Servidor Proxy en Endian

Servidor Proxy en Endian Un servidor proxy básicamente lo que hace es fltrar la inormación que sale de un host a la red y la redirige al proxy para controlar los sitios o las petici cio ones que realiza ya sea po porr motivos de seguridad autenticación ano an onimato re direcci cio onamiento entre otros! "omenzamos eligiendo la opción Proxy en la barra superior del endian all# ingresaremos a confguración y damos clic$ sobre el botón %abilitar Proxy %&&P!

 'qu# lo pondremos en modo transparente modo  transparente si  si deseamos que el prox p roxy y este por deecto en el sistema o (o trasparentesi trasparentesi queremos agregar el proxy manualmente en cada bro)ser elegimos el puerto por el que queremos que qu e co corr rra a nu nues estr tro o pr pro oxy xy el id idio ioma ma par para a el de despl splie iegu gue e de er erro ror r un nombre cualquiera una dirección de correo cualquiera y elegimos los tama*os de descarga y de subida de archivos!

'qui veremos los puertos que tenemos permitidos!

'qu# habilitaremos el registro los t+rminos de consulta de registro el registro de fltro de contenido y el registro por usuarios!

'qui agregaremos un sitio para que no quede registrado en la cache es opcional!

 , aplicamos las reglas una vez guardadas!

'hora 'hor a real aliizar are emos las rest stri ric cci cion one es po porr usu suar ariio ing ngrres esam amos os a "ontenflter donde crearemos un perfl para defnir la autenticación!

-e damos crear perfl o si ya tenemos uno lo editamos!

"uan and do le dam amo os crear nos despliega unas ventanas donde confguraremos las pol#ticas de perfl en esta confguraremos el nombre y te tene nemo mos s ot otra ras s si sigu guie ient ntes es a es esta ta do dond nde e po pode demo mos s res estr trin ingi girr po porr palabras o por contenidos!

-a que nos importa a nosotros sera esta de lis listas tas neg negras ras y bla blanca ncas s personalizadas do personalizadas dond nde e po pond ndre remo mos s en la pa part rte e qu que e di dice ce .loqu .loquear ear los siguientes sitios sitios agregaremos all# los sitios a bloquear en nuestro caso youtube hotmail y aceboo$!

-e damos crear perfl y perfl y aplicamos las reglas! 'hora 'hor a no nos s di diri rigi girrem emos os a 'utenticación 'utenticación y le damos en administrar usuarios pa usuarios para ra cr crea earr lo los s us usuar uario ios s a lo los s qu que e re rest stri ring ngir irem emos os lo los s si siti tios os anteriormente mencionados!

'gregamos el nombre y la contrase*a del usuario y le damos crear usuario! 'hora crearemos el grupo donde estará nuestro usuario volvemos a 'utenticación y le damos en administrar grupos!

'gregamos el nombre pertenecientes a este!

del grupo

y seleccionamos

los usuarios

/amos a Pol#tica de acceso para defnir a quienes le aplicaremos estas!

En autenticación escogemos si queremos que sea por grupo o por usuario o para cualquiera en 0iltro de perfl buscamos el perfl que creamos anteriormente llamado reglas y le damos crear pol#tica!

1 por usuario le damos user based en 'utenticación y seleccionamos el usuario!

'plicamos la regla!

 'hora si tenemos el proxy modo no trasparente lo agregaremos en nuestro bro)ser!

 , hacemos las pruebas!

En este caso lo tenemos en autenticación por grupo entonces al intentar ingresar a )))!youtube!com nos pide que nos registremos!

En este caso lo hicimos por usuario nos logueamos con nuestras credenciales de usuario y vemos lo que pasa al intentar ingresar a uno de los sitios restringidos!

(os deniega el acceso a youtube!

2gualmente para hotmail!

 , tenemos acceso a otros sitios como google!  , esto ue un servidor proxy en endian con restricciones y autenticación por usuario! ENDIAN FIREWALL CONFIGURACION Y ADMINISTRACION Endian es un fre)all de 1penSource básicamente para el control de amenazas en nuestra red pero tambi+n cuenta con caracter#sticas especiales ya que unciona como proxy canales /P( enrutador antivirus y fltrado de datos antispam entre otras! Es bastante ácil de administrar y de instalar con versión gratuita que podemos adquirir desde la página ofcial como 2S1 de descarga! En esta entrada confguraremos E(32'( como fre)all para implementar la seguridad a la siguiente topolog#a4

3irecciones4 -'( 567!589!5::!: ;7< 0&P -'( 567!589!5::!= ;7< >E. -'( 567!589!5::!= ;7< ?ate>ay -'( @endianA 567!589!5::!7 ;7< 3BC 567!589!5:5!: ;7< 0&P 3BC 567!589!5:5!= ;7< >E. 3BC 567!589!5:5!= ;7< ?ate>ay 3BC @endianA 567!589!5:5!7 ;7< >'( 567!589!5:!: ;7< Endian 2nteraz >E. 567!589!5:!D: ;7< ?ate>ay >'( 567!589!5:!5 equerimientos4 F ed -'(4 servicios privados solo accesibles desde la -'( debe comunicarse con la 3BC y con la >'(! F ed 3BC4 servicios pGblicos accesibles desde la 3BC -'( y >'( no debe ver la -'(! F ed >'(4 3ebe acceder a los servicios pGblicos de la 3BC por el fre)all @re direccionamiento de 2PA y no debe ver la -'(! F &odas las redes deben salir a internet! "onfguración4

'l igual que en la entrada del m:n:)all en esta agregaremos tres adaptadores de red a nuestra máquina de endian uno para nuestra -'( otro para 3BC y otro para la >'( una vez tengamos estos adaptadores crearemos tambi+n una maquina en >indo)s que uncionara como servidor >E. y 0&P otra en "ent1S que sera servidor >E. y 0&P tambi+n y un cliente en la >'(! -a instalación de endian es bastante sencilla una vez pongamos a bootear nuestra maquina escogeremos el lenguaHe apropiado que escriba los cambios en el disco duro habilitar el servicio de consola por cable serial agregar una dirección ip por la que accederemos v#a )eb a la interaz )eb de endian retiramos la 2S1 de intalacion de la unidad de "3 y fnalizamos la instalación una vez hechos estos pasos empezaremos la confguración!

"uando nos aparezca este pantallaso escogeremos la opción : para ingresar a la shell!

Una vez alli le diremos login y pondremos la contrase*a del root que por deecto es endian!

'qui podremos administrar desde la shell de endian con algunos de los comandos que usualmente usamos en nuestras maquina con S1 en -inux! 3esde la maquina >indo)s pondremos la direccion 2P que le dimos en la instalación la pondremos en la barra de direcciones y entraremos a la interaz )eb de endian!

Una vez all# le daremos en el botón con las Iechas @siguienteA! Si queremos hacer un respaldo de nuestro fre)all escogemos la opción si en el siguiente paso en este caso le diremos que no y continuamos!

Escogemos la contrase*a para nuestro usuario y para el servicio SS% del root y continuamos! En endian las Conas se defnen por colores por eso es importante leer bien lo que hacemos ya que alli esta todo muy bien defnido!

En este paso confguraremos el tipo de interaz para la zona 1J' que es la >'( seleccionaremos E&%E(E& ES&'&2"1 para que nuestra dirección sea estática y le damos siguiente donde escogeremos el color para nuestra zona 3BC que como all# dice (''(J' para 3BC o 'CU- para >2 02!

'qu# confguraremos la zona /E3E que sera la -'( le pondremos una dirección ip la que nosotros destinemos a la -'( la mascara y chuleamos la opción verde en la tabla de abaHo para confrmar la mac el vinculo y la interaz en este caso eth:!

En la misma pagina confguraremos la zona (''(J' que sera la 3BC le pondremos una dirección ip estática y su respectiva mascara que asignamos en una previa planeacion para la 3BC y chuleamos la opción naranHa en la tabla si queremos cambiamos el nombre del equipo y del dominio y continuamos! En el siguiente paso confguraremos la dirección estática para nuestra >'( como sabremos que ip ponerleK en la shell de endian haremos un dhclient a la interaz por la que este nuestra >'( en nuestro caso la eth7 y vemos que ip nos entrega!

'gregaremos la ip que obtuvimos con la mascara chuleamos la opción roHa o la ultima de la tabla y agregamos el gate)ay!

'qu# pondremos los servidores 3(S que normalmente usamos para salir a internet y continuamos donde nos pedirá una dirección de correo electrónico pero esto es opcional y se puede omitir!

Una vez estemos en el ultimo paso le damos 'ceptar aplicar confguración esperamos 7: segundos y nos aparecera el login!

Entramos con el usuario admin y la contrase*a endian @en la imagen dice conectar a 567!589!=:!7 pido disculpas esto es un error de imagen nuestra dirección es la 567!589!5::!7A Confguracion del NAT

(os dirigiremos a la opción cortauegos y all# eenvio de puertos ; ('& y luego (at 0uente

'lli en 1rigen le diremos que es tipo ed;2P y agregaremos la dirección de nuestra -'( con destino a cualquier destino @:!:!:!:A y le damos crear regla esto es para que nuestra -'( tenga acceso a internet crearemos dos una para la -'( y otra para la 3BC!

'plicamos las reglas haciendo clic$ en 'plicar

-uego le daremos en 2ncoming outed &raLc para denegar el acceso de la >'( a la -'(!

'lli en 1rigen le diremos que es tipo 1J' @>'(A y en destino tipo Conas seleccionamos la /E3E @-'(A y en la politica le diremos 3E(E?' y creamos la regla esto quiere decir que nuestra >'( no tendra acceso a la -'(! 'hora confguraremos las reglas de reenv#os nos dirigiremos a Port or)arding ; 3estination ('& ule Editor!

En tipo buscamos la opción Cona;/P(;Enlace activo y buscamos el enlace activo de nuestra >'( y lo seleccionamos le diremos q es para el servicio 0&P y en la parte Bapear a escogemos tipo 2P y ponemos la dirección de la 3BC donde esta nuestro servicio 0&P y su respectivo puerto y que tenga acceso desde cualquier enlace activo y le damos crear regla y creamos otra igual pero para nuestro servicio >E.!

 , asi quedaran nuestras reglas de reenvio ahora podemos acceder desde la >'( a los servicios de la 3BC! 'hora confguraremos el trafco entre zonas nos dirigiremos a &rafco entre Conas y a*adiremos una nueva!

-e diremos que de la Cona /E3E a la (''(J' permita cualquier servicio y le damos crear regla!

-uego a*adiremos otra donde le diremos que deniegue todo el tráfco de cualquier servicio de la Cona (''(J' a la /E3E ya que este es un requisito principal que la 3BC no vea a la -'( pero la -'( si tenga acceso a los servicios de la 3BC! Pruebas4 Primero probaremos nuestra red -'(

En este paso intentaremos acceder al servidor 0&P de la 3BC y como vemos nos pide el login por lo tanto es exitoso!

%aremos lo mismo para el servidor >E. y tambi+n es exitoso!

 , como podemos ver tambi+n tenemos salida a internet si estamos utilizando un proxy se lo agregamos al navegador y listo! 'hora desde la >'(4

2ntentaremos acceder al 0&P de la 3BC por reenvió colocamos la ip de nuestro fre)all la 567!589!5:!D: y como vemos nos pide el login por lo tanto el reenvió ue exitoso!

-o mismo para nuestro servidor >E. en la 3BC tambi+n es exitoso!

Tunel VN endian cone!i"n #ir$ual ISEC% $&e green 'o(

 &Gnel /P( conexión virtual 2Psec En esta entrada confguraremos un tGnel virtual para conectarnos a una red -'( desde un host en la >'( por medio de 1pen/P( y una conexión virtual con 2Psec todo esto lo haremos con endian fre)all y para el cliente utilizaremos the green bo)! /P( @/irtual private net)or$A ed privada virtual es una tecnolog#a de red que nos permite realizar una conexión de una red local a una red publica como por eHemplo conectarnos desde nuestro hogar a nuestra ofcina a trav+s de internet con unas caracter#sticas esenciales tales como la autenticación la integridad y la confdencialidad sin olvidar el no repudio @ verifcación de frmaA! 'lgunos tipos4 /P( de acceso remoto4 es una de las conexiones más comunes un eHemplo de esta ser#a una conexión desde nuestro hogar a nuestra ofcina mediante internet! /P( punto a punto4 esta conexión podr#a ser implementada por eHemplo cuando queremos conectar varias ofcinas remotas de una sede en particular entre s# mediante un tGnel permanente en internet! 2Psec Son varios protocolos que actGan en la capa = del modelo 1S2 implementando seguridad en este caso a los tGneles vpn se encarga de autenticar usuarios cirar datos enviados en resumen permitir una conexión virtual segura! Sot)areMs4 1pen/P( Es un sot)are que permite realizar conexiones virtuales con autenticación de usuarios y host remotos lo utilizaremos en el servidor y 1pen/P( "lient para el cliente uera de la -'(!

 &he ?reen .o) Es un sot)are que orece soluciones de seguridad y actGa como "liente /P( lo instalaremos en el cliente remoto en la >'(!

3irecciones4 -'(4 567!589!5::!: ;7< >'(4 567!589!5:!: ;7< ango 1pen/P(4 567!589!5::!576 N 567!589!5::!56: Endian 0ire)all /P( ?ate)ay -'(4 567!589!5::!5 Endian 0ire)all /P( ?ate)ay >'(4 567!589!5:!5 "liente Servidor en -'(4 567!589!5::!7 "liente remoto 2P >'(4 567!589!5:!5D6 "liente remoto 2P -'( mediante 1pen/P(4 567!589!5::!5=: -a instalación de Endian 0ire)all es bastante sencilla y como en entradas anteriores ya está explicada no la agregaremos a esta entrada pero por si las dudas anexo este lin$ con la instalación y confguración del mismo! -in$4 http4;;donHuanblogo!blogspot!com;7:57;:D;endianNfre)allN confguracionNy!html

"onfguraciones 1pen/P( En la barra de manu de endian ingresaremos a /P(

Una vez all# en Servidor 1pen/P( activaremos el servidor y le daremos el rango de ip disponibles de la -'( que entregara a nuestros clientes /P(!

 -uego ingresamos a "uentas donde crearemos el usuario con el que nos conectaremos le damos el nombre y la contrase*a y en EmpuHar solo estas redes damos la dirección de la -'( pero esto es opcional y le damos guardar!

 Una vez creado nuestro usuario lo podemos visualizar en "onfguracion de la cuenta alli nos aparece un lin$ de descarga el cual contiene nuestro certifcado "' lo descargaremos y lo copiaremos en una maquina cliente /P(!

-o copiamos en el cliente!

"ontinuando con la confguración ingresamos a 'vanzado donde confguraremos el puerto @556
En opciones global de env#o de parámetros agregaremos la dirección de nuestro servidor aunque esto es para un 3(S nosotros no tenemos servidor de nombres pero igual pondremos la dirección del gate)ay de -'( de nuestro servidor endian!

En la confguración de autenticación le diremos que es tipo PSO  @usuario;contrase*aA le damos guardar y reiniciar!

 'hora miraremos cual es la dirección de gate)ay por el que les servidor endian sale a la >'( ingresamos a Sistema buscamos Enlaces activos y la miramos en nuestro caso es la 567!589!5:!57< esto es para saber a que gate)ay se dirigira el cliente!

'hora desde la maquina cliente descargaremos y confguraremos 1pen/P( para la conexion lo podemos descargar de4 http4;;openvpn!net;index!php;openNsource;do)nloads!html Una vez descargado lo instalamos la instalación es sencilla no requiere confguraciones nos dirigiremos la carpeta de eHemplos de confguración del 1pen/P( ubicada en4 Bi P" 3isco local " 'rchivos de programa 1pen/P( sampleNconfg!

'll# buscaremos el archivo client y lo abriremos con )ordpad lo editaremos clic$ derecho abrir con y buscamos )ordpad!

El archivo debe quedar de la siguiente manera4    Sample clientNside 1pen/P( 7!: confg fle   or connecting to multiNclient server!     &his confguration can be used by multiple   clients ho)ever each client should have   its o)n cert and $ey fles!     1n >indo)s you might )ant to rename this   fle so it has a !ovpn extension     Speciy that )e  )ill be pulling  rom client

are a certain

client confg the

and fle

that )e directives server!

 Use the same setting as you are using on  the server!  1n most systems the /P( )ill not unction  unless you partially or ully disable  the fre)all or the &U(;&'P interace! dev tap dev tun

 >indo)s needs the &'PN>in=7 adapter name  rom the (et)or$ "onnections panel  i you have more than one! 1n QP SP7  you may need to disable the fre)all  or the &'P adapter! devNnode By&ap  're  U3P  Rproto proto

)e serverK on

connecting Use the

to

a same

&"P setting

the

or as server! tcp udp

 &he hostname;2P and port o the server!  ,ou can have multiple remote entries  to load balance bet)een the servers! remote 567!589!5:!57< 556< @ esta es la ip del gate)ay del servidor en la >'( y el puertoA remote myNserverN7 556< Ioat  "hoose a random  list or  try hosts in RremoteNrandom

host rom the loadNbalancing! the order

remote 1ther)ise specifed!

 Oeep trying indefnitely to resolve the  host name o the 1pen/P( server! /ery useul  on machines )hich are not permanently connected  to the internet such as laptops! resolvNretry infnite  Bost  a nobind

clients specifc

 3o)ngrade Ruser Rgroup

privileges

 &ry persistN$ey persistNtun 

2

to

donMt

ater

preserve

you

are

need local initialization

some

state

connecting

to port

bind to number!

@nonN>indo)s onlyA nobody nobody across

through

restarts!

an

 %&&P proxy to reach the actual 1pen/P(  server put the proxy server;2P and  port number here! See the man page  i your proxy server requires  authentication! RhttpNproxyNretry  retry on connection ailures RhttpNproxy proxy serverT proxy port T  >ireless net)or$s oten  o duplicate pac$ets!  to silence duplicate RmuteNreplayN)arnings

produce a lot Set this Iag pac$et )arnings!

 SS-;&-S parms!  See the server confg fle or more  description! 2tMs best to use  a separate !crt;!$ey fle pair  or each client! ' single ca  fle can be used or all clients! ca e)N5==6:57D!pem @nombre del certifcado"' que descargamosA cert client!crt $ey client!$ey  /eriy server certifcate by chec$ing  that the certicate has the ns"ert&ype  feld set to VserverV! &his is an  important precaution to protect against  a potential attac$ discussed here4  http4;;openvpn!net;ho)to!htmlmitm   &o use this eature you )ill need to generate  your server certifcates )ith the ns"ert&ype  feld set to VserverV! &he buildN$eyNserver  script in the easyNrsa older )ill do this! RnsNcertNtype server  2 a tlsNauth $ey is used  then every client must also RtlsNauth ta!$ey  Select  2 the cipher  then you Rcipher 

Enable

a option must

compression

on the server have the $ey! 5

cryptographic is used on also speciy on

the

the it

cipher! server here! x

/P(

lin$!

 3onMt  enabled compNlzo  verb

enable in

Set

 Rmute

Silence

this the log

unless server fle repeating

it

is confg

also fle! verbosity! = messages 7:

authNuserNpass Una vez terminado de editar el archivo client lo copiaremos en la carpeta confg! 'hora copiaremos el certifcado en la carpeta confg ubicada en la carpeta 1pen/P( @en el pantallaso podemos ver la ruta completaA

En la conexión suele surgir un problema de alla de conexión es porque alta generar la llave ingresaremos a 2nicio todos los programas 1pen/P( utilities ?enerate a static 1pen/P( $ey!

Esto nos generara una llave llamada $ey en la carpeta confg!

'hora abriremos el 1pen/P( ?U2 y nos saldrá un icono en la barra inerior del equipo le damos clic$ derecho "onnect!

'hora nos loggearemos con el usuario que creamos anteriormente en el servidor endian /P(!

usuario4 daniel contrase*a4 sena!57=

'hora tenemos conexion con el servidor mediante 1pen/P(!

"omo lo verifcamosK ingresamos a la consola de administración y hacemos un ipconfg veremos como nos asigno un nuevo adaptador de red con la ip del rango que asignamos al principio la 567!589!5::!576!

 , vemos que el icono paso de roHo a verde la conexión es exitosa!

 &unel 2PSE" ingresamos al servidor nuevamente a /P(!

ingresamos a 2Psec y activamos el servicio le damos guardar!

En Estado y control de conexión a*adiremos una nueva conexión un nuevo tGnel le damos a*adir!

El tipo de conexion sera /P( tipo hostNtoNnet @road)arriorA!

En la confguración solo agregaremos el nombre y lo activaremos los demás parámetros los deHamos como están a no ser de que queramos hacer otro tipo de confguración como por eHemplo cambiar la acción de cuando se cae el tGnel!

En 'utenticación la haremos por palabra clave compartida la primera opción en caso tal de que queramos hacerlo por certifcado tambi+n están las opciones para subirlo o generar uno y le damos guardar!

 En avanzadas podemos elegir el tipo de encriptacion los grupos 2OE entre otros parámetros de cirado!

Una vez creada la conexión vemos que el estado del tunel es "E'31!

"onfguracion del cliente Sot)are4 &he ?reen .o) @/P( "lientA Este sot)are lo podemos descargar de4 http4;;)))!thegreenbo)!com;es;vpnWdo)n!html Una vez descargado e instalado the green bo) lo confguraremos la instalación no requiere confguraciones por eso no la agregue en esta entrada despu+s de instalarlo nos creara el acceso directo en el escritorio lo abrimos y vemos que nos despliega un icono en la barra inerior de nuestra maquina le damos clic$ derecho e ingresamos al panel de confguración!

En este panel agregaremos las ases que son como las reglas para el /P( y el tunel le damos clic$ derecho en "onfguracion de /P( (ueva 0ase5!

Esto nos creara una 0ase llamada ?ate)ay alli confguraremos en la pcion ?ate)ay emoto la direccion del gate)ay del servidor por el que sale a la >'( la que vimos en pasos anteriores la 567!589!5:!57< este es el gate)ay en 'utenticación seleccionamos la opción -lave secreta o si lo hicimos por certifcado seleccionamos certifcado y lo subimos como lo hicimos por palabra clave pondremos la palabra clave que pusimos en la confguración de la autenticación de la conexión nuestra palabra es 57=
'hora crearemos el tunel le damos en gate)ay clic$ derecho (ueva 0ase7!

Esto nos creara la segunda ase llamada &Gnel all# en las 3irecciones el tipo de 3irección le diremos 3irección 2P de ed en 3irección de -'( remota como su nombre lo especifca pondremos el gate)ay del servidor endian de la -'( la 567!589!5::!5 con su respectiva mascara y en P0S el grupo ya sea el 3%7 o el 3%D @esto lo seleccionamos en la confguración avanzada de la conexión en el servidor endian /P(A!

Una vez confguradas las dos ases le damos guardar y aplicar!

/amos al icono de la barra inerior y le damos 'brir tunelM?ate)ayN  &unnelM!

Si nuestras confguraciones están bien y no tenemos problemas de conectividad entre maquinas tendremos +xito en la conexión por 2Psec y nos saldrá &Gnel abierto!

En el servidor nos dirigimos a 2Psec y vemos en estado y control de conexión que nuestra conexión esta abierta!

Si queremos ver los registros los loggins etc ingresamos a egistros en la barra de menu!

Una vez alli vemos una tabla con todos los registros que podemos ver buscaremos el de 1pen/P(!

%acemos clic$ en Buestra este registro Gnicamente y vemos el registro que podemos ver alliK por eHemplo la echa el usuario y la ip del cliente que se conecto al tGnel!

?losario