5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD
MAURICIO JOSE NADER SIERRA
FUNDACIÓN UNIVERSITARIA SAN MARTÍN FACULTAD DE EDUCACION ABIERTA Y A DISTANCIA PROGRAMA DE INGENIERIA DE SISTEMAS SINCELEJO – SUCRE 2011
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
1/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD
MAURICIO JOSE NADER SIERRA
Trabajo de grado presentado como requisito para optar el título de Ingeniero de Sistemas.
Director: Ing. Ángel Darío Pinto Mangones
FUNDACIÓN UNIVERSITARIA SAN MARTÍN FACULTAD DE EDUCACION ABIERTA Y A DISTANCIA PROGRAMA DE INGENIERIA DE SISTEMAS SINCELEJO – SUCRE 2011
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
2/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
NOTA DE ACEPTACIÓN
-------------------------------------------------------------------------------------------------------------
---------------------------------------Presidente del Jurado
-----------------------------------Jurado
----------------------------------Jurado
Sincelejo, Mayo 31 de 2011
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
3/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
DEDICATORIA
“A Dios, que me brindo la luz para prepararme y cumplir la misión que me encomendó” . “ A mis padres José y Beatriz, por su amor y apoyo incondicional ” . “ A mis hermanas Diana y Andrea, por su lealtad y serenidad que me alientan en la vida ”. “ A mis amigos, por su gran compañía en mi afán por alcanzar mi sueño ”.
Mauricio José Nader Sierra
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
4/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Agradecimientos
Expreso mis sinceros agradecimientos a:
Fundación Universitaria San Martin , por orientarnos con sus mejores aportes académicos, su dedicación y espíritu de transformación humana.
Ángel Darío Pinto Mangones , Director del curso de profundización. Gustavo Agudelo Solórzano , Asesor de planeación del proyecto. Carlos Pérez , Asesor metodológico de esta propuesta. A todas las personas que brindaron su valioso aporte para hacer de éste proyecto una realidad.
Mauricio
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
5/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
TABLA DE CONTENIDO
INTRODUCCIÓN ......................................................................................................11 CAPITULO I: MARCO TEÓRICO ..............................................................................13 1. CENTOS...............................................................................................................14 1.1. Porque Centos ...................................................................................................14 2. PROXY .................................................................................................................16 2.1. Definición ...........................................................................................................16 2.1.1. Principio de funcionamiento ............................................................................17 2.1.2. Filtrado ............................................................................................................17 2.1.3. Autenticación ..................................................................................................17 2.1.4. Almacenamiento de Logs ................................................................................18 2.2. Los Proxys anónimos .........................................................................................18 2.3. Proxys transparentes .........................................................................................18 2.4. Ventajas .............................................................................................................19 2.5. Desventajas .......................................................................................................20 3. FIREWALL............................................................................................................21 3.1. ¿Qué es un Firewall? ........................................................................................21 Figura 1. Modelo de Firewall .....................................................................................22 3.2. Componentes del sistema Firewall. ....................................................................23
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
6/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
3.2.1. Ruteador Filtra- paquetes…………………………………………………………. .23 3.2.2. Gateway a nivel-aplicación………………………………………………... ………23 3.2.3. Gateway a nivel-circuito………………………………………………………….... .23 3.3. Características y ventajas del Firewall. ..............................................................24 3.4. Diseño de decisión de un Firewall de Internet. ...................................................25 3.5. Cómo funciona un sistema Firewall ....................................................................26 3.6. Filtrado de paquetes Stateless ...........................................................................26 Tabla 1. Reglas del Firewall……………………………………………… .……...............27
3.7. Filtrado Dinámico ...............................................................................................28 3.8. Filtrado de aplicaciones......................................................................................29 3.9. El concepto de Firewall personal........................................................................30 3.10. Beneficios de un firewall en Internet .................................................................30 3.11. Limitaciones del Firewall ..................................................................................33 CAPITULO II: IMPLEMENTACIÓN Y CONFIGURACIÓN .......................................34 4. EQUIPOS Y/O MATERIALES NECESARIOS PARA LA CONFIGURACIÓN DEL PROXY/FIREWALL ..................................................................................................35 Figura 2. Arquitectura De Configuración ...................................................................35 5. CONFIGURACIÓN DE PARÁMETROS DE RED EN CENTOS ..........................36 5.1. Detección y configuración del sustento físico (hardware). ..................................36 5.2. Asignación de parámetros de red…………………………………………………….36 5.2.1. Nombre del anfitrión (Hostname)………………………………………………..... 37 5.2.2. Dirección IP, máscara de subred y puerta de enlace………………........ .........37
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
7/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
5.2.3. Servidores de nombres ………………………………...……………….............. .38 5.2.4. Función de Reenvío de paquetes para IPv4…..…….......................................38 5.2.5. Función zeroconf………………………………...………………....................... ..39 5.2.6. Desactivar el soporte para IPv6……………………….……............................40 6. CONFIGURACIÓN DE ROUTER .........................................................................41 7. INSTALACIÓN Y CONFIGURACIÓN DEL SQUID ...............................................43 7.1. Instalación..........................................................................................................43 7.2. Archivos de configuración del Squid...................................................................43 7.3. Configuración Squid............................................................................... ……….44 7.3.1. Parámetro http_port…………………………………………………………………45 7.3.2. Parámetro cache_mem………………………………………………………….. 45 7.3.3. Parámetros cache_swap…………………………………………………………. 45 7.3.4. Parámetros maximum_object_size………………………………………………46 7.3.5. Parámetro hierarchy_stoplist……………………………………………………..46 7.3.6. Parámetro visible_hostname……………………………………………………..47 7.3.7. Parámetro cache_dir……………………………………………………………...47 7.3.8. Parámetro access_log…………………………………………………………… .47 7.3.9. Parámetro cache_log………………………………………………….................48 7.4. Reglas acl ..........................................................................................................48 7.4.1. Regla Tipo src…………………………………………………………....................49 7.4.2. Regla Tipo dts………………………………………………………………………49
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
8/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
7.4.3. Regla Tipo url_regex…………………………………………………………….....50 7.5. Configuración básica Squid................................................................................51 7.6. Configuración de Navegadores Web. .................................................................51 7.7. Configuración Squid Transparente .....................................................................52 7.8. Parámetro http_port ...........................................................................................52 7.9. Control de Acceso..............................................................................................52 7.10. Proxy Acelerado: Opciones Servidor Intermediario (Proxy) Transparente …… .53 7.11. Estableciendo
el
idioma
de
los
mensajes
mostrados
por
Squid
hacia el usuario……………………………………………………………..............53
8. INSTALACION Y CONFIGURACIÓN DE SHOREWALL (FIREWALL) .................54 8.1. Fichero de configuración /etc/shorewall/shorewall.conf ......................................54 8.2. Fichero de configuración /etc/shorewall/zones ...................................................54 8.3. Fichero de configuración /etc/shorewall/interfaces .............................................55 8.4. Fichero de configuración /etc/shorewall/policy ...................................................56 8.5. Fichero de configuración /etc/shorewall/masq ....................................................58 8.6. Fichero de configuración /etc/shorewall/rules .....................................................59 8.6.1. Accept…………………………………………………………………………….. .59 8.6.2. Redirect…………………………………………………………………………… ..60 8.7. Iniciar el cortafuego y añadirlo a los servicios de arranque del sistema.............60 9. CONFIGURACION DE PARÁMETROS DE SEGURIDAD ....................................62 9.1. Reglas del Firewall .............................................................................................62
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
9/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
9.2. Iniciar el cortafuego y añadirlo a los servicios de arranque del sistema ..............64 CAPITULO 3: PRUEBAS Y RESULTADOS …………………………………………….66 I. PRUEBAS .............................................................................................................67 II. RESULTADOS......................................................................................................70 CONCLUSIONES .....................................................................................................71 RECOMENDACIONES .............................................................................................72 BIBLIOGRAFÍA .........................................................................................................73 ANEXOS...................................................................................................................74 I. INSTALACIÓN DEL SISTEMA OPERATIVO CENTOS 5.4 ...................................75 III. CONFIGURACIÓN DEL SERVICIO SQUID EN CENTOS. .................................85
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
10/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
INTRODUCCION
La seguridad ha sido la principal premisa a tratar cuando una organización desea conectar una red privada al Internet. Sin tomar en cuenta el tipo de negocio, se ha incrementado el número de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso público en el Internet. Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas y fluidez del tráfico de red de los mismos, debido a que se expone la organización privada de sus datos así como la infraestructura de su red a los Expertos de Internet (Internet Crackers). Para superar estos temores y proveer el nivel de protección requerida, la organización necesita seguir una política de seguridad para prevenir el acceso no autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportación privada de información. Todavía, aun si una organización no está conectada al Internet, esta debería establecer una política de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la información secreta.
11
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
11/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
En lo que respecta al tráfico de red, tenemos la implementación del proxy el cual es el representante de la red en la que está implementándose. Otra razón que podemos mencionar y que hace interesante para las empresas al implementar un proxy es el ahorro de ancho de banda que se gana con su uso, al evitar las consultas repetidas a un mismo sitio web. Y por supuesto no podría faltar la razón que aman los gerentes de sistemas y gerentes generales y que el resto de los usuarios odia: restringir el uso de internet solo al personal autorizado y a las páginas web autorizadas por la empresa. Debido a la importancia que tiene la implementación de estos componentes de sistemas de red en el presente trabajo se implementara y se configurara un proxy/firewall en una computadora con plataforma Linux (Centos 5), de manera básica para ampliar nuestros conocimientos sobre el tema, y así poder ofrecer soluciones en situaciones en las que no se disponga de equipos especializados donde se pueda implementar estos componentes para la administración eficiente de redes.
12
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
12/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
CAPITULO 1: MARCO TEORICO
13
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
13/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
1. CENTOS Durante los últimos años en el mundo del alojamiento en Linux, se ha producido una distribución que ha sido dominante. Poco a poco, muchas empresas de web hosting Linux se están moviendo de otras distribuciones de Linux a este nuevo sistema operativo dominante debido a sus características, precio y seguridad. Centos que ha sido el dominante sistema operativo Linux en los últimos años, sustituyendo rápidamente a la empresa Red Hat como Linux OS estándar. La principal ventaja de Centos con respecto a la empresa Red Hat es el hecho de que es gratis. Mientras que una licencia de servidor para RHEL (Red Hat Enterprise) puede costarle un brazo y una pierna, Centos es completamente gratis. Se basa en RHEL y es casi totalmente compatible con sus productos. Básicamente este sistema operativo de servidor es lo mismo que RHEL pero sin la etiqueta de precio. No falta ninguna de las características de la empresa de software RHEL, además del hecho de que no es oficialmente el apoyo de RHEL. Tiene muchas ventajas adicionales y modificaciones desde su creación inicial. 1.1. Por qué Centos? Centos tiene claras ventajas frente a otras distribuciones de Linux como SO de servidor a causa de una gran activa y creciente comunidad de usuarios de soporte, actualizaciones de seguridad rápida, mantenida por Centos, dedicado a equipos de desarrolladores, y el apoyo de respuesta rápida a través de chat IRC, manuales en línea, FAQ, listas de correo y foros. Siendo ya un usuario hace un buen tiempo de Centos, he encontrado por mí mismo que el apoyo en estos lugares es tan bueno como y, a menudo superior a los soportes pagados de otras empresas.
14
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
14/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Centos siempre tiene una ventaja clara entre el personal de apoyo de alojamiento web. Por término medio, los administradores de servidores Linux y personal de apoyo están más familiarizados con la distribución Centos que cualquier otra distribución y los problemas se resuelven más rápido, ya que es muy probable que ellos incurran en algún mismo problema. Centos también está siendo constantemente actualizado con nuevos parches de seguridad, los parches y mejoras en el desempeño. El tiempo necesario para parchar Centos es mejor que el tiempo necesario para los parches de cualquier otro servidor de OS. Al igual que antes de que la empresa Red Hat, Centos es increíblemente estable y eficaz en los recursos. A través de sus cinco iteraciones, se ha optimizado para correr Apache, PHP, MySQL, Ruby on Rails, y una variedad de otros marcos de desarrollo con la máxima eficacia. Si estás buscando alojarte a ti mismo, Centos es probablemente el sistema operativo que usted desea utilizar como se hace desde el suelo hasta que sea fácil de mantener y muy apto para el uso a largo plazo. Estas razones, junto con el hecho de que siempre hay para mejorar el desarrollo activo de la plataforma, la infraestructura de la comunidad, una comunidad de amistad, y el apoyo de una gran cantidad de proveedores de alojamiento web Centos, es la elección clara para el alojamiento web tanto ahora como para el previsible futuro.
15
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
15/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
2. PROXY 2.1. Definición En el contexto de las redes informáticas, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor proxy, que permite el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP. La palabra proxy se usa en situaciones en donde tiene sentido un intermediario. El uso más común es el de servidor proxy, que es un computador que intercepta las conexiones de red que un cliente hace a un servidor de destino.
De ellos, el más famoso es el servidor proxy web (comúnmente conocido solamente como «proxy»). Intercepta la navegación de los clientes por páginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. También existen proxys para otros protocolos, como el proxy de FTP.
El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre varios computadores.
Proxy (patrón de diseño) también es un patrón de diseño (programación) con el mismo esquema que el proxy de red.
Un componente hardware también puede actuar como intermediario para otros.
16
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
16/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Fuera de la informática, un proxy puede ser una persona autorizada para actuar en representación de otra persona; por ejemplo, alguien a quien le han delegado el derecho al voto.
Una guerra proxy es una en la que las dos potencias usan a terceros para el enfrentamiento directo.
Como se ve, proxy tiene un significado muy general, aunque siempre es sinónimo de intermediario. También se puede traducir por delegado o apoderado (el que tiene el poder).
2.1.1 Principio de funcionamiento Los servidores Proxy permiten dar seguridad y mejorar el acceso a páginas Web, conservándolas en la caché. De este modo, cuando un usuario envía una petición para acceder a una página Web que está almacenada en la caché, la respuesta y el tiempo de visualización es más rápido. Los servidores Proxy aumentan también la seguridad ya que pueden filtrar cierto contenido Web y programas maliciosos. 2.1.2. Filtrado El filtrado se aplica en función de la política de seguridad implementada en la red. Este permite bloquear sitios considerados maliciosos o sitios considerados inútiles en relación a la actividad de la empresa (pornografía, etc...) 2.1.3. Autenticación A fin de limitar el acceso a la red exterior, y aumentar de este modo la seguridad de la red local, se puede implementar un sistema de autenticación para acceder a recursos externos. Esto es bastante disuasivo 17
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
17/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
para los usuarios que desean visitar sitios que estén en contra de las reglas de uso de Internet en la empresa.
2.1.4. Almacenamiento de Logs El almacenamiento de logs de los sitios visitados y páginas vistas, permite al administrador de la red redefinir la política de seguridad de la red y/o detectar a un usuario que visita frecuentemente sitios maliciosos o sin relación con la actividad de la empresa. 2.2. Los proxys anónimos Además de ocultar la dirección IP, un Proxy anónimo puede eliminar: - Cookies - Pop-ups - Banners - Scripts - Información confidencial en los campos de texto (nombre de usuario y contraseña) 2.3. Proxys transparentes Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxys para reforzar las políticas de uso de la red o para proporcionar seguridad y servicios de caché. Normalmente, un proxy Web o NAT no es transparente a la aplicación cliente: debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy cambiando simplemente la configuración. Una ventaja de tal es que se puede usar para redes de empresa. Un proxy transparente combina un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el 18
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
18/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP).
2.4. Ventajas En general (no sólo en informática), los proxys hacen posibles varias cosas nuevas: -
Control: sólo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos sólo al proxy.
-
Ahorro. Sólo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real.
-
Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché: guardar la respuesta de una petición para darla directamente cuando otro usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más rápido.
-
Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que están prohibidas.
-
Modificación. Como intermediario que es, un proxy puede falsificar información, o modificarla siguiendo un algoritmo.
-
Anonimato. Si todos lo usuarios se identifican como uno sólo, es difícil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificación.
19
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
19/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
2.5. Desventajas En general (no sólo en informática), el uso de un intermediario puede provocar: -
Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y al responderlas, es posible que haga algún trabajo que no toque. Por tanto,
-
Controlar quién tiene acceso y quién no a sus servicios, cosa que normalmente es muy difícil.
-
Carga. Un proxy ha de hacer el trabajo de muchos usuarios.
-
Intromisión. Es un paso más entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de caché y guarda copias de los datos.
-
Incoherencia. Si hace de caché, es posible que se equivoque y dé una respuesta antigua cuando hay una más reciente en el recurso de destino. En realidad este problema no existe con los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar que la versión que tiene en cache sigue siendo la misma que la existente en el servidor remoto.
-
Irregularidad. El hecho de que el proxy represente a más de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).
20
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
20/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
3. FIREWALL Cada computador que se conecta a internet (y, básicamente, a cualquier red de computadores pueda ser víctima del ataque de un hacker. La metodología que generalmente usan los hackers consiste en analizar la red (mediante el envío aleatorio de paquetes de datos) en busca de un computador conectado. Una vez que encuentra un computador, el hacker busca un punto débil en el sistema de seguridad para explotarlo y tener acceso a los datos de la máquina. Por muchas razones, esta amenaza es aún mayor cuando la máquina está permanente conectada a internet.
Es probable que la máquina elegida esté conectada pero no controlada. Generalmente, la máquina conectada que se elige posee un ancho de banda más elevado. La máquina elegida no cambia las direcciones IP o lo hace muy ocasionalmente.
Por lo tanto, es necesario que las redes de las compañías, como los usuarios de internet con conexiones por cable o ADSL se protejan contra intrusiones en la red instalando un dispositivo de protección. 3.1 ¿Qué es un Firewall? Un firewall es un sistema que protege a un computador o a una red de computadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red: 21
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
21/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
- Una interfaz para la red protegida (red interna). - Una interfaz para la red externa.
Figura 1. Modelo de Firewall
El sistema firewall es un sistema de software, a menudo sustentado por un hardware de red dedicada, que actúa como intermediario entre la red local (computadora local) y una o más redes externas. Un sistema de firewall puede instalarse en computadores que utilicen cualquier sistema siempre y cuando:
La máquina tenga capacidad suficiente como para procesar el tráfico.
El sistema sea seguro.
No se ejecute ningún otro servicio más que el servicio de filtrado de paquetes en el servidor.
22
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
22/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
3.2. Los componentes del sistema Firewall. Un Firewall típico se compone de uno, o una combinación, de:
Ruteador Filtra-paquetes.
Gateway a nivel-aplicación.
Gateway a nivel-circuito.
3.2.1. Ruteador Filtra-paquetes. El ruteador toma las decisiones de rehusar y permitir el paso de cada uno de paquetes que son recibidos. Este con sistema basadeenrevisión el examen de los cada datagrama enviado y cuenta una se regla de información de los encabezados IP, si estos no corresponden a las reglas, se descarta o desplaza el paquete. 3.2.2. Gateway a nivel-aplicación Los gateways nivel-aplicación permiten al administrador de red la implementación de una política de seguridad estricta que la que permite un ruteador filtra-paquetes. Mucho mejor que depender de una herramienta genérica de filtrapaquetes para administrar la circulación de los servicios de Internet a través del firewall, se instala en el gateway un código de propósitoespecial (un servicio Proxy) para cada aplicación deseada. 3.2.3. Gateway a nivel-circuito Un Gateway a nivel-circuito es en si una función que puede ser perfeccionada en un Gateway a nivel-aplicación. A nivel-circuito simplemente trasmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes. 23
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
23/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Tal como se menciono anteriormente, este gateway simplemente trasmite la conexión a través del firewall sin examinarlo adicionalmente, filtrarlo, o dirigiendo el protocolo de Telnet. El gateway a nivel-circuito acciona como un cable copiando los bytes antes y después entre la conexión interna y la conexión externa. 3.3. Características y ventajas del Firewall. - Protección de la red : Mantiene alejados a los piratas informáticos (crakers) de su red al mismo tiempo que permite acceder a todo el personal de la oficina. - Control de acceso a los recursos de la red : Al encargarse de filtrar, en primer nivel antes que lleguen los paquetes al resto de las computadoras de la red, el firewall es idóneo para implementar en el los controles de acceso. - Control de uso de internet : Permite bloquear el material no- adecuado, determinar que sitios que puede visitar el usuario de la red interna y llevar un registro. - Concentra la seguridad: El firewall facilita la labor a los responsables de seguridad, dado que su máxima preocupación de encarar los ataques externos y vigilar, es mantener un monitoreo. - Control y estadísticas: Permite controlar el uso de internet en el ámbito interno y conocer los intentos de conexiones desde el exterior y detectar actividades sospechosas. - Choke-Point: Permite al administrador de la red definir un (embudo) manteniendo al margen los usuarios no-autorizados fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección para varios tipos de ataques. 24
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
24/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
- Genera Alarmas de Seguridad: El administrador del firewall puede tomar el tiempo para responder una alarma y examina regularmente los registros de base. - Audita y registra internet: Permite al administrador de red justificar el
gasto que implica la conexión a internet, localizando con precisión los cuellos de botella potenciales del ancho de banda. 3.4. Diseño de decisión de un Firewall de Internet. Cuando se diseña un firewall de internet, se toman algunas decisiones que pueden ser asignadas por el administrador de red: - Las políticas que propone el Firewall : Posturas de las políticas “No todo lo específicamente permitido está prohibido” y “Ni todo lo específicamente prohibido está permitido”
- La primera postura asume que un firewall puede obstruir todo el tráfico
y cada uno de los servicios o aplicaciones deseadas necesariamente y ser aplicadas caso por caso. - La segunda propuesta asume que el firewall puede desplazar todo el
tráfico y que cada servicio potencialmente peligroso necesitara ser aislado básicamente caso por caso. - La Política interna propia de la organización para la seguridad total:
La política de seguridad se basara en una conducción cuidadosa analizando la seguridad, la asesoría en caso de riesgo. - El costo Financiero del proyecto Firewall: Es el precio que puede
ofrecer una organización por su seguridad, un simple paquete filtrado firewall puede tener un costo mínimo ya que la organización necesita
25
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
25/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
un ruteador conectado al internet, y dicho paquete ya está incluido como estándar del equipo. 3.5. Cómo funciona un sistema Firewall Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al sistema: - Autorizar la conexión (permitir ) - Bloquear la conexión (denegar ) - Rechazar el pedido de conexión sin informar al que lo envió ( negar )
Todas estas reglas implementan un método de filtrado que depende de la política de seguridad adoptada por la organización. Las políticas de seguridad se dividen generalmente en dos tipos que permiten: - La autorización de sólo aquellas comunicaciones que se autorizaron
explícitamente: "Todo lo que no se ha autorizado explícitamente está prohibido" - El rechazo de intercambios que fueron prohibidos explícitamente. El primer método es sin duda el más seguro. Sin embargo, impone una definición precisa y restrictiva de las necesidades de comunicación. 3.6.
Filtrado de paquetes Stateless
Un sistema de firewall opera según el principio del filtrado simple de paquetes, o filtrado de paquetes stateless . Analiza el encabezado de cada paquete de datos (datagrama ) que se ha intercambiado entre un computador de red interna y un computador externo. Así, los paquetes de datos que se han intercambiado entre un computador con red externa y uno con red interna pasan por el firewall y
26
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
26/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
contienen los siguientes encabezados, los cuales son analizados sistemáticamente por el firewall: - La dirección IP del computador que envía los paquetes - La dirección IP del computador que recibe los paquetes - El tipo de paquete (TCP, UDP, etc.) - El número de puerto (recordatorio: un puerto es un número asociado a
un servicio o a una aplicación de red). Las direcciones IP contienen los paquetes que permiten identificar al computador que envía los paquetes al computador de destino, mientras que el tipo de paquete y el número de puerto indican el tipo de servicio que se utiliza. La siguiente tabla proporciona ejemplos de reglas del firewall: Regla Acción
IP fuente
IP destino Protocolo Puerto fuente
Puerto destino
1
Aceptar 192.168.10.20 194.154.192.3
tcp
cualquiera
25
2 3
Aceptar cualquiera 192.168.10.3 Aceptar 192.168.10.0/24 cualquiera
tcp tcp
cualquiera cualquiera
80 80
4
Negar
cualquiera
cualquiera
cualquiera cualquiera cualquiera
Tabla 1. Reglas Firewall Los puertos reconocidos (cuyos números van del 0 al 1023) están asociados con servicios ordinarios (por ejemplo, los puertos 25 y 110 están asociados con el correo electrónico y el puerto 80 con la Web). La mayoría de los dispositivos de firewall se configuran al menos para filtrar comunicaciones de acuerdo con el puerto que se use. Normalmente, se recomienda bloquear todos los puertos que no son fundamentales (según la política de seguridad vigente). 27
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
27/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Por ejemplo, el puerto 23 a menudo se bloquea en forma predeterminada mediante dispositivos de firewall, ya que corresponde al protocolo TELNET, el cual permite a una persona emular el acceso terminal a una máquina remota para ejecutar comandos a distancia. Los datos que se intercambian a través de TELNET no están codificados. Esto significa que es probable que un hacker observe la actividad de la red y robe cualquier contraseña que no esté codificada. Generalmente, los administradores prefieren el protocolo SSH, el cual tiene la reputación de ser seguro y brinda las mismas funciones que TELNET. 3.7. Filtrado Dinámico El Filtrado de paquetes Stateless sólo intenta examinar los paquetes IP independientemente, lo cual corresponde al nivel 3 del modelo OSI (Interconexión de sistemas abiertos). Sin embargo, la mayoría de las conexiones son admitidas por el protocolo TCP, el cual administra sesiones, para tener la seguridad de que todos los intercambios se lleven a cabo en forma correcta. Asimismo, muchos servicios (por ejemplo, FTP) inician una conexión en un puerto estático. Sin embargo, abren un puerto en forma dinámica (es decir, aleatoria) para establecer una sesión entre la máquina que actúa como servidor y la máquina cliente. De esta manera, con un filtrado de paquetes stateless, es imposible prever cuáles puertos deberían autorizarse y cuáles deberían prohibirse Para solucionar este problema, el sistema de filtrado dinámico de paquetes se basa en la inspección de las capas 3 y 4 del modelo OSI, lo que permite controlar la totalidad de las transacciones entre el cliente y el servidor. El término que se usa para denominar este proceso es "inspección stateful" o "filtrado de paquetes stateful ". Un dispositivo de firewall con "inspección stateful" puede asegurar el control de los intercambios. Esto significa que toma en cuenta el estado 28
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
28/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
de paquetes previos cuando se definen reglas de filtrado. De esta manera, desde el momento en que una máquina autorizada inicia una conexión con una máquina ubicada al otro lado del firewall, todos los paquetes que pasen por esta conexión serán aceptados implícitamente por el firewall. El hecho de que el filtrado dinámico sea más efectivo que el filtrado básico de paquetes no implica que el primero protegerá a la maquina contra los hackers que se aprovechan de las vulnerabilidades de las aplicaciones. Aún así, estas vulnerabilidades representan la mayor parte de los riesgos de seguridad. 3.8. Filtrado de aplicaciones El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del filtrado simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los protocolos utilizados por cada aplicación. Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un gran entendimiento de la forma en que en ésta se estructuran los datos intercambiados (puertos, etc.). Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes mediante la intervención y la realización de una evaluación completa del contenido en los paquetes intercambiados. Por lo tanto, el proxy actúa como intermediario entre los computadores de la red interna y la red externa, y es el que recibe los ataques. Además, el filtrado de aplicaciones permite la destrucción de los encabezados que 29
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
29/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad. Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena protección de la red. Por otra parte, el análisis detallado de los datos de la aplicación requiere una gran capacidad de procesamiento, lo que a menudo implica la ralentización de las comunicaciones, ya que cada paquete debe analizarse minuciosamente. Además, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades relacionadas para ser efectivo. Finalmente, un sistema como este podría tener vulnerabilidades debido a que interpreta pedidos que pasan a través de sus brechas. Por lo tanto, el firewall (dinámico o no) debería disociarse del proxy para reducir los riesgos de comprometer al sistema. 3.9. El concepto de Firewall personal El término firewall personal se utiliza para los casos en que el área protegida se limita al computador en el que el firewall está instalado. Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador y prevenir notablemente los ataques de programas como los troyanos, es decir, programas dañinos que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas al conectarse a su computador. 3.10. Beneficios de un firewall en Internet Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del 30
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
30/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
sistema se expone al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es únicamente seguro tanto como la seguridad en la fragilidad posible del sistema. El firewall permite al administrador de la red definir un "choke point" (embudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vándalos, y espías) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administración, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada. El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algún problema en el tránsito de los datos. Esto se podrá notar al acceder al Internet, la pregunta general es "si" pero "cuando" ocurrirá el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitácora del tráfico significativo a través del firewall. También, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, ya que el administrador de red desconoce si ha sido exitosamente atacado.
31
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
31/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
- Concentra la seguridad, Centraliza los accesos - Genera alarmas de seguridad Traduce direcciones (NAT) - Monitorea y registra el uso de Servicios de WWW y FTP. - Internet. Con el paso de algunos años, el Internet ha experimentado una crisis en las direcciones, logrando que el direccionamiento IP sea menos generoso en los recursos que proporciona. Por este medio se organizan las compañías conectadas al Internet, debido a esto hoy no es posible obtener suficientes registros de direcciones IP para responder a la población de usuarios en demanda de los servicios. Un firewall es un lugar lógico para desplegar un Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio de direccionamiento acortando y eliminando lo necesario para re-enumerar cuando la organización cambie de Proveedor de Servicios de Internet (ISP). Un firewall de Internet es el punto perfecto para auditar o registrar el uso del Internet. Esto permite al administrador de red justificar el gasto que implica la conexión al Internet, localizando con precisión los cuellos de botella potenciales del ancho de banda, y promueve el método de cargo a los departamentos dentro del modelo de finanzas de la organización. Un firewall de Internet ofrece un punto de reunión para la organización. Si una de sus metas es proporcionar y entregar servicios de información a consumidores, el firewall de Internet es ideal para desplegar servidores WWW y FTP. Finalmente, el firewall puede presentar los problemas que genera un punto de falla simple. Enfatizando si este punto de falla se presenta en la
32
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
32/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
conexión a Internet, aun así la red interna de la organización puede seguir operando - únicamente que el acceso al Internet este perdido. La preocupación principal del administrador de red, son los múltiples accesos al Internet, que se pueden registrar con un monitor y un firewall en cada punto de acceso que posee la organización hacia el Internet. Estos dos puntos de acceso significan dos puntos potenciales de ataque a la red interna que tendrán que ser monitoreados regularmente. 3.11. Limitaciones del Firewall Por supuesto que los sistemas firewall no brindan seguridad absoluta; todo lo contrario. Los firewalls sólo ofrecen protección en tanto todas las comunicaciones salientes pasen sistemáticamente a través de éstos y estén configuradas correctamente. Los accesos a la red externa que sortean el firewall también son puntos débiles en la seguridad. Claramente, éste es el caso de las conexiones que se realizan desde la red interna mediante un módem o cualquier otro medio de conexión que evite el firewall. Asimismo, la adición de medios externos de almacenamiento a los ordenadores de sobremesa o portátiles de red interna puede dañar enormemente la política de seguridad general. Para garantizar un nivel máximo de protección, debe ejecutarse un firewall en el computador y su registro de actividad debe controlarse para poder detectar intentos de intrusión o anomalías. Además, se recomienda controlar la seguridad (por ejemplo, inscribiéndose para recibir alertas de seguridad de CERT) a fin de modificar los parámetros del dispositivo de firewall en función de las alertas publicadas. La instalación de un firewall debe llevarse a cabo de la mano de una política de seguridad real.
33
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
33/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
CAPITULO 2: IMPLEMENTACIÓN Y CONFIGURACIÓN
34
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
34/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
4. EQUIPOS Y MATERIALES NECESARIOS CONFIGURACIÓN DEL PROXY/FIREWALL
PARA
LA
1 Router. 1 Switch. 1 PC servidor Proxy/Firewall. 1 PC servidor Web. 2 PC Clientes para la LAN o red corporativa. Cables par trenzado 3 directos y 2 cruzados. Conectores RJ45. Cable consola para la configuración del Router.
Al contar con los equipos y/o materiales se diseño la arquitectura de la configuración:
FIGURA 2. Arquitectura De Configuración 35
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
35/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
5. CONFIGURACIÓN DE PARÁMETROS DE RED EN CENTOS Configurar los parámetros de red en una estación de trabajo Linux se realizaron los siguientes procedimientos: 5.1. Detección y configuración del sustento físico (hardware) La detección del sustento físico (hardware) es realizada o bien por el programa de instalación. En términos generales, no hace falta configurar parámetro alguno mientras los dispositivos de red sean compatibles y exista un controlador para la versión del núcleo (kernel) ejecutado. Es posible configurar todo manualmente. La marca de la tarjeta de red es lo que menos interesa, lo que es importante es que se determine con exactitud que circuito integrado auxiliar (chipset) utiliza la tarjeta de red. Esto puede determinarse examinando físicamente la tarjeta de red o bien examinando a detalle la salida en pantalla que se obtiene al ejecutar el siguiente comando: lspci | grep Ethernet
Lo anterior devuelve una salida similar a la siguiente (en el caso de una tarjeta 3Com 905 C). Ethernet controller: 3Com Corporation 3c905C-TX [Fast Etherlink] (rev 120).
5.2. Asignación de parámetros de red. 5.2.1. Nombre del anfitrión (Hostname) Debe modificarse con un editor de textos el fichero /etc/hosts, y debe verificarse que este diferenciado el eco o retorno del sistema del nombre del 36
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
36/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
sistema, el cual deberá estar asociado a una de las direcciones IP, específicamente la que esté asociado a dicho nombre en el servidor del sistema de nombres de dominio (DNS) si se cuenta con uno en la red local. 127.0.0.1 localhost.localdomain localhost 192.168.1.50 localhost.tobe localhost
Se debe establecer un nombre para el sistema. Este deberá ser un FQDN (acrónimo de Fully Qualified Domain Name o Nombre de Dominio Plenamente Calificado) resuelto por un servidor de nombres de domino (DNS) o bien, en el caso de sistemas sin conexión a red o sistemas caseros, sea resuelto localmente en el fichero /etc/hosts. De tal modo, el nombre del anfitrión (hostname) del sistema se definirá dentro del fichero /etc/sysconfig/network del siguiente modo: NETWORKING=yes HOSTNAME=localhost.tobe
5.2.2. Dirección IP, máscara de subred y puerta de enlace Debe modificarse con cualquier editor de textos, y verificar que sus parámetros de red sean los correctos, el fichero localizado en la ruta /etc/sysconfig/network-scripts/ifcfg-eth0/1. Ejemplo: DEVICE=eth0 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.1.1
NETMASK=255.255.255.0 DEVICE=eth1 ONBOOT=yes 37
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
37/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
BOOTPROTO=static IPADDR=192.168.2.2
NETMASK=255.255.255.0 GATEWAY=192.168.2.1 Los parámetros anteriores son proporcionados por el administrador de la red local en donde se localice la máquina que está siendo configurada, o bien definidos de acuerdo a una planificación previamente establecida. El administrador de la red deberá proporcionar una dirección IP disponible (IPADDR) y una máscara de la subred (NETMASK). 5.2.3.
Servidores de nombres
Debe modificarse con un editor de textos vim /etc/resolv.conf, donde se establecerán los servidores del sistema de resolución de nombres de dominio (DNS). Ejemplo: nameserver 192.168.3.2
5.2.4.
Función de Reenvío de paquetes para IPv4
Si se tiene planeado implementar un NAT o DNAT, se debe habilitar el reenvío de paquetes para IP versión 4. Esto se realiza en el fichero /etc/sysctl.conf cambiando net.ipv4.ip_forward = 0 por net.ipv4.ip_forward = 1: net.ipv4.ip_forward = 1
Después de hacer configurado todos los parámetros de red deseados, solo deberá de ser reiniciado el servicio de red, ejecutando lo siguiente: service network restart
38
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
38/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
5.2.5. Función zeroconf De modo predeterminado, y a fin de permitir la comunicación entre dos diferentes sistemas a través de un cable RJ45 cruzado (crossover), el sistema tiene habilitado Zeroconf, también conocido como Zero Configuration Networking o Automatic Private IP Addressing (APIPA). Es un conjunto de técnicas que automáticamente crean una dirección IP utilizable sin necesidad de configuración de servidores especiales. Permite a usuarios sin conocimientos de redes conectar computadoras, impresoras en red y otros aparatos entre si. Sin Zeroconf los usuarios sin conocimientos tendrían que configurar servidores especiales como DHCP y DNS para poder establecer conectividad entre dos equipos. Estando habilitado Zeroconf se mostrará un registro en la tabla de encaminamientos para la red 169.254.0.0 al utilizar el mandato route -n, devolviendo una salida similar a la siguiente:
192.168.1.0 0.0.0.0 255.255.255.0 U 169.254.0.0 0.0.0.0 255.255.0.0 U 127.0.0.0 0.0.0.0 255.0.0.0 U 0.0.0.0 192.168.1.1 0.0.0.0 UG
0 0 0 0
0 0 0 0
0 eth0 0 eth0 0 lo 0 eth0
Si se desea desactivar Zeroconf, solo bastará añadir en el fichero /etc/sysconfig/network el parámetro NOZEROCONF con el valor yes: NETWORKING=yes HOSTNAME=localhost.tobe NOZEROCONF=yes
Al terminar, solo hay que reiniciar el servicio de red para que surtan efecto los cambios y comprobar de nuevo con el mandato route -n que la ruta para Zeroconf ha desaparecido: 39
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
39/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
192.168.1.0 0.0.0.0 127.0.0.0 0.0.0.0 0.0.0.0 192.168.1.1
255.255.255.0 U 255.0.0.0 U 0.0.0.0 UG
0 0 0
0 0 0
0 eth0 0 lo 0 eth0
Una vez hecho lo anterior, existen dos servicios en el sistema en Centos, que se pueden desactivar puesto que sirven para establecer la comunicación a través de Zeroconf, estos son mDNSResponder y nifd. Desactivar estos dos servicios ahorrará tiempo en el arranque y se consumirán algunos pocos menos recursos de sistema. chkconfig nifd off chkconfig mDNSResponder off service nifd stop service mDNSResponder stop
Muchas aplicaciones y componentes para el modo gráfico dependen de Zeroconf para su correcto funcionamiento. Por tanto, no es conveniente desactivar este soporte si se va a hacer uso del modo gráfico. 5.2.6.
Desactivar el soporte para IPv6
IPv6 o Protocolo de Internet versión 6 (Internet Protocol Version 6) es un estándar del Nivel de Red de TCP/IP orientado hacia datos utilizada por dispositivos electrónicos para transmitir datos a través de una Interred (Internetworking) creado por Steve Deering y Craig Mudge mientras trabajaban para el Centro de Investigaciones de Palo Alto de Xerox, o Xerox Palo Alto Research Center (Xerox PARC). Sucediendo a IPv4, es la segunda versión de Protocolo de Internet en ser formalmente adoptada para uso general. IPv6 tiene como objetivo solucionar el problema concerniente al límite de direcciones IP que se pueden asignar a través de IPv4, las cuales tendrán mucha demanda en un 40
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
40/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
futuro no muy lejano cuando se incrementen el número de teléfonos móviles y otros dispositivos de comunicación que ofrezcan acceso hacia Internet. IPv4 solo incluye soporte para 4,294 mil millones (4,294 x 109) de direcciones IP, lo cual es adecuado para asignar una dirección IP a cada persona del planeta. IPv6 incluye soporte para 340 undecillones (340 x 1038) de direcciones IP. Se espera que IPv4 siga siendo útil hasta alrededor del año 2025, lo cual dará tiempo a corregir errores y problemas en IPv6. Mientras no se implemente de modo formal IPv6, el sistema cargará un controlador que hará que algunas aplicaciones manifiesten un acceso lento hacia Internet o problemas de conectividad. Si no se va a utilizar IPv6 lo mejor es desactivar éste del sistema. Edite el fichero /etc/modprobe.conf y añada lo siguiente: Tobe ipv6 off tobe net-pf-10 off
Al terminar utilize: depmod -a
Reinicie el sistema a fin de que surtan efecto los cambios. reboot
6. CONFIGURACIÓN DE ROUTER a las interfaces y también la ruta estática desde el firewall hacia la LAN, como se muestra en el gráfico. Para configurar un router se tiene que asignar ip’s
41
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
41/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Se realizo la seguridad a nivel de consola y acceso remoto.
Para visualizar el enrutamiento del router utilizamos el comando show ip route.
42
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
42/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
En esta imagen podemos visualizar que no se ha creado listas en el router.
7. INSTALACIÓN Y CONFIGURACIÓN DEL SQUID 7.1. Instalación Para poder instalar el servicio de Squid tendremos que ejecutar los siguientes comandos como usuario root. [root]#yum install Squid Con esto instalaremos nuestro servidor Squid más las dependencias que tenga. 7.2. Archivos de configuración del Squid Ya teniendo instalado nuestro servidor Squid, ahora debemos saber en dónde se encuentra toda la configuración del mismo. 43
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
43/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
/etc/squid
Ya dentro de esta carpeta se encontraran varios archivos pero el más importante es el squid.conf el cual se encarga de la configuración del servicio. Por recomendación antes de editar un archivo de configuración de algún servicio, siempre deberemos hacer una copia de respaldo original del mismo. [root@localhost squid]# cp squid.conf squid.conf-orig
7.3. Configuración Squid Squid utiliza el fichero de configuración localizado en /etc/squid/squid.conf, y podrá trabajar sobre este utilizando su editor de texto simple preferido. Existen un gran número de parámetros, de los cuales se recomienda configurar los siguientes: -
http_port
-
cache_dir
-
Al menos una Lista de Control de Acceso
-
Al menos una Regla de Control de Acceso
-
httpd_accel_host
-
httpd_accel_port
-
httpd_accel_with_proxy
44
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
44/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
7.3.1.
Parámetro http_port
En este parámetro configuramos el puerto de escucha de nuestro servidor squid, por default es el puerto 3128, pero también puede ser utilizado el 8080. http_port 3128
7.3.2.
Parámetro cache_mem
Establece la cantidad de memoria RAM dedicada para almacenar los datos más solicitados. Esta opción viene comentada por los cual la des comentaremos para darle un valor reservado en memoria RAM. # cache_mem 8 MB
por: cache_mem 50 MB
El valor ya depende del administrador y de la carga que tenga el squid. 7.3.3.
Parámetros cache_swap
Dentro del cache_swap, existen dos parámetros: cache_swap_low cache_swap-hight Con estos le indicamos a squid que mantenga los niveles del espacio del área de intercambio o también conocido como swap. Estos parámetros vienen siempre desactivados por cual los buscaremos para activarlos. #cache_swap_low 90 #cache_swap_high 95
Por: 45
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
45/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
cache_swap_low 90 cache_swap_high 95
Con esto decimos al squid que mantenga los niveles del espacio del area de intercambio entre 90% y 95%. 7.3.4.
Parámetros maximum_object_size
Utilizamos esta directiva para indicar el tamaño máximo para los objetos a almacenar en la cache. #maximum_object_size 4096 KB por: maximum_object_size 10240 MB
7.3.5.
Parámetro hierarchy_stoplist
Este parámetro es útil para indicar a squid que páginas que contengan ciertos caracteres no deben almacenarse en cache. También se pueden incluir como sitios de web mail y paginas locales en su red ya que no sería necesario almacenarlas en el cache, esta opción ya viene habilitada solamente tendremos que modificarle algunos datos de la misma. hierarchy_stoplist cgi-bin? por hierarchy_stoplist cgi-bin ? hotmail gmail yahoo
46
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
46/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
7.3.6.
Parámetro visible_hostname
Es el nombre del equipo, el nombre debe ser igual a los siguientes ficheros /etc/hosts y en /etc/sysconfig/network. Este parámetro no viene configurado en el archivo de configuración, tendremos que agregar y que en ocasiones pueda ser que nuestro servicio de squid no quiera iniciar. visible_hostname mantis
7.3.7.
Parámetro cache_dir
Con este parámetro establecemos el tamaño que deseamos que tenga la cache en el disco, lo cual tendremos que habilitar y modificar el siguiente dato. #cache_dir ufs /var/spool/squid 100 16 256 por cache_dir ufs /var/spool/squid 700 16 256
Con esto establecemos el tamaño que deseamos que tenga la cache en el disco, se puede incrementar hasta el tamaño que desee el administrador, establecemos 700 MB de cache con 16 directorios subordinados y 256 niveles cada uno. 7.3.8.
Parámetro access_log
Especifica en que directorio se realizara el registro de accesos al squid, este parámetro es importante para definir un análisis de estadísticas con webalizer. access_log /var/log/squid/access.log squid 47
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
47/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
7.3.9.
Parámetro cache_log
Define en donde se almacenaran los mensajes del comportamiento de la cache de squid. Por default viene desactivado. cache_log /var/log/squid/cache.log
7.4.
Reglas ACL
Una ACL es una definición de control de acceso, que utiliza squid para especificar mediante el, existen varios tipos de reglas ACL que comentaremos en la tabla. src
Time
dts
url_regex
srcdomain
urlpath_regex
dstdomain
req_mime
srcdom_regex
Macaddress
dstdom_regex
Password
Las reglas que se usaran serán las siguientes:
48
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
48/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
7.4.1. Regla Tipo src Esta regla especifica una o varias direcciones IP de origen o un segmento de red con su máscara de red. Nomenclatura: acl [Nombre] src [Contenido]
El nombre de la regla es llamada red corporativa la cual tendría asignada un segmento de red 192.168.1.0 a 24 bits. Acl redcorporativa src 192.168.1.0/24
Esta regla que se llama redes en la cual manda a llamar al archivo permitido el cual se encuentra en /etc/squid, contiene las IP de la gente que trabaja en redes. acl redes src “/etc/squid/permitidos”
El archivo permitidos.txt contienen las siguientes ips: o
o
o
o
192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.5
7.4.2. Regla Tipo dts Especifica una dirección de destino en formato IP y mascara o el nombre del sitio a visitar. Nomenclatura: acl [Nombre] dts [Contenido]
49
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
49/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
En esta regla es llamada webmail la cual contendrá como destino final las direcciones de webmail mas conocidos de internet.
acl webmailip dst 192.168.3.2 255.255.255.0 acl webmailip2 dst 192.168.3.0 255.255.255.0 acl webmail dstdomain www.redes2.com acl webmail2 dstdomain www.fiis.com
7.4.3. Regla Tipo url_regex Permite especificar expresiones regulares para comprobar dicha url, a este tipo de regla se recomienda tener un archivo en cual agregamos todas la palabras que nosotros creamos que importantes. Nomenclatura: acl [Nombre] url_regex “Path”
Archivo noporno.txt: -
Sex
-
xxx
-
adult
-
pornotube
-
chicas
-
porn
-
playboy
Esta regla se llama noporno el cual manda a llamar a un archivo que contiene palabras relacionadas a pornografía. Acl noporno url- regex “/etc/squid/listas/noporno.txt” 50
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
50/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
7.5. Configuración básica Squid Como vemos en el siguiente diagrama de red, especificaremos las siguientes reglas que tendrá la red. -
Todas las computadoras de la red corporativa se encuentra dentro del segmento de red 192.168.1.0/24. -
El resto de la red solamente tiene acceso a la página de la empresa Factor y de interés social, con un horario de 08:00 a 19:00 hrs, sin poder descargar archivos de música y vídeos. Comenzaremos a configurar el control de accesos. http_access allow redcorporativa http_access allow webmail http_access allow/deny webmail2
Con esto tendremos ya configurado nuestro squid, para poder exportar en proxy desde consola tendremos que hacer lo siguiente: [root@localhost ~]# export http_proxy=[http://192.168.2.2:3128]
7.6. Configuración de Navegadores Web Solo falta que en las más máquinas clientes se configure la salida a internet por proxy. -
Firefox
Menú Editar ---> Avanzadas ---> Red ---> Configuración de red. -
Opera.
51
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
51/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Menú Herramientas ---> Preferencias ---> Avanzadas ---> Red -
Internet Explorer.
Menú Herramientas ---> Opciones de Internet --->Conexiones ---> Configuración de LAN 7.7. Configuración Squid Transparente Este tipo de configuración de squid transparente, lo que hace es que las conexiones son enrutadas al proxy sin hacer ninguna configuración en los clientes para que tengan salida a internet. Este tipo de configuración depende de las reglas del firewall. 7.8. Parámetro http_port Solamente tendremos que configurar este parámetro para que sea un proxy transparente. Se le debe indicar la IP del servidor squid, puerto de escucha y la palabra transparente. http_port 3128 por http_port 192.168.2.2:3128 transparent
7.9. Control de Acceso El control de acceso define si se permite o deniega el acceso a las reglas para que empecemos a crear el filtrado. Nomenclatura: http_access allow/Deny Regla
Como sabemos la regla redcorporativa dado el segmento de red 192.168.1.0/24 y tendrán acceso a todo el internet. http_access allow redcorporativa 52
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
52/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
7.10. Proxy Acelerado: Opciones para Servidor Intermediario (Proxy transparente) Si se trata de un Servidor Intermediario (Proxy) transparente, deben utilizarse las siguientes opciones, considerando que se hará uso del caché de un servidor HTTP (Apache) como auxiliar: # Debe especificarse la IP de cualquier servidor HTTP en la # Red local o bien el valor virtual httpd_accel_host 192.168.3.2 httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on
7.11. Estableciendo el idioma de los mensajes mostrados por Squid al usuario. Squid incluye traducción a distintos idiomas de las distintas páginas de error e informativas que son desplegadas en un momento dado durante su operación. Dichas traducciones se pueden encontrar en /usr/share/squid/errors/. Para poder hacer uso de las páginas de error traducidas al español, es necesario cambiar un enlace simbólico localizado en /etc/squid/errors para que apunte hacia /usr/share/squid/errors/Spanish en lugar de hacerlo hacia /usr/share/squid/errors/English.
Elimine primero el enlace simbólico actual: rm -f /etc/squid/errors
53
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
53/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Coloque un nuevo enlace simbólico apuntando hacia el directorio con los ficheros correspondientes a los errores traducidos al español.
ln -s /usr/share/squid/errors/Spanish /etc/squid/errors
8.
INSTALACION Y CONFIGURACIÓN DE SHOREWALL (FIREWALL)
8.1. Fichero de configuración /etc/shorewall/shorewall.conf En éste se definen, principalmente, dos parámetros. STARTUP_ENABLED y CLAMPMSS. STARTUP_ENABLED se utiliza para activar Shorewall. De modo predefinido está desactivado, solo basta cambiar No por Yes. STARTUP_ENABLED=Yes CLAMPMSS se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para limitar el MSS (acrónimo de Maximum Segment Size que significa Máximo Tamaño de Segmento). Cambiando el valor No por Yes, Shorewall calculará el MSS más apropiado para la conexión. Si es lanzado, puede también especificarse un número en paquetes SYN. La recomendación es establecer Yes si se cuenta con un enlace tipo PPP. CLAMPMSS=Yes 8.2. Fichero de configuración /etc/shorewall/zones Este fichero se utiliza para definir las zonas que se administrarán con Shorewall y el tipo de zona (firewall, ipv4 o ipsec). La zona fw está presente en el fichero /etc/shorewall.conf como configuración predefinida. En el siguiente ejemplo se registrarán las zonas de Internet (net), Red Local (loc): 54
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
54/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
#ZONE fw net lan
DISPLAY firewall ipv4
OPTIONS
ipv4
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 8.3. Fichero de configuración /etc/shorewall/interfaces En éste se establecen cuales serán las interfaces para las tres diferentes zonas. Se establecen las interfaces que corresponden a la Internet y Red Local. Se cuenta con una interfaz eth0 para acceder hacia la lan y una interfaz eth1 para acceder hacia internet, y en todas se solicita que se calcule automáticamente la dirección de transmisión (Broadcast): #ZONE net loc
INTERFACE eth1 eth0
BROADCAST detect detect
OPTIONS
GATEWAY
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE En el siguiente ejemplo, se cuenta con una interfaz eth0 para acceder hacia Internet, una interfaz eth1 para acceder hacia la LAN, y en todas se solicita se calcule automáticamente la dirección de transmisión (Broadcast): #ZONE INTERFACE BROADCAST OPTIONS GATEWAY net eth0 detect loc eth1 detect dmz eth2 detect #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 55
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
55/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Hay una cuarta zona implícita que corresponde al cortafuego mismo y que se denomina fw. Si acaso hubiera un servicio de DHCP, sea como cliente, como servidor o como intermediario, en alguna de las interfaces, se debe añadir la opción dhcp para permitir la comunicación requerida para este servicio. En el siguiente ejemplo el anfitrión donde opera el cortafuegos obtiene su dirección IP, para la interfaz ppp0, a través del servicio DHCP del ISP; en este mismo anfitrión opera simultáneamente un servidor DHCP, el cual es utilizado en la red de área local para asignar direcciones IP; por todo lo anterior se debe activar la opción DHCP para las interfaces eth0 y eth1, que correspondientemente son utilizadas por la zona de Internet y la red de área local: #ZONE net loc dmz
INTERFACE ppp0 eth1 eth2
BROADCAST detect detect detect
OPTIONS dhcp dhcp
GATEWAY
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
8.4. Fichero de configuración /etc/shorewall/policy En este fichero se establece como se accederá desde una zona hacia otra y hacia la zona de Internet. #SOURCE lan fw lan
DEST net net fw
POLICY LOG ACCEPT ACCEPT ACCEPT
LIMIT: BURST
56
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
56/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
net all
all all
DROP info REJECT info
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Lo anterior hace lo siguiente:
1. La zona Lan puede acceder hacia la zona de Internet. 2. El cortafuego mismo puede acceder hacia la zona de Internet. 3. La zona Lan puede acceder hacia la zona del cortafuego. 4. Se impiden conexiones desde Internet hacia el resto de las zonas. 5. Se establece una política de rechazar conexiones para todo lo que se haya omitido. Todo lo anterior permite el paso entre las diversas zonas hacia Internet, lo cual no es deseable si se quiere mantener una política estricta de seguridad. La recomendación es cerrar todo hacia todo e ir abriendo el tráfico de acuerdo a como se vaya requiriendo. Es decir, utilizar algo como lo siguiente: #SOURCE net all
DEST all all
POLICY LOG DROP REJECT
LIMIT: BURST info Info
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Lo anterior bloquea todo el tráfico desde donde sea a donde sea. Si es necesario realizar pruebas de diagnóstico desde el cortafuego hacia Internet para probar conectividad y acceso hacia diversos protocolos, se puede utilizar lo siguiente: 57
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
57/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
#SOURCE fw net all
DEST net all
POLICY LOG ACCEPT DROP
all
REJECT
LIMIT: BURST info info
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Lo anterior permite al propio cortafuego acceder hacia la zona de Internet. Esta sería la política más relajada que se puede recomendar para mantener un nivel de seguridad aceptable. 8.5. Fichero de configuración /etc/shorewall/masq Se utiliza para definir que a través de que interfaz o interfaces se habilitará enmascaramiento, o NAT, y para que interfaz o interfaces o redes se aplicará dicho enmascaramiento. En el siguiente ejemplo, se realizará enmascaramiento a través de la interfaz ppp0 para las redes que acceden desde las interfaces eth0 y eth1: #INTERFACE ppp0 ppp0
SUBNET ADDRESS eth0 eth1
PROTO PORT(S)
IPSEC
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
En el siguiente ejemplo, se realizará enmascaramiento a través de la interfaz eth0 para las redes 192.168.0.0/24 y 192.168.1.0/24: #INTERFACE SUBNET ADDRESS eth0 eth0
PROTO PORT(S)
IPSEC
192.168.0.0/24 192.168.1.0/24
58
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
58/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
También es posible hacer NAT solamente hacia una IP en particular y para un solo protocolo en particular. En el siguiente ejemplo se hace NAT a través de la interfaz ppp0 para la dirección 192.168.3.25 que accede desde la interfaz eth1 y solo se le permitirá hacer NAT de los protocolos smtp y pop3. Los nombres de los servicios se asignan de acuerdo a como estén listados en el fichero /etc/services. #INTERFACE SUBNET ADDRESS eth0 eth1 192.168.3.2 tcp
PROTO PORT(S) 25,110, 53
IPSEC
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
8.6. Fichero de configuración /etc/shorewall/rules Todos los puertos están cerrados de modo predefinido, y es en este fichero donde se habilitan los puertos necesarios. Hay diversas funciones que pueden realizarse. 8.6.1. Accept La acción Accept se hace para especificar si se permiten conexiones desde o hacia una(s) zona (s) un protocolo(s) y puerto(s) en particular. En el siguiente ejemplo se permiten conexiones desde Internet hacia el puerto 80 (www), 25 (smtp) y 110 (pop3). Los nombres de los servicios se asignan de acuerdo a como estén listados en el fichero /etc/services. #ACTION SOURCE DEST PROTO DEST PORT ACCEPT net fw tcp 80,25,110, 53 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
59
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
59/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
8.6.2. Redirect La acción Redirect permite redirigir peticiones hacia un puerto en particular. Muy útil cuando se quieren redirigir peticiones para HTTP (puerto 80) y se quiere que estas pasen a través de un Servidor Intermediario (Proxy) como Squid. En el siguiente ejemplo las peticiones hechas desde la red local y desde la DMZ serán redirigidas hacia el puerto 8080 del cortafuegos, en donde hay un Servidor Intermediario (Proxy) configurado de modo transparente. #ACTION REDIRECT REDIRECT
SOURCE DEST loc dmz
8080 8080
PROTO DEST #PORT tcp tcp
80 80
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
En el siguiente ejemplo las peticiones hechas desde la red local (LAN) serán redirigidas hacia el puerto 8080 del cortafuegos, en donde hay un Servidor Intermediario (Proxy) configurado de modo transparente, limitando la taza de conexiones a diez por segundo con ráfagas de hasta cinco conexiones. Esto es muy útil para evitar ataques de DoS (acrónimo de Denial of Service que se traduce como Denegación de Servicio) desde la red local ( LAN). #ACTION SOURCE DEST PROTO PDEST SOURCE ORIGINALRATE REDIRECT loc 8080 tcp 80 20/sec:5 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
8.7.
Iniciar el cortafuego y añadirlo a los servicios de arranque del sistema
Para ejecutar por primera vez el servicio, utilice:
60
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
60/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
service shorewall start Para hacer que los cambios hechos a la configuración surtan efecto, utilice: service shorewall restart Para detener el cortafuego, utilice: service shorewall stop Cabe señalar que detener el cortafuego también detiene todo tráfico de red, incluyendo el tráfico proveniente desde la LAN. Si se desea restaurar el tráfico de red, sin la protección de un cortafuego, será necesario también utilizar el guión de iptables. service iptables stop Lo más conveniente, en caso de ser necesario detener el cortafuegos, es definir que direcciones IP o redes podrán continuar accediendo cuando el cortafuegos es detenido, o cuando éste se encuentra en proceso de reinicio. Esto se define en el fichero /etc/shorewall/routestopped, definiendo la interfaz, a través de la cual se permitirá la comunicación, y la dirección IP o red, en un formato de lista separada por comas, de los anfitriones que podrán acceder al cortafuegos. Ejemplo: #INTERFACE HOST(S) OPTIONS eth0 192.168.1.0/24 eth0 192.168.2.30, 192.168.2.31 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Para añadir Shorewall al arranque del sistema, utilice: chkconfig shorewall on 61
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
61/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
9. CONFIGURACION DE PARÁMETROS DE SEGURIDAD 9.1. Reglas del Firewall Para poder configurar este tipo de proxy, tendremos que configurar reglas de firewall, en nuestro caso usaremos reglas de iptables ya que es la herramienta más utilizada en todas distribuciones GNU/Linux; para que funcione de manera transparente debemos de aplicar la siguiente regla en iptables. iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to- port 3128
Con esto estamos desviando el trafico que venga por la LAN que vaya por web al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no se pueden desplegar las paginas seguras, para eso necesitamos aplicar otras reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente manera: iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT --to- port 3128
Aceptamos conexiones locales en la interfaz lo iptables -A INPUT -i lo -j ACCEPT
Tenemos acceso al firewall desde el segmento de red 192.168.1.0 por la interfaz eth0: iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
62
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
62/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Aceptamos que todo el tráfico que viene desde la red local vaya hacia los puertos 80/443 sean aceptadas estas son solicitudes http/https:
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT
Aceptamos que consultas de DNS de la red local: iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp --dport 53 -j ACCEPT
Denegamos el resto de los servicios: iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j REJECT Ahora hacemos enmascaramiento de la red local: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE Rechaza todas la demas conexiones desde el puerto 1 al 1024 por protocolo tcp/udp por la interfaz de red eth0. iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP Habilitamos el reenvío de paquetes dentro de la red. echo 1 > /proc/sys/net/ipv4/ip_forward
y guardamos las reglas con el siguiente comando. 63
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
63/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
iptables-save > /etc/sysconfig/iptables
Reiniciamos el servicio de firewall /etc/init.d/iptables restart
Con esto tendremos configurado nuestro squid transparente. 9.2. Iniciar el cortafuego y añadirlo a los servicios de arranque del sistema Para ejecutar por primera vez el servicio, utilice: service shorewall start Para hacer que los cambios hechos a la configuración surtan efecto, utilice: service shorewall restart Para detener el cortafuego, utilice: service shorewall stop Cabe señalar que detener el cortafuego también detiene todo tráfico de red, incluyendo el tráfico proveniente desde la LAN. Si se desea restaurar el tráfico de red, sin la protección de un cortafuego, será necesario también utilizar el guión de iptables. service iptables stop Lo más conveniente, en caso de ser necesario detener el cortafuego, es definir que direcciones IP o redes que podrán continuar accediendo cuando el cortafuego es detenido, o cuando éste se encuentra en proceso de reinicio. Esto se define en el fichero /etc/shorewall/routestopped, definiendo la interfaz, a través de la cual se permitirá la comunicación, y la
64
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
64/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
dirección IP o red, en un formato de lista separada por comas, de los anfitriones que podrán acceder al cortafuegos. Ejemplo: #INTERFACE eth0 eth0
HOST(S) OPTIONS 192.168.1.0/24 192.168.2.30, 192.168.2.31
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Para añadir Shorewall al arranque del sistema, utilice: chkconfig shorewall on
65
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
65/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
CAPITULO 3: PRUEBAS Y RESULTADOS
66
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
66/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
I. PRUEBAS Luego de realizar las configuraciones de las interfaces y los enrutamientos, se procede a comprobar si hay realmente conectividad y para ello utilizamos el comando ping.
67
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
67/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Como se puede apreciar en las imágenes, comprobamos que hay conectividad en toda la red. Esta PC se encuentra en la Lan 192.168.1.0/24 y es identificada con IP 192.168.1.3/24 donde se puede apreciar el acceso a la página http://www.fiis.com/index.html antes de restringir su acceso en el Proxy.
68
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
68/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Esta PC se encuentra en la Lan 192.168.1.0/24 y es identificada con IP 192.168.1.3/24 donde se puede apreciar el acceso a la página http://www.fiis.com/index.html antes de restringir su acceso en el Proxy.
Esta PC se encuentra en la Lan 192.168.1.0/24 y es identificada con la IP 192.168.1.3/24 donde se puede apreciar el intento de acceso a la página http://www.fiis.com/index.html luego de restringir el acceso en el Proxy.
69
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
69/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
II. RESULTADOS
Existe una red corporativa que tiene conectividad completa entre todos los hosts, se verifico la conexión haciendo ping a todos los puertos de interfaces habilitados en la lan.
Existe conexión total de extremo a extremo (de la lan corporativa hacia el servidor web). Se logro restringir las páginas prohibidas o de accesos no permitidos donde se ha mostrado en las Pruebas. Se logró la cargar las páginas creadas en el Servidor web desde la lan corporativa. Se realizó una configuración exitosa en el servidor Proxy/Firewall, logrando corroborar todas las restricciones y aprobaciones de esta.
70
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
70/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
CONCLUSIONES
Con la configuración de un Proxy y Firewall en Centos, puede ser una muy buena solución para usuarios particulares o pequeñas empresas que requieran de una eficiente protección de su red y no dispongan de un gran presupuesto, con este producto de licencia gratuita se puede reciclar hardware obsoleto y tener un sistema confiable. Además hay que tener en cuenta que últimamente el mercado tiene una gran tendencia hacia el Software Abierto, y que esta tendencia seguirá creciendo ya que entre otras ventajas es mucho más económica que el software cerrado. Luego de haber revisado todo sobre el DNS nos hemos dado cuenta que es muy útil para la repartición de dominios y además se ha aprendido a tener mucho cuidado en cuanto a la configuración y protección.
Con la configuración de Proxy y Firewall se restringe los accesos a las páginas que estén prohibidas, o a zonas que puedan perjudicar nuestra red local. Se logro implementar el Proxy y el Firewall en Centos, incluyendo la
configuración del servidor Web para la realización de las pruebas respectivas.
71
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
71/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
RECOMENDACIONES
Se recomienda implementar un servidor proxy/firewall para una mejor seguridad de una red evitando el ingreso de personas o hosts no autorizados. Se recomienda configurar correctamente los parámetros de red, el proxy y firewall para su correcto funcionamiento. Usar el programa Squid para el proxy y el Shorewall para el Firewall porque son robustos, estables y confiables en lo que respecta sus funciones.
72
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
72/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
BIBLIOGRAFÍA
http://www.alcancelibre.org/staticpages/index.php/como-centos5-grafico - Guía de instalación de Centos 5.4 http://linux-web-py.blogspot.com/2009/02/porque-centos-es-el-sistemaoperativo.html - Definición de Centos http://es.wikipedia.org/wiki/Proxy - Definición de Proxy http://www.linuxparatodos.net/portal/staticpages/index.php?page=19-0como-squid-general - Configuración de Proxy http://www.linuxparatodos.net/portal/staticpages/index.php?page=comoshorewall-3-interfaces-red – Configuración de Firewall http://www.icetex.gov.co/portal/Default.aspx?tabid=1012 - Políticas De Seguridad De La Información
73
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
73/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
ANEXOS
74
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
74/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
I.
INSTALACIÓN DEL SISTEMA OPERATIVO CENTOS 5.4
Procedimientos para la instalación de Centos. Inserte el disco DVD de instalación de Centos 5 y en cuanto aparezca el diálogo de inicio (boot:), pulse la tecla ENTER o bien ingrese las opciones de instalación deseadas. Si desea verificar la integridad del disco a partir del cual se realizará la instalación, seleccione «OK» y pulse la tecla ENTER, considere que esto puede demorar varios minutos. Si está seguro de que el disco o discos a partir de los cuales se realizará la instalación están en buen estado, seleccione «Skip» y pulse la tecla ENTER.
Haga clic sobre el botón «Next» en cuanto aparezca la pantalla de bienvenida de Centos. Seleccione «Spanish» como idioma para ser utilizado durante la instalación. Seleccione el mapa de teclado que corresponda al dispositivo utilizado. El mapa «Español» o bien «Latinoamericano» de acuerdo a lo que corresponda. Al terminar, haga clic sobre el botón «Siguiente».
75
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
75/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Salvo que exista una instalación previa que se desee actualizar (no recomendado), deje seleccionado «Instalar Centos» y haga clic en el botón «Siguiente» a fin de realizar una instalación nueva. Para crear las particiones de forma automática, lo cual puede funcionar para la mayoría de los usuarios, puede seleccionar: «Remover particiones en dispositivos seleccionados y crear disposición», lo cual eliminaría cualquier partición de cualquier otro sistema operativo presente, y creará de forma automática las particiones necesarias. «Remover particiones de Linux en dispositivos seleccionados y crear disposición», lo cual eliminaría cualquier partición otra instalación de Linux presente, y creará de forma automática las particiones necesarias.
76
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
76/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
«Usar espacio disponible en dispositivos seleccionados y crear disposición», lo cual creará de forma automática las particiones necesarias en el espacio disponible
Conviene crear una disposición que permita un mayor control. Seleccione «Crear disposición personalizada». Una vez seleccionado «Crear disposición personalizada», haga clic sobre el botón «Siguiente». La herramienta de particiones mostrará el espacio disponible. Haga clic en el botón «Nuevo».
77
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
77/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Se verifica la cantidad de espacio de disco con la que tenemos asignado al Centos y distribuimos para las diferentes partes: por ejemplo al boot le asignamos 100 MB
Si está conforme, haga clic otra vez en el botón «Nuevo» y proceda a crear la siguiente partición.
78
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
78/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Configuramos: /: 25Gb Swap: 2Gb Asigne a la partición / el resto del espacio disponible menos lo que tenga calculado asignar para la partición de intercambio (200% de la memoria física, o cuanto baste para 2 GB). Se recomienda asignar / como partición primaria, siempre que la tabla de particiones lo permita. Si está conforme, haga clic otra vez en el botón «Nuevo» y proceda a crear la siguiente partición. La partición para la memoria de intercambio no requiere punto de montaje. Seleccione en el campo de «Tipo de sistema de archivos» la opción «swap», asigne el 200% de la memoria física (o cuanto basta para 2 GB). Por tratarse de la última partición de la tabla, es buena idea asignarle el espacio por rango, especificando valores ligeramente por debajo y ligeramente por arriba de lo planeado. Otras particiones que se recomienda asignar, si se dispone del espacio en disco duro suficiente, son:
/usr: /tmp: /var: /home:
8 GB 3 GB 10 GB 10 GB
Si está conforme con la tabla de particiones creada, haga clic sobre el botón «siguiente» para pasar a la siguiente pantalla.
79
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
79/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Ingresará a la configuración del gestor de arranque. Por motivos de seguridad, y principalmente con la finalidad de impedir que alguien sin autorización y con acceso físico al sistema pueda iniciar el sistema en nivel de corrida 1, o cualquiera otro, haga clic en la casilla «Usar la contraseña del gestor de arranque». Se abrirá una ventana emergente donde deberá ingresar, con confirmación, la clave de acceso exclusiva para el gestor de arranque. Al terminar, haga clic sobre el botón «Aceptar». Al terminar, haga clic sobre el botón «Siguiente». Para configurar los parámetros de red del sistema, haga clic sobre el botón «Modificar» para la interfaz eth0.
80
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
80/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
En la ventana emergente para modificar la interfaz eth0, desactive la casilla «Configurar usando DHCP» y especifique la dirección IP y máscara de subred que utilizará en adelante el sistema. Si no va a utilizar IPv6, también desactive la casilla. Confirme con el administrador de la red donde se localice que estos datos sean correctos antes de continuar. Al terminar, haga clic sobre el botón «Aceptar».
81
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
81/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Asigne un nombre de anfitrión (HOSTNAME) para el sistema. Se recomienda que dicho nombre sea un FQDN (Fully Qualified Domain Name) resuelto al menos en un DNS local. Defina, además, en esta misma pantalla, la dirección IP de la puerta de enlace y las direcciones IP de los servidores DNS de los que disponga. Si desconoce que dato ingresar, defina éste como localhost.localdomain. Al terminar, haga clic sobre el botón «Siguiente». Seleccione la casilla «El sistema horario usará UTC», que significa que el reloj del sistema utilizará UTC (Tiempo Universal Coordinado), que es el sucesor de GMT (b>Greenwich Mean Time, que significa Tiempo Promedio de Greenwich), y es la zona horaria de referencia respecto a la cual se calculan todas las otras zonas del mundo. Haga clic con el ratón sobre la región que corresponda en el mapa mundial o seleccione en el siguiente campo la zona horaria que corresponda a la región donde se hospedará físicamente el sistema. Asigne una clave de acceso al usuario root. Debe escribirla dos veces a fin de verificar que está coincide con lo que realmente se espera. Por razones de seguridad, se recomienda asignar una clave de acceso que evite utilizar palabras provenientes de cualquier diccionario, en cualquier idioma, así como cualquier combinación que tenga relación con datos personales.
82
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
82/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Al terminar, haga clic sobre el botón «Siguiente», y espere a que el sistema haga la lectura de información de los grupos de paquetes. En la siguiente pantalla podrá seleccionar los grupos de paquetes que quiera instalar en el sistema. Añada o elimine a su conveniencia. Lo recomendado, sobre todo si se trata de un servidor, es realizar una instalación con el mínimo de paquetes, desactivando todas las casillas para todos los grupos de paquetes. El objeto de esto es solo instalar lo mínimo necesario para el funcionamiento del sistema operativo, y permitir instalar posteriormente solo aquello que realmente se requiera de acuerdo a la finalidad productiva que tendrá el sistema. Al terminar, haga clic sobre el botón «Siguiente». Se realizará una comprobación de dependencias de los paquetes a instalar. Este proceso puede demorar algunos minutos. Antes de iniciar la instalación sobre el disco duro, el sistema le informará respecto a que se guardará un registro del proceso en si en el fichero /root/install.log. Para continuar, haga clic sobre el botón «Siguiente». Si iniciará de forma automática el proceso de formato de las particiones que haya creado para instalar el sistema operativo. Dependiendo de la capacidad del disco duro, este proceso puede demorar algunos minutos. Se realizará automáticamente una copia de la imagen del programa de instalación sobre el disco duro a fin de hacer más eficiente el proceso. Dependiendo de la capacidad del microprocesador y cantidad de memoria disponible en el sistema, este proceso puede demorar algunos minutos. Espere a que se terminen los preparativos de inicio del proceso de instalación.
83
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
83/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
Se realizarán preparativos para realizar las transacciones de instalación de paquetes. Iniciará la instalación de los paquetes necesarios para el funcionamiento del sistema operativo. Espere algunos minutos hasta que concluya el proceso. Una vez concluida la instalación de los paquetes, haga clic sobre el botón «Reiniciar».
84
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
84/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
II.
CONFIGURACIÓN DEL SERVICIO SQUID EN CENTOS.
85
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
85/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
86
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
86/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
87
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
87/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
88
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
88/89
5/9/2018
IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD - slide pdf.c om
89
http://slide pdf.c om/re a de r/full/imple me nta c ion-de -un-proxy-firewa ll-e n-una -re d-c onside ra ndo-politic a s-de -se gur ida d
89/89