Proxy en Endian Linux

Por: Wilinton Acevedo Rueda

Medelln 2011

Contenido Introduccin.............................................................................................................................1 Objetivos..................................................................................................................................2 Ventajas y desventajas.............................................................................................................3 Que es ENDIAN?......................................................................................................................4 Implementacin.........................................................................................................................5

1 Introduccin Muchas veces vemos que nuestra red esta expuesta a peligros tan grandes que no sabemos que hacer, ENDIAN es una herramienta muy til fcil de manejar, esta nos ayuda a protegernos a peligros tan grandes como suplantacin, espas y extractores de informacin que a diario rondan por una red tan grande como la es Internet. En este manual dar una explicacin de como se debe instalar-configurar y completar la funciones el cual esta programado ENDIAN.

2 Objetivos General Ensear a instalar y configurar ENDIAN como firewall y proxy. Especificas Mostrar la ventajas que tiene un Appliance en servicios de red. Mirar como configurar el trafico en firewall y proxy. Tener en funcionamiento el servidor de seguridad.

3 Ventajas

Tener un servidor que controle el trafico de salida como de entrada a nuestra red. Controlar lugares en la Internet que usuario de la red no tiene mucho conocimiento y estas pueden tener software malicioso o espas. Firewall actualizado con la forma de abrir y cerrar puertos. Proxy con configuraciones avanzadas pero fcil a la vez por su interfaz grfica. Una interfaz grfica proporcionada va web, con la que nos hace mas fcil la configuracin. Se puede instalar en un espacio de disco duro por que lo que requiere es muy poco.

Desventajas Los Linux por ser libres salen muy econmicos casi gratis el nico problema que para ellos subsistir necesitan vender algo, al ofrecer una versin libre no tiene todos los servicios que al comprar licenciado as que los nicos en el que le puede dar soporte son personas con conocimientos el Linux exactamente en ENDIAN.

Esto se puede explicar mejor en el link siguiente.

http://www.endian.com/es/community/overview/

4 Que es ENDIAN?

Endian es una distribucin OpenSource de Linux, desarrolla para actuar como cortafuego (firewall), es comn pensar que Endian solo es un firewall, pero Endian es toda una solucin integral que protege su red, endian ofrece todos los servicios que brinda un UTM. fcil de usar e instalar. Caractersticas:

Reglas firewall de entrada y salida Eclipse lan to lan VPN NAT mltiples aliases en la interface WAN Soporte para los ms conocidos dns dinmicos (dyndns.org) Soporte para DMZ Interface de administracin web bajo https Grficos detallados de las interfaces de red Detalle de todas las conexiones activas Log detallado de todos los procesos del sistema Envo del log a un syslog Servidor NTP Servidor DHCP Traffic Shaping / QoS Proxy POP3 antivirus Clamav antivirus Proxy SMTP antispam Web proxy (Squid) con integracin en LDAP o Windows users IDS en interface WAN y LAN Proxy SIP SMTP proxy Filtro de contenidos SquidGuardian Advanced Proxy.

5 Implementacin La instalacin empieza diciendos lo bsico de que vamos a instalar.

El idioma por defecto sera ingles pero el la interfaz se podr cambiar.

Endian nos da la bienvenida a la primera instalacin.

En esta parte nos dice que todo lo que se encontraba en el disco sera borrado.

Para este caso si la necesidad de nosotros es tener habilitado el puerto serial para que sea administrador va consola de comandos.

Comienza a instalar el endian, el empieza particionando el disco.

Luego instalando los paquetes necesarios.

Despus de que instale solo necesitamos configurar la ip de la LAN, esta actuara como puerta de enlace.

Listo la primera face de la instalacin esta lista.

Despus de instalado vemos a un cliente y le asignamos una direccin esttica con el rango de la ip del servidor Endian.

Si abrimos la consola de Windows que se encuentra en ejecutar-cmd y vemos que si tienen ping, vemos que el resultado es positivo.

Por el navegador web ingresamos a la interfaz web de nuestro servidor Endian de la siguiente forma, la ip del servidor con su puerto por defecto.

Endian nos da la bienvenida.

Escojemos el idioma, en mi caso espaol. Aceptamos la licencia que por defecto.

Esta parte es para ver si restauramos un respaldo, pero como esta es la primera instalacin le decimos que no.

Le colocamos una contrasea para que el administrador de la pagina web y al ingresar va ssh al servidor Endian.

En esta parte chuleamos que nuestra tarjeta de red roja trabaje por DHCP.

Como no tenemos DMZ podemos dejar este paso como esta.

Este paso es para ver si la configuracin de la red Green o LAN se encuentra bien dejamos este paso por defecto.

Para la configuracin de la roja podemos dejarla as, por que su dns va ser dinmico por que no tenemos un servidor en especial o no tenemos ip fija.

Su Dns va ser diana mico por lo del punto anterior.

Este paso puede ser opcional, es para ver si los problemas que tenga el servidor llegan un archivo de logs al correo que en este punto coloquemos.

Aplicamos y aceptamos.

Despus de un momento debe salirte una interfaz pequea dicindote que copies el usuario y contrasea para ingresar a la interfaz web, el usuario es admin y la contrasea la que colocamos al principio en la configuracin va web del Endian.

Listo ya tenemos conexin completa con Endian.

Bien el primer paso que haremos despus de tener el Endian configurado bsicamente es decirle al cliente que su dns preferido sea por ahora el router o la direccin de puerta de enlace que mi ISP me dio.

Vemos que ya podemos ingresar a Internet teniendo a Endian como router.

Ahora vamos a configurar el proxy, lo primero que debemos hacer es irnos a proxy donde le diremos en la primera opcion que su cache sera de 300 Megas.

Esta parte solo estamos configurando cuanto tendr de cache el proxy.

Lo que vamos hacer ahora es crear las polticas de acceso de nuestro servidor.

Donde le diremos que el origen sea la verde que es nuestra LAN hacia cualquier parte ( Osea que la salida desde mi LAN ha cualquier parte permita el trafico excepto lo que

le indique).

Vemos que quedo la poltica que creamos.

Luego nos vamos a editar el contenido que vamos a denegar o permitir, eso se hace en el archivo ContenFilter.

En las pestaas encontramos opciones tales como denegar paginas que contengan contenidos de tales palabras, en la otra encontramos la opcin que contengan palabras y por ultimo en la pestaa que queda listas negra y blancas que son cuales paginas permitiremos y cuales no. Para mi caso solo utilizare las listas negando las paginas que ven.

Aplicamos los cambios.

Esperamos.

Nota: Estas configuraciones no pararan este proceso se quedara as, pero aproximadamente en 5 minutos lo puedes dejar as.

Despus de que hayan aplicado las configuraciones configuraremos el navegador para que trabaje por un proxy, para mi caso lo har con Internet Explorer, como mostrare en las imgenes.

Bien despus de hacer lo que vemos en la imgenes, al ingresar a las paginas que denegamos el resultado es el que esperbamos.

Y vemos que a las que no denegamos entramos normalmente.

Ahora lo que har es para ayudar al dansguardian a actualizare, el dansguardian es el programa donde nos facilita el filtrado de las paginas; ademas tambin para las personas que tiene problemas con el programa en Endian, esto por que las bases de datos del servidor andan un poco des actualizadas, creo que desde el 2009 no actualizan. Bueno esto se hace as. Nos vamos a habilitar el servidor ssh del Endian para resolver el problema para los que lo tengan y para actualizar las bases del dansguardian.

He elaborado un script donde le diremos que haga todo lo que necesitamos en un archivo, que este.

#!/bin/sh cd /tmp if [ -a /tmp/BL ] then rm -r /tmp/BL fi curl curl -C - -O http://www.shallalist.de/Downloads/shallalist.tar.gz -o /tmp/blacklists.tar.gz tar -xvzf /tmp/blacklists.tar.gz #mv /etc/dansguardian/blacklists /etc/dansguardian/blacklists.bak #rm /tmp/BL/CATEGORIES mkdir /etc/dansguardian/blacklists cp -r /tmp/BL/* /etc/dansguardian/blacklists/ # Check categories file exists if [ -f /tmp/BL/categories ]; then rm /tmp/BL/categories else

touch /tmp/BL/categories fi # Create categories file for i in `ls /etc/dansguardian/blacklists/`; do if [ "$i" != "categories" ]; then echo "$i"="$i" >> /tmp/BL/categories; fi done cp /tmp/BL/categories /etc/dansguardian/blacklists/ rm -r /tmp/BL* chmod 755 -R /etc/dansguardian/blacklists chmod 644 /etc/dansguardian/blacklists/categories /etc/init.d/dansguardian restart exit 0 Este archivo lo puedes guardar en el formato .sh para ejecutarlo via consola. Para hacer la transmisin del archivo necesitamos un programa llamado filezilla, este es un cliente ftp de condigo abierto multiplataforma, lo podemos descargar en este link que es su pagina oficial.

Bien despus de que haya instalado debe salir una interfaz grfica , donde le diremos la direccin del servidor-el usuario al cual ingresamos va consola, que es siempre root- la contrasea-el puerto al cual quiere conectarse primero.

Despus de que ya nos hayamos conectado, buscamos el archivo .sh que en mi caso lo llame url.sh, le damos doble click y el archivo ya esta en nuestro servidor.

Windows no maneja ssh, pero si existe clientes para ello (Windows no maneja consola de comando como la de linux); as que descargaremos un programa que se llama putty esta atravez de la pagina oficial.

Despus de descargado lo ejecutamos y debe salirte una pequea interfaz como esta, debes colocarle la direccin ip del servidor y el puerto del ssh.

Bien ahora despus hayas hecho eso saldr la consola de comandos, esta actuara como si los comandos los hagas desde el servidor Endian, damos el usuario que es

root y la contrasea la cual dimos al colocar la contraseas cuando configurbamos el Endian.

Despus de que ingresamos empezaremos a darle los comandos necesarios para configurar los que nos falta del Endian, el primer comando que les dir es ls; este comando en-lista todo lo que tengamos donde estemos parados, ah vemos el archivo que transmitimos.

Lo que vamos hacer ahora es cambiarle una linea al archivo que tenemos, esto lo hacemos con el comando que muestro en la imagen.

Solo que las categoras del dansguardian tengan permisos de ejecucin,si no sabes que son permisos especiales en linux mira este link

http://www.linuxparatodos.net/portal/staticpages/index.php?page=permisossistema-de-ficheros

Guardamos con ctrl + o despus ctrl + x. Para el siguiente paso moveremos el archivo al directorio donde se encuentran la mayora de ejecutables en un linux.

Esto significa que moveremos (mv) el archivo url.sh al directorio opt que es donde se encuentran tales archivos.

Despus ejecutaremos el archivo con el comando sh.

El automticamente debe empezar con sus actualizaciones.

Este paso seria algo molesto si peridicamente tuviramos que hacer esto manualmente, as que nos iremos a editar un archivo donde le diremos al servidor que a una hora determinada de actualice dinamicamente.

En la ultima parte copiamos primero los minutos, espacio y luego las horas en hora militar, tabulamos y le decimos que ejecute a esa hora el archivo que le indiquemos en mi caso le digo al servidor que a la 1.30 pm ejecute el archivo que cree para que mantenga actualizado sus bases de datos, as.

Bien para terminar este configuracin complementaria del servidor proxy le diremos al Endian que siempre tenga encendido el dansguardian, es solo decirle que si.

Reiniciamos el dansguardian.

Nuestro proxy ya quedo instalado ahora deniega las paginas o por contenido o por palabras claves o por url como hice en este manual.

Ahora configuraremos una regla bsica de firewall donde le diremos que donde la ip publica tal puedan ingresar a un equipo o servidor especial va acceso remoto, por que acceso remoto por que en la gran mayora de empresas trabajan con windows.

En este paso le estamos diciendo que cuando ingresen a la ip publica y que su puerto sea el 3389 que es el de acceso remoto, lo traduzca y lo envi a la direccin del servidor que coloque, como lo vemos en las imgenes.

Nota: La direccin que coloque privada no es correcta es la del servidor Endian.

Creamos o actualizamos la regla. Aplicamos los cambios.

Vemos que la regla quedo ya inicializada.