Sei sulla pagina 1di 88

IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED, CONSIDERANDO

POLÍTICAS DE SEGURIDAD.

Facultad : INGENIERÍA EN INFORMÁTICA Y SISTEMAS.

Curso : REDES Y TELECOMUNICACIONES II.

Docente : ING. MARCHAND NIÑO, William.

Alumnos : ALCA YARANGA, Jeraldine.

BACA MEDINA, Marcos Jheyson.

FERNÁNDEZ ACOSTA, Betto H.

PONCE GUIZABALO, Santos Victor.

TINGO MARIA – PERU, 2010


IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

INDICE

INDICE............................................................................................................2

NTRODUCCIÓN...............................................................................................3

OBJETIVOS...................................................................................................... 5

CAPITULO 1: .................................................................................................. 6

BASE TEÓRICA................................................................................................6

MARCO TEÓRICO............................................................................................7

Figura 1. Modelo de Firewall.........................................................................13

CAPITULO 2:................................................................................................. 24

IMPLEMENTACIÓN Y CONFIGURACIÓN........................................................24

CAPITULO III: ................................................................................................62

PRUEBAS Y RESULTADOS.............................................................................62

CONCLUSIONES............................................................................................67

RECOMENDACIONES.....................................................................................68

BIBLIOGRAFÍA...............................................................................................69

ANEXOS........................................................................................................70

INSTALACIÓN DEL SISTEMA OPERATIVO CENTOS 5.4...................................71

ARQUITECTURA REAL DEL PROXY/FIREWALL EN EL LABORATORIO DE CISCO.


.....................................................................................................................80

CONFIGURACIÓN DE LOS SERVICIOS EN CENTOS.........................................83

Redes y Telecomunicaciones II

Página 2
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Dansguardian:...........................................................................................83

Squid:........................................................................................................85

NTRODUCCIÓN

La seguridad ha sido la principal premisa a tratar cuando una organización desea


conectar una red privada al Internet. Sin tomar en cuenta el tipo de negocio, se ha
incrementado el número de usuarios de redes privadas por la demanda del acceso a
los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-
mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan

Redes y Telecomunicaciones II

Página 3
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso
público en el Internet.

Los administradores de red tienen que incrementar todo lo concerniente a la seguridad


de sus sistemas y fluidez del tráfico de red de los mismos, debido a que se expone la
organización privada de sus datos así como la infraestructura de su red a los Expertos
de Internet (Internet Crackers). Para superar estos temores y proveer el nivel de
protección requerida, la organización necesita seguir una política de seguridad para
prevenir el acceso no autorizado de usuarios a los recursos propios de la red privada,
y protegerse contra la exportación privada de información. Todavía, aun si una
organización no está conectada al Internet, esta debería establecer una política de
seguridad interna para administrar el acceso de usuarios a porciones de red y proteger
sensitivamente la información secreta.

En lo que respecta al tráfico de red, tenemos la implementación del proxy el cual es el


representante de la red en la que está implementándose. Otra razón que podemos
mencionar y que hace interesante para las empresas el implementar un proxy es el
ahorro de ancho de banda que se gana con su uso, al evitar las consultas repetidas a
un mismo sitio web. Y por supuesto no podría faltar la razón que aman los gerentes de
sistemas y gerentes generales y que el resto de los usuarios odia: restringir el uso de
internet solo al personal autorizado y a las páginas web autorizadas por la empresa.

Debido a la importancia que tiene la implementación de estos componentes de


sistemas de red es que en el presente trabajo se implementa y configura un
proxy/firewall en una computadora con plataforma Linux (Centos 5), de manera básica
para poder ampliar nuestros conocimientos sobre el tema, y así poder ofrecer
soluciones en situaciones en las que quizás no se disponga de equipos especializados
en los que se pueda implementar estos componentes para la administración eficiente
de redes.

Redes y Telecomunicaciones II

Página 4
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

OBJETIVOS

• GENERAL

Implementación de un servidor Proxy/Firewall en una Red Corporativa,


considerando Políticas de Seguridad.

• ESPECIFICOS

- Instalación de un sistema operativo Linux (CentOs).

- Instalación y configuración del Proxy.

- Instalación y configuración del Firewall.

- Realización de pruebas para verificar el funcionamiento correcto del


proyecto.

Redes y Telecomunicaciones II

Página 5
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

CAPITULO 1:

BASE TEÓRICA

Redes y Telecomunicaciones II

Página 6
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

MARCO TEÓRICO
I. CENTOS

Durante los dos últimos años en el mundo de alojamiento en Linux, se ha


producido una distribución que ha sido dominante. Poco a poco, muchas empresas
de web hosting Linux se están moviendo de otras distribuciones de Linux a este
nuevo sistema operativo dominante debido a sus características, precio y
seguridad. CentOS que ha sido el dominante sistema operativo Linux en los
últimos dos años, sustituyendo rápidamente a la empresa RedHat como Linux OS
estándar.

La principal ventaja de CentOS con respecto a la empresa RedHat es el hecho de


que es gratis. Mientras que una licencia de servidor para RHEL (Red Hat
Enterprise) puede costarle un brazo y una pierna, CentOS es completamente
gratis. Se basa en RHEL y es casi totalmente compatible con sus productos.
Básicamente este sistema operativo de servidor es lo mismo que RHEL pero sin la
etiqueta de precio. No falta ninguna de las características de la empresa de
software RHEL, además del hecho de que no es oficialmente el apoyo de RHEL, y
tiene muchas ventajas adicionales y modificaciones desde su creación inicial.

Porqué CentOS?
CentOS tiene claras ventajas frente a otras distribuciones de Linux como SO de
servidor a causa de una gran activa y creciente comunidad de usuarios de soporte,
actualizaciones de seguridad rápida mantenida por CentOS, dedicado equipo de
desarrolladores, y el apoyo de respuesta rápida a través de chat IRC, manuales en
línea, FAQ, listas de correo y foros. Siendo ya un usuario hace un buen tiempo de
CentOS, he encontrado por mí mismo que el apoyo en estos lugares es tan bueno
como y, a menudo superior a los soportes pagados de otras empresas. CentOS
siempre tiene una ventaja clara entre el personal de apoyo de alojamiento web.
Por término medio, los administradores de servidores Linux y personal de apoyo
están más familiarizados con la distribución CentOS que cualquier otra distribución
y los problemas se resuelven más rápido, ya que es muy probable que ellos
incurran en algún mismo problema. CentOS también está siendo constantemente
actualizado con nuevos parches de seguridad, los parches y mejoras en el

Redes y Telecomunicaciones II

Página 7
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
desempeño. El tiempo necesario para parchar CentOS es mejor que el tiempo
necesario para los parches de cualquier otro servidor de OS.
Al igual que antes de que la empresa Red Hat, CentOS es increíblemente estable
y eficaz de los recursos. A través de sus cinco iteraciones, se ha optimizado para
correr Apache, PHP, MySQL, Ruby on Rails, y una variedad de otros marcos de
desarrollo con la máxima eficacia. Si estás buscando alojarte a ti mismo, CentOS
es probablemente el sistema operativo que usted desea utilizar como se hace
desde el suelo hasta que sea fácil de mantener y muy apto para el uso a largo
plazo.

Estas razones, junto con el hecho de que siempre hay para mejorar el desarrollo
activo de la plataforma, la infraestructura de la comunidad, una comunidad de
amistad, y el apoyo de una gran cantidad de proveedores de alojamiento web
CentOS hacer la elección clara para el alojamiento web tanto ahora como para la
previsible futuro.

II. PROXY

a) Definición

En el contexto de las redes informáticas, el término proxy hace referencia a un


programa o dispositivo que realiza una acción en representación de otro. Su
finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a
Internet a todos los equipos de una organización cuando sólo se puede disponer
de un único equipo conectado, esto es, una única dirección IP.

La palabra proxy se usa en situaciones en donde tiene sentido un intermediario.

- El uso más común es el de servidor proxy, que es un ordenador que


intercepta las conexiones de red que un cliente hace a un servidor de
destino.

o De ellos, el más famoso es el servidor proxy web (comúnmente


conocido solamente como «proxy»). Intercepta la navegación de los
clientes por páginas web, por varios motivos posibles: seguridad,
rendimiento, anonimato, etc.

Redes y Telecomunicaciones II

Página 8
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
o También existen proxies para otros protocolos, como el proxy de
FTP.

o El proxy ARP puede hacer de enrutador en una red, ya que hace de


intermediario entre ordenadores.

- Proxy (patrón de diseño) también es un patrón de diseño (programación)


con el mismo esquema que el proxy de red.

- Un componente hardware también puede actuar como intermediario para


otros.

- Fuera de la informática, un proxy puede ser una persona autorizada para


actuar en representación de otra persona; por ejemplo, alguien a quien le
han delegado el derecho a voto.

- Una guerra proxy es una en la que las dos potencias usan a terceros para
el enfrentamiento directo.

- Como se ve, proxy tiene un significado muy general, aunque siempre es


sinónimo de intermediario. También se puede traducir por delegado o
apoderado (el que tiene el poder).

• Principio de funcionamiento

Los servidores Proxy permiten dar seguridad y mejorar el acceso a páginas


Web, conservándolas en la caché. De este modo, cuando un usuario envía una
petición para acceder a una página Web que está almacenada en la caché, la
respuesta y el tiempo de visualización es más rápido.

Los servidores Proxy aumentan también la seguridad ya que pueden filtrar


cierto contenido Web y programas maliciosos.

• El filtrado

El filtrado se aplica en función de la política de seguridad implementada en la


red. Este permite bloquear sitios considerados maliciosos o sitios considerados
inútiles en relación a la actividad de la empresa (pornografía, etc...)

Redes y Telecomunicaciones II

Página 9
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
• Autenticación

A fin de limitar el acceso a la red exterior, y aumentar de este modo la


seguridad de la red local, se puede implementar un sistema de autenticación
para acceder a recursos externos. Esto es bastante disuasivo para los usuarios
que desean visitar sitios que estén en contra de las reglas de uso de Internet
en la empresa.

• Almacenamiento de Logs

El almacenamiento de logs de los sitios visitados y páginas vistas, permite al


administrador de la red redefinir la política de seguridad de la red y/o detectar a
un usuario que visita frecuentemente sitios maliciosos o sin relación con la
actividad de la empresa.

b) Los proxys anónimos

Además de ocultar la dirección IP, un Proxy anónimo puede eliminar:

- Cookies
- Pop-ups
- Banners
- Scripts
- Información confidencial en los campos de texto (nombre de usuario y
contraseña)
c) Proxys transparentes
Muchas organizaciones (incluyendo empresas, colegios y familias) usan los
proxies para reforzar las políticas de uso de la red o para proporcionar seguridad y
servicios de caché. Normalmente, un proxy Web o NAT no es transparente a la
aplicación cliente: debe ser configurada para usar el proxy, manualmente. Por lo
tanto, el usuario puede evadir el proxy cambiando simplemente la configuración.
Una ventaja de tal es que se puede usar para redes de empresa.

Un proxy transparente combina un servidor proxy con NAT (Network Address


Translation) de manera que las conexiones son enrutadas dentro del proxy sin
configuración por parte del cliente, y habitualmente sin que el propio cliente
conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de
servicios de internet (ISP).
Redes y Telecomunicaciones II

Página 10
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

d) Ventajas

En general (no sólo en informática), los proxies hacen posibles varias cosas
nuevas:

- Control: sólo el intermediario hace el trabajo real, por tanto se pueden


limitar y restringir los derechos de los usuarios, y dar permisos sólo al
proxy.

- Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar equipado
para hacer el trabajo real.

- Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede


hacer caché: guardar la respuesta de una petición para darla directamente
cuando otro usuario la pida. Así no tiene que volver a contactar con el
destino, y acaba más rápido.

- Filtrado. El proxy puede negarse a responder algunas peticiones si detecta


que están prohibidas.

- Modificación. Como intermediario que es, un proxy puede falsificar


información, o modificarla siguiendo un algoritmo.

- Anonimato. Si todos lo usuarios se identifican como uno sólo, es difícil que


el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por
ejemplo cuando hay que hacer necesariamente la identificación.

e) Desventajas

En general (no sólo en informática), el uso de un intermediario puede provocar:

- Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y


responderlas, es posible que haga algún trabajo que no toque. Por tanto,
ha de controlar quién tiene acceso y quién no a sus servicios, cosa que
normalmente es muy difícil.

- Carga. Un proxy ha de hacer el trabajo de muchos usuarios.

Redes y Telecomunicaciones II

Página 11
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
- Intromisión. Es un paso más entre origen y destino, y algunos usuarios
pueden no querer pasar por el proxy. Y menos si hace de caché y guarda
copias de los datos.

- Incoherencia. Si hace de caché, es posible que se equivoque y dé una


respuesta antigua cuando hay una más reciente en el recurso de destino.
En realidad este problema no existe con los servidores proxy actuales, ya
que se conectan con el servidor remoto para comprobar que la versión que
tiene en cache sigue siendo la misma que la existente en el servidor
remoto.

- Irregularidad. El hecho de que el proxy represente a más de un usuario da


problemas en muchos escenarios, en concreto los que presuponen una
comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).

III. FIREWALL

Cada ordenador que se conecta a internet (y, básicamente, a cualquier red de


ordenadores) puede ser víctima del ataque de un hacker. La metodología que
generalmente usan los hackers consiste en analizar la red (mediante el envío
aleatorio de paquetes de datos) en busca de un ordenador conectado. Una vez
que encuentra un ordenador, el hacker busca un punto débil en el sistema de
seguridad para explotarlo y tener acceso a los datos de la máquina.

Por muchas razones, esta amenaza es aún mayor cuando la máquina está
permanente conectada a internet:

− Es probable que la máquina elegida esté conectada pero no controlada.

− Generalmente, la máquina conectada que se elige posee un ancho de


banda más elevado.

− La máquina elegida no cambia las direcciones IP o lo hace muy


ocasionalmente.

Por lo tanto, es necesario que tanto las redes de las compañías como los usuarios
de internet con conexiones por cable o ADSL se protejan contra intrusiones en la
red instalando un dispositivo de protección.

Redes y Telecomunicaciones II

Página 12
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
a) ¿Qué es un Firewall?

Un firewall es un sistema que protege a un ordenador o a una red de


ordenadores contra intrusiones provenientes de redes de terceros
(generalmente desde internet). Un sistema de firewall filtra paquetes de datos
que se intercambian a través de internet. Por lo tanto, se trata de una pasarela
de filtrado que comprende al menos las siguientes interfaces de red:

- Una interfaz para la red protegida (red interna).


- Una interfaz para la red externa.

Figura 1. Modelo de Firewall

El sistema firewall es un sistema de software, a menudo sustentado por un


hardware de red dedicada, que actúa como intermediario entre la red local (u
ordenador local) y una o más redes externas. Un sistema de firewall puede
instalarse en ordenadores que utilicen cualquier sistema siempre y cuando:

 La máquina tenga capacidad suficiente como para procesar el


tráfico.

 El sistema sea seguro.

Redes y Telecomunicaciones II

Página 13
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
 No se ejecute ningún otro servicio más que el servicio de filtrado
de paquetes en el servidor.

b) Los componentes del sistema Firewall.

Un Firewall típico se compone de uno, o una combinación, de:

− Ruteador Filtra-paquetes.
− Gateway a nivel-aplicación.
− Gateway a nivel-circuito.

 Ruteador Filtra-paquetes.

El ruteador toma las decisiones de rehusar y permitir el paso de cada uno de


los paquetes que son recibidos. Este sistema se basa en el examen de cada
datagrama enviado y cuenta con una regla de revisión de información de los
encabezados IP, si estos no corresponden a las reglas, se descarta o
desplaza el paquete.

 Gateways a nivel-aplicación

Los gateways nivel-aplicación permiten al administrador de red la


implementación de una política de seguridad estricta que la que permite un
ruteador filtra-paquetes.

Mucho mejor que depender de una herramienta genérica de filtra-paquetes


para administrar la circulación de los servicios de Internet a través del
firewall, se instala en el gateway un código de propósito-especial (un servicio
Proxy) para cada aplicación deseada.

 Gateway a nivel-circuito

Un Gateway a nivel-circuito es en si una función que puede ser


perfeccionada en un Gateway a nivel-aplicación. A nivel-circuito
simplemente trasmite las conexiones TCP sin cumplir cualquier proceso
adicional en filtrado de paquetes.

Redes y Telecomunicaciones II

Página 14
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Tal como se menciono anteriormente, este gateway simplemente trasmite la
conexión a través del firewall sin examinarlo adicionalmente, filtrarlo, o
dirigiendo el protocolo de Telnet.

El gateway a nivel-circuito acciona como un cable copiando los bytes antes y


después entre la conexión interna y la conexión externa.

c) Características y ventajas del Firewall.

- Protección de la Red. – Mantiene alejados a los piratas informático


(crakers) de su red al mismo tiempo que permite acceder a todo el
personal de la oficina.

- Control de acceso a los recursos de la red.- Al encargarse de filtrar, en


primer nivel antes que lleguen los paquetes al resto de las computadoras
de la red, el firewall es idóneo para implementar en el los controles de
acceso.

- Control de uso de internet. Permite bloquear el material no- adecuado,


determinar que sitios que puede visitar el usuario de la red interna y llevar
un registro.

- Concentra la seguridad.- El firewall facilita la labor a los responsables de


seguridad, dado que su máxima preocupación de encarar los ataques
externos y vigilar, mantener un monitoreo.

- Control y estadísticas.- Permite controlar el uso de internet en el ámbito


interno y conocer los intentos de conexiones desde el exterior y detectar
actividades sospechosas.

- Choke-Point.- Permite al administrador de la red definir un (embudo)


manteniendo al margen los usuarios no-autorizados fuera de la red,
prohibiendo potencialmente la entrada o salida al vulnerar los servicios de
la red, y proporcionar la protección para varios tipos de ataques.

- Genera Alarmas de Seguridad.- El administrador del firewall puede tomar


el tiempo para responder una alarma y examina regularmente los registros
de base.

Redes y Telecomunicaciones II

Página 15
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
- Audita y registra internet.- Permite al administrador de red justificar el gasto
que implica la conexión a internet, localizando con precisión los cuellos de
botella potenciales del ancho de banda.

d) Diseño de decisión de un Firewall de Internet.

Cuando se diseña un firewall de internet, se toma algunas decisiones que


pueden ser asignadas por el administrador de red:

- Las políticas que propone el Firewall.- Posturas de la políticas


“No todo lo específicamente permitido está prohibido” y “Ni todo lo
específicamente prohibido está permitido”

- La primera postura asume que un firewall puede obstruir todo el


tráfico y cada uno de los servicios o aplicaciones deseadas
necesariamente y ser aplicadas caso por caso.

- La segunda propuesta asume que el firewall puede desplazar


todo el tráfico y que cada servicio potencialmente peligroso necesitara
ser aislado básicamente caso por caso.

- La Política interna propia de la organización para la seguridad


total.-La política de seguridad se basara en una conducción cuidadosa
analizando la seguridad, la asesoría en caso de riesgo.

- El costo Financiero del proyecto Firewall.-Es el precio que puede


ofrecer una organización por su seguridad, un simple paquete filtrado
firewall puede- tener un costo mínimo ya que la organización necesita
un ruteador- conectado al internet, y dicho paquete ya está incluido
como estándar del equipo.

e) Cómo funciona un sistema Firewall

Un sistema firewall contiene un conjunto de reglas predeterminadas que le


permiten al sistema:

- Autorizar la conexión (permitir)

Redes y Telecomunicaciones II

Página 16
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
- Bloquear la conexión (denegar)
- Rechazar el pedido de conexión sin informar al que lo envió
(negar)

Todas estas reglas implementan un método de filtrado que depende de la


política de seguridad adoptada por la organización. Las políticas de seguridad
se dividen generalmente en dos tipos que permiten:

- la autorización de sólo aquellas comunicaciones que se


autorizaron explícitamente: "Todo lo que no se ha autorizado
explícitamente está prohibido"
- el rechazo de intercambios que fueron prohibidos explícitamente

El primer método es sin duda el más seguro. Sin embargo, impone una
definición precisa y restrictiva de las necesidades de comunicación.

f) Filtrado de paquetes Stateless

Un sistema de firewall opera según el principio del filtrado simple de paquetes,


o filtrado de paquetes stateless. Analiza el encabezado de cada paquete de
datos (datagrama) que se ha intercambiado entre un ordenador de red interna y
un ordenador externo.

Así, los paquetes de datos que se han intercambiado entre un ordenador con
red externa y uno con red interna pasan por el firewall y contienen los
siguientes encabezados, los cuales son analizados sistemáticamente por el
firewall:

- La dirección IP del ordenador que envía los paquetes


- La dirección IP del ordenador que recibe los paquetes
- El tipo de paquete (TCP, UDP, etc.)
- El número de puerto (recordatorio: un puerto es un número
asociado a un servicio o a una aplicación de red).

Las direcciones IP que los paquetes contienen permiten identificar el ordenador


que envía los paquetes y el ordenador de destino, mientras que el tipo de
paquete y el número de puerto indican el tipo de servicio que se utiliza.

Redes y Telecomunicaciones II

Página 17
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
La siguiente tabla proporciona ejemplos de reglas del firewall:

Regla Acción IP fuente IP destino Protocolo Puerto Puerto


fuente destino

1 Aceptar 192.168.10.20 194.154.192.3 tcp cualquiera 25

2 Aceptar cualquiera 192.168.10.3 tcp cualquiera 80

3 Aceptar 192.168.10.0/24 cualquiera tcp cualquiera 80

4 Negar cualquiera cualquiera cualquiera cualquiera cualquiera

Los puertos reconocidos (cuyos números van del 0 al 1023) están asociados
con servicios ordinarios (por ejemplo, los puertos 25 y 110 están asociados con
el correo electrónico y el puerto 80 con la Web). La mayoría de los dispositivos
de firewall se configuran al menos para filtrar comunicaciones de acuerdo con
el puerto que se usa. Normalmente, se recomienda bloquear todos los puertos
que no son fundamentales (según la política de seguridad vigente).

Por ejemplo, el puerto 23 a menudo se bloquea en forma predeterminada


mediante dispositivos de firewall, ya que corresponde al protocolo TELNET, el
cual permite a una persona emular el acceso terminal a una máquina remota
para ejecutar comandos a distancia. Los datos que se intercambian a través de
TELNET no están codificados. Esto significa que es probable que un hacker
observe la actividad de la red y robe cualquier contraseña que no esté
codificada. Generalmente, los administradores prefieren el protocolo SSH, el
cual tiene la reputación de ser seguro y brinda las mismas funciones que
TELNET.

g) Filtrado Dinámico

El Filtrado de paquetes Stateless sólo intenta examinar los paquetes IP


independientemente, lo cual corresponde al nivel 3 del modelo OSI
(Interconexión de sistemas abiertos). Sin embargo, la mayoría de las
conexiones son admitidas por el protocolo TCP, el cual administra sesiones,
para tener la seguridad de que todos los intercambios se lleven a cabo en
forma correcta. Asimismo, muchos servicios (por ejemplo, FTP) inician una
conexión en un puerto estático. Sin embargo, abren un puerto en forma
Redes y Telecomunicaciones II

Página 18
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
dinámica (es decir, aleatoria) para establecer una sesión entre la máquina que
actúa como servidor y la máquina cliente.

De esta manera, con un filtrado de paquetes stateless, es imposible prever


cuáles puertos deberían autorizarse y cuáles deberían prohibirse Para
solucionar este problema, el sistema de filtrado dinámico de paquetes se
basa en la inspección de las capas 3 y 4 del modelo OSI, lo que permite
controlar la totalidad de las transacciones entre el cliente y el servidor. El
término que se usa para denominar este proceso es "inspección stateful" o
"filtrado de paquetes stateful".

Un dispositivo de firewall con "inspección stateful" puede asegurar el control de


los intercambios. Esto significa que toma en cuenta el estado de paquetes
previos cuando se definen reglas de filtrado. De esta manera, desde el
momento en que una máquina autorizada inicia una conexión con una máquina
ubicada al otro lado del firewall, todos los paquetes que pasen por esta
conexión serán aceptados implícitamente por el firewall.

El hecho de que el filtrado dinámico sea más efectivo que el filtrado básico de
paquetes no implica que el primero protegerá el ordenador contra los hackers
que se aprovechan de las vulnerabilidades de las aplicaciones. Aún así, estas
vulnerabilidades representan la mayor parte de los riesgos de seguridad.

h) Filtrado de aplicaciones

El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación.


El filtrado de aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo
OSI, a diferencia del filtrado simple de paquetes (nivel 4). El filtrado de
aplicaciones implica el conocimiento de los protocolos utilizados por cada
aplicación.

Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las


comunicaciones de cada aplicación. El filtrado de aplicaciones implica el
conocimiento de las aplicaciones en la red y un gran entendimiento de la forma
en que en ésta se estructuran los datos intercambiados (puertos, etc.).

Redes y Telecomunicaciones II

Página 19
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente
"pasarela de aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes
mediante la intervención y la realización de una evaluación completa del
contenido en los paquetes intercambiados. Por lo tanto, el proxy actúa como
intermediario entre los ordenadores de la red interna y la red externa, y es el
que recibe los ataques. Además, el filtrado de aplicaciones permite la
destrucción de los encabezados que preceden los mensajes de aplicaciones, lo
cual proporciona una mayor seguridad.

Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura


una buena protección de la red. Por otra parte, el análisis detallado de los datos
de la aplicación requiere una gran capacidad de procesamiento, lo que a
menudo implica la ralentización de las comunicaciones, ya que cada paquete
debe analizarse minuciosamente.

Además, el proxy debe interpretar una gran variedad de protocolos y conocer


las vulnerabilidades relacionadas para ser efectivo.

Finalmente, un sistema como este podría tener vulnerabilidades debido a que


interpreta pedidos que pasan a través de sus brechas. Por lo tanto, el firewall
(dinámico o no) debería disociarse del proxy para reducir los riesgos de
comprometer al sistema.

i) El concepto de Firewall personal

El término firewall personal se utiliza para los casos en que el área protegida
se limita al ordenador en el que el firewall está instalado.

Un firewall personal permite controlar el acceso a la red de aplicaciones


instaladas en el ordenador y prevenir notablemente los ataques de programas
como los troyanos, es decir, programas dañinos que penetran en el sistema
para permitir que un hacker controle el ordenador en forma remota. Los
firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones
no autorizadas a conectarse a su ordenador.

j) Beneficios de un firewall en Internet

Redes y Telecomunicaciones II

Página 20
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Los firewalls en Internet administran los accesos posibles del Internet a la red
privada. Sin un firewall, cada uno de los servidores propios del sistema se
expone al ataque de otros servidores en el Internet. Esto significa que la
seguridad en la red privada depende de la "Dureza" con que cada uno de los
servidores cuenta y es únicamente seguro tanto como la seguridad en la
fragilidad posible del sistema.

El firewall permite al administrador de la red definir un "choke point" (envudo),


manteniendo al margen los usuarios no-autorizados (tal, como., hackers,
crakers, vándalos, y espías) fuera de la red, prohibiendo potencialmente la
entrada o salida al vulnerar los servicios de la red, y proporcionar la protección
para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall
en Internet es que ayuda a simplificar los trabajos de administración, una vez
que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en
cada uno de los servidores que integran nuestra red privada.

El firewall ofrece un punto donde la seguridad puede ser monitoreada y si


aparece alguna actividad sospechosa, este generara una alarma ante la
posibilidad de que ocurra un ataque, o suceda algún problema en el tránsito de
los datos. Esto se podrá notar al acceder la organización al Internet, la
pregunta general es "si" pero "cuando" ocurrirá el ataque. Esto es
extremadamente importante para que el administrador audite y lleve una
bitácora del tráfico significativo a través del firewall. También, si el
administrador de la red toma el tiempo para responder una alarma y examina
regularmente los registros de base. Esto es innecesario para el firewall, desde
que el administrador de red desconoce si ha sido exitosamente atacado!.

- Concentra la seguridad Centraliza los


accesos
- Genera alarmas de seguridad
Traduce direcciones (NAT)
- Monitorea y registra el uso de
Servicios de WWW y FTP.
- Internet.
-

Redes y Telecomunicaciones II

Página 21
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Con el paso de algunos años, el Internet ha experimentado una crisis en las
direcciones, logrando que el direccionamiento IP sea menos generoso en los
recursos que proporciona. Por este medio se organizan las compañías
conectadas al Internet, debido a esto hoy no es posible obtener suficientes
registros de direcciones IP para responder a la población de usuarios en
demanda de los servicios. Un firewall es un lugar lógico para desplegar un
Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio
de direccionamiento acortando y eliminando lo necesario para re-enumerar
cuando la organización cambie del Proveedor de Servicios de Internet (ISPs).

Un firewall de Internet es el punto perfecto para auditar o registrar el uso del


Internet. Esto permite al administrador de red justificar el gasto que implica la
conexión al Internet, localizando con precisión los cuellos de botella potenciales
del ancho de banda, y promueve el método de cargo a los departamentos
dentro del modelo de finanzas de la organización.

Un firewall de Internet ofrece un punto de reunión para la organización. Si una


de sus metas es proporcionar y entregar servicios información a consumidores,
el firewall de Internet es ideal para desplegar servidores WWW y FTP.

Finalmente, el firewall puede presentar los problemas que genera un punto de


falla simple. Enfatizando si este punto de falla se presenta en la conexión al
Internet, aun así la red interna de la organización puede seguir operando -
únicamente el acceso al Internet está perdido.

La preocupación principal del administrador de red, son los múltiples accesos al


Internet, que se pueden registrar con un monitor y un firewall en cada punto de
acceso que posee la organización hacia el Internet. Estos dos puntos de
acceso significan dos puntos potenciales de ataque a la red interna que tendrán
que ser monitoreados regularmente.

k) Limitaciones del Firewall

Por supuesto que los sistemas firewall no brindan seguridad absoluta; todo lo
contrario. Los firewalls sólo ofrecen protección en tanto todas las
comunicaciones salientes pasen sistemáticamente a través de éstos y estén
configuradas correctamente. Los accesos a la red externa que sortean el

Redes y Telecomunicaciones II

Página 22
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
firewall también son puntos débiles en la seguridad. Claramente, éste es el
caso de las conexiones que se realizan desde la red interna mediante un
módem o cualquier otro medio de conexión que evite el firewall.

Asimismo, la adición de medios externos de almacenamiento a los ordenadores


de sobremesa o portátiles de red interna puede dañar enormemente la política
de seguridad general.

Para garantizar un nivel máximo de protección, debe ejecutarse un firewall en


el ordenador y su registro de actividad debe controlarse para poder detectar
intentos de intrusión o anomalías. Además, se recomienda controlar la
seguridad (por ejemplo, inscribiéndose para recibir alertas de seguridad de
CERT) a fin de modificar los parámetros del dispositivo de firewall en función
de las alertas publicadas.

La instalación de un firewall debe llevarse a cabo de la mano de una política de


seguridad real.

Redes y Telecomunicaciones II

Página 23
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

CAPITULO 2:

IMPLEMENTACIÓN Y
CONFIGURACIÓN

Redes y Telecomunicaciones II

Página 24
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
I. EQUIPOS Y/MATERIALES NECESARIOS PARA LA CONFIGURACIÓN DEL
PROXY/FIREWALL (Ver Anexo 2)

 1 Router.
 1 Switch.
 1 PC servidor Proxy/Firewall.
 1 PC servidor Web.
 2 PC Clientes para nuestra LAN o red corporativa.
 Cables par trenzado 3 directos y 2 cruzados.
 Conectores RJ45.
 Cable consola para la configuración del Router.

Al contar con los equipos y/o materiales se diseño la arquitectura de la


configuración:

FIGURA 2. Arquitectura De Configuración

II. CONFIGURACIÓN DE PARÁMETROS DE RED EN CENTOS

Redes y Telecomunicaciones II

Página 25
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Configurar los parámetros de red en una estación de trabajo Linux se realizo los
siguientes procedimientos:

a) Detección y configuración del sustento físico (hardware).

La detección del sustento físico (hardware) es realizada o bien por el programa


de instalación. En términos generales, no hace falta configurar parámetro
alguno mientras los dispositivos de red sean compatibles y exista un
controlador para la versión del núcleo (kernel) ejecutado.

Es posible configurar todo manualmente. La marca de la tarjeta de red es lo


que menos interesa, lo que es importante es que se determine con exactitud
que circuito integrado auxiliar (chipset) utiliza la tarjeta de red. Esto puede
determinarse examinando físicamente la tarjeta de red o bien examinando a
detalle la salida en pantalla que se obtiene al ejecutar el siguiente mandato:

lspci | grep Ethernet

Lo anterior devuelve una salida similar a la siguiente (en el caso de una tarjeta
3Com 905 C).

Ethernet controller: 3Com Corporation 3c905C-TX [Fast Etherlink] (rev 120).

b) Asignación de parámetros de red.

• Nombre del anfitrión (HOSTNAME).

Debe modificarse con un editor de textos el fichero /etc/hosts, y debe


verificarse que este diferenciado el eco o retorno del sistema del nombre
del sistema, el cual deberá estar asociado a una de las direcciones IP,
específicamente la que esté asociado a dicho nombre en el servidor del
sistema de nombres de dominio (DNS) si se cuenta con uno en la red local.

127.0.0.1 localhost.localdomain localhost

192.168.1.50 localhost.tobe localhost

Redes y Telecomunicaciones II

Página 26
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Se debe establecer un nombre para el sistema. Este deberá ser un FQDN
(acrónimo de Fully Qualified Domain Name o Nombre de Dominio
Plenamente Calificado) resuelto por un servidor de nombres de domino
(DNS) o bien. En el caso de sistemas sin conexión a red o sistemas
caseros, sea resuelto localmente en el fichero /etc/hosts. De tal modo, el
nombre del anfitrión (hostname) del sistema se definirá dentro del
fichero /etc/sysconfig/network del siguiente modo:

NETWORKING=yes
HOSTNAME=localhost.tobe

• Dirección IP, máscara de subred y puerta de enlace.

Debe modificarse con cualquier editor de textos, y verificar que sus


parámetros de red sean los correctos, el fichero localizado en la ruta
/etc/sysconfig/network-scripts/ifcfg-eth0/1. Ejemplo:

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.1.1
NETMASK=255.255.255.0
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.2.2
NETMASK=255.255.255.0
GATEWAY=192.168.2.1

Los parámetros anteriores son proporcionados por el administrador de la


red local en donde se localice la máquina que está siendo configurada, o
bien definidos de acuerdo a una planificación previamente establecida. El
administrador de la red deberá proporcionar una dirección IP disponible
(IPADDR) y una máscara de la subred (NETMASK).

• Servidores de nombres.

Redes y Telecomunicaciones II

Página 27
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Debe modificarse con un editor de textos vim /etc/resolv.conf, donde se
establecerán los servidores del sistema de resolución de nombres de
dominio (DNS). Ejemplo:

nameserver 192.168.3.2

• Función de Reenvío de paquetes para IP versión 4.

Si se tiene planeado implementar un NAT o DNAT, se debe habilitar el


reenvío de paquetes para IP versión 4. Esto se realiza en el fichero
/etc/sysctl.conf cambiando net.ipv4.ip_forward = 0 por
net.ipv4.ip_forward = 1:

net.ipv4.ip_forward = 1

Después de hacer configurado todos los parámetros de red deseados, solo


deberá de ser reiniciado el servicio de red, ejecutando lo siguiente:

service network restart

• La función Zeroconf.

De modo predeterminado, y a fin de permitir la comunicación entre dos


diferentes sistemas a través de un cable RJ45 cruzado (crossover), el
sistema tiene habilitado Zeroconf, también conocido como Zero
Configuration Networking o Automatic Private IP Addressing (APIPA). Es
un conjunto de técnicas que automáticamente crean una dirección IP
utilizable sin necesidad de configuración de servidores especiales. Permite
a usuarios sin conocimientos de redes conectar computadoras, impresoras
en red y otros artículos entre si.

Sin Zeroconf los usuarios sin conocimientos tendrían que configurar


servidores especiales como DHCP y DNS para poder establecer
conectividad entre dos equipos.

Estando habilitado Zeroconf se mostrará un registro en la tabla de


encaminamientos para la red 169.254.0.0 al utilizar el mandato route -n,
devolviendo una salida similar a la siguiente:

Redes y Telecomunicaciones II

Página 28
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0

127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo

0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0

Si se desea desactivar Zeroconf, solo bastará añadir en el fichero


/etc/sysconfig/network el parámetro NOZEROCONF con el valor yes:

NETWORKING=yes

HOSTNAME=localhost.tobe

NOZEROCONF=yes

Al terminar, solo hay que reiniciar el servicio de red para que surtan efecto
los cambios y comprobar de nuevo con el mandato route -n que la ruta
para Zeroconf ha desaparecido:

192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo

0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0

Una vez hecho lo anterior, existen dos servicios en el sistema en CentOS,


que se pueden desactivar puesto que sirven para establecer la
comunicación a través de Zeroconf, estos son mDNSResponder y nifd.
Desactivar estos dos servicios ahorrará tiempo en el arranque y se
consumirán algunos pocos menos recursos de sistema.

chkconfig nifd off

chkconfig mDNSResponder off

service nifd stop

Redes y Telecomunicaciones II

Página 29
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
service mDNSResponder stop

Muchas aplicaciones y componentes para el modo gráfico dependen de


Zeroconf para su correcto funcionamiento. Por tanto, no es conveniente
desactivar este soporte si se va a hacer uso de el modo gráfico.

• Desactivando el soporte para IPv6.

IPv6 o Protocolo de Internet versión 6 (Internet Protocol Version 6) es un


estándar del Nivel de Red de TCP/IP orientado hacia datos utilizada por
dispositivos electrónicos para transmitir datos a través de una Interred
(Internetworking) creado por Steve Deering y Craig Mudge mientras
trabajaban para el Centro de Investigaciones de Palo Alto de Xerox, o
Xerox Palo Alto Research Center (Xerox PARC).

Sucediendo a IPv4, es la segunda versión de Protocolo de Internet en ser


formalmente adoptada para uso general. IPv6 tiene como objetivo
solucionar el problema concerniente al limite de direcciones IP que se
pueden asignar a través de IPv4, las cuales tendrán mucha demanda en
un futuro no muy lejano cuando se incrementen el número de teléfonos
móviles y otros dispositivos de comunicación que ofrezcan acceso hacia
Internet.

IPv4 solo incluye soporte para 4,294 mil millones (4,294 x 109) de
direcciones IP, lo cual es adecuado para asignar una dirección IP a cada
persona del planeta. IPv6 incluye soporte para 340 undecillones (340 x
1038) de direcciones IP. Se espera que IPv4 siga siendo útil hasta
alrededor del año 2025, lo cual dará tiempo a corregir errores y problemas
en IPv6.

Mientras no se implemente de modo formal IPv6, el sistema cargará un


controlador que hará que algunas aplicaciones manifiesten un acceso lento
hacia Internet o problemas de conectividad. Si no se va a utilizar IPv6 lo
mejor es desactivar éste del sistema. Edite el fichero /etc/modprobe.conf y
añada lo siguiente:

Tobe ipv6 off

Redes y Telecomunicaciones II

Página 30
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
tobe net-pf-10 off

Al terminar utilice:

depmod -a

Reinicie el sistema a fin de que surtan efecto los cambios.

reboot

III. CONFIGURACIÓN DE ROUTER

Para configurar un router se tiene que asignar ip’s a las interfaces y


también la ruta estática desde el firewall hacia la LAN, como se muestra en
el gráfico.

Redes y Telecomunicaciones II

Página 31
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Se realizo la seguridad a nivel consola y acceso remoto.

Para visualizar el enrutamiento del Router utilizamos el comando show ip


route.

En esta imagen podemos visualizar que no se ha creado listas en el router.

Redes y Telecomunicaciones II

Página 32
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

IV. INSTALACIÓN Y CONFIGURACIÓN DEL SQUID

a) Instalación

Para poder instalar el servicio de Squid tendremos que ejecutar los siguientes
comandos como usuario root.

[root]#yum install Squid

Con esto instalaremos nuestro servidor Squid más las dependencias que
tenga.

b) Archivos de configuración del Squid

Ya teniendo instalado nuestro servidor Squid, ahora deberemos saber en


dónde se encuentra toda la configuración del mismo.

/etc/squid

Redes y Telecomunicaciones II

Página 33
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Ya dentro de esta carpeta se encontraran varios archivos pero el más
importante es el squid.conf el cual se encarga de la configuración del servicio.

Por recomendación antes de editar un archivo de configuración de algún


servicio, siempre deberemos hacer una copia de respaldo original del mismo.

[root@localhost squid]# cp squid.conf squid.conf-orig

c) Configuración Squid.

Squid utiliza el fichero de configuración localizado en /etc/squid/squid.conf, y


podrá trabajar sobre este utilizando su editor de texto simple preferido. Existen
un gran número de parámetros, de los cuales recomendamos configurar los
siguientes:

- http_port

- cache_dir

- Al menos una Lista de Control de Acceso

- Al menos una Regla de Control de Acceso

- httpd_accel_host

- httpd_accel_port

- httpd_accel_with_proxy

• Parámetro http_port

En este parámetro configuramos el puerto de escucha de nuestro servidor


squid, por default es el puerto 3128, pero también puede ser utilizado el
8080.

http_port 3128

• Parámetro cache_mem

Redes y Telecomunicaciones II

Página 34
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Establece la cantidad de memoria RAM dedicada para almacenar los datos
más solicitados. Esta opción viene comentada por los cual la des
comentaremos para darle un valor reservado en memoria RAM.

# cache_mem 8 MB

Por:

cache_mem 50 MB

El valor ya depende del administrador y de la carga que tenga el squid.

• Parámetros cache_swap

Dentro del cache_swap, existen dos parámetros: cache_swap_low


cache_swap-hight Con estos le indicamos a squid que mantenga los
niveles del espacio del área de intercambio o también conocido como
swap. Estos parámetros vienen siempre desactivados por cual los
buscaremos para activarlos.

#cache_swap_low 90

#cache_swap_high 95

Por:

cache_swap_low 90

cache_swap_high 95

Con esto decimos al squid que mantenga los niveles del espacio del area
de intercambio entre 90% y 95%.

• Parámetros maximum_object_size

Utilizamos esta directiva para indicar el tamaño maximo para los objetos a
almacenar en la cache.

#maximum_object_size 4096 KB

Por:
Redes y Telecomunicaciones II

Página 35
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
maximum_object_size 10240 MB

• Parámetro hierarchy_stoplist

Este parámetro es útil para indicar a squid que páginas que contengan
ciertos caracteres no deben almacenarse en cache. También se pueden
incluir como sitios de web mail y paginas locales en su red ya que no sería
necesario almacenarlas en el cache, esta opción ya viene habilitada
solamente tendremos que modificarle algunos datos de la misma.

hierarchy_stoplist cgi-bin ?

por

hierarchy_stoplist cgi-bin ? hotmail gmail yahoo escuela.factor.com.mx

• Parámetro visible_hostname

Es el nombre del equipo, el nombre debe ser igual a los siguientes ficheros
/etc/hosts y en /etc/sysconfig/network. Este parámetro no viene
configurado en el archivo de configuración, tendremos que agregar y que
en ocasiones pueda ser que nuestro servicio de squid no quiera iniciar.

visible_hostname mantis

• Parámetro cache_dir

Con este parámetro establecemos el tamaño que deseamos que tenga la


cache en el disco, lo cual tendremos que habilitar y modificar el siguiente
dato.

#cache_dir ufs /var/spool/squid 100 16 256

por

cache_dir ufs /var/spool/squid 700 16 256

Redes y Telecomunicaciones II

Página 36
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Con esto establecemos el tamaño que deseamos que tenga la cache en el
disco, se puede incrementar hasta el tamaño que desee el administrador,
nosotros establecemos 700MB de cache con 16 directorios subordinados y
256 niveles cada uno.

• Parámetro access_log

Especifica en que directorio se realizara el registro de accesos al squid,


este parámetro es importante para definir un análisis de estadísticas con
webalizer.

access_log /var/log/squid/access.log squid

• Parámetro cache_log

Define en donde se almacenaran los mensajes del comportamiento de la


cache de squid. Por default viene desactivado.

cache_log /var/log/squid/cache.log

d) Reglas acl

Una ACL es una definición de control de acceso, que utiliza squid para
especifica mediante el, existen varios tipos de reglas ACL que comentaremos
en la tabla.

src Time

dts url_regex

srcdomain urlpath_regex

dstdomain req_mime

srcdom_regex Macaddress

dstdom_regex Password

Redes y Telecomunicaciones II

Página 37
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Las reglas que usaremos serán las siguientes:

• Regla Tipo src

Esta regla especifica una o varias direcciones IP de origen o un segmento


de red con su máscara de red. Nomenclatura:

acl [Nombre] src [Contenido]

El nombre de la regla es llamada redcorporativa la cual tendría asignada un


segmento de red 192.168.1.0 a 24 bits.

Acl redcorporativa src 192.168.1.0/24

Esta regla que se llama redes en la cual manda a llamar al archivo


permitido el cual se encuentra en /etc/squid, contiene las IP de la gente que
trabaja en redes.

acl redes src “/etc/squid/permitidos”

El archivo permitidos.txt contienen las siguientes ips:

o 192.168.1.2
o 192.168.1.3
o 192.168.1.4
o 192.168.1.5

• Regla Tipo dts

Especifica una dirección de destino en formato IP y mascara o el nombre


del sitio a visitar. Nomenclatura:

acl [Nombre] dts [Contenido]

En esta regla es llamada webmail la cual contendrá como destino final las
direcciones de webmail mas conocidos de internet.

acl webmailip dst 192.168.3.2 255.255.255.0

Redes y Telecomunicaciones II

Página 38
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
acl webmailip2 dst 192.168.3.0 255.255.255.0

acl webmail dstdomain www.redes2.com

acl webmail2 dstdomain www.fiis.com

• Regla Tipo url_regex

Permite especificar expresiones regulares para comprobar dicha url, a este


tipo de regla se recomienda tener un archivo en cual agregamos todas la
palabras que nosotros creamos que importantes. Nomenclatura:

acl [Nombre] url_regex “Path”

Archivo noporno.txt:

- Sex
- xxx
- adult
- pornotube
- chicas
- porn
- playboy
- lolitas

Esta regla se llama noporno el cual manda a llamar a un archivo que


contiene palabras relacionadas a pornografía.

Acl noporno url-regex “/etc/squid/listas/noporno.txt”

e) Configuración básica Squid

Como vemos en el siguiente diagrama de red, especificaremos los siguientes


reglas que tendrá nuestra red.

Redes y Telecomunicaciones II

Página 39
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
- Todas las computadoras de la red corporativa se encuentra dentro del
segmento de red 192.168.1.0/24.

- El resto de la red solamente tiene acceso a la página de la empresa


Factor y de interés social, con un horario de 08:00 a 19:00 hrs, sin
poder descargar archivos de música y vídeos.

Comenzaremos a configurar el control de accesos.

http_access allow redcorporativa

http_access allow webmail

http_access allow/deny webmail2

Con esto tendremos ya configurado nuestro squid, para poder exportar en


proxy desde consola tendremos que hacer lo siguiente:

[root@localhost ~]# export http_proxy=[http://192.168.2.2:3128]

f) Configuración de Navegadores Web.

Solo nos falta que en las más máquinas clientes configuremos la salida a
internet por proxy.

- Firefox

Menú Editar ---> Avanzadas ---> Red ---> Configuración de red.

- Opera.

Menú Herramientas ---> Preferencias ---> Avanzadas ---> Red

- Internet Explorer.

Menú Herramientas ---> Opciones de Internet --->Conexiones --->


Configuración de LAN

g) Configuración Squid Transparente

Redes y Telecomunicaciones II

Página 40
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Este tipo de configuración de squid transparente, lo que hace es que
conexiones son enrutadas al proxy sin hacer ninguna configuración en los
clientes para que tengan salida a internet. Este tipo de configuración depende
de reglas de nuestro firewall.

h) Parámetro http_port

Solamente tendremos que configurar este parámetro para que se un proxy


transparente. Se le debe indicar la IP del servidor squid, puerto de escucha y la
palabra transparente.

http_port 3128 por http_port 192.168.2.2:3128 transparent

i) Control de Acceso

El control de acceso define si se permite o deniega el acceso a las reglas para


que empecemos a crear el filtrado. Nomenclatura:

http_access allow/Deny Regla

Como sabemos la regla redcorporativa dado el segmento de red


192.168.1.0/24 y tendrán acceso a todo el internet.

http_access allow redcorporativa

j) Proxy Acelerado: Opciones para Servidor Intermediario (Proxy)


Transparente.

Si se trata de un Servidor Intermediario (Proxy) transparente, deben utilizarse


las siguientes opciones, considerando que se hará uso del caché de un
servidor HTTP (Apache) como auxiliar:

# Debe especificarse la IP de cualquier servidor HTTP en la

# Red local o bien el valor virtual

Redes y Telecomunicaciones II

Página 41
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
httpd_accel_host 192.168.3.2

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

k) Estableciendo el idioma de los mensajes mostrados por de Squid hacia el


usuario.

Squid incluye traducción a distintos idiomas de las distintas páginas de error e


informativas que son desplegadas en un momento dado durante su operación.
Dichas traducciones se pueden encontrar en /usr/share/squid/errors/. Para
poder hacer uso de las páginas de error traducidas al español, es necesario
cambiar un enlace simbólico localizado en /etc/squid/errors para que apunte
hacia /usr/share/squid/errors/Spanish en lugar de hacerlo hacia
/usr/share/squid/errors/English.

Elimine primero el enlace simbólico actual:

rm -f /etc/squid/errors

Coloque un nuevo enlace simbólico apuntando hacia el directorio con los


ficheros correspondientes a los errores traducidos al español.

ln -s /usr/share/squid/errors/Spanish /etc/squid/errors

V. INSTALACION Y CONFIGURACION DE DANSGUARDIAN

a) Configuración de DansGuardian/Squid

Nos dirigimos al directorio:

Redes y Telecomunicaciones II

Página 42
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
cd /etc/dansguardian

Por momento solamente queda configurar nuestro dansguardian, su archivo de


configuración se encuentra en /etc/dansguardian/dansguardian.conf.

[root@localhost ~]# vim /etc/dansguardian/dansguardian.conf

Modificaremos o habilitaremos los siguientes parametros:

Ya que tenemos funcionando el dansguardian y clamav solo falta modificar


algunos parámetros dentro de la configuración del squid para que tengan
comunicación entre squid y dansguardian. Como siempre debemos indicar la IP
del servidor y puerto de escucha, y agregaremos otros parámetros de los
cuales permite crear el enlace entre las dos aplicaciones.

http_port 192.168.1.254:3128 transparent


tcp_outgoing_address 192.168.2.1
cache_peer 127.0.0.1 sibling 8080 7
cache_peer 192.168.2.1 parent 3128 7

Con esto ya tendremos configurado nuestro squid solo queda reiniciarlo.

[root@localhost ~]# /etc/init.d/squid restart

Configuramos el fichero: dansguardian.conf

language = 'spanish'
filterip = 192.168.2.2
filterport = 8080
proxyip = 192.168.2.2
proxyport = 3128

Redes y Telecomunicaciones II

Página 43
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
daemonuser = 'clamav'
daemongroup = 'clamav'
clamdsocket = '/tmp/clamd.socket'
virusengine = 'clamdscan, clamav'
loglocation = '/var/log/dansguardian/access.log'
nonstandarddelimiter = on
usecustombannedimage = 1
custombannedimagefile = '/etc/dansguardian/transparent1x1.gif'
filtergroups = 1
filtergroupslist = '/etc/dansguardian/filtergroupslist'
bannediplist = '/etc/dansguardian/bannediplist'
exceptioniplist = '/etc/dansguardian/exceptioniplist'
banneduserlist = '/etc/dansguardian/banneduserlist'
exceptionuserlist = '/etc/dansguardian/exceptionuserlist'
showweightedfound = on
weightedphrasemode = 0
urlcachenumber = 3000
urlcacheage = 900
phrasefiltermode = 2
preservecase = 0
hexdecodecontent = 0
forcequicksearch = 0
reverseaddresslookups = off
reverseclientiplookups = off
createlistcachefiles = on
maxuploadsize = -1
maxcontentfiltersize = 256
usernameidmethodproxyauth = on
usernameidmethodident = off
preemptivebanning = on
forwardedfor = off
usexforwardedfor = off
logconnectionhandlingerrors = on
maxchildren = 120
minchildren = 8

Redes y Telecomunicaciones II

Página 44
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
minsparechildren = 4
preforkchildren = 6
maxsparechildren = 32
maxagechildren = 500
ipcfilename = '/tmp/.dguardianipc'
urlipcfilename = '/tmp/.dguardianurlipc'
pidfilename = '/var/run/dansguardian.pid'
nodaemon = off
nologger = off
daemonuser = 'nobody'
daemongroup = 'nobody'
softrestart = off
accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgi-
bin/dansguardian.pl'

Crearemos el archivo access.log que contendrá los acceso al dansguardian.

[root@localhost ~]# touch /var/log/dansguardian/access.log


[root@localhost ~]# chown root.root /var/log/dansguardian/access.log
[root@localhost ~]# chmod 666 /var/log/dansguardian/access.log
[root@localhost ~]# /etc/init.d/squid restart
[root@localhost ~]# /etc/init.d/dansguardian start

filterip,filterport, proxyip y proxyport, son valores importantes para la


conexion de DansGuardian con Squid, si van a usar otros puertos, tengan
presente los cambios.
Para bloquear algunas webs de prueba, configuramos el archivo:
bannedsitelist, agregamos por ejm. youtube.com, hi5.com, etc (uno debajo de
otro y sin WWW).

Ahora nos dirigimos a configurar squid para que se pueda comunicar con
Dansguardian:
vi /etc/squid/squid.conf

Redes y Telecomunicaciones II

Página 45
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Agregamos estas lineas:

http_port 192.168.2.2:3128 transparent


http_port 192.168.2.2:8080
cache_peer 192.168.2.2 parent 8080 3130

Reiniciamos los servicios:

service squid restart


service dansguardian restart

Chekamos los servicios para que se inicien con el reboot del server:

chkconfig squid on
chkconfig dansguardian on

Redes y Telecomunicaciones II

Página 46
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

VI. INSTALACION Y CONFIGURACIÓN DE SHOREWALL(FIREWELL)

a) Fichero de configuración /etc/shorewall/shorewall.conf

En éste se definen, principalmente, dos parámetros. STARTUP_ENABLED y


CLAMPMSS.

STARTUP_ENABLED se utiliza para activar Shorewall. De modo predefinido


está desactivado, solo basta cambiar No por Yes.

STARTUP_ENABLED=Yes

CLAMPMSS se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para


limitar el MSS (acrónimo de Maximum Segment Size que significa Máximo
Tamaño de Segmento). Cambiando el valor No por Yes, Shorewall calculará el
MSS más apropiado para la conexión. Si se es osado, puede también
especificarse un número en paquetes SYN. La recomendación es establecer
Yes si se cuenta con un enlace tipo PPP.

CLAMPMSS=Yes

b) Fichero de configuración /etc/shorewall/zones

Este fichero se utiliza para definir las zonas que se administrarán con Shorewall
y el tipo de zona (firewall, ipv4 o ipsec). La zona fw está presente en el fichero
/etc/shorewall.conf como configuración predefinida. En el siguiente ejemplo se
registrarán las zonas de Internet (net), Red Local (loc) :

#ZONE DISPLAY OPTIONS


fw firewall
net ipv4
lan ipv4

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

Redes y Telecomunicaciones II

Página 47
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

c) Fichero de configuración /etc/shorewall/interfaces

En éste se establecen cuales serán las interfaces para las tres diferentes
zonas. Se establecen las interfaces que corresponden a la Internet y Red
Local. Se cuenta con una interfaz eth0 para acceder hacia la lan y una interfaz
eth1 para acceder hacia internet, y en todas se solicita se calcule
automáticamente la dirección de transmisión (Broadcast):

#ZONE INTERFACE BROADCAST OPTIONS GATEWAY


net eth1 detect
loc eth0 detect

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

En el siguiente ejemplo, se cuenta con una interfaz eth0 para acceder hacia
Internet, una interfaz eth1 para acceder hacia la LAN, y en todas se solicita se
calcule automáticamente la dirección de transmisión (Broadcast):

#ZONE INTERFACE BROADCAST OPTIONS


GATEWAY
net eth0 detect
loc eth1 detect
dmz eth2 detect

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

Hay una cuarta zona implícita que corresponde al cortafuegos mismo y que se
denomina fw.

Si acaso hubiera un servicio de DHCP, sea como cliente, como servidor o


como intermediario, en alguna de las interfaces, se debe añadir la opción dhcp
para permitir la comunicación requerida para este servicio. En el siguiente
ejemplo el anfitrión donde opera el muro cortafuegos obtiene su dirección IP,

Redes y Telecomunicaciones II

Página 48
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
para la interfaz ppp0, a través del servicio DHCP del ISP; en este mismo
anfitrión opera simultáneamente un servidor DHCP, el cual es utilizado en la
red de área local para asignar direcciones IP; por todo lo anterior se debe
activar la opción DHCP para las interfaces eth0 y eth1, que
correspondientemente son utilizadas por la zona de Internet y la red de área
local:

#ZONE INTERFACE BROADCAST OPTIONS


GATEWAY
net ppp0 detect dhcp
loc eth1 detect dhcp
dmz eth2 detect

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

d) Fichero de configuración /etc/shorewall/policy

En este fichero se establece como se accederá desde una zona hacia otra y
hacia la zona de Internet.

#SOURCE DEST POLICY LOG LIMIT:BURST


lan net ACCEPT
fw net ACCEPT
lan fw ACCEPT
net all DROP info
all all REJECT info

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

Lo anterior hace lo siguiente:

Redes y Telecomunicaciones II

Página 49
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
1. La zona Lan puede acceder hacia la zona de Internet.
2. El cortafuego mismo puede acceder hacia la zona de Internet.
3. La zona Lan puede acceder hacia la zona del cortafuegos.
4. Se impiden conexiones desde Internet hacia el resto de las zonas.
5. Se establece una política de rechazar conexiones para todo lo que se haya
omitido.

Todo lo anterior permite el paso entre las diversas zonas hacia Internet, lo cual
no es deseable si se quiere mantener una política estricta de seguridad. La
recomendación es cerrar todo hacia todo e ir abriendo el tráfico de acuerdo a
como se vaya requiriendo. Es decir, utilizar algo como lo siguiente:

#SOURCE DEST POLICY LOG LIMIT:BURST


net all DROP info
all all REJECT info

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

Lo anterior bloquea todo el tráfico desde donde sea a donde sea. Si es


necesario realizar pruebas de diagnóstico desde el cortafuego hacia Internet
para probar conectividad y acceso hacia diversos protocolos, se puede utilizar
lo siguiente:

#SOURCE DEST POLICY LOG LIMIT:BURST


fw net ACCEPT
net all DROP info
all all REJECT info

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

Redes y Telecomunicaciones II

Página 50
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Lo anterior permite al propio cortafuego acceder hacia la zona de Internet. Esta
sería la política más relajada que se pudiera recomendar para mantener un
nivel de seguridad aceptable.

e) Fichero de configuración /etc/shorewall/masq

Se utiliza para definir que a través de que interfaz o interfaces se habilitará


enmascaramiento, o NAT, y para que interfaz o interfaces o redes se aplicará
dicho enmascaramiento. En el siguiente ejemplo, se realizará
enmascaramiento a través de la interfaz ppp0 para las redes que acceden
desde las interfaces eth0 y eth1:

#INTERFACE SUBNET ADDRESS PROTO PORT(S)


IPSEC
ppp0 eth0
ppp0 eth1

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

En el siguiente ejemplo, se realizará enmascaramiento a través de la interfaz


eth0 para las redes 192.168.0.0/24 y 192.168.1.0/24:

#INTERFACE SUBNET ADDRESS


PROTO PORT(S)
IPSEC

eth0 192.168.0.0/24
eth0 192.168.1.0/24

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

También es posible hacer NAT solamente hacia una IP en particular y para un


solo protocolo en particular. En el siguiente ejemplo se hace NAT a través de la
interfaz ppp0 para la dirección 192.168.3.25 que accede desde la interfaz eth1
y solo se le permitirá hacer NAT de los protocolos smtp y pop3. Los nombres

Redes y Telecomunicaciones II

Página 51
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
de los servicios se asignan de acuerdo a como estén listados en el fichero
/etc/services.

#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC


eth0 eth1 192.168.3.2 tcp 25,110, 53

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

f) Fichero de configuración /etc/shorewall/rules

Todos los puertos están cerrados de modo predefinido, y es en este fichero


donde se habilitan los puertos necesarios. Hay diversas funciones que pueden
realizarse.

ACCEPT

La acción ACCEPT se hace para especificar si se permiten conexiones


desde o hacia una(s) zona (s) un protocolo(s) y puerto(s) en particular. En
el siguiente ejemplo se permiten conexiones desde Internet hacia el puerto
80 (www), 25 (smtp) y 110 (pop3). Los nombres de los servicios se asignan
de acuerdo a como estén listados en el fichero /etc/services.

#ACTION SOURCE DEST PROTO DEST PORT


ACCEPT net fw tcp 80,25,110, 53

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

REDIRECT

La acción REDIRECT permite redirigir peticiones hacia un puerto en


particular. Muy útil cuando se quieren redirigir peticiones para HTTP (puerto
80) y se quiere que estas pasen a través de un Servidor Intermediario

Redes y Telecomunicaciones II

Página 52
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
(Proxy) como Squid. En el siguiente ejemplo las peticiones hechas desde la
red local y desde la DMZ serán redirigidas hacia el puerto 8080 del
cortafuegos, en donde hay un Servidor Intermediario (Proxy) configurado
de modo transparente.

#ACTION SOURCE DEST PROTO DEST


# PORT
REDIRECT loc 8080 tcp 80
REDIRECT dmz 8080 tcp 80

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

En el siguiente ejemplo las peticiones hechas desde la red local (LAN)


serán redirigidas hacia el puerto 8080 del cortafuegos, en donde hay un
Servidor Intermediario (Proxy) configurado de modo transparente,
limitando la taza de conexiones a diez por segundo con ráfagas de hasta
cinco conexiones. Esto es muy útil para evitar ataques de DoS (acrónimo
de Denial of Service que se traduce como Denegación de Servicio) desde
la red local (LAN).

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL


RATE
# PORT PORT(S) DEST LIMIT
REDIRET loc 8080 tcp 80 - - 20/sec:5

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

g) Iniciar el cortafuego y añadirlo a los servicios de arranque del sistema

Para ejecutar por primera vez el servicio, utilice:

Redes y Telecomunicaciones II

Página 53
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
service shorewall start

Para hacer que los cambios hechos a la configuración surtan efecto, utilce:

service shorewall restart

Para detener el cortafuegos, utilice:

service shorewall stop

Cabe señalar que detener el cortafuego también detiene todo tráfico de red,
incluyendo el tráfico proveniente desde la LAN. Si se desea restaurar el tráfico
de red, sin la protección de un cortafuego, será necesario también utilizar el
guión de iptables.

service iptables stop

Lo más conveniente, en caso de ser necesario detener el cortafuegos, es


definir que direcciones IP o redes podrán continuar accediendo cuando el
cortafuegos es detenido, o cuando éste se encuentra en proceso de reinicio.
Esto se define en el fichero /etc/shorewall/routestopped, definiendo la
interfaz, a través de la cual se permitirá la comunicación, y la dirección IP o red,
en un formato de lista separada por comas, de los anfitriones que podrán
acceder al cortafuegos. Ejemplo:

#INTERFACE HOST(S) OPTIONS


eth0 192.168.1.0/24
eth0 192.168.2.30,192.168.2.31

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

Para añadir Shorewall al arranque del sistema, utilice:

chkconfig shorewall on

Redes y Telecomunicaciones II

Página 54
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
VII. CONFIGURACION DE PARÁMETROS DE SEGURIDAD

a) Reglas del Firewall

Para poder configurar este tipo de proxy transparente, tendremos que


configurar reglas de firewall, en nuestro caso usaremos reglas de iptables ya
que es la herramienta más utilizada en todas distribuciones GNU/Linux. Pero
para que funcione de manera transparente debemos de aplicar la siguiente
regla en iptables.

iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port


3128

Con esto estamos desviando el trafico que venga por la LAN que vaya por web
al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no se
pueden desplegar las paginas seguras, para eso necesitamos aplicar otras
reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente
manera:

iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT --to-port


3128

Aceptamos conexiones locales en la interfaz lo


iptables -A INPUT -i lo -j ACCEPT

Tenemos acceso al firewall desde el segmento de red 192.168.1.0 por la


interfaz eth0
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

Aceptamos que todo el tráfico que viene desde la red local vaya hacia los
puertos
80/443 sean aceptadas estas son solicitudes http/https
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT

Aceptamos que consultas de DNS de la red local


iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT
Redes y Telecomunicaciones II

Página 55
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp --dport 53 -j ACCEPT

Denegamos el resto de los servicios


iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j REJECT

Ahora hacemos enmascaramiento de la red local


iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
Rechaza todas la demas conexiones desde el puerto 1 al 1024 por protocolo
tcp/udp por la interfaz de red eth0.
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

Habilitamos el reenvío de paquetes dentro de la red.

echo 1 > /proc/sys/net/ipv4/ip_forward

Y Guardamos las reglas con el siguiente comando.

iptables-save > /etc/sysconfig/iptables

Reiniciamos el servicio de firewall

/etc/init.d/iptables restart

Con esto tendremos configurado nuestro squid transparente.

b) Iniciar el cortafuego y añadirlo a los servicios de arranque del sistema

Para ejecutar por primera vez el servicio, utilice:

service shorewall start

Para hacer que los cambios hechos a la configuración surtan efecto, utilce:

service shorewall restart

Para detener el cortafuego, utilice:

Redes y Telecomunicaciones II

Página 56
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
service shorewall stop

Cabe señalar que detener el cortafuegos también detiene todo tráfico de red,
incluyendo el tráfico proveniente desde la LAN. Si se desea restaurar el tráfico
de red, sin la protección de un cortafuego, será necesario también utilizar el
guión de iptables.

service iptables stop

Lo más conveniente, en caso de ser necesario detener el cortafuegos, es


definir que direcciones IP o redes podrán continuar accediendo cuando el
cortafuegos es detenido, o cuando éste se encuentra en proceso de reinicio.
Esto se define en el fichero /etc/shorewall/routestopped, definiendo la
interfaz, a través de la cual se permitirá la comunicación, y la dirección IP o red,
en un formato de lista separada por comas, de los anfitriones que podrán
acceder al cortafuegos. Ejemplo:

#INTERFACE HOST(S) OPTIONS


eth0 192.168.1.0/24
eth0 192.168.2.30,192.168.2.31

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT


REMOVE

Para añadir Shorewall al arranque del sistema, utilice:

chkconfig shorewall on

VIII. CONFIGURACION DE SERVIDOR WEB

En Windows Server 2003

Para hacer la configuración básica del sitio Web sigue estos pasos:

a) Haz clic en Inicio, selecciona Herramientas administrativas y, a continuación,


haz clic en Servicios de Internet Information Server (IIS).

Redes y Telecomunicaciones II

Página 57
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

b) Expande *nombre del servidor (donde nombre del servidor es el nombre del
servidor) y, a continuación, expande Sitios Web.

c) Haz clic con el ratón derecho en Sitio Web predeterminado y, a continuación,


haz clic en Propiedades.

Redes y Telecomunicaciones II

Página 58
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

d) Haz clic en la ficha Sitio Web. Si tienes varias direcciones IP asignadas al


equipo, en el cuadro Dirección IP haz clic en la dirección IP que desees asignar
a este sitio Web.

e) Haz clic en la ficha Rendimiento. Utiliza el cuadro de diálogo


Propiedades de sitio Web - Rendimiento para establecer propiedades relativas
a memoria, uso del ancho de banda y número de conexiones Web.
Al configurar el ancho de banda de red de un sitio determinado, puede
controlarse mejor la cantidad de tráfico que atraviesa el sitio. Por ejemplo, si
restringe el ancho de banda en un sitio Web de baja prioridad, puede permitir
que aumente el acceso a otros sitios. De forma similar, cuando se especifica el
número de conexiones a un sitio Web, se liberan recursos para otros sitios. La
configuración es específica del sitio y debe ajustarse a medida que el tráfico de
red y el uso cambien.

• Activa la casilla de verificación Limitar el ancho de banda de red total


disponible para este sitio Web para configurar IIS de forma que regule el
ancho de banda de red con el ancho de banda máximo seleccionado, en
kilobytes por segundo (KB/S).
• Activa la casilla de verificación Conexiones de sitio Web para seleccionar
un número específico o uno ilimitado de conexiones a servicios Web. Al
limitar las conexiones los recursos del equipo pueden emplearse para otros
procesos.

NOTA:

Cada cliente que explora un sitio Web suele utilizar aproximadamente tres
conexiones.

f) Haz clic en la ficha Directorio particular.

Redes y Telecomunicaciones II

Página 59
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Si deseas utilizar contenido Web almacenado en el equipo local, haz clic en Un


directorio de este equipo y escribe la ruta de acceso que desees en el cuadro
Ruta de acceso local. Por ejemplo, la ruta de acceso predeterminada es
C:\Inetpub\wwwroot.

NOTA:

Para agregar seguridad, no deben crearse carpetas de contenido Web en la


carpeta raíz.

• Si deseas utilizar contenido Web almacenado en otro equipo, haz clic en Un


recurso compartido de otro equipo y escribe la ubicación que desees en el
cuadro Directorio de red que aparecerá.
• Si deseas utilizar contenido Web almacenado en otra dirección Web, haz clic
en Una redirección a una dirección URL y escribe la ubicación que desees en
el cuadro Redirigir a. En El cliente se enviará a, activa la casilla de verificación
adecuada.

g) Haz clic en la ficha Documentos. Anota la lista de documentos que IIS puede
utilizar como documentos de inicio predeterminados. Si deseas emplear
Index.html como documento de inicio, debes agregarlo. Para ello, sigue estos
pasos:

• Haz clic en Agregar.

• En el cuadro de diálogo Agregar documento predeterminado, escribe


Index.html y, a continuación, haz clic en Aceptar.

• Haz clic en el botón flecha arriba hasta que Index.html se muestre en la


posición superior de la lista.

Redes y Telecomunicaciones II

Página 60
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
• Haz clic en Aceptar para cerrar el cuadro de diálogo Propiedades de sitio
Web predeterminado.

• Haz clic con el ratón derecho en Sitio Web predeterminado y, a


continuación, haz clic en Permisos.
• Anota las cuentas de usuario con permisos de operador en este sitio Web.
Haz clic en Agregar para agregar cuentas de usuario desde las que operar
en este sitio Web.

• Haz clic en Aceptar para volver a la ventana Servicios de Internet


Information Server.

• Haz clic con el ratón derecho en Sitio Web predeterminado y, a


continuación, haz clic en Detener.

• Haz clic con el ratón derecho en Sitio Web predeterminado y, a


continuación, haz clic en Iniciar.

De esta forma, el servidor está configurado para aceptar las solicitudes Web de
entrada al sitio Web predeterminado. Puedes sustituir el contenido del sitio Web
predeterminado por el contenido Web que desees o puedes crear un sitio Web nuevo

Redes y Telecomunicaciones II

Página 61
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

CAPITULO III:

PRUEBAS Y RESULTADOS

I. PRUEBAS

Redes y Telecomunicaciones II

Página 62
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
• Luego de realizar las configuraciones de las interfaces y los
enrutamientos, se procede a comprobar si hay realmente conectividad y
para ello utilizamos el comando ping.

Redes y Telecomunicaciones II

Página 63
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Como se puede apreciar en las imágenes, comprobamos que hay


conectividad en toda la red.

• Esta PC tiene el se encuentra en la Lan 192.168.1.0/24 y es identificada


con IP 192.168.1.3/24 donde se puede se puede apreciar el acceso a la
página http://www.fiis.com/index.html antes de restringir su acceso en el
Proxy.

• Esta PC tiene el se encuentra en la Lan 192.168.1.0/24 y es identificada


con IP 192.168.1.3/24 donde se puede apreciar el acceso a la página
http://www.fiis.com/index.html antes de restringir su acceso en el Proxy.

Redes y Telecomunicaciones II

Página 64
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

• Esta PC tiene el se encuentra en la Lan 192.168.1.0/24 y es identificada


con IP 192.168.1.3/24 donde se puede apreciar el intento de acceso a
la página http://www.fiis.com/index.html luego de restringir el acceso en
el Proxy.

II. RESULTADOS

• Existe una red corporativa que tiene conectividad completa entre todos los
hosts, verificamos la conexión haciendo ping a todos los puertos de
interfaces habilitados en la LAN.

Redes y Telecomunicaciones II

Página 65
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
• Existe conexión total de extremo a extremo (de la LAN corporativa hacia el
servidor WEB).

• Logramos restringir las páginas prohibidas o de accesos no permitidos en


donde hemos mostrado en las Pruebas.

• Se logró la carga las páginas creadas en el Servidor WEB desde la LAN


corporativa.

• Se realizó una configuración exitosa en el servidor PROXY/FIREWALL,


logrando corroborar todas las restricciones y aprobaciones de esta.

• Se realizó la configuración del servidor WEB con éxito permitiéndonos crear


páginas webs y la conexión con la LAN corporativa.

Redes y Telecomunicaciones II

Página 66
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

CONCLUSIONES

• Creemos que la configuración de Proxy y Firewall en Centos puede ser una


muy buena solución para particulares o pequeñas empresas que requieran una
eficaz protección de su red y no dispongan de un gran presupuesto, con este
producto de licencia gratuita se puede reciclar hardware obsoleto y tener un
sistema confiable. Además hay que tener en cuenta que últimamente el
mercado tiene una gran tendencia hacia el Software Abierto, y creemos que
esta tendencia seguirá creciendo ya que entre otras ventajas es mucho más
económico que el software cerrado.
• Luego de haber revisado todo sobre el DNS nos hemos dado cuenta que es
muy útil para la repartición de dominios y además hemos aprendido que
aunque es muy útil debemos tener mucho cuidado con lo que es su
configuración y su protección.
• Con la configuración de Proxy y Firewall se restringe los accesos a las páginas
que están prohibidas, o a zonas que pueden perjudicar nuestra red local.
• Se logro implementar el Proxy y el Firewall en centos, incluyendo la
configuración de un servidor Web y DNS para la realización de pruebas
respectivas.

Redes y Telecomunicaciones II

Página 67
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

RECOMENDACIONES

• Se recomienda implementar un servidor proxy/firewall para la mejor seguridad


de una red evitando el ingreso de personas o hosts no autorizados.

• Se recomienda configurar correctamente los parámetros de red, el proxy y


firewall para su correcto funcionamiento.

• Usar el programa Squid y Dansguardian para el proxy y el Shorewall para el


Firewall porque son robustos, estables y confiables en lo que respecta sus
funciones.

Redes y Telecomunicaciones II

Página 68
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

BIBLIOGRAFÍA

• http://www.alcancelibre.org/staticpages/index.php/como-centos5-grafico
- Guía de instalación del centos 5.4

• http://linux-web-py.blogspot.com/2009/02/porque-centos-es-el-sistema-
operativo.html - Definición de CentOs

• http://es.wikipedia.org/wiki/Proxy - Definición de Proxy

• http://www.linuxparatodos.net/portal/staticpages/index.php?page=19-0-
como-squid-general-Configuracion de Proxy

• http://es.wikipedia.org/wiki/DansGuardian - Definiciones sobre


Dansguardian

• http://www.linuxparatodos.net/portal/staticpages/index.php?page=como-
shorewall-3-interfaces-red – Configuracion de Firewall

• http://www.icetex.gov.co/portal/Default.aspx?tabid=1012 - Politicas De
Seguridad De La Información

Redes y Telecomunicaciones II

Página 69
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

ANEXOS

Redes y Telecomunicaciones II

Página 70
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

INSTALACIÓN DEL SISTEMA OPERATIVO CENTOS 5.4


Procedimientos para la instalación del centos.

Inserte el disco DVD de instalación de CentOS 5 y en cuanto aparezca el diálogo


de inicio (boot:), pulse la tecla ENTER o bien ingrese las opciones de instalación
deseadas.

Si desea verificar la integridad del disco a partir del cual se realizará la instalación,
seleccione «OK» y pulse la tecla ENTER, considere que esto puede demorar
varios minutos. Si está seguro de que el disco o discos a partir de los cuales se
realizará la instalación están en buen estado, seleccione «Skip» y pulse la tecla
ENTER.

Haga clic sobre el botón «Next» en cuanto aparezca la pantalla de bienvenida de


CentOS.

Seleccione «Spanish» como idioma para ser utilizado durante la instalación.

Seleccione el mapa de teclado que corresponda al dispositivo utilizado. El mapa


«Español» o bien «Latinoamericano» de acuerdo a lo que corresponda. Al
terminar, haga clic sobre el botón «Siguiente».

Redes y Telecomunicaciones II

Página 71
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Salvo que exista una instalación previa que se desee actualizar (no recomendado),
deje seleccionado «Instalar CentOS» y haga clic en el botón «Siguiente» a fin de
realizar una instalación nueva.

Para crear las particiones de forma automática, lo cual puede funcionar para la
mayoría de los usuarios, puede seleccionar:

«Remover particiones en dispositivos seleccionados y crear disposición», lo


cual eliminaría cualquier partición de cualquier otro sistema operativo
presente, y creará de forma automática las particiones necesarias.

«Remover particiones de linux en dispositivos seleccionados y crear


disposición», lo cual eliminaría cualquier partición otra instalación de Linux
presente, y creará de forma automática las particiones necesarias.

«Usar espacio disponible en dispositivos seleccionados y crear disposición»,


lo cual creará de forma automática las particiones necesarias en el espacio
disponible

Redes y Telecomunicaciones II

Página 72
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Conviene crear una disposición que permita un mayor control. Seleccione «Crear
disposición personalizada».

Una vez seleccionado «Crear disposición personalizada», haga clic sobre el


botón «Siguiente».

La herramienta de particiones mostrará el espacio disponible. Haga clic en el botón


«Nuevo».

Redes y Telecomunicaciones II

Página 73
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Se verifica la cantidad de espacio de disco con la que tenemos asignado al centos
y distribuimos para las diferentes partes: por ejemplo al boot le asignamos 100 MB

Si está conforme, haga clic otra vez en el botón «Nuevo» y proceda a crear la
siguiente partición.

Configuramos:

/: 25Gb
Swap: 2Gb

Asigne a la partición / el resto del espacio disponible menos lo que tenga calculado
asignar para la partición de intercambio (200% de la memoria física, o cuanto
baste para 2 GB). Se recomienda asignar / como partición primaria, siempre que la
tabla de particiones lo permita.

Si está conforme, haga clic otra vez en el botón «Nuevo» y proceda a crear la
siguiente partición.

La partición para la memoria de intercambio no requiere punto de montaje.


Seleccione en el campo de «Tipo de sistema de archivos» la opción «swap»,
asigne el 200% de la memoria física (o cuanto basta para 2 GB). Por tratarse de la
última partición de la tabla, es buena idea asignarle el espacio por rango,

Redes y Telecomunicaciones II

Página 74
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
especificando valores ligeramente por debajo y ligeramente por arriba de lo
planeado.

Otras particiones que se recomienda asignar, si se dispone del espacio en disco


duro suficiente, son:

/usr: 8Gb
/tmp: 3Gb
/var: 10Gb
/home: 10Gb

Si está conforme con la tabla de particiones creada, haga clic sobre el botón
«siguiente» para pasar a la siguiente pantalla.

Ingresará a la configuración del gestor de arranque. Por motivos de seguridad, y


principalmente con la finalidad de impedir que alguien sin autorización y con
acceso físico al sistema pueda iniciar el sistema en nivel de corrida 1, o cualquiera
otro, haga clic en la casilla «Usar la contraseña del gestor de arranque».

Se abrirá una ventana emergente donde deberá ingresar, con confirmación, la


clave de acceso exclusiva para el gestor de arranque. Al terminar, haga clic sobre
el botón «Aceptar».

Redes y Telecomunicaciones II

Página 75
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Al terminar, haga clic sobre el botón «Siguiente».

Para configurar los parámetros de red del sistema, haga clic sobre el botón
«Modificar» para la interfaz eth0.

En la ventana emergente para modificar la interfaz eth0, desactive la casilla


«Configurar usando DHCP» y especifique la dirección IP y máscara de subred
que utilizará en adelante el sistema. Si no va a utilizar IPv6, también desactive la
casilla. Confirme con el administrador de la red donde se localice que estos datos
sean correctos antes de continuar. Al terminar, haga clic sobre el botón «Aceptar».

Redes y Telecomunicaciones II

Página 76
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Asigne un nombre de anfitrión (HOSTNAME) para el sistema. Se recomienda que


dicho nombre sea un FQDN (Fully Qualified Domain Name) resuelto al menos en
un DNS local. Defina, además, en esta misma pantalla, la dirección IP de la puerta
de enlace y las direcciones IP de los servidores DNS de los que disponga. Si
desconoce que dato ingresar, defina éste como localhost.localdomain. Al
terminar, haga clic sobre el botón «Siguiente».

Seleccione la casilla «El sistema horario usará UTC», que significa que el reloj
del sistema utilizará UTC (Tiempo Universal Coordinado), que es el sucesor de
GMT (b>Greenwich Mean Time, que significa Tiempo Promedio de Greenwich), y
es la zona horaria de referencia respecto a la cual se calculan todas las otras
zonas del mundo. Haga clic con el ratón sobre la región que corresponda en el
mapa mundial o seleccione en el siguiente campo la zona horaria que corresponda
a la región donde se hospedará físicamente el sistema.

Asigne una clave de acceso al usuario root. Debe escribirla dos veces a fin de
verificar que está coincide con lo que realmente se espera. Por razones de
seguridad, se recomienda asignar una clave de acceso que evite utilizar palabras
provenientes de cualquier diccionario, en cualquier idioma, así como cualquier
combinación que tenga relación con datos personales.

Redes y Telecomunicaciones II

Página 77
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Al terminar, haga clic sobre el botón «Siguiente», y espere a que el sistema haga
la lectura de información de los grupos de paquetes.

En la siguiente pantalla podrá seleccionar los grupos de paquetes que quiera


instalar en el sistema. Añada o elimine a su conveniencia. Lo recomendado, sobre
todo si se trata de un servidor, es realizar una instalación con el mínimo de
paquetes, desactivando todas las casillas para todos los grupos de paquetes. El
objeto de esto es solo instalar lo mínimo necesario para el funcionamiento del
sistema operativo, y permitir instalar posteriormente solo aquello que realmente se
requiera de acuerdo a la finalidad productiva que tendrá el sistema. Al terminar,
haga clic sobre el botón «Siguiente».

Se realizará una comprobación de dependencias de los paquetes a instalar. Este


proceso puede demorar algunos minutos.

Antes de iniciar la instalación sobre el disco duro, el sistema le informará respecto


a que se guardará un registro del proceso en si en el fichero /root/install.log. Para
continuar, haga clic sobre el botón «Siguiente».

Si iniciará de forma automática el proceso de formato de las particiones que haya


creado para instalar el sistema operativo. Dependiendo de la capacidad del disco
duro, este proceso puede demorar algunos minutos.

Redes y Telecomunicaciones II

Página 78
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Se realizará automáticamente una copia de la imagen del programa de instalación
sobre el disco duro a fin de hacer más eficiente el proceso. Dependiendo de la
capacidad del microprocesador y cantidad de memoria disponible en el sistema,
este proceso puede demorar algunos minutos.

Espere a que se terminen los preparativos de inicio del proceso de instalación.

Se realizarán preparativos para realizar las transacciones de instalación de


paquetes.

Iniciará la instalación de los paquetes necesarios para el funcionamiento del


sistema operativo. Espere algunos minutos hasta que concluya el proceso.

Una vez concluida la instalación de los paquetes, haga clic sobre el botón
«Reiniciar».

Redes y Telecomunicaciones II

Página 79
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

ARQUITECTURA REAL DEL PROXY/FIREWALL EN EL LABORATORIO DE


CISCO.

Figura 1. Router conectado con un cable consola a una Pc para la


configuración de las interfaces y los enrutamientos estáticos.

Redes y Telecomunicaciones II

Página 80
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED
Figura 2. Host de los clientes que servira para la comunicación dentro y fuera
de la LAN.

Figura 3. Switch para la coneccion de la Lan y el Firewall.

Figura 4. Coneccion de Router hacia el Switch.

Redes y Telecomunicaciones II

Página 81
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Figura 5. Arquitetura Física.

Redes y Telecomunicaciones II

Página 82
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

CONFIGURACIÓN DE LOS SERVICIOS EN CENTOS.

Dansguardian:

Redes y Telecomunicaciones II

Página 83
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Redes y Telecomunicaciones II

Página 84
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Squid:

Redes y Telecomunicaciones II

Página 85
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Redes y Telecomunicaciones II

Página 86
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Redes y Telecomunicaciones II

Página 87
IMPLEMENTACIÓN DE UN PROXY Y FIREWALL EN UNA RED

Redes y Telecomunicaciones II

Página 88