Appliance de Proxy

Este dispositivo proporciona seguridad para la navegación web, bloquea los sitios web que considere necesarios para ciertas áreas de su compañías y/o usuarios, disponga de reglas de control de acceso basadas en autenticación y realice cache de las páginas más visitadas para acelerar el rendimiento de su red. Deniega el acceso a equipos no autorizados mediante el filtrado de MAC en su red.

La creación de un equipo proxy requiere solamente una conexión de red y una dirección IP. El aparato se instala detrás o en paralelo con el firewall de la red para interceptar el tráfico Web de protocolo, como HTTP, HTTPS, FTP, mensajería instantánea y los sockets.

Cuando un usuario intenta acceder a Internet o lanzar una aplicación basada en Web, el equipo proxy va a empezar por preguntar al usuario para presentar sus credenciales de red. Esto se ejecuta de acuerdo con la organización de servicios de autenticación existentes, como Lightweight Directory Access Protocol, dominio de Windows y RADIUS. Tras el inicio de sesión inicial, el equipo proxy reconoce las credenciales del usuario y lleva a cabo controles de políticas para todos los posteriores solicitudes Web.

Endian 

Endian es una distribución OpenSource de Linux, desarrollada para actuar como corta fuego (firewall), enlutar y gestionar amenazas. Endian Firewall está basado originalmente en IPCop, que a su vez, es un fork (desarrollo de software) de Smoothwall; pero ahora se está basando en LFS (Linux From Scratch – Linux desde cero)

Características 

• Ipsec LAN a LAN VPN. 
• NAT
• Soporte para DMZ.  
• Gráficos detallados de las interfaces de red.
• Múltiples aliases en la interface WAN. 
• Interfaz administrativa WEB bajo https. 
• Detalle de todas las conexiones activas.
• Log detallado de todos los procesos del sistema.
• Envió de log a un syslog
• Servidor NTP.
• Servidor DHCP.
• Proxy, POP3 Antivirus.
• Proxy SMTP antispam
• Interfaz grafica de usuario (GUI) para configuración y administración de los servicios.
• IDS en interface WAN y LAN.
• Proxy SIP
• SMTP Proxy
• Squid Guardián.
• Filtro de contenidos. 
• Advanced Proxy

                 Instalación y configuración y Endian 

1.Instalación

Esta actividad se realizo utilizando VirtualBox y los Requerimientos para instalar Endian:  RAM: 256MB mínimo (512MB recomendados), Tamaño del disco 4GB mínimo 

Endian es un sistema operativo de fácil instalación, para la instalación seleccionamos

Nuestro equipo booteara desde una imagen iso, luego de que carga seleccionamos el idioma, solo aparecen 3 idiomas, en este caso utilizaremos  el mas común"Ingles"

 

En la siguiente opción se muestra el mensaje de bienvenida  EFW, le especificamos al programa que si deseamos  continuamos con la instalación.

En el proceso sacara información acerca del disco duro  de nuestro equipo, el cual sera particionado con un sistema de ficheros posteriormente nos advertirán  que todos los datos que tenemos en disco duro se perderán.

Esta opción nos muestra la preparación del sistema para comenzar a cargar y se nos indica que si deseamos comenzar con las partición primaria. Damos clic en la opción yes y continuamos confirmando le al sistema que si deseamos continuar con la instalación EFW.

Esta opción  habilita una consola sobre un puerto serial, le decimos YES y OK, si queremos conectar de la laptop por medio de un cable null MODEM a nuestro firewall o encaso de que no  lo deseemos habilitar la consola damos clic en no. 

 El programa inicia su instalación y comienza a cargar todas los paquetes, esto puede duran algunos minutos. 

Como ya se había mencionado al comienzo de este tutorial Endia no tiene un entorno gráfico y toca administrado vía web. Esta opción nos muestra la dirección IP para nuestra red interna o red LAN  en este caso decidimos escoger la dirección IP 192.168.1.10/24 , damos clic en continuar.

Para finalizar con la instalación de Endian,  este nos mostrará un mensaje  con los parámetros de configuración y comienza a cargar el sistemas con los nuevos para metro de configuración.

Al finalizar con el proceso de instalación de Endia se muestra un mensaje donde se indica la URL para ingresa a administra el programa desde un cliente y el puerto de administración para la aplicación, también indica la dirección IP del la tarjeta de red verde o correspondientes a la red LAN, a demás pararecen otra 5 opciones como:

0) Shell: Es  la interfaz  de usuario para acceder al sistema operativo. 

1) Rebbot: Nos permite reiniciar el sistema

2) Change Root Password: Permite cambiar la contraseña del usuario root desde la consola.

3) Change Admin Password: Permite cambiar la contraseña de usuario administrador de Endian

4) Restore Factory Defaults: Permite restaurar los valores predeterminados de fabrica.

Para administrar Endian configuramos a un cliente dentro de la misma red LAN, y desde el navegador ingresamos a la ruta que se nos mostraba https://192.168.1.10:10443

En la siguiente opción se muestra un mensaje de bienvenida a Endian Firewall, e indica que si damos continuar con la instalación se debe dar clic en la opción continuar (>>)

Para continuar con la instalación de este seleccionamos el idioma (Spanish) deseado y la zona horaria (América/Bogota), damos clic en sigiente (>>).

Esta opción establece  los parámetros  de la licencia (GNU) de la utilización de Endian. Damos clic en aceptar los términos de la licencia (>>).

Endian tiene un respaldo de los parámetros de configuración de fabrica este pregunta que si lo deseamos restaurar en caso de que deseemos volver a comenzar, seleccionamos la opción NO y damos clic en continuar.

Para la administración de Endian hay que establecer  una contraseña al usuario Admin de la interfaz web y la del usuario root o el interprete de ordenes seguras (ssh). Damos clic en continuar 

se recomienda que estas tengan un buen nivel de seguridad y sean totalmente diferentes.

Endian tiene una interfaz de red llamada roja este esta conectada a la red WAN (INTERNET), para configurar la es necesario especificar que deseamos que esta tarjeta roja recibirá dirección IP mediante un servidor  DHCP para pode tener acceso a Internet.

 Otra opción que se debe especificar es el numero de tarjetas de red que se tiene (2). Clic en continuar (>>)

Ademas de la conexión de las tarjetas de red verde (LAN) y la roja (WAN) Endian también permite configurar una tarjeta de red naranja que es la red de acceso des de Internet  (DMZ) y la tarjeta de red azul para cliente de la red WiFi, recuerde que esta práctica se realiza desde maquinas virtuales y no se tienen clientes en redes inalambricas, en caso de que se tenga en necesario habilitarlo. Damos  clic en ninguna y continuar.

Para finalizar con la configuración de los parámetros se nos muestra un mensaje con la configuración de los parámetro de la tarjeta de red LAN.

En este parámetros se especifica la dirección MAC de cada una de la tarjetas de red, pregunta por el nombre del equipo y el dominio. Clic en continuar (>>)

Para la tarjeta de red roja (WAN) se mostrara un mensaje muy parecido al anterior solo que para tener acceso a Internet y resolver dominio publico es necesario especificar que esta sele asigna  DNS automático.

Se muestra un mensaje indicando que el sistema inicio la configuración de un servidor DNS en este caso para la red WAN.

Para finalizar con la configuración  básica de Endian este pregunta por un servidor de correo y dirección de correo electrónico,  en caso de que el usuario desee algún tipo de notificaciones o se tenga local mente un servidor de correo.

 Si todo el proceso es correcto se mostrara un mensaje de felicitaciones que indica que la configuración inicial de Endian es correcta.

 Para comenzar con la instalación de Endian este reinicia el equipo y muestra un ventana de autenticación  del  usuario para poder ingresar a esta a configurar lo.

 La ventana principal de Endian que se carga al ingresar muestra un análisis de trafico con el informe de utilización, también se pude visualizar los servicios que están detenidos o en ejecución en el Endian.

En esta opción indicamos los parámetros de la configuración del servidor proxy este será transparante " Un proxy transparente combinación  un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy  es utilizado por  los proveedores de servicios de Internet (ISP)"

 para configurar el servidor proxy damos clic en la opción proxy   e ingresamos al menú Configuración, ya estando ubicados en este, habilitamos la opción proxy HTTP, se especifica  que la tarjeta de red verde (LAN) usara un proxy trasparente.

  Otra opción que se especifica dentro de este parámetro el puerto del servidor proxy que sera el 8080.

Idioma para la notificación de errores: Ingles

pide especificar una dirección de correo electrónico para las notificaciones al administrador.

También se puede especificar el tamaño máximo  para descargar y subir archivos : 1000 Kb

  Otros parámetros que se especifican son los puertos permitidos de comunicación para el servidor proxy, esto es para los servicios mas comunes.

Este trae habilitado todos los registros de autenticación para los usuariosy muestra una notificación de estos.

 Proxy Endian UTM Appliance es compatible con cuatro tipos diferentes de autenticación: autenticación local (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Active Directory de Windows (NTLM) y Radio. 

Número de niños de autenticación: Número máximo de procesos de autenticación que se pueden ejecutar al mismo tiempo.

Autenticación caché TTL (en minutos): es tiempo en minutos de datos de autenticación deben ser cacheados

Número de direcciones IP diferentes para cada usuario: Número máximo de direcciones IP desde la que permite al usuario conectarse al servidor proxy de forma simultánea 

Usuario / IP caché TTL (en minutos): Tiempo en minutos de una dirección IP se asocia con el usuario conectada.

Los siguientes parámetros están disponibles para la autenticación LDAP.

 Servidor LDAP: 

 La dirección IP o nombre de dominio completo del servidor LDAP

El puerto del servidor LDAP : Puerto en el que el servidor está escuchando 

Enlazar DN ajustes: Nombre completo base, este es el punto de inicio de su búsqueda.

Los siguientes parámetros están disponibles para la autenticación de Windows.

 Nombre de dominio del servidor de AD:  Dominio de Active Directory que desea unirse (uso FQDN)

Ingreso de dominio: Debe unirse al dominio (primero la configuración de autenticación debe ser guardados y aplicados)

 

Otro parametro que se puede visualizar son las del proxy cache.

  Para finalizar con los parámetros configurados anteriormente se aplican los cambios en la opción aplicar.

En la siguiente opción podemos agregar los usuarios de configuración para poder acceder al servidor, damos clic en la opción autenticación y el la parte inferior seleccionamos la opción administrar usuario.

Para este usuario se pueden establecer parámetros como el usuario y la contraseña  damos clic en la opción crear usuario.

 Si el proceso anterior fue correcto se nos mostrara un mensaje  donde nos indica que la configuración del archivo a cambiado y si deseamos aplicar los cambios.Damos clic en aplicar.

para visualizar los grupos de usuarios damos clic en autenticación y seleccionamos la opción administra grupos de usuarios, este nos muestra un mensaje con todos los usuarios que se hayan creado.

Para crear los filtros o reglas de acceso seleccionamos la opción contentfilter del menú principal.

Para crear esta reglas creamos un nuevo filtro en la opción crear perfil, para nuestro caso a este filtro o regla se llamara contenido, ademas se indica el contenido que se va a filtrar este permite hacerlo por conetido para adultos filto de audio entre otros.

Nota: El contenido que esta filtrado aparece señalado con la una flecha de color rojo, y el contenido permitido aparece con una flecha color verde, para permitir o no contenido solo basta con dar clic sobre la flecha deseada. 

Para filtrar el contenido por páginas esta hay que especificarlas para ello desplegamos el menú listas negras y blancas personalizadas. Agregamos nuestro sitios

 Nota: es importante tener en cuanta que este filtro solo lo hace para buscar estos sitios web directamente desde en navegar mas no desde buscadores.

Aplicamos los cambios para poder guardar el filtro y se nos muesrta la nueva regla creada correctamente.

Para creara políticas de acceso damos clic en la opción políticas de acceso y seleccionamos crear política nueva.

En esta opción se puede indicar los usuarios de la base de datos y las fuentes los usuarios permitidos con autenticación.

para terminar damos clic en la opción create policity y este nos muestra la política y nos pregunta si de seamos actualizar los nuevos cambios en el servidor  

para finalizar con esta instalación  simplemente tenemos un cliente configurado dentro de nuestra red LAN. Abriremos un navegar e iremos a herramientas, opciones de internet.

seleccionamos la opción conexión y luego configuración de la LAN.

En la pestaña que abre escogemos utilizar un servidor proxy al activar esta opción ponemos la dirección  IP de nuestro servidor  Endian.Guardamos los cambios

 Una vez configurado el servidor para poder navegar a través  de el este nos pide autenticar nos con el usuario y la contraseña que ya se haba  creado.

como podemos ver aquí tenemos a nuetsro cliente navegando mediante el servidor proxy .

 En esta opción podemos trabajar y  verificar si se crean las aplicarón las políticas de seguridad.