2013

Trabajo Investigativo Enfocado a las Seguridades de Redes en la Universidad BICU. Modulo Clase Soluciones de Redes.

Ing. Skinner Abelardo Guills

UNAN-LEON
27/05/2013

INDICE
RESUMEN _______________________________________________________________ 4 OBJETIVOS ______________________________________________________________ 6

DESARROLLO DEL PROYECTO ______________________________________________ 7

Concepto de PFSense _______________________________________________________ 7
Caractersticas de PFSense 2.0.3 ____________________________________________________ 7

Segn los desarrolladores de PFSense los Requisitos mnimos de Hardware para el Server Proxy. __________________________________________________________________ 9 VENTAJAS DEL PROXY SERVER _____________________________________________ 10 APLICACIONES PARA SERVIDOR PROXY EN SOFTWARE LIBRE. ____________________ 11 FUNCIONALIDAD ESQUEMTICA DEL PROXY __________________________ 13 PROPUESTA E IMPLEMENTACION PROXY ______________________________ 15 Figura 1 Menu de Configuracion ____________________________________________ 16 Figura 2 Instalcion del servidor Proxy con PFSense 1.2.3 _________________________ 18 Figura 4 Configuracion del Equipo Cliente con un Sistema Operativo XP. ___________ 20 Figura 5 Configuracin WebConfigurator PFSense para la conexin a Internet. ______ 21 Figura 6 Instalacin y agregacin de Squid en el servidor Proxy para el cacheo de Pginas. _______________________________________________________________ 28 Figura 7 Configuracin de Squid ____________________________________________ 29 Figura 8 Activacion Proxy Cache. ___________________________________________ 30 Figura 9 Creacin de Listas de Acceso o Restricciones ___________________________ 31 Figura 10 Denegacin de Sitios Web _________________________________________ 32 Figura 11 Denegacin por peso de Pgina Web. _______________________________ 34 Figura 12 Restriccin por Autentificacin para la conexin a Internet. _____ 35 Figura 13 Restriccin o por Bloqueo de direccin IP. ____________________________ 39 Figura 14 Instalacin Squidguard del complemento Squidguard proxy.____ 40 Figura 15 Configuracin de Squidguard. ______________________________________ 42 Figura 16 Restricciones por Dominios. _______________________________________ 42 Figura 17 Restricciones por Expresiones. _____________________________________ 45

Figura 18 Instalacin Antivirus HAVP Antivirus. ________________________________ 46 Figura 19 Configuracin del Antivirus. _______________________________________ 47 Figura 20 Actualizar la base de Datos del Antivirus atravez de la consola de PFSense. _ 49 Figura 21 Instalacin de BandwidthD para monitoreo del ancho de Banda de la Red. _ 50 Figura 22 Configuracin de BandwidthD. _____________________________________ 50 Figura 23 Monitorizacin de los procesos que corren en PFSense 2.0.3 _____________ 52 Figura 24 Monitorizacin de reportes de pgina que los usuarios visitan con LightSquid Reports. _______________________________________________________________ 53 Figura 25 Configuracin Portal Cautivo para un Servidor Radius de Autentificacin al acceso Internet Inalmbrico _______________________________________________ 54 Figura 26 Configuracin Firewall para bloqueos de P2P y puertos de Inseguridad. ____ 55 DIAGRAMA ACTUAL SIN SERVIDOR FIREWALL-PROXY___________________________ 56 DIAGRAMA PROPUESTO IMPLEMENTADO CON EL SERVER FIREWALL-PROXY________ 57 CONCLUSIONES _________________________________________________________ 58 BIBLIOGRAFA___________________________________________________________ 59
Web Bibliogrfica __________________________________________________________ 60

RESUMEN
Con los avances de la tecnologa, los equipos y las redes informticas toman el centro de la escena. Esta a su vez son los lugares de trabajo, en la escuela, o en casa. Aunque Internet ha hecho la seguridad de la red una prioridad, muchas personas todava no saben lo suficiente. En Nicaragua muchas empresas pblicas y privadas no poseen conocimiento alguno sobre seguridades en redes LAN, por dicha debilidad desconocen lo potencial de los sistemas de Software Libre que te garantiza reduccin de costo de compra en comparacin de sistemas de seguridades Propietarios que la vez tienen costos altos y sus mantenimientos e igual. Como proyecto final me enfoco a la debilidad y necesidad que posee la universidad BICU y proponerle un sistema de seguridad entorno en Unix que posee herramientas de seguridad y la vez la administracin de la redlo cual la investigacin del trabajo tiene como objetivo de compartir conocimientos y poder solucionar una necesidad. PFSense 2.0.3 es un aplicacin basada en seguridades en Redes LAN y WAN con este software pretendo alcanzar y mejorar el uso de conexin de servicio de la Red de la universidad BICU, con el propsito de contribuir a mejorar los recursos de la red local y el internet a travs de la implementacin de un Servidor FirewallProxy que permitir optimizar la administracin de conectividad y trfico de informacin en la red por medio de las funcionalidades que tiene el servidor de acelerar los sitios web por los cacheos de pginas de Squid, as mismo brindar seguridad a los usuarios por medio de un Firewall (Corta Fuego, Bloqueo de acceso no autorizado por reglas de puerto de salida y entrada). Esta iniciativa de implementar un Servidor Firewall-Proxy, surge por la deficiencia de administracin en la red de manera que los consumos de datos a travs del ancho de banda son compartidos y de no poseer polticas de restricciones a los usuarios (estudiantes) de manera que cada vez que se realizan descargas, afecta a los usuarios administrativos y docentes en la velocidad de conexin del internet.

La investigacin tiene una base fundamental de antecedentes en otras instituciones universitarias (UCA, UNI, UNAN) del cual le han dado uso para la buena administracin de su red, adems existen otras instituciones universitarias que han podido manejar y solucionar su red mediante este sistema que es una distribucin de Unix basado en licencia de Linux en FreeBSD y del cual a diferencia de otras aplicaciones remontadas como SQUID server , que es otro servidor que permite trabajar mediante una serie de comandos complejos para poder controlar y administrar una red. En el desarrollo del trabajo se explicara ms en detalle de lo que se aplico y sus configuraciones del Servidor. Basadas a la debilidades de la empresa como BICU en institucin Educativa.

OBJETIVOS
General: Compartir Experiencias sobre la administracin de seguridades LAN, enfocadas a las debilidades de conocimientos que existen en nuestro pas Nicaragua del uso de sistemas software libre que proporcionan las mismas funcionalidades de sistemas propietarios y poder explotarlos su mximo potencial. Especficos: 1. Proponer un servidor Firewall-Proxy utilizando la herramienta Software Libre FreeBSD para contribuir a la necesidad deficiente de la Universidad BICU. 2. Identificar las condiciones en que se encuentra los servicios de internet en la universidad BICU, recinto de Bluefields.

3. Analizar la funcin de un servidor proxy que permita optimizar la funcionalidad de la red en la Universidad.

4. Presentar un software de servidor Firewall-proxy para la mejora del servicio

de internet en la universidad BICU.

DESARROLLO DEL PROYECTO

Concepto de PFSense Segn Linux HardLabs PFSense, Es un firewall FreeBSD basado en Monowall, con funciones de Hotspot WIFI (Punto de Acceso con portal cautivo), tiene control de ancho de banda, bloqueo de programas P2P, VPN, etc..1 Es muy fcil de instalar, tiene un Wizard para crear la primera configuracin esta en espaol tambin. Caractersticas de PFSense 2.0.3

A. Bandwidth: (Used for tracking & graphing bandwidth usage for individual LAN IPs). Se utiliza para el seguimiento y el uso de ancho de banda de grficos para cada LAN IP.Bandwidth es el ancho de banda de las conexiones a internet, o sea la cantidad de informacin que se puede transmitir por segundo, esta difiere del proveedor, hardware y el tipo de servicio que contrates. B. Ifdepd: (Used for building interface dependencies). Utilizado para la construccin de dependencias de la interfaz.

C. Ifstated: (Adds interval based connection checking).Agrega el intervalo basado en conexin de comprobacin.

D. Pfflowd: (Used for converting PF status messages to Cisco Netflow Datagrams). Usado para convertir a mensajes de estado PF (un filtro de paquetes o cortafuegos basado en configuracin dinmica de OpenBSD) a Cisco de flujo de red en Datagramas.

E. PFStat: (Adds additional graphing functionality). Agregacin adicional de funcionalidad de grafico.

Linux HardLabs, empresa de laboratorios de Computo de servidores,http://tuxedlinux.wordpress.com/category/redes/page/2/

F. Ntop: (Addstheability to record enhanced network history data).La habilidad de agregar o registrar lo que sucedi en los datos histricos en la red.

G. Stunnel: (Addstheabilitytowrap standard portswith SSL (Secure Socket Layers)).Aade la habilidad para envolver puertos estndar concapa de conexin segura.

H. Pure-FTPd: (Adds the ability to host FTP files). Aade la habilidad para hospedar archivos FTP.

I. Squid Transparent Proxy: An all purpose caching proxy (currently not working but being fixed). Un proxy cache para todo uso (En la Actualidad no se trabaja pero al ser es fijo.

J. Arpwatch: (Usedforwatching Ethernet and IP addresspairings).Se utiliza para la observacin de pares de direcciones IP y Ethernet.

K. Assp:(An anti-spam proxy). Es un antivirus incorporado en el server del Proxy de PFSense la cual trabaja en el escaneo de anti-spam.

L. Free

RADIUS:

(A

RADIUS

authentication

server).Un

servidor

de

autenticacin de Radios.

M. Mtr: (Anenhanced trace routefunction).Una de las funciones de trazado de una mayor.

N. Nmap: (A port scanner forsecurityauditing).Un escner de puertos de la auditora de seguridad. O. Siproxd: (A proxy with masquerading for the SIP-protocol). Un proxy con enmascaramiento para el protocolo SIP.

P. Spamd: (A fake SMTP-Server used as a spamtarpit).Un falso servidor SMTP utilizado como un bloqueador de spamspam.

Q. Nut: (Adds support for UPS monitoring). R. Snort: (Adds Intrusion Detection capabilities).Aade capacidades de deteccin de intrusiones.

Segn los desarrolladores de PFSense los Requisitos mnimos de Hardware para el Server Proxy2. A. CPU Intel Pentium/Amd Athlon 100Mhz B. 128mb RAM C. Lector CDROM D. 1gb Disco Duro E. 2 Tarjetas de Red Gua para Tamao del Hardware: Primero debemos considerar dos caractersticas: A. Rendimiento requerido B. Caractersticas que podran ser usadas

Consideraciones de Rendimiento: A. 0 10Mbps: requerimientos mnimos. B. 10 20Mbps: No menos de 256mhz de Velocidad CPU. C. 21 50Mbps: No menos de 500mhz de Velocidad CPU.
2

PFSense, Desarrolladores de la aplicacin de PFSense 1.2.3, http://www.pfsense.org/

D. 51 200Mbps: No menos de 1.0Ghz de Velocidad CPU. E. 201 500Mbps: Hardware de clase servidor con tarjetas de red PCI-X o PCI-e, o hardware de nuevos PC de escritorio con tarjetas de red PCI-e. No menos de 2.0ghz de Velocidad CPU. F. 501+ Mbps: Hardware de clase servidor con tarjetas de red PCI-X o PCI-e. No menos de 3.0ghz de Velocidad CPU.

VENTAJAS DEL PROXY SERVER A. Ahorro de Trfico: las peticiones de pginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo tanto, aligera el trfico en la red y descarga los servidores destino, a los que llegan menos peticiones.

B. Velocidad en Tiempo de respuesta: el servidor Proxy crea un cach que evita transferencias idnticas de la informacin entre servidores durante un tiempo (configurado por el administrador) as que el usuario recibe una respuesta ms rpida. C. Demanda a Usuarios: puede cubrir a un gran nmero de usuarios, para solicitar, a travs de l, los contenidos Web.

D. Filtrado de contenidos: el servidor proxy puede hacer un filtrado de pginas o contenidos basndose en criterios de restriccin establecidos por el administrador dependiendo valores y caractersticas de lo que no se permite, creando una restriccin cuando sea necesario.

E. Modificacin de contenidos: basndose en la misma funcin del filtrado, y llamado Privoxy (es un programa que funciona como proxy web), tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para bloquear direcciones y Cookies por expresiones regulares y modifica en la peticin el contenido.

APLICACIONES PARA SERVIDOR PROXY EN SOFTWARE LIBRE. Untangle: Es un software que de manera transparente y sin afectar a sus infraestructuras actuales filtra todo el contenido hacia y desde Internet permitiendo realizar las siguientes acciones: Filtro de contenidos web, Anlisis y control de protocolos, Gestor de polticas, Sistemas antivirus, antispam, antispyware, Gestor de informes. Endian: Es un Appliancie de Seguridad Integral que protege su red y mejora la conectividad, ofreciendo todos los servicios que necesita y ms, seguros y fcil de configurar. Endian Firewall es 100% open Source e incluye, entre sus funciones principales, una variedad de caractersticas: A. Firewall con inspeccin de estados. B. Antivirus HTTP/FTP. C. Filtro de Contenido Web. D. Antivirus POP3/SMTP, Anti-Phishing y Antispam. E. VPN SSL/TLS. F. IDS. Monowall: Est basado en la versin 6.x de FreeBSD y se trata de uno de los mejores cortafuegos existentes. La versin completa de m0n0wall pesa 12MB y se puede instalar en una tarjeta Compact Flash o arrancar desde un CD y solamente necesita un diskette o pendrive USB para ir guardando la configuracin (que es un archivo XML). Toda la administracin del firewall se hace mediante una interfaz web basada en PHP y no se necesita conocer el funcionamiento de FreeBSD para hacerlo funcionar. Ofrece la opcin de levantar un sin nmero de aspectos interesantes como TrafficShaping y portal cautivo. SmoothWall: Es una distribucin muy compacta que corre con 64 MB de RAM y 1GB de HDD. Proporciona servicios de firewall, enrutamiento, NAT, Logging server, DNS Proxy server, SSH, IDS, grficos de seguimiento de trfico de red y VPN basada en IPSEC entre otros. Originalmente puede manejar tres interfaces de red:

A. La red de rea local, LAN o zona verde (Green). B. La zona desmilitarizada, DMZ o zona naranja (Orange). C. La zona de acceso a Internet, WAN o zona roja (red) Squid: Es una aplicacin multiplataforma que se encuentra en su versin 3.0 y bajo la
licencia GNU/GPL (GNU General PublicLicence), Squid llego a la cima de la popularidad entre tantas aplicaciones similares debido a las grandes caractersticas que cuenta y los servicios que podemos incorporarle o activarlos, por ejemplo la implementacin de un cache de URL, o el filtrado de trfico entre los clientes, de hecho este tipo de servidores fue en un principio diseado y adaptado para los entornos basados en los sistemas Unix.3

Aplicaciones Empresariales, http://www.aplicacionesempresariales.com/conociendo-los-proxy-cache-ysquid.html

FUNCIONALIDAD ESQUEMTICA DEL PROXY

PROPUESTA DE IMPLEMENTCION DE SERVIDOR FIREWALL PROXY CON PFSENSE 2.0.3 EN LA UNIVERSIDAD BICU

PROPUESTA E IMPLEMENTACION PROXY Despus de verificar las especificaciones de cada sistema (Squid, Monowall, SmoothWall, Untangle, Endian) de sus detalles tcnicos y opiniones que se encontraron en la web, se determin que el sistema con la aplicacin ideal para el proyecto es PFSense 2.0.3,porque adems de ser un software libre demuestra en la prctica ser un sistema muy estable y seguro con muchas funcionalidades de agregacin de repositorios que se pueden aadir durante la Instalacin la cual son Squid, Light Squidreports, Squidguard, HAVP antivirus y BandwidthD entre otros.

Se instal el sistema operativo UNIX FreeBSD de PFsense 2.0.3como servidor y una maquina cliente, toda la simulacin est funcionando en un sistema Virtual con la herramienta de Virtual Box. Las caractersticas de la mquina que posee la virtualizacin es la siguiente: Procesador Pentium(R) Dual-Core CPUE54002.71GHz. Disco Duro de 250GB. Memoria RAM de 2 GB. 2 Tarjetas de Red 1 Mbps

De forma general se mostrara la Instalacin y configuracin del sistema de Seguridad PFSense las cuales son: Squid, Light Squidreports, Squidguard, HAVP y BandwidthD.

Figura 1 Menu de Configuracion Ests es la pantalla de consola del servidor proxy dePFsense pero todava no hemos instalado el sistema, pero como vemos en pantalla las interfaces que creamos anteriormente la tercera interfas lo levantaremos pero en la siguiente configuraciones o mas adelante, ahora vamos definir cada una de las opciones que hace cada una en la consola: *** Bienvenidos a pfSense-1.2.3 de pfSense pfSense *** LAN -> em1 -> 192.168.1.1 WAN -> em0 -> 0.0.0.0(DHCP) pfSense configuracin de la consola *********************** 0) Cerrar sesin SSH (solamente) 1) Asignar interfaces: Estoreiniciara la tarea de asignacion de interfaz, puede crearinterfaces VLAN, reasignar las interfaces existentes, o asignar nuevos. 2) Establecer la direccin IP LAN: Esta opcion se puede utilizar de la manera obvia, para establecer la direccion IP de la LAN, pero tambien hay algunas otras tareas utiles que suceden al restablecer la IP de la LAN. Para empezar, cuando esta se establece,tambien tienes la opcion de convertir DHCP encendido o apagado, y establecer el rango DHCP IP. 3) Reiniciar contrasea webConfigurator: Esta opcion se restablecera el nombre de usuario y contrasena WebGUI de nuevo a admin y

pfSense,respectivamente. 4) Restablecer los valores predeterminados de fbrica:Esto restaurara la configuracion del sistema a los valores predeterminados de fabrica. Tenga en cuenta que esto no sera, sin embargo, realizar ningun cambio en el sistema de archivos o los paquetes instalados en el sistema operativo. 5) Reiniciar el sistema:Esto limpia el apagado del sistema de PFSense y reiniciar el sistema operativo

6) Sistema de Parada:Esto limpia apagar el sistema y, o bien fuera de detener o de energa, dependiendo en el hardwareapoyo. No se recomienda para sacar siempre el enchufe de un sistema en funcionamiento, incluso incrustadossistemas. 7) Ping Host(Nombre de la direccion de la web o servidor): Solicita una direccin IP, incluyendo el numero de paquetes recibidos, los numeros de secuencia, los tiempos de respuesta,y el porcentaje de perdida de paquetes 8) Shell:Inicia un shell de linea de comandos. Muy til, y muy potente, pero tambien tiene el potencial de sermuy peligroso. 9) PFtop:PFtop le da una visin en tiempo real de los estados de firewall, y la cantidad de datos que han enviado y recibidos. Puede ayudar a identificar las direcciones IP y las sesiones, de momento estn usando el ancho de banda, y tambin puede ayudar a diagnosticar otros problemas de conexin de red. 10) Filtro de Registros: Utilizando la opcin de filtro Registros, podrs ver ninguna de las entradas de registro de filtro aparece en tiempo real, en su forma cruda. 11) Reiniciar webConfigurator: Reiniciar el WebConfigurator se reiniciara el proceso del sistema que ejecuta el WebGUI. 12) pfSense desarrolladores Shell:La cascara de desarrolladores, que sola ser conocido como el pfSense shell PHP, es una herramienta muy poderosaque le permite ejecutar codigo PHP en el contexto del sistema en ejecucion. Al igual que con la consola normal,tambien puede ser muy peligroso utilizar, y facil para que las cosas van mal. Este es utilizado principalmente porlos desarrolladores y los usuarios experimentados que estan intimamente familiarizado con PHP y pfSense lacodigo base. 13) Actualizacin de la consola: Con esta opcin, se puede actualizar mediante la introduccin de una direccion URL completa a una imagen del

firmwarepfSense,o una ruta de acceso completa locales de una imagen cargada de alguna otra manera. 14) Desactivar Secure Shell (sshd): Esta opcin le permitira cambiar el estado del dominio de Secure Shell, sshd.

99) Mover el archivo de configuracin de dispositivo extrable:Si desea mantener la configuracin del sistema de almacenamiento extraible, como una memoria USBunidad, esta opcion se puede utilizar para trasladar el archivo de configuracion.

Figura 2 Instalcion del servidor Proxy con PFSense 1.2.3 F) Comenzamos a Instalar el sistema de PFsense pero para eso le damos la ultima seleccin de menu 99. Nos saldra la pantalla de Configure consoleen esta pantalla escogemos la opcion Accept these settings para que acepte la configuracion anterior que le hicimos al server.

En este paso la opcin que seleccionaremos es Quick/Easy Install un modo facil de Instalacion.

Ahora nos sale la ventana donde se comienza la instalacin en Disco duro del Equipo que tenemos como Server Proxy.

Esta ventana es la seleccin de los procesos que le vamos a dar al equipo en este caso la tarea que va realizar el servidor es multiproceso(Symetric

multiproccesing kernnel) ya que har varios procesos en la red no solo conexin hacia internet si no como un sin nmero de procesos que actuara como Router.

El sistema comienza a Reiniciar y dentro el proceso de Reinicio nos aparecer la cuenta de usuario que crea por defecto el sistema la cual es Admin y como Password PFSense esto nos permitira seguir con la configuracion mediante WebConfiguratorque es la web de configuracion.

Figura 4 Configuracion del Equipo Cliente con un Sistema Operativo XP. G) Ahora estamos en el modo cliente del equipo en la que actuara si el servidor dar las respectivas configuraciones hacia el internet mediante la direccin IP privada que le asignamos como LAN al equipo.

Entramos a la configuracin de rea local del equipo para agregar las direcciones IP como visualizamos hay tres conexiones de rea local escogemos la primera y entramos a sus propiedades.

Comenzamos agregar la direccin IP al equipo como prueba le pones una direccione Static 192.168.1.2 la Mscara de Subred 255.255.255.0 y el Gateway 192.168.1.1(Direccin del server como Proxy) esta direccin nos permitira hacer parte del Dominio del servidor Proxy para poder entrar webConfigurator y seguir con la configuracion.

Figura 5 Configuracin WebConfigurator PFSense para la conexin a Internet. H) Cuando entramos al Navegador todava no tenemos conexin a Internet pero ponemos la Direccin en la URL http://192.168.1.1 esta direccin nos permite entrar webConfigurator para hacer las configuraciones mediante la Web.

Nos saldr una ventanita pidindonos la cuenta de Usuario y el Password en este caso ya tenemos a mano la cuenta y la contrasea las digitamos como Admin como Usuario PFSense como contrasea.

Nos aparece la ventana de PfsensewebConfigurator le damos Next

Ahora llenamos la casilla Hostname que es el nombre del equipo del servidor en este caso le pondremos como nombre ProxyBicu, en la casilla de Domain que es el dominio del equipo le ponemos el dominio de la unive rsidad bicu.edu.ni ahora nos pide llenar las casillas primary DNS server y secundary DNS server para hacerlo parte del dominio en la primera casilla es 208.96.134.2, la segunda 165.98.132.2.

En esta ventana llenamos la zona de tiempo que es el Etc. /GMT-6 que pertenece Amrica y continuamos.

Comenzaremos asignar las direcciones IP pblicas al servidor pero para eso pones como opcin Ip Static, en IP Address 208.96.134.17/24 como Gateway 208.96134.1.

En la configuracin de Interfaz LAN tambin se puede modificar las direcciones de red en este caso la direccin anterior era 192.168.1.0/24 de mascara de red ahora pasamos a una direccin privada que creamos nosotros la cual va ser 172.20.1.0/24 con rango 172.20.1.254 damos Next pero en la siguiente configuracin mostraremos cambiarlo por la consola de PFSense.

En la pantalla de consola del servidor tenemos esta configuracin como WAN tenemos una direccin publica 208.96.134.17 la cual es para la salida de internet del server proxy ahora en la LAN 172.20.1.1 es la direccin LAN el cual todo equipo conectado a esta direccin saldr mediante el proxy hacia internet. Pero ahora tendremos que configurar y mostrar cmo se agrega direcciones IP mediante la consola de administracin de PFSense.

Pero para asignar las direcciones IP privadas en la interfaz mediante la consola tendremos que asignarle una contrasea de seguridad por defecto el sistema te crea una contrasea la cual es PFSense ahora la contrasea de seguridad es Salvador12.

El sistema reinicia la web para que pruebes la nueva contrasea que se asigno.

Ahora estamos en la pantalla de consola de PFSense ahora comenzamos asignar direcciones IP mediante la consola a la red LAN.

Seleccionamos la opcin 2 para poder asignarle la nueva direccin IP privada a la LAN por que antes era 172.20.1.1 ahora lo dejaremos 172.16.1.1 que ser la direccin con que la universidad va trabajar mediante su Infraestructura.

Asignamos la mscara es 24bits que representa hasta que rango de direcciones puede tomar la nueva direccin IP 172.16.1.254.

Entramos otra vez al navegador con esta direccin nueva creada en la red del cliente http://172.16.1.1.

Este es la configuracin creada y configurada durante los pasos anteriores ahora tendremos conexin a internet en el equipo del cliente en Windows XP.

Como visualizamos en esta pantalla ya tenemos conexin a internet mediante el enlace del servidor Proxy al cliente pero todava no tenemos activado Squid como Proxy Cache.

Cambiamos la IP de la maquina hasta el ltimo rango de direccionamiento IP esttica la cual le pondremos172.16.1.252 y tenemos todava conexin a Internet.

Figura 6 Instalacin y agregacin de Squid en el servidor Proxy para el cacheo de Pginas. I) En esta Configuracin tendremos que instalar Squid 2.7.9_4.1 la versin estable como Proxy Cache pero para eso tenemos que ir primero en System-PackagesSquid en la parte de la derecha hay como un signo + le damos aceptar

Cuando le damos aceptar para que agregue el paquete en el sistema nos saldr un mensaje que si queremos agregar el repositorio dentro del sistema le damos Aceptar.

El paquete de Squid comenzara descargar y instalarse en el sistema de Pfsense.

Hacemos los mismos pasos anteriores para Instalar Light Squidreports

Comenzara a descargarse y Instalarse este paquete para que nos brinde reportes de errores de paquetes de envi de Squid cache server.

Figura 7 Configuracin de Squid Ya terminado el proceso de instalacin nos vamos a la opcin Services y nos debe aparecer el proxy instalado. El proxy en pfsense se hace llamar Proxy Server. Damos doble clic sobre la opcin Proxy Server para entrar a configurar y crear restricciones en el servidor proxy.

Elegimos la Intefaz con la que el Proxy server tendra efecto para trabajar en este caso escogemos la Interfaz LANy activamos la casilla TransparentProxy.

Agregamos la direccin o la Ruta donde se guardara los registros del Proxy cache /var/Squid/logs mas con el puerto agregado 3128, dejamos por defecto el localhost en la parte de Visible Hostname.En la parte administrator email podemos agregar el correo del administrador del servidor guillkener@yahoo.es. Seleccionamos el Idioma Spanish para que cuando hay error le muestre en pantalla en espaol el mensaje de error.

Figura 8 Activacion Proxy Cache. Ahora para activar el cache del Proxy nos vamos a la pestaa Cache Mgmt. En la parteHard disk cache sizepor defecto150 lo dejamos con esa cantidad .

Hard disk cache System lo dejamos como UFSquees el formato viejo de Squid, en Hard disk cache locationlo dejamos en la misma direccin /var/squid/cache, en Memory cache size lo dejamos con la cantidad de memoria cache que queramos ponerle en este caso son 256.

Si probamos la conexin ya habilitada y finalizada el proceso de cache proxy todava tendremos conexin hacia internet de la maquina cliente. Nota cada sitio en la que el usuario haga su respectiva peticin a la red tardara en cargarse un poco la primera vez por lo que el proxy almacena la pagina solicita en su cache de memoria para que despus en la segunda peticin la pagina se le cargara ms rpido por lo que ya la web estar alojada en el server.

Figura 9 Creacin de Listas de Acceso o Restricciones J) Configuracin de Restriccin(ACL) en esta parte haremos todos los pasos de restricciones a los sitios web mediante Squid y Squid Guard para bloqueo de dominios, bloqueos de autentificaciones, bloqueos por direccin IP, bloqueo por expresiones, bloqueo por tamaos de archivos durante este paso abordaremos todas las restricciones que se le puede hacer en el servidor.

Figura 10 Denegacin de Sitios Web La primera restriccin ser por denegar por sitios web para eso entramos a services-proxy server- en la pestaa Acces control o acceso de control, rellenamos la casilla Allowed subnets y agregamos la direccin de red que ser afecta con el proxy en este caso es 172.16.1.0/24(mascara) y en la casilla UnrestrictedIPs agregamos la direccin o el rango de direccin que ser afecta el en la red 172.16.1.253

Ahora nos movemos en la parte inferior buscamos la casilla Blacklist (Introduzca cada dominio de destino en una nueva lnea que se bloquear a los usuarios que tienen permiso para usar el proxy.

Pondremos un ejemplo de una pgina web que todava hay acceso hacia ella luego lo bloquearemos en la casilla Blacklist http://www.playboy.com

Ahora lo declaramos en Blacklisthttp://www.playboy.com

Volvemos a cargar la pagina de pornografa y nos presentara un error en la que no se puede cargar el sitio web solicitada eso podemos hacer con diversos sitios web en la que el usuario de la institucin no debe entrar a visitar.

Figura 11 Denegacin por peso de Pgina Web. Ahora vamos a hacer una restriccin en la que va hacer primordial el peso de descargar de una pgina. Para realizar dicha restriccin vamos a la pestaa TrafficMigmty en el parmetro Mximum download size especificamos la cantidad mximo peso de descarga de la pgina en kilobytes, en este ejemplo colocamos 15 kilobytes y guardamos los cambios. Pero primero comprobaremos con una pgina que pase la cantidad de peso en este caso www.softonic.com es una web que tiene un peso de ms 15 kilobytes pero si comprobamos antes que sea haya hecho la configuracin tenemos conexin todava.

Ahora vemos que ya no est en lnea por lo que ya aplicamos la configuracin de peso en la configuracin anterior Mximumdownloadsize con 15 kilobytes. Lo guardamos y en la siguiente pantalla ya nos cargara la pagina estar bloqueada.

Figura 12 Restriccin por Autentificacin para la conexin a Internet. Vamos a crear una restriccin que cuando un usuario de la red LAN quiera navegar en internet deba autenticarse contra el servidor proxy. La autenticacin con el proxy no sirve si tenemos habilitado proxy transparente. Para poder crear la restriccin de autenticacin vamos a la pestaa General, le quitamos el check de la casilla del parmetro Transparent Proxy y guardamos los cambios.

Ahora si vamos a crear la restriccin para navegar a internet con autenticacin en el proxy, para ello nos dirigimos a la pestaa AuthSettings y en el parmetro

Authenticationmethod vamos a seleccionar Local. Esto quiere decir que el mtodo de autenticacin va hacer local y guardamos los cambios.

Luego vamos a crear los usuarios locales que se van a autenticar en el servidor proxy, para ello vamos a la pestaa Local Users y dentro de dicha pestaa vamos y damos clic en el cuadrito con el signo + para agregar un usuario local.

Llenamos los parmetros correspondientes para crear el usuario y luego guardamos para que los cambios se apliquen. En este ejemplo el usuario es lab2 y Password es 123.

Aqu como lo muestra la imagen siguiente se ve el usuario creado correctamente. Si queremos aadir ms usuarios repetimos los dos anteriores pasos y listo.

Ahora desde el equipo que est dentro de la red LAN, abrimos el navegador y vamos a configurar en el navegador el proxy, ya que recuerden que el proxy no est trabajando como trasparente. Para configurar el proxy en el navegador y realizar la prueba vamos a Herramienta-opciones-Avanzado-Red-

configuracin.

No va a parecer una imagen como la que se muestra a continuacin, seleccionamos la opcin Configuracin manual del proxy y en el parmetro Proxy HTTP ingresamos la direccin Ip y el puerto por donde escucha las peticiones del servidor proxy, seleccionamos la casilla opcin Usar el mismo proxy para todo y le damos un check y aceptar.

Cerramos el navegador y lo volvemos a abrir e ingresamos a una pgina en internet y nos debe aparecer un cuadro solicitando usuario y contrasea para navegar en internet en este caso es usuario lab2 contrasea 123.

Figura 13 Restriccin o por Bloqueo de direccin IP. Ahora vamos a crear restriccin por direccin IP. Para hacer dicha restriccin en el PFSense nos dirigimos a la pestaa Access control y en el parmetro Banned host addresses colocamos la IP del host a restringir la navegacin y guardamos para que se aplique los cambios. Esto se har cuando el usuario tiene conflicto de IP se podr deshabilitar el acceso a internet por un tiempo establecido por el administrador para que dicha configuracin Ip no le cause problema al usuario en la red.

Listamos su configuracin IP y verificamos que la IP si corresponda con la direccin IP que se le va a aplicar la restriccin.

Ahora abrimos el navegador e intentamos ingresar a una pgina cualquiera en internet y veremos que no tenemos conexin a internet por la Ip restringida al equipo.

Figura 14 Instalacin Squidguard del complemento Squidguard proxy. (Es un redirector de direccin URL utilizada para el uso de listas negras con los proxy software Squid). Hay dos grandes ventajas de Squidguard: es rpido y es gratis. Squidguard se publica bajo licencia pblica GNU. Ya sabiendo que es Squidguard vamos a instalar el paquete o sea el complemento, para ello nos vamos a la pestaa System del PFSense y seleccionamos Packages.

Buscamos el complemento o paquete y al frente aparece un cuadrito con un signo +, damos clic sobre l para instalar.

Ya realizado el paso anterior nos va a aparecer el proceso de instalacin y esperamos a que termine.

Luego de que termine la instalacin vamos a la pestaa Services y nos debe de aparecer el nombre proxy filter. Si aparece dicho nombre es porque el Squidguard instalo correctamente y damos doble clic sobre dicho nombre.

Figura 15 Configuracin de Squidguard. Dentro del Proxy Filter para que el Squidguard empiece a funcionar vamos al parmetro Enable y al frente nos va a aparecer un cuadrito para generar un check, generamos el check y damos clic en Apply. Nos saldr el mensaje que Squidguard est iniciado.

Figura 16 Restricciones por Dominios. Para generar restricciones dentro del Squidguard primero vamos a la pestaa Target categories para crear una nueva categora. Para agregar la categora debemos dar clic sobre el cuadrito con el signo +.

Le asignamos un nombre a la categora y vamos al parmetro Domain List y aadimos los dominios que queremos restringir. En este caso como prueba son los dominios facebook.com y Wikipedia.org y damos clic en guardar.

Luego vamos a crear una regla de grupo para aplicrsela a la categora creada en el paso anterior, para ello nos dirigimos a la pestaa Groups ACLy damos clic sobre el cuadrito que tiene un signo +.

Los parmetros a bsicos a configurar son: Name: Asignamos un nombre para la ACL. Client (origen): direccin ip del equipo al cual le vamos a aplicar la ACL. Si queremos aplicrsela a una red completa colocamos el ID de red con su respectiva mascara. Target Rules: damos clic sobre el smbolo >que aparece en color verde y buscamos la categora creada anteriormente con el nombre que le asignamos en las opciones que aparecen al frente de la categora que son Access colocamos deny, esto va a denegarlos dominio que queremos restringir. Guardamos los cambios.

Ya est creada la ACL que me va a denegar lo dominios especificados en la categora Paginas.

Ahora vamos hacia el equipo que est dentro de la red para realizar las pruebas de los dominios. Abrimos el navegador e ingresamos a los dominios denegados anteriormente. En este ejemplo denegamos facebook.com y wikipedia.org.

En este paso podremos observar tambin que el dominio facebook.com tambin el proxy esta denegando la conexin hacia la pgina web.

Figura 17 Restricciones por Expresiones. Ahora vamos a restringir con el proxy por expresiones. Para realizar las restricciones por expresiones nos dirigimos a la pestaa Target categories que se encuentra dentro del paquete Proxy Filter y luego damos clic en el cuadrito que contiene la letra e para editar la categora que aparece.

Ya estando en la categora nos dirigimos al parmetro Expressions e ingresamos las expresiones a bloquear, en este caso son sexo y porno, en el parmetro Redirectmode seleccionamos la opcin in error page entermessage para poder agregar un mensaje personalizado y el mensaje personalizado se agrega en el parmetro Redirect. Las expresiones deben de ir separadas por una tubera. Ya cuando tengamos las expresiones aadidas guardamos.

Desde la maquina que est en la red LAN ingresamos a www.google.comy buscamos las expresiones que se aadieron en el paso anterior las cuales se van a denegar. En la imagen siguiente se muestra ingresando a www.google.com y buscando la expresin sexo y le damos Enter y veremos que no tiene acceso a buscar esa palabra.

Figura 18 Instalacin Antivirus HAVP Antivirus. Instalar Antivirus en PFSense con HAVP antivirus para eso Nos vamos en System- Packages-+ y buscamos para agregar un repositorio mas en PFSense como Proxy server, para hacer una doble capa de proteccin a cada usuario en la que tiene uso al servidor proxy pueda ser protegido de amenazas de Virus por la Red. Comenzara la Instalacin.

Figura 19 Configuracin del Antivirus. Me voy al men Services-Antivirus-Settings.

Le indico que actualice y que lo siga haciendo cada 24Hrs.

Tras esto, voy a Http proxy y configuro el proxy mode en parentfor Squid para relacionarlo con Squid Server y no afectarlo que ambos conserve las misma configuracin, indico la interface LAN, las otras opciones los habilitamos como que escaneo de las imgenes y los streams y que bloquee si hay error al descargar fichero y que logue, puedo definir algn dominio en lista blanca pero en este caso no lo hare solo necesito que me bloqueo de sitio que contenga Virus.

Tras esto voy a General Page y lanzo el servicio Http proxy antivirus y Antivirus server.

Tras la Finalizacin de la configuracin HAVP antivirus quedara los procesos Habilitados

Figura 20 Actualizar la base de Datos del Antivirus Atravez de la consola de PFSense. Luego vamos en la consola del server nos conectamos con el Putty le damos en la Opcin 8 que es la parte de configuracin de Shell del sistema de PFSense.

Tecleamos el comando freshclam para actualizar la base de datos del servidor antivirus. Comenzara descargar las actualizaciones.

Despus tecleamos el comando clamd para ver si la base de datos del antivirus se actualizo correctamente.

Ahora comprobamos si el servidor antivirus me bloquea las paginas que contengan virus nos dirigimos a esta pgina que contiene virus

http://www.eicar.org/download/eicar.com. Como vemos en pantalla si lo hizo.

Figura 21 Instalacin de BandwidthD para monitoreo del ancho de Banda de la Red. En este paso vamos Instalar BandwidthD para monitorear el uso del ancho de banda de cada equipo en la red. Pero para eso nos vamos System-PackagesBandwidthD. Comenzara la descarga y la Instalacin.

Figura 22 Configuracin de BandwidthD. Ahora nos vamos a la pestaa Services-BandwidthD en la ventana principal comenzamos configurar los parmetros de opciones. En la opcin Interfaces seleccionamos cual es la interfaz que va ser monitoreado por defecto dejamos en la interfaz LAN como ejemplo. En la opcin Subnet agregamos la direccin IP a la

sub red que va ser monitoreada por la aplicacin de BandwidthD 172.16.1.0/24, habilitamos la opcin promiscuous y guardamos.

Nos vamos en la pestaa Access BandwidthD y nos muestra la tabla de consumo de ancho de banda por secciones de protocolo de HTTP, VPN, P2P, TCP, UDP, ICMP cada una uno representa un color nico para diferenciar y medir con exactitud el nivel de consumo en cualquier protocolo usado en la red por un equipo X. Se muestra una tabla de barra dependiendo el consumo del equipo X se mostrara con su respectivo color, los informes grficos de consumo son representados por da, semana, mes y ao. Como se muestra en pantalla lo clasifica la sub-red o por el Subnet.

Figura 23 Monitorizacin de los procesos que corren en PFSense 2.0.3

Figura 24 Monitorizacin de reportes de pgina que los usuarios visitan con LightSquid Reports.

Figura 25 Configuracin Portal Cautivo para un Servidor Radius de Autentificacin al acceso Internet Inalmbrico

Figura 26 Configuracin Firewall para bloqueos de P2P y puertos de Inseguridad.

DIAGRAMA ACTUAL SIN SERVIDOR FIREWALL-PROXY

DIAGRAMA PROPUESTO IMPLEMENTADO CON EL SERVER FIREWALL-PROXY

CONCLUSIONES
Finalizando con el estudio de la Investigacin de las seguridades LAN, Nicaragua como los dems pases centroamericanos han venido creciendo en la rama de la Tecnologa. Pero ha venido la necesidad en la que se haya implementar de una forma cooperativa de mencionar de sistemas que puedan proporcionar seguridad y poder explotar sus recursos al mximo dependiendo la necesidad de la empresa.

Las seguridades de las redes hoy en da han sido bien importantes y la misma manera Vulnerables ante ataques de la red. Muchas empresas del pas hoy en da se han venido adaptando a las mejoras de sistemas como este que es PFSense la cual reduce costo de inversin antes sistemas propietarios o equipos Firewall que tenga Incorporado a costos altos.

En las distribuciones de UNIX como sistemas FreeBSD incorpora herramientas que permitan poder solucionar los problemas ms comunes en la red y poder dar soporte y administracin.

Como resultado a resolver una necesidad realice este trabajo investigativo y cooperativo a mejorar los servicios de conectividad y administracin de las Red de la Universidad BICU de la costa Caribe de Nicaragua. Siendo un sistema de Portal Cautivo Firewall y Proxy adems de Poseer Herramientas Incorporadas como ASTERIC, SQUID, SQUIDGUARD, PROXYREPORTS, BANDWITH, RADIUS, PORTAL CUATIVO, NMAP, DNS, ANTIVIRUS y muchos ms.

Esta investigacin ayudara a la Universidad BICU a tener control de conectividad de internet y poder llevar con mas organizacin y desempeo sus sistema de redes.

BIBLIOGRAFA

Carballar, J. A. (2006). Firewall la Seguridad de la banda ancha. Mxico: Alfaomega grupo editor, S.A. de C.V. Christopher M. Buechler, Pingle Jim. (2009). The Definitive Guide to the PFSense Open.Portugal: Copyright. Mercado, C. E. (2010). PFSense Firewall-Proxy. Colombia.

Nieto, M. A. (2008). Internet y Sistemas sobre GNU/Linux Squid. Espaa, Madrid. Nieto, Schez, Mercado, Jos A. Caballar. (2006 - 2010). Firewall la Seguridad de la banda ancha . Mexico: Alfaomega grupo Editor edicin, S.A. de CV.

Schez, F. (2007). Proxy al Mximo. E$spaa, Madrid.

Vivente Lpez Camacho, Ignacio Garca Soler, Francisco Tevar, Marcilla, Victor Manuelo Lpez, Jaquero, Antonio Gutirrez de Juan, Pedro Javier Garca, Teresa Olivares Montes, Angel Corts Bragado. (2001). Linux Gua de Instalacin y Administracion. Espaa: McGRAWHILL/INTERAMERICANA DE ESPAA, S.A.U.

Web Bibliogrfica http://www.hispalinux.es/SoftwareLibre. 4 de 02 de 2011. http://www.hispalinux.es/SoftwareLibre (ltimo acceso: 4 de 02 de 2011). http://www.monografias.com/trabajos/sofreebsd/sofreebsd.shtml. 4 de 02 de 2011. http://www.monografias.com/trabajos/sofreebsd/sofreebsd.shtml acceso: 4 de 02 de 2011). http://www.ordenadores-y-portatiles.com/proxy-server.html. 24 de 02 de 2011. http://www.ordenadores-y-portatiles.com/proxy-server.html (ltimo acceso: 24 de 02 de 2011) Martinez, Pablo. http://aprendeinformatica.s3v-i.net/el-superdiccionario(ltimo

informatico/%C2%BFque-es-un-servidor-%C2%BFpara-que-sirve%C2%BFson-importantes-aqui-encontraras-todas-las-respuestas/. 26 de 02 de 2011. http://aprendeinformatica.s3v-i.net/el-superdiccionario-

informatico/%C2%BFque-es-un-servidor-%C2%BFpara-que-sirve%C2%BFson-importantes-aqui-encontraras-todas-las-respuestas/ acceso: 26 de 02 de 2011). Wikipedia. http://es.wikipedia.org/wiki/Servidor. 1 de 03 de 2011. (ltimo

http://es.wikipedia.org/wiki/Servidor (ltimo acceso: 1 de 03 de 2011). WP.Daily.http://definicion.de/servidor/. 20de 02 de 2011.

http://definicion.de/servidor/ (ltimo acceso: 20 de 02 de 2011.