Servidor Proxy en Endian Un servidor proxy básicamente lo que hace es fltrar la inormación que sale de un host a la red y la redirige al proxy para controlar los sitios o las petici cio ones que realiza ya sea po porr motivos de seguridad autenticación ano an onimato re direcci cio onamiento entre otros! "omenzamos eligiendo la opción Proxy en la barra superior del endian all# ingresaremos a confguración y damos clic$ sobre el botón %abilitar Proxy %&&P!
'qu# lo pondremos en modo transparente modo transparente si si deseamos que el prox p roxy y este por deecto en el sistema o (o trasparentesi trasparentesi queremos agregar el proxy manualmente en cada bro)ser elegimos el puerto por el que queremos que qu e co corr rra a nu nues estr tro o pr pro oxy xy el id idio ioma ma par para a el de despl splie iegu gue e de er erro ror r un nombre cualquiera una dirección de correo cualquiera y elegimos los tama*os de descarga y de subida de archivos!
'qui veremos los puertos que tenemos permitidos!
'qu# habilitaremos el registro los t+rminos de consulta de registro el registro de fltro de contenido y el registro por usuarios!
'qui agregaremos un sitio para que no quede registrado en la cache es opcional!
, aplicamos las reglas una vez guardadas!
'hora 'hor a real aliizar are emos las rest stri ric cci cion one es po porr usu suar ariio ing ngrres esam amos os a "ontenflter donde crearemos un perfl para defnir la autenticación!
-e damos crear perfl o si ya tenemos uno lo editamos!
"uan and do le dam amo os crear nos despliega unas ventanas donde confguraremos las pol#ticas de perfl en esta confguraremos el nombre y te tene nemo mos s ot otra ras s si sigu guie ient ntes es a es esta ta do dond nde e po pode demo mos s res estr trin ingi girr po porr palabras o por contenidos!
-a que nos importa a nosotros sera esta de lis listas tas neg negras ras y bla blanca ncas s personalizadas do personalizadas dond nde e po pond ndre remo mos s en la pa part rte e qu que e di dice ce .loqu .loquear ear los siguientes sitios sitios agregaremos all# los sitios a bloquear en nuestro caso youtube hotmail y aceboo$!
-e damos crear perfl y perfl y aplicamos las reglas! 'hora 'hor a no nos s di diri rigi girrem emos os a 'utenticación 'utenticación y le damos en administrar usuarios pa usuarios para ra cr crea earr lo los s us usuar uario ios s a lo los s qu que e re rest stri ring ngir irem emos os lo los s si siti tios os anteriormente mencionados!
'gregamos el nombre y la contrase*a del usuario y le damos crear usuario! 'hora crearemos el grupo donde estará nuestro usuario volvemos a 'utenticación y le damos en administrar grupos!
'gregamos el nombre pertenecientes a este!
del grupo
y seleccionamos
los usuarios
/amos a Pol#tica de acceso para defnir a quienes le aplicaremos estas!
En autenticación escogemos si queremos que sea por grupo o por usuario o para cualquiera en 0iltro de perfl buscamos el perfl que creamos anteriormente llamado reglas y le damos crear pol#tica!
1 por usuario le damos user based en 'utenticación y seleccionamos el usuario!
'plicamos la regla!
'hora si tenemos el proxy modo no trasparente lo agregaremos en nuestro bro)ser!
, hacemos las pruebas!
En este caso lo tenemos en autenticación por grupo entonces al intentar ingresar a )))!youtube!com nos pide que nos registremos!
En este caso lo hicimos por usuario nos logueamos con nuestras credenciales de usuario y vemos lo que pasa al intentar ingresar a uno de los sitios restringidos!
(os deniega el acceso a youtube!
2gualmente para hotmail!
, tenemos acceso a otros sitios como google! , esto ue un servidor proxy en endian con restricciones y autenticación por usuario! ENDIAN FIREWALL CONFIGURACION Y ADMINISTRACION Endian es un fre)all de 1penSource básicamente para el control de amenazas en nuestra red pero tambi+n cuenta con caracter#sticas especiales ya que unciona como proxy canales /P( enrutador antivirus y fltrado de datos antispam entre otras! Es bastante ácil de administrar y de instalar con versión gratuita que podemos adquirir desde la página ofcial como 2S1 de descarga! En esta entrada confguraremos E(32'( como fre)all para implementar la seguridad a la siguiente topolog#a4
3irecciones4 -'( 567!589!5::!: ;7< 0&P -'( 567!589!5::!= ;7< >E. -'( 567!589!5::!= ;7< ?ate>ay -'( @endianA 567!589!5::!7 ;7< 3BC 567!589!5:5!: ;7< 0&P 3BC 567!589!5:5!= ;7< >E. 3BC 567!589!5:5!= ;7< ?ate>ay 3BC @endianA 567!589!5:5!7 ;7< >'( 567!589!5:!: ;7< Endian 2nteraz >E. 567!589!5:!D: ;7< ?ate>ay >'( 567!589!5:!5 equerimientos4 F ed -'(4 servicios privados solo accesibles desde la -'( debe comunicarse con la 3BC y con la >'(! F ed 3BC4 servicios pGblicos accesibles desde la 3BC -'( y >'( no debe ver la -'(! F ed >'(4 3ebe acceder a los servicios pGblicos de la 3BC por el fre)all @re direccionamiento de 2PA y no debe ver la -'(! F &odas las redes deben salir a internet! "onfguración4
'l igual que en la entrada del m:n:)all en esta agregaremos tres adaptadores de red a nuestra máquina de endian uno para nuestra -'( otro para 3BC y otro para la >'( una vez tengamos estos adaptadores crearemos tambi+n una maquina en >indo)s que uncionara como servidor >E. y 0&P otra en "ent1S que sera servidor >E. y 0&P tambi+n y un cliente en la >'(! -a instalación de endian es bastante sencilla una vez pongamos a bootear nuestra maquina escogeremos el lenguaHe apropiado que escriba los cambios en el disco duro habilitar el servicio de consola por cable serial agregar una dirección ip por la que accederemos v#a )eb a la interaz )eb de endian retiramos la 2S1 de intalacion de la unidad de "3 y fnalizamos la instalación una vez hechos estos pasos empezaremos la confguración!
"uando nos aparezca este pantallaso escogeremos la opción : para ingresar a la shell!
Una vez alli le diremos login y pondremos la contrase*a del root que por deecto es endian!
'qui podremos administrar desde la shell de endian con algunos de los comandos que usualmente usamos en nuestras maquina con S1 en -inux! 3esde la maquina >indo)s pondremos la direccion 2P que le dimos en la instalación la pondremos en la barra de direcciones y entraremos a la interaz )eb de endian!
Una vez all# le daremos en el botón con las Iechas @siguienteA! Si queremos hacer un respaldo de nuestro fre)all escogemos la opción si en el siguiente paso en este caso le diremos que no y continuamos!
Escogemos la contrase*a para nuestro usuario y para el servicio SS% del root y continuamos! En endian las Conas se defnen por colores por eso es importante leer bien lo que hacemos ya que alli esta todo muy bien defnido!
En este paso confguraremos el tipo de interaz para la zona 1J' que es la >'( seleccionaremos E&%E(E& ES&'&2"1 para que nuestra dirección sea estática y le damos siguiente donde escogeremos el color para nuestra zona 3BC que como all# dice (''(J' para 3BC o 'CU- para >2 02!
'qu# confguraremos la zona /E3E que sera la -'( le pondremos una dirección ip la que nosotros destinemos a la -'( la mascara y chuleamos la opción verde en la tabla de abaHo para confrmar la mac el vinculo y la interaz en este caso eth:!
En la misma pagina confguraremos la zona (''(J' que sera la 3BC le pondremos una dirección ip estática y su respectiva mascara que asignamos en una previa planeacion para la 3BC y chuleamos la opción naranHa en la tabla si queremos cambiamos el nombre del equipo y del dominio y continuamos! En el siguiente paso confguraremos la dirección estática para nuestra >'( como sabremos que ip ponerleK en la shell de endian haremos un dhclient a la interaz por la que este nuestra >'( en nuestro caso la eth7 y vemos que ip nos entrega!
'gregaremos la ip que obtuvimos con la mascara chuleamos la opción roHa o la ultima de la tabla y agregamos el gate)ay!
'qu# pondremos los servidores 3(S que normalmente usamos para salir a internet y continuamos donde nos pedirá una dirección de correo electrónico pero esto es opcional y se puede omitir!
Una vez estemos en el ultimo paso le damos 'ceptar aplicar confguración esperamos 7: segundos y nos aparecera el login!
Entramos con el usuario admin y la contrase*a endian @en la imagen dice conectar a 567!589!=:!7 pido disculpas esto es un error de imagen nuestra dirección es la 567!589!5::!7A Confguracion del NAT
(os dirigiremos a la opción cortauegos y all# eenvio de puertos ; ('& y luego (at 0uente
'lli en 1rigen le diremos que es tipo ed;2P y agregaremos la dirección de nuestra -'( con destino a cualquier destino @:!:!:!:A y le damos crear regla esto es para que nuestra -'( tenga acceso a internet crearemos dos una para la -'( y otra para la 3BC!
'plicamos las reglas haciendo clic$ en 'plicar
-uego le daremos en 2ncoming outed &raLc para denegar el acceso de la >'( a la -'(!
'lli en 1rigen le diremos que es tipo 1J' @>'(A y en destino tipo Conas seleccionamos la /E3E @-'(A y en la politica le diremos 3E(E?' y creamos la regla esto quiere decir que nuestra >'( no tendra acceso a la -'(! 'hora confguraremos las reglas de reenv#os nos dirigiremos a Port or)arding ; 3estination ('& ule Editor!
En tipo buscamos la opción Cona;/P(;Enlace activo y buscamos el enlace activo de nuestra >'( y lo seleccionamos le diremos q es para el servicio 0&P y en la parte Bapear a escogemos tipo 2P y ponemos la dirección de la 3BC donde esta nuestro servicio 0&P y su respectivo puerto y que tenga acceso desde cualquier enlace activo y le damos crear regla y creamos otra igual pero para nuestro servicio >E.!
, asi quedaran nuestras reglas de reenvio ahora podemos acceder desde la >'( a los servicios de la 3BC! 'hora confguraremos el trafco entre zonas nos dirigiremos a &rafco entre Conas y a*adiremos una nueva!
-e diremos que de la Cona /E3E a la (''(J' permita cualquier servicio y le damos crear regla!
-uego a*adiremos otra donde le diremos que deniegue todo el tráfco de cualquier servicio de la Cona (''(J' a la /E3E ya que este es un requisito principal que la 3BC no vea a la -'( pero la -'( si tenga acceso a los servicios de la 3BC! Pruebas4 Primero probaremos nuestra red -'(
En este paso intentaremos acceder al servidor 0&P de la 3BC y como vemos nos pide el login por lo tanto es exitoso!
%aremos lo mismo para el servidor >E. y tambi+n es exitoso!
, como podemos ver tambi+n tenemos salida a internet si estamos utilizando un proxy se lo agregamos al navegador y listo! 'hora desde la >'(4
2ntentaremos acceder al 0&P de la 3BC por reenvió colocamos la ip de nuestro fre)all la 567!589!5:!D: y como vemos nos pide el login por lo tanto el reenvió ue exitoso!
-o mismo para nuestro servidor >E. en la 3BC tambi+n es exitoso!
Tunel VN endian cone!i"n #ir$ual ISEC% $&e green 'o(
&Gnel /P( conexión virtual 2Psec En esta entrada confguraremos un tGnel virtual para conectarnos a una red -'( desde un host en la >'( por medio de 1pen/P( y una conexión virtual con 2Psec todo esto lo haremos con endian fre)all y para el cliente utilizaremos the green bo)! /P( @/irtual private net)or$A ed privada virtual es una tecnolog#a de red que nos permite realizar una conexión de una red local a una red publica como por eHemplo conectarnos desde nuestro hogar a nuestra ofcina a trav+s de internet con unas caracter#sticas esenciales tales como la autenticación la integridad y la confdencialidad sin olvidar el no repudio @ verifcación de frmaA! 'lgunos tipos4 /P( de acceso remoto4 es una de las conexiones más comunes un eHemplo de esta ser#a una conexión desde nuestro hogar a nuestra ofcina mediante internet! /P( punto a punto4 esta conexión podr#a ser implementada por eHemplo cuando queremos conectar varias ofcinas remotas de una sede en particular entre s# mediante un tGnel permanente en internet! 2Psec Son varios protocolos que actGan en la capa = del modelo 1S2 implementando seguridad en este caso a los tGneles vpn se encarga de autenticar usuarios cirar datos enviados en resumen permitir una conexión virtual segura! Sot)areMs4 1pen/P( Es un sot)are que permite realizar conexiones virtuales con autenticación de usuarios y host remotos lo utilizaremos en el servidor y 1pen/P( "lient para el cliente uera de la -'(!
&he ?reen .o) Es un sot)are que orece soluciones de seguridad y actGa como "liente /P( lo instalaremos en el cliente remoto en la >'(!
3irecciones4 -'(4 567!589!5::!: ;7< >'(4 567!589!5:!: ;7< ango 1pen/P(4 567!589!5::!576 N 567!589!5::!56: Endian 0ire)all /P( ?ate)ay -'(4 567!589!5::!5 Endian 0ire)all /P( ?ate)ay >'(4 567!589!5:!5 "liente Servidor en -'(4 567!589!5::!7 "liente remoto 2P >'(4 567!589!5:!5D6 "liente remoto 2P -'( mediante 1pen/P(4 567!589!5::!5=: -a instalación de Endian 0ire)all es bastante sencilla y como en entradas anteriores ya está explicada no la agregaremos a esta entrada pero por si las dudas anexo este lin$ con la instalación y confguración del mismo! -in$4 http4;;donHuanblogo!blogspot!com;7:57;:D;endianNfre)allN confguracionNy!html
"onfguraciones 1pen/P( En la barra de manu de endian ingresaremos a /P(
Una vez all# en Servidor 1pen/P( activaremos el servidor y le daremos el rango de ip disponibles de la -'( que entregara a nuestros clientes /P(!
-uego ingresamos a "uentas donde crearemos el usuario con el que nos conectaremos le damos el nombre y la contrase*a y en EmpuHar solo estas redes damos la dirección de la -'( pero esto es opcional y le damos guardar!
Una vez creado nuestro usuario lo podemos visualizar en "onfguracion de la cuenta alli nos aparece un lin$ de descarga el cual contiene nuestro certifcado "' lo descargaremos y lo copiaremos en una maquina cliente /P(!
-o copiamos en el cliente!
"ontinuando con la confguración ingresamos a 'vanzado donde confguraremos el puerto @556
En opciones global de env#o de parámetros agregaremos la dirección de nuestro servidor aunque esto es para un 3(S nosotros no tenemos servidor de nombres pero igual pondremos la dirección del gate)ay de -'( de nuestro servidor endian!
En la confguración de autenticación le diremos que es tipo PSO @usuario;contrase*aA le damos guardar y reiniciar!
'hora miraremos cual es la dirección de gate)ay por el que les servidor endian sale a la >'( ingresamos a Sistema buscamos Enlaces activos y la miramos en nuestro caso es la 567!589!5:!57< esto es para saber a que gate)ay se dirigira el cliente!
'hora desde la maquina cliente descargaremos y confguraremos 1pen/P( para la conexion lo podemos descargar de4 http4;;openvpn!net;index!php;openNsource;do)nloads!html Una vez descargado lo instalamos la instalación es sencilla no requiere confguraciones nos dirigiremos la carpeta de eHemplos de confguración del 1pen/P( ubicada en4 Bi P" 3isco local " 'rchivos de programa 1pen/P( sampleNconfg!
'll# buscaremos el archivo client y lo abriremos con )ordpad lo editaremos clic$ derecho abrir con y buscamos )ordpad!
El archivo debe quedar de la siguiente manera4 Sample clientNside 1pen/P( 7!: confg fle or connecting to multiNclient server! &his confguration can be used by multiple clients ho)ever each client should have its o)n cert and $ey fles! 1n >indo)s you might )ant to rename this fle so it has a !ovpn extension Speciy that )e )ill be pulling rom client
are a certain
client confg the
and fle
that )e directives server!
Use the same setting as you are using on the server! 1n most systems the /P( )ill not unction unless you partially or ully disable the fre)all or the &U(;&'P interace! dev tap dev tun
>indo)s needs the &'PN>in=7 adapter name rom the (et)or$ "onnections panel i you have more than one! 1n QP SP7 you may need to disable the fre)all or the &'P adapter! devNnode By&ap 're U3P Rproto proto
)e serverK on
connecting Use the
to
a same
&"P setting
the
or as server! tcp udp
&he hostname;2P and port o the server! ,ou can have multiple remote entries to load balance bet)een the servers! remote 567!589!5:!57< 556< @ esta es la ip del gate)ay del servidor en la >'( y el puertoA remote myNserverN7 556< Ioat "hoose a random list or try hosts in RremoteNrandom
host rom the loadNbalancing! the order
remote 1ther)ise specifed!
Oeep trying indefnitely to resolve the host name o the 1pen/P( server! /ery useul on machines )hich are not permanently connected to the internet such as laptops! resolvNretry infnite Bost a nobind
clients specifc
3o)ngrade Ruser Rgroup
privileges
&ry persistN$ey persistNtun
2
to
donMt
ater
preserve
you
are
need local initialization
some
state
connecting
to port
bind to number!
@nonN>indo)s onlyA nobody nobody across
through
restarts!
an
%&&P proxy to reach the actual 1pen/P( server put the proxy server;2P and port number here! See the man page i your proxy server requires authentication! RhttpNproxyNretry retry on connection ailures RhttpNproxy proxy serverT proxy port T >ireless net)or$s oten o duplicate pac$ets! to silence duplicate RmuteNreplayN)arnings
produce a lot Set this Iag pac$et )arnings!
SS-;&-S parms! See the server confg fle or more description! 2tMs best to use a separate !crt;!$ey fle pair or each client! ' single ca fle can be used or all clients! ca e)N5==6:57D!pem @nombre del certifcado"' que descargamosA cert client!crt $ey client!$ey /eriy server certifcate by chec$ing that the certicate has the ns"ert&ype feld set to VserverV! &his is an important precaution to protect against a potential attac$ discussed here4 http4;;openvpn!net;ho)to!htmlmitm &o use this eature you )ill need to generate your server certifcates )ith the ns"ert&ype feld set to VserverV! &he buildN$eyNserver script in the easyNrsa older )ill do this! RnsNcertNtype server 2 a tlsNauth $ey is used then every client must also RtlsNauth ta!$ey Select 2 the cipher then you Rcipher
Enable
a option must
compression
on the server have the $ey! 5
cryptographic is used on also speciy on
the
the it
cipher! server here! x
/P(
lin$!
3onMt enabled compNlzo verb
enable in
Set
Rmute
Silence
this the log
unless server fle repeating
it
is confg
also fle! verbosity! = messages 7:
authNuserNpass Una vez terminado de editar el archivo client lo copiaremos en la carpeta confg! 'hora copiaremos el certifcado en la carpeta confg ubicada en la carpeta 1pen/P( @en el pantallaso podemos ver la ruta completaA
En la conexión suele surgir un problema de alla de conexión es porque alta generar la llave ingresaremos a 2nicio todos los programas 1pen/P( utilities ?enerate a static 1pen/P( $ey!
Esto nos generara una llave llamada $ey en la carpeta confg!
'hora abriremos el 1pen/P( ?U2 y nos saldrá un icono en la barra inerior del equipo le damos clic$ derecho "onnect!
'hora nos loggearemos con el usuario que creamos anteriormente en el servidor endian /P(!
usuario4 daniel contrase*a4 sena!57=
'hora tenemos conexion con el servidor mediante 1pen/P(!
"omo lo verifcamosK ingresamos a la consola de administración y hacemos un ipconfg veremos como nos asigno un nuevo adaptador de red con la ip del rango que asignamos al principio la 567!589!5::!576!
, vemos que el icono paso de roHo a verde la conexión es exitosa!
&unel 2PSE" ingresamos al servidor nuevamente a /P(!
ingresamos a 2Psec y activamos el servicio le damos guardar!
En Estado y control de conexión a*adiremos una nueva conexión un nuevo tGnel le damos a*adir!
El tipo de conexion sera /P( tipo hostNtoNnet @road)arriorA!
En la confguración solo agregaremos el nombre y lo activaremos los demás parámetros los deHamos como están a no ser de que queramos hacer otro tipo de confguración como por eHemplo cambiar la acción de cuando se cae el tGnel!
En 'utenticación la haremos por palabra clave compartida la primera opción en caso tal de que queramos hacerlo por certifcado tambi+n están las opciones para subirlo o generar uno y le damos guardar!
En avanzadas podemos elegir el tipo de encriptacion los grupos 2OE entre otros parámetros de cirado!
Una vez creada la conexión vemos que el estado del tunel es "E'31!
"onfguracion del cliente Sot)are4 &he ?reen .o) @/P( "lientA Este sot)are lo podemos descargar de4 http4;;)))!thegreenbo)!com;es;vpnWdo)n!html Una vez descargado e instalado the green bo) lo confguraremos la instalación no requiere confguraciones por eso no la agregue en esta entrada despu+s de instalarlo nos creara el acceso directo en el escritorio lo abrimos y vemos que nos despliega un icono en la barra inerior de nuestra maquina le damos clic$ derecho e ingresamos al panel de confguración!
En este panel agregaremos las ases que son como las reglas para el /P( y el tunel le damos clic$ derecho en "onfguracion de /P( (ueva 0ase5!
Esto nos creara una 0ase llamada ?ate)ay alli confguraremos en la pcion ?ate)ay emoto la direccion del gate)ay del servidor por el que sale a la >'( la que vimos en pasos anteriores la 567!589!5:!57< este es el gate)ay en 'utenticación seleccionamos la opción -lave secreta o si lo hicimos por certifcado seleccionamos certifcado y lo subimos como lo hicimos por palabra clave pondremos la palabra clave que pusimos en la confguración de la autenticación de la conexión nuestra palabra es 57=
'hora crearemos el tunel le damos en gate)ay clic$ derecho (ueva 0ase7!
Esto nos creara la segunda ase llamada &Gnel all# en las 3irecciones el tipo de 3irección le diremos 3irección 2P de ed en 3irección de -'( remota como su nombre lo especifca pondremos el gate)ay del servidor endian de la -'( la 567!589!5::!5 con su respectiva mascara y en P0S el grupo ya sea el 3%7 o el 3%D @esto lo seleccionamos en la confguración avanzada de la conexión en el servidor endian /P(A!
Una vez confguradas las dos ases le damos guardar y aplicar!
/amos al icono de la barra inerior y le damos 'brir tunelM?ate)ayN &unnelM!
Si nuestras confguraciones están bien y no tenemos problemas de conectividad entre maquinas tendremos +xito en la conexión por 2Psec y nos saldrá &Gnel abierto!
En el servidor nos dirigimos a 2Psec y vemos en estado y control de conexión que nuestra conexión esta abierta!
Si queremos ver los registros los loggins etc ingresamos a egistros en la barra de menu!
Una vez alli vemos una tabla con todos los registros que podemos ver buscaremos el de 1pen/P(!
%acemos clic$ en Buestra este registro Gnicamente y vemos el registro que podemos ver alliK por eHemplo la echa el usuario y la ip del cliente que se conecto al tGnel!
?losario