizados en distintos dominios.
Desarrollando. La topología a realizar será muy sencilla será implementar un proxy en ISA server en la interface de nuestra LAN. Principalmente Principalmente deberemos habilitar el servidor proxy en la interfaz de nuestra red LAN.
Ahora en nuestros equipos de la red LAN, deberemos especificar especificar el Gateway o dirección ip de nuestra interfaz LAN.
Ya con todo lo anterior podemos comenzar a crear nuestras reglas para nuestro proxy.
Filtro Por Usuarios Del Sistema. Comenzaremos Comenzaremos por utilizar un filtro por usuarios, para que así as í cualquier persona que intente ingresar a una página página de internet pase primero por una autenticación, autenticación, crearemos entonces de la siguiente manera un usuario o grupo de usuarios.
Ahora ya con nuestro usuario ya creado procedemos a especificar conexiones a internet por autenticacion, esto lo deberemos de hacer en la regla que creamos de http de nuestro firewall.
Ahora lo que crearemos crearemos será un grupo, esto para que contenga contenga los usuarios que queramos para la autenticación de conexión a internet.
Luego podemos elegir el lugar de donde se buscaran los usuarios, podemos hacerlo desde una base de datos LDAP, RADIUS o SecurID, en este caso lo haremos con usuarios o grupos del sistema.
Buscaremos los usuarios con el que se autenticaran los clientes. En mi caso lo hare con solo un usuario.
Ya seleccionado el usuario de autenticacion, autenticacion, solo deberemos dar siguiente y finalizar.
Ahora dejaremos solo a dicho usuario para que sea obligatoria la autenticación.
Aplicamos los cambios de nuestro firewall y procedemos a la prueba en una maquina de la red LAN.
Filtro Por URL. Ahora lo que haremos será crear un filtro por url.Para u rl.Para esto deberemos deberemos crear una regla en nuestro firewall y un conjunto de url a denegar. Lo que primero p rimero haremos haremos será crear el conjunto de url así: así:
Le ponemos un nombre y especificamos las url a denegar, el significa que después del / para adelante no serán ejecutadas en otras palabras no se podrá abrir.
Ya creada nuestro conjunto de url procedemos a la creación de la regla en el firewall así: así:
Le ponemos un nombre con el cual reconozcamos la regla.
Le especificamos que la regla sea denegar.
Especificamos Especificamos el protoc p rotocolo olo por el cual va a trabajar la regla.
Especificamos Especificamos la interfaces por la cual va a trabajar.
Especificamos Especificamos el conjunto de url que creamos creamos anteriormente.
Especificamos Especificamos que la regla se aplique a todos los usuarios u suarios y ya por ultimo finalizar.
Aplicamos los cambios en nuestro firewall y procedemos a la prueba.
Filtro Por Extensión El filtro por extensión es denegar la descarga de ciertos paquetes que sean como por ejemplo: .exe, .rar, .zip. Para configurar el proxy para que nos deniegue por extensión lo deberemos configurar en la regla de http de nuestro firewall así: así:
Seleccionamos la pestaña que dice extensions, extensions, especificamos la opción bloquear y agregamos las extensiones que queremos bloquear el acceso a descargas. En mi caso solo lo hare con la extensión .exe.
Aplicamos los cambios en nuestro firewall y procedemos a probar.
Filtro Por Palabras. El filtro por palabras básicamente es bloquear el acceso web de una palabra en específico. específico. Para bloquear por palabras lo deberemos hacer en la regla http de nuestro firewall así: así:
Seleccionamos la pestaña signatures y agregamos la palabras palab ras a bloquea b loquear. r.
Aplicamos los cambios de nuestro firewall y procedemos a la prueba.
Filtro Por IP. El filtro por ip es básicamente denegar acceso acceso web a una determinada determinada ip de nuestra red. Primero lo que debemos hacer es especificar una ip para bloquear y después crear una regla en nuestro firewall todo esto lo haremos así: así:
Ahora le especificam especificamos os un un nombre nombre y la ip a denegar.
Procedemos Procedemos a la creación de nuestra regla para bloquear dicha ip.
Le especificamos un nombre fácil de reconocer.
Le especificamos que la regla sea denegar.
Le especificamos los protocolos por los cuales va a trabajar.
Aquí lo que deberemos hacer es especificar la ip que anteriormente especificamos especificamos en computers.
Especificamos Especificamos la interfaces de salida.
Especificamos Especificamos que la regla se aplique a todos los usuarios u suarios y finalizar.
Aplicamos los cambios en nuestro firewall y procedemos a la prueba.
Filtro Por Tiempo. El filtro por tiempo es básicamente que a un tiempo en específico se bloquee o permita el acceso a internet. Esto lo deberemos hacer en la regla de http de nuestro firewall así: así:
Seleccionamos la pestaña Schedule y le damos new, lo que haremos será especificar una hora o tiempo en especifico (10 a 11 am) y todos los días para denegar todo el acceso web de toda la red LAN.
Aplicamos los cambios a nuestro firewall y procedem p rocedemos os a la prueba.
Filtro Por Dominio. Este filtro lo que hace es bloquear todos aquellos dominós que nosotros queramos que nuestros clientes no se conecten. Para realizar este filtradado deberemos crear un conjunto de dominios a bloquear y después crear nuestra regla de firewall así: así:
Le especificamos un nombre a nuestro conjunto de dominios, en mi caso le puse gmail pero como en este mismo conjunto se pueden agregar varios dominios sería mejor especificarla como dominios o dominós a bloque b loquear. ar.
Ahora lo que haremos será crear una regla de firewall para que me bloquee dichos dominios.
Le especificamos un nombre fácil de reconocer.
Le especificamos que la regla sea denegar.
Le especificamos los protocolos por los cuales va a trabajar.
Le especificamos la interfaces por la cual va a trabajar.
Le especificamos nuestro conjunto de dominios.
Especificamos Especificamos que la regla se aplique a todos los usuarios u suarios y finalizar.
Aplicamos los cambios cambios de nuestro nuestro firewall y ya se nos denegaran denegaran los dominios dominios especificados. Ahora Les mostrare todas las reglas que llevamos hasta el momento en nuestro proxy.
En resumidas cuentas lo que implementamos en nuestro proxy fue: *Acceso web con autenticación. autenticación . *Denegación por URL. *Denegación por Dominios. *Denegación por palabras. *Denegación por IP. *Denegación por extensión. extensión . *Denegación por tiempo.
Proxy trasparente. Ahora si queremos un proxy mucho más completo le pondremos la opción de proxy transparente. Nuestra infraestructura está basada en : *WAN *DMZ *LAN Esto para tener en claro que todos los servicios de mi red interna están publicados en mi DMZ, y el DNS que utiliza mi red LAN es el DNS de la DMZ. Ahora algo sumamente importante es agregar un registro en nuestro servidor DNS con el nombre del servidor ISA Server en mi caso es isaserver. El nombre lo podrán ver en las propiedades de mi PC. Nos dirigiremos entonces al servidor DNS y agregaremos agregaremos un registro, r egistro, este registro se llama WPAD y deberá apuntar a la dirección dirección IP del ISA Server o al Gateway de nuestra LAN que es el mismo ISA Server.
Como vemos en en la anterior imagen imagen agregamos agregamos dos registros, un registro registro tipo A con el nombre de la máquina de ISA server y con la ip de mi interfaces LAN y el registro CNAME es el registro que resolverá con la misma dirección ip de nuestra interfaces LAN, pero que la función que desempeña es: WPAD: WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automáticamente, automáticamente , es decir d ecir que cuando configuramos un navegador para que detecte automáticamente el proxy, el se dirigirá al DNS buscando cual es la IP que responda responda al nombre de WPAD y con dicha respuesta sabrá cual es el proxy al que debe conectarse.
Nota: Si quieren conocer un poco más sobre el registro WPAD pueden visitar el siguiente blog: http://jelperu.wordpress.com/2007/04/09/wpad-con-dns-y-wins/
Nota: Si no tienen conocimientos conocimientos sobre servidores DNS pueden visitar el siguiente enlace: http://maicolqm.blogspot.com/2011/04/servidor-dns-en-centos_27.html
Ahora ya con nuestros registros en el DNS ya listo volvemos volvemos y nos dirigimos a ISA server y configuramos configuramos en la tarjeta de red interna:
Ahora en la pestaña auto discovery habilitamos nuestras proxy trasparente y le especificamos especificamos el puerto de uso el 80.
Aplicamos los cambios de nuestro nuestro ISA server y listo ya solo bastar que en los clientes de nuestra red LAN configurar en el navegador la búsqueda automática automática del proxy.
Y listo ya con todo lo anterior hemos terminado por completo nuestro proxy. Glosario:
DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN. LAN: Una red de área local. WAN: Las Redes de área amplia. Router: Enrutador, encaminador. Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red. SDM: SDM es la abreviatura abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a través del navegador. navegador. Esta herramienta soporta un amplio número de routers Cisco IOS. En la actualidad se entrega preinstalado preinstalado en la mayoría de los routers nuevos de Cisco. SSH: SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas programas gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.
JAVA: Java es un lenguaje de programación. Existe un gran número de aplicaciones y sitios Web que no funcionan a menos que Java esté instalado, y muchas muchas más que se crean a diario. Java es rápido, seguro y fiable. De portátiles a centros de datos, de consolas de juegos a súper equipos científicos, de teléfonos móviles a Internet, Java está en todas partes. NAT: En las redes de computadoras, NAT es el proceso de modificació modificación n de la dirección IP de información en los encabezados de paquetes IP , mientras que en tránsito a través de un tráfico de dispositivos de enrutamiento enrutamiento El tipo más simple de NAT proporciona una traducción a una de las direcciones IP. DNS: Es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado conectado a Internet o a una red privada. Este sistema asocia información variada con nombres de dominios asignados asignados a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente. TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicación, posibilita la administración administración de datos que vienen del nivel más bajo del modelo, o van hacia él, (es decir, el protocolo IP). Cuando se proporcionan proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipación anticipación que el protocolo es TCP). TCP es un protocolo orientado a conexión, es decir, que permite que dos máquinas que están comunicadas controlen el estado de la transmisión.
UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en inglés User Datagram Datagram Protocol) un protocolo sin conexión que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperación de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a través una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisión de la información, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en inglés Trivial File Transfer Protocol), y puesto que es trivial, perder algo de información en la transferencia no es crucial Stateless: Crear reglas de ida y de respuesta. Statefull: Crear reglas de ida y las reglas de respuestas son automáticas no hay que crearlas. Mascara wildcard: Una máscara wildcard es sencillamente sencillamente una agrupación de 32 bits b its dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia apariencia de una máscara máscara wildcard le recordará probablemente a una máscara de subred. Sal vo esa apariencia, no existe otra relación entre ambas. Por ejemplo, una máscara wildcard puede tener este aspecto:192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255 ISA server: ISA Server es un Gateway integrado de seguridad perimetral que protege su entorno de IT frente a amenazas basadas en Internet
y permite a los usuarios un acceso remoto rápido y seguro a las aplicaciones aplica ciones y los datos. Servidor: En informática, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras computadoras denominadas clientes. WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para para encontrar los proxys automáticamente, automáticamente , es decir que cuando configuramos un navegador para que detecte automáticamente el proxy, el se dirigirá al DNS buscando cual es la IP que responda al nombre de WPAD y con dicha respuesta sabrá cual es el proxy al a l que debe conectarse. conectarse.