Download - Soluciones de Seguridad Con Software Libre
-
2013
Ing. Skinner Abelardo Guills
UNAN-LEON
27/05/2013
Trabajo Investigativo Enfocado a las Seguridades de Redes en la Universidad BICU. Modulo Clase Soluciones de Redes.
-
INDICE
RESUMEN _______________________________________________________________ 4
OBJETIVOS ______________________________________________________________ 6
DESARROLLO DEL PROYECTO ______________________________________________ 7
Concepto de PFSense _______________________________________________________ 7
Caractersticas de PFSense 2.0.3 ____________________________________________________ 7
Segn los desarrolladores de PFSense los Requisitos mnimos de Hardware para el Server
Proxy. __________________________________________________________________ 9
VENTAJAS DEL PROXY SERVER _____________________________________________ 10
APLICACIONES PARA SERVIDOR PROXY EN SOFTWARE LIBRE. ____________________ 11
FUNCIONALIDAD ESQUEMTICA DEL PROXY __________________________ 13
PROPUESTA E IMPLEMENTACION PROXY ______________________________ 15
Figura 1 Menu de Configuracion ____________________________________________ 16
Figura 2 Instalcion del servidor Proxy con PFSense 1.2.3 _________________________ 18
Figura 4 Configuracion del Equipo Cliente con un Sistema Operativo XP. ___________ 20
Figura 5 Configuracin WebConfigurator PFSense para la conexin a Internet. ______ 21
Figura 6 Instalacin y agregacin de Squid en el servidor Proxy para el cacheo de
Pginas. _______________________________________________________________ 28
Figura 7 Configuracin de Squid ____________________________________________ 29
Figura 8 Activacion Proxy Cache. ___________________________________________ 30
Figura 9 Creacin de Listas de Acceso o Restricciones ___________________________ 31
Figura 10 Denegacin de Sitios Web _________________________________________ 32
Figura 11 Denegacin por peso de Pgina Web. _______________________________ 34
Figura 12 Restriccin por Autentificacin para la conexin a Internet. _____ 35
Figura 13 Restriccin o por Bloqueo de direccin IP. ____________________________ 39
Figura 14 Instalacin Squidguard del complemento Squidguard proxy. ____ 40
Figura 15 Configuracin de Squidguard. ______________________________________ 42
Figura 16 Restricciones por Dominios. _______________________________________ 42
Figura 17 Restricciones por Expresiones. _____________________________________ 45
-
Figura 18 Instalacin Antivirus HAVP Antivirus. ________________________________ 46
Figura 19 Configuracin del Antivirus. _______________________________________ 47
Figura 20 Actualizar la base de Datos del Antivirus atravez de la consola de PFSense. _ 49
Figura 21 Instalacin de BandwidthD para monitoreo del ancho de Banda de la Red. _ 50
Figura 22 Configuracin de BandwidthD. _____________________________________ 50
Figura 23 Monitorizacin de los procesos que corren en PFSense 2.0.3 _____________ 52
Figura 24 Monitorizacin de reportes de pgina que los usuarios visitan con LightSquid
Reports. _______________________________________________________________ 53
Figura 25 Configuracin Portal Cautivo para un Servidor Radius de Autentificacin al
acceso Internet Inalmbrico _______________________________________________ 54
Figura 26 Configuracin Firewall para bloqueos de P2P y puertos de Inseguridad. ____ 55
DIAGRAMA ACTUAL SIN SERVIDOR FIREWALL-PROXY ___________________________ 56
DIAGRAMA PROPUESTO IMPLEMENTADO CON EL SERVER FIREWALL-PROXY ________ 57
CONCLUSIONES _________________________________________________________ 58
BIBLIOGRAFA ___________________________________________________________ 59
Web Bibliogrfica __________________________________________________________ 60
-
RESUMEN
Con los avances de la tecnologa, los equipos y las redes informticas toman el
centro de la escena. Esta a su vez son los lugares de trabajo, en la escuela, o en
casa. Aunque Internet ha hecho la seguridad de la red una prioridad, muchas
personas todava no saben lo suficiente.
En Nicaragua muchas empresas pblicas y privadas no poseen conocimiento
alguno sobre seguridades en redes LAN, por dicha debilidad desconocen lo
potencial de los sistemas de Software Libre que te garantiza reduccin de costo de
compra en comparacin de sistemas de seguridades Propietarios que la vez
tienen costos altos y sus mantenimientos e igual.
Como proyecto final me enfoco a la debilidad y necesidad que posee la
universidad BICU y proponerle un sistema de seguridad entorno en Unix que
posee herramientas de seguridad y la vez la administracin de la redlo cual la
investigacin del trabajo tiene como objetivo de compartir conocimientos y poder
solucionar una necesidad.
PFSense 2.0.3 es un aplicacin basada en seguridades en Redes LAN y WAN con
este software pretendo alcanzar y mejorar el uso de conexin de servicio de la
Red de la universidad BICU, con el propsito de contribuir a mejorar los recursos
de la red local y el internet a travs de la implementacin de un Servidor Firewall-
Proxy que permitir optimizar la administracin de conectividad y trfico de
informacin en la red por medio de las funcionalidades que tiene el servidor de
acelerar los sitios web por los cacheos de pginas de Squid, as mismo brindar
seguridad a los usuarios por medio de un Firewall (Corta Fuego, Bloqueo de
acceso no autorizado por reglas de puerto de salida y entrada).
Esta iniciativa de implementar un Servidor Firewall-Proxy, surge por la deficiencia
de administracin en la red de manera que los consumos de datos a travs del
ancho de banda son compartidos y de no poseer polticas de restricciones a los
usuarios (estudiantes) de manera que cada vez que se realizan descargas, afecta
a los usuarios administrativos y docentes en la velocidad de conexin del internet.
-
La investigacin tiene una base fundamental de antecedentes en otras instituciones
universitarias (UCA, UNI, UNAN) del cual le han dado uso para la buena administracin
de su red, adems existen otras instituciones universitarias que han podido manejar y
solucionar su red mediante este sistema que es una distribucin de Unix basado en licencia
de Linux en FreeBSD y del cual a diferencia de otras aplicaciones remontadas como
SQUID server , que es otro servidor que permite trabajar mediante una serie de comandos
complejos para poder controlar y administrar una red.
En el desarrollo del trabajo se explicara ms en detalle de lo que se aplico y sus
configuraciones del Servidor. Basadas a la debilidades de la empresa como BICU en
institucin Educativa.
-
OBJETIVOS
General:
Compartir Experiencias sobre la administracin de seguridades LAN,
enfocadas a las debilidades de conocimientos que existen en nuestro pas
Nicaragua del uso de sistemas software libre que proporcionan las mismas
funcionalidades de sistemas propietarios y poder explotarlos su mximo
potencial.
Especficos:
1. Proponer un servidor Firewall-Proxy utilizando la herramienta Software
Libre FreeBSD para contribuir a la necesidad deficiente de la Universidad
BICU.
2. Identificar las condiciones en que se encuentra los servicios de internet en
la universidad BICU, recinto de Bluefields.
3. Analizar la funcin de un servidor proxy que permita optimizar la
funcionalidad de la red en la Universidad.
4. Presentar un software de servidor Firewall-proxy para la mejora del servicio
de internet en la universidad BICU.
-
DESARROLLO DEL PROYECTO
Concepto de PFSense
Segn Linux HardLabs PFSense, Es un firewall FreeBSD basado en Monowall,
con funciones de Hotspot WIFI (Punto de Acceso con portal cautivo),
tiene control de ancho de banda, bloqueo de programas P2P, VPN, etc..1
Es muy fcil de instalar, tiene un Wizard para crear la primera configuracin esta
en espaol tambin.
Caractersticas de PFSense 2.0.3
A. Bandwidth: (Used for tracking & graphing bandwidth usage for individual
LAN IPs). Se utiliza para el seguimiento y el uso de ancho de banda de
grficos para cada LAN IP.Bandwidth es el ancho de banda de las
conexiones a internet, o sea la cantidad de informacin que se puede
transmitir por segundo, esta difiere del proveedor, hardware y el tipo de
servicio que contrates.
B. Ifdepd: (Used for building interface dependencies). Utilizado para la
construccin de dependencias de la interfaz.
C. Ifstated: (Adds interval based connection checking).Agrega el intervalo
basado en conexin de comprobacin.
D. Pfflowd: (Used for converting PF status messages to Cisco Netflow
Datagrams). Usado para convertir a mensajes de estado PF (un filtro de
paquetes o cortafuegos basado en configuracin dinmica de OpenBSD) a
Cisco de flujo de red en Datagramas.
E. PFStat: (Adds additional graphing functionality). Agregacin adicional de
funcionalidad de grafico.
1Linux HardLabs, empresa de laboratorios de Computo de
servidores,http://tuxedlinux.wordpress.com/category/redes/page/2/
-
F. Ntop: (Addstheability to record enhanced network history data).La habilidad
de agregar o registrar lo que sucedi en los datos histricos en la red.
G. Stunnel: (Addstheabilitytowrap standard portswith SSL (Secure Socket
Layers)).Aade la habilidad para envolver puertos estndar concapa de
conexin segura.
H. Pure-FTPd: (Adds the ability to host FTP files). Aade la habilidad para
hospedar archivos FTP.
I. Squid Transparent Proxy: An all purpose caching proxy (currently not
working but being fixed). Un proxy cache para todo uso (En la Actualidad no se
trabaja pero al ser es fijo.
J. Arpwatch: (Usedforwatching Ethernet and IP addresspairings).Se utiliza
para la observacin de pares de direcciones IP y Ethernet.
K. Assp:(An anti-spam proxy). Es un antivirus incorporado en el server del
Proxy de PFSense la cual trabaja en el escaneo de anti-spam.
L. Free RADIUS: (A RADIUS authentication server).Un servidor de
autenticacin de Radios.
M. Mtr: (Anenhanced trace routefunction).Una de las funciones de trazado de
una mayor.
N. Nmap: (A port scanner forsecurityauditing).Un escner de puertos de la
auditora de seguridad.
O. Siproxd: (A proxy with masquerading for the SIP-protocol). Un proxy con
enmascaramiento para el protocolo SIP.
-
P. Spamd: (A fake SMTP-Server used as a spamtarpit).Un falso servidor
SMTP utilizado como un bloqueador de spamspam.
Q. Nut: (Adds support for UPS monitoring).
R. Snort: (Adds Intrusion Detection capabilities).Aade capacidades de
deteccin de intrusiones.
Segn los desarrolladores de PFSense los Requisitos mnimos de Hardware
para el Server Proxy2.
A. CPU Intel Pentium/Amd Athlon 100Mhz
B. 128mb RAM
C. Lector CDROM
D. 1gb Disco Duro
E. 2 Tarjetas de Red
Gua para Tamao del Hardware:
Primero debemos considerar dos caractersticas:
A. Rendimiento requerido
B. Caractersticas que podran ser usadas
Consideraciones de Rendimiento:
A. 0 10Mbps: requerimientos mnimos.
B. 10 20Mbps: No menos de 256mhz de Velocidad CPU.
C. 21 50Mbps: No menos de 500mhz de Velocidad CPU.
2PFSense, Desarrolladores de la aplicacin de PFSense 1.2.3,
http://www.pfsense.org/
-
D. 51 200Mbps: No menos de 1.0Ghz de Velocidad CPU.
E. 201 500Mbps: Hardware de clase servidor con tarjetas de red PCI-X o
PCI-e, o hardware de nuevos PC de escritorio con tarjetas de red PCI-e. No
menos de 2.0ghz de Velocidad CPU.
F. 501+ Mbps: Hardware de clase servidor con tarjetas de red PCI-X o PCI-e.
No menos de 3.0ghz de Velocidad CPU.
VENTAJAS DEL PROXY SERVER
A. Ahorro de Trfico: las peticiones de pginas Web se hacen al servidor
Proxy y no a Internet directamente. Por lo tanto, aligera el trfico en la red y
descarga los servidores destino, a los que llegan menos peticiones.
B. Velocidad en Tiempo de respuesta: el servidor Proxy crea un cach que
evita transferencias idnticas de la informacin entre servidores durante un
tiempo (configurado por el administrador) as que el usuario recibe una
respuesta ms rpida.
C. Demanda a Usuarios: puede cubrir a un gran nmero de usuarios, para
solicitar, a travs de l, los contenidos Web.
D. Filtrado de contenidos: el servidor proxy puede hacer un filtrado de pginas
o contenidos basndose en criterios de restriccin establecidos por el
administrador dependiendo valores y caractersticas de lo que no se
permite, creando una restriccin cuando sea necesario.
E. Modificacin de contenidos: basndose en la misma funcin del filtrado, y
llamado Privoxy (es un programa que funciona como proxy web), tiene el
objetivo de proteger la privacidad en Internet, puede ser configurado para
bloquear direcciones y Cookies por expresiones regulares y modifica en la
peticin el contenido.
-
APLICACIONES PARA SERVIDOR PROXY EN SOFTWARE LIBRE.
Untangle: Es un software que de manera transparente y sin afectar a sus
infraestructuras actuales filtra todo el contenido hacia y desde Internet permitiendo
realizar las siguientes acciones: Filtro de contenidos web, Anlisis y control de
protocolos, Gestor de polticas, Sistemas antivirus, antispam, antispyware, Gestor
de informes.
Endian: Es un Appliancie de Seguridad Integral que protege su red y mejora la
conectividad, ofreciendo todos los servicios que necesita y ms, seguros y fcil de
configurar. Endian Firewall es 100% open Source e incluye, entre sus funciones
principales, una variedad de caractersticas:
A. Firewall con inspeccin de estados.
B. Antivirus HTTP/FTP.
C. Filtro de Contenido Web.
D. Antivirus POP3/SMTP, Anti-Phishing y Antispam.
E. VPN SSL/TLS.
F. IDS.
Monowall: Est basado en la versin 6.x de FreeBSD y se trata de uno de los
mejores cortafuegos existentes. La versin completa de m0n0wall pesa 12MB y se
puede instalar en una tarjeta Compact Flash o arrancar desde un CD y solamente
necesita un diskette o pendrive USB para ir guardando la configuracin (que es un
archivo XML). Toda la administracin del firewall se hace mediante una
interfaz web basada en PHP y no se necesita conocer el funcionamiento de
FreeBSD para hacerlo funcionar. Ofrece la opcin de levantar un sin nmero de
aspectos interesantes como TrafficShaping y portal cautivo.
SmoothWall: Es una distribucin muy compacta que corre con 64 MB de RAM y
1GB de HDD. Proporciona servicios de firewall, enrutamiento, NAT, Logging
server, DNS Proxy server, SSH, IDS, grficos de seguimiento de trfico de red y
VPN basada en IPSEC entre otros.
Originalmente puede manejar tres interfaces de red:
-
A. La red de rea local, LAN o zona verde (Green).
B. La zona desmilitarizada, DMZ o zona naranja (Orange).
C. La zona de acceso a Internet, WAN o zona roja (red)
Squid: Es una aplicacin multiplataforma que se encuentra en su versin 3.0 y bajo la
licencia GNU/GPL (GNU General PublicLicence), Squid llego a la cima de la popularidad
entre tantas aplicaciones similares debido a las grandes caractersticas que cuenta y los
servicios que podemos incorporarle o activarlos, por ejemplo la implementacin de un
cache de URL, o el filtrado de trfico entre los clientes, de hecho este tipo de servidores
fue en un principio diseado y adaptado para los entornos basados en los sistemas Unix.3
3 Aplicaciones Empresariales, http://www.aplicacionesempresariales.com/conociendo-los-proxy-cache-y-
squid.html
-
FUNCIONALIDAD ESQUEMTICA DEL PROXY
-
PR
OP
UE
ST
A D
E IM
PL
EM
EN
TC
ION
DE
SE
RV
IDO
R F
IRE
WA
LL
-
PR
OX
Y C
ON
PF
SE
NS
E 2
.0.3
EN
LA
UN
IVE
RS
IDA
D B
ICU
-
PROPUESTA E IMPLEMENTACION PROXY
Despus de verificar las especificaciones de cada sistema (Squid, Monowall,
SmoothWall, Untangle, Endian) de sus detalles tcnicos y opiniones que se
encontraron en la web, se determin que el sistema con la aplicacin ideal para el
proyecto es PFSense 2.0.3,porque adems de ser un software libre demuestra en
la prctica ser un sistema muy estable y seguro con muchas funcionalidades de
agregacin de repositorios que se pueden aadir durante la Instalacin la cual son
Squid, Light Squidreports, Squidguard, HAVP antivirus y BandwidthD entre otros.
Se instal el sistema operativo UNIX FreeBSD de PFsense 2.0.3como servidor y
una maquina cliente, toda la simulacin est funcionando en un sistema Virtual
con la herramienta de Virtual Box.
Las caractersticas de la mquina que posee la virtualizacin es la siguiente:
Procesador Pentium(R) Dual-Core CPUE54002.71GHz.
Disco Duro de 250GB.
Memoria RAM de 2 GB.
2 Tarjetas de Red 1 Mbps
De forma general se mostrara la Instalacin y configuracin del sistema de
Seguridad PFSense las cuales son: Squid, Light Squidreports, Squidguard,
HAVP y BandwidthD.
-
Figura 1 Menu de Configuracion
Ests es la pantalla de consola del servidor proxy dePFsense pero todava no
hemos instalado el sistema, pero como vemos en pantalla las interfaces que
creamos anteriormente la tercera interfas lo levantaremos pero en la siguiente
configuraciones o mas adelante, ahora vamos definir cada una de las opciones
que hace cada una en la consola:
*** Bienvenidos a pfSense-1.2.3 de pfSense pfSense ***
LAN -> em1 -> 192.168.1.1
WAN -> em0 -> 0.0.0.0(DHCP)
pfSense configuracin de la consola
***********************
0) Cerrar sesin SSH (solamente)
1) Asignar interfaces: Estoreiniciara la tarea de asignacion de interfaz, puede
crearinterfaces VLAN, reasignar las interfaces existentes, o asignar nuevos.
2) Establecer la direccin IP LAN: Esta opcion se puede utilizar de la manera
obvia, para establecer la direccion IP de la LAN, pero tambien hay
algunas otras tareas utiles que suceden al restablecer la IP de la LAN. Para
empezar, cuando esta se establece,tambien tienes la opcion de convertir DHCP
encendido o apagado, y establecer el rango DHCP IP.
3) Reiniciar contrasea webConfigurator: Esta opcion se restablecera el
nombre de usuario y contrasena WebGUI de nuevo a admin y
pfSense,respectivamente.
4) Restablecer los valores predeterminados de fbrica:Esto restaurara la
configuracion del sistema a los valores predeterminados de fabrica. Tenga en
cuenta que esto no sera, sin embargo, realizar ningun cambio en el sistema de
archivos o los paquetes instalados en el sistema operativo.
5) Reiniciar el sistema:Esto limpia el apagado del sistema de PFSense y reiniciar
el sistema operativo
-
6) Sistema de Parada:Esto limpia apagar el sistema y, o bien fuera de detener o
de energa, dependiendo en el hardwareapoyo. No se recomienda para sacar
siempre el enchufe de un sistema en funcionamiento, incluso incrustadossistemas.
7) Ping Host(Nombre de la direccion de la web o servidor): Solicita una
direccin IP, incluyendo el numero de paquetes recibidos, los numeros de
secuencia, los tiempos de respuesta,y el porcentaje de perdida de paquetes
8) Shell:Inicia un shell de linea de comandos. Muy til, y muy potente, pero
tambien tiene el potencial de sermuy peligroso.
9) PFtop:PFtop le da una visin en tiempo real de los estados de firewall, y la
cantidad de datos que han enviado y recibidos. Puede ayudar a identificar las
direcciones IP y las sesiones, de momento estn usando el ancho de banda, y
tambin puede ayudar a diagnosticar otros problemas de conexin de red.
10) Filtro de Registros: Utilizando la opcin de filtro Registros, podrs ver
ninguna de las entradas de registro de filtro aparece en tiempo real, en su forma
cruda.
11) Reiniciar webConfigurator: Reiniciar el WebConfigurator se reiniciara el
proceso del sistema que ejecuta el WebGUI.
12) pfSense desarrolladores Shell:La cascara de desarrolladores, que sola ser
conocido como el pfSense shell PHP, es una herramienta muy poderosaque le
permite ejecutar codigo PHP en el contexto del sistema en ejecucion. Al igual que
con la consola normal,tambien puede ser muy peligroso utilizar, y facil para que
las cosas van mal. Este es utilizado principalmente porlos desarrolladores y los
usuarios experimentados que estan intimamente familiarizado con PHP y pfSense
lacodigo base.
13) Actualizacin de la consola: Con esta opcin, se puede actualizar mediante
la introduccin de una direccion URL completa a una imagen del
firmwarepfSense,o una ruta de acceso completa locales de una imagen cargada
de alguna otra manera.
14) Desactivar Secure Shell (sshd): Esta opcin le permitira cambiar el estado
del dominio de Secure Shell, sshd.
-
99) Mover el archivo de configuracin de dispositivo extrable:Si desea
mantener la configuracin del sistema de almacenamiento extraible, como una
memoria USBunidad, esta opcion se puede utilizar para trasladar el archivo de
configuracion.
Figura 2 Instalcion del servidor Proxy con PFSense 1.2.3
F) Comenzamos a Instalar el sistema de PFsense pero para eso le damos la
ultima seleccin de menu 99. Nos saldra la pantalla de Configure consoleen esta
pantalla escogemos la opcion Accept these settings para que acepte la
configuracion anterior que le hicimos al server.
En este paso la opcin que seleccionaremos es Quick/Easy Install un modo facil
de Instalacion.
-
Ahora nos sale la ventana donde se comienza la instalacin en Disco duro del
Equipo que tenemos como Server Proxy.
Esta ventana es la seleccin de los procesos que le vamos a dar al equipo en este
caso la tarea que va realizar el servidor es multiproceso(Symetric
multiproccesing kernnel) ya que har varios procesos en la red no solo conexin
hacia internet si no como un sin nmero de procesos que actuara como Router.
El sistema comienza a Reiniciar y dentro el proceso de Reinicio nos aparecer la
cuenta de usuario que crea por defecto el sistema la cual es Admin y como
Password PFSense esto nos permitira seguir con la configuracion mediante
WebConfiguratorque es la web de configuracion.
-
Figura 4 Configuracion del Equipo Cliente con un Sistema Operativo XP.
G) Ahora estamos en el modo cliente del equipo en la que actuara si el servidor
dar las respectivas configuraciones hacia el internet mediante la direccin IP
privada que le asignamos como LAN al equipo.
Entramos a la configuracin de rea local del equipo para agregar las direcciones
IP como visualizamos hay tres conexiones de rea local escogemos la primera y
entramos a sus propiedades.
-
Comenzamos agregar la direccin IP al equipo como prueba le pones una
direccione Static 192.168.1.2 la Mscara de Subred 255.255.255.0 y el Gateway
192.168.1.1(Direccin del server como Proxy) esta direccin nos permitira hacer
parte del Dominio del servidor Proxy para poder entrar webConfigurator y seguir
con la configuracion.
Figura 5 Configuracin WebConfigurator PFSense para la conexin a
Internet.
H) Cuando entramos al Navegador todava no tenemos conexin a Internet pero
ponemos la Direccin en la URL http://192.168.1.1 esta direccin nos permite
entrar webConfigurator para hacer las configuraciones mediante la Web.
-
Nos saldr una ventanita pidindonos la cuenta de Usuario y el Password en
este caso ya tenemos a mano la cuenta y la contrasea las digitamos como
Admin como Usuario PFSense como contrasea.
Nos aparece la ventana de PfsensewebConfigurator le damos Next
Ahora llenamos la casilla Hostname que es el nombre del equipo del servidor en
este caso le pondremos como nombre ProxyBicu, en la casilla de Domain que es
el dominio del equipo le ponemos el dominio de la universidad bicu.edu.ni ahora
nos pide llenar las casillas primary DNS server y secundary DNS server para
hacerlo parte del dominio en la primera casilla es 208.96.134.2, la segunda
165.98.132.2.
-
En esta ventana llenamos la zona de tiempo que es el Etc. /GMT-6 que pertenece
Amrica y continuamos.
Comenzaremos asignar las direcciones IP pblicas al servidor pero para eso
pones como opcin Ip Static, en IP Address 208.96.134.17/24 como Gateway
208.96134.1.
-
En la configuracin de Interfaz LAN tambin se puede modificar las direcciones de
red en este caso la direccin anterior era 192.168.1.0/24 de mascara de red ahora
pasamos a una direccin privada que creamos nosotros la cual va ser
172.20.1.0/24 con rango 172.20.1.254 damos Next pero en la siguiente
configuracin mostraremos cambiarlo por la consola de PFSense.
En la pantalla de consola del servidor tenemos esta configuracin como WAN
tenemos una direccin publica 208.96.134.17 la cual es para la salida de internet
del server proxy ahora en la LAN 172.20.1.1 es la direccin LAN el cual todo
equipo conectado a esta direccin saldr mediante el proxy hacia internet. Pero
ahora tendremos que configurar y mostrar cmo se agrega direcciones IP
mediante la consola de administracin de PFSense.
-
Pero para asignar las direcciones IP privadas en la interfaz mediante la consola
tendremos que asignarle una contrasea de seguridad por defecto el sistema te
crea una contrasea la cual es PFSense ahora la contrasea de seguridad es
Salvador12.
El sistema reinicia la web para que pruebes la nueva contrasea que se asigno.
Ahora estamos en la pantalla de consola de PFSense ahora comenzamos
asignar direcciones IP mediante la consola a la red LAN.
-
Seleccionamos la opcin 2 para poder asignarle la nueva direccin IP privada a la
LAN por que antes era 172.20.1.1 ahora lo dejaremos 172.16.1.1 que ser la
direccin con que la universidad va trabajar mediante su Infraestructura.
Asignamos la mscara es 24bits que representa hasta que rango de direcciones
puede tomar la nueva direccin IP 172.16.1.254.
Entramos otra vez al navegador con esta direccin nueva creada en la red del
cliente http://172.16.1.1.
-
Este es la configuracin creada y configurada durante los pasos anteriores ahora
tendremos conexin a internet en el equipo del cliente en Windows XP.
Como visualizamos en esta pantalla ya tenemos conexin a internet mediante el
enlace del servidor Proxy al cliente pero todava no tenemos activado Squid
como Proxy Cache.
Cambiamos la IP de la maquina hasta el ltimo rango de direccionamiento IP
esttica la cual le pondremos172.16.1.252 y tenemos todava conexin a Internet.
-
Figura 6 Instalacin y agregacin de Squid en el servidor Proxy para el
cacheo de Pginas.
I) En esta Configuracin tendremos que instalar Squid 2.7.9_4.1 la versin estable
como Proxy Cache pero para eso tenemos que ir primero en System-Packages-
Squid en la parte de la derecha hay como un signo + le damos aceptar
Cuando le damos aceptar para que agregue el paquete en el sistema nos saldr
un mensaje que si queremos agregar el repositorio dentro del sistema le damos
Aceptar.
El paquete de Squid comenzara descargar y instalarse en el sistema de Pfsense.
Hacemos los mismos pasos anteriores para Instalar Light Squidreports
-
Comenzara a descargarse y Instalarse este paquete para que nos brinde reportes
de errores de paquetes de envi de Squid cache server.
Figura 7 Configuracin de Squid
Ya terminado el proceso de instalacin nos vamos a la opcin Services y nos
debe aparecer el proxy instalado. El proxy en pfsense se hace llamar Proxy
Server. Damos doble clic sobre la opcin Proxy Server para entrar a configurar y
crear restricciones en el servidor proxy.
-
Elegimos la Intefaz con la que el Proxy server tendra efecto para trabajar en este
caso escogemos la Interfaz LANy activamos la casilla TransparentProxy.
Agregamos la direccin o la Ruta donde se guardara los registros del Proxy cache
/var/Squid/logs mas con el puerto agregado 3128, dejamos por defecto el
localhost en la parte de Visible Hostname.En la parte administrator email
podemos agregar el correo del administrador del servidor [email protected].
Seleccionamos el Idioma Spanish para que cuando hay error le muestre en
pantalla en espaol el mensaje de error.
Figura 8 Activacion Proxy Cache.
Ahora para activar el cache del Proxy nos vamos a la pestaa Cache Mgmt. En
la parteHard disk cache sizepor defecto150 lo dejamos con esa cantidad .
-
Hard disk cache System lo dejamos como UFSquees el formato viejo de Squid,
en Hard disk cache locationlo dejamos en la misma direccin /var/squid/cache,
en Memory cache size lo dejamos con la cantidad de memoria cache que
queramos ponerle en este caso son 256.
Si probamos la conexin ya habilitada y finalizada el proceso de cache proxy
todava tendremos conexin hacia internet de la maquina cliente. Nota cada sitio
en la que el usuario haga su respectiva peticin a la red tardara en cargarse un
poco la primera vez por lo que el proxy almacena la pagina solicita en su cache de
memoria para que despus en la segunda peticin la pagina se le cargara ms
rpido por lo que ya la web estar alojada en el server.
Figura 9 Creacin de Listas de Acceso o Restricciones
J) Configuracin de Restriccin(ACL) en esta parte haremos todos los pasos
de restricciones a los sitios web mediante Squid y Squid Guard para bloqueo de
dominios, bloqueos de autentificaciones, bloqueos por direccin IP, bloqueo por
expresiones, bloqueo por tamaos de archivos durante este paso abordaremos
todas las restricciones que se le puede hacer en el servidor.
-
Figura 10 Denegacin de Sitios Web
La primera restriccin ser por denegar por sitios web para eso entramos a
services-proxy server- en la pestaa Acces control o acceso de control,
rellenamos la casilla Allowed subnets y agregamos la direccin de red que ser
afecta con el proxy en este caso es 172.16.1.0/24(mascara) y en la casilla
UnrestrictedIPs agregamos la direccin o el rango de direccin que ser afecta el
en la red 172.16.1.253
Ahora nos movemos en la parte inferior buscamos la casilla Blacklist (Introduzca
cada dominio de destino en una nueva lnea que se bloquear a los usuarios que
tienen permiso para usar el proxy.
Pondremos un ejemplo de una pgina web que todava hay acceso hacia ella
luego lo bloquearemos en la casilla Blacklist http://www.playboy.com
-
Ahora lo declaramos en Blacklisthttp://www.playboy.com
Volvemos a cargar la pagina de pornografa y nos presentara un error en la que no
se puede cargar el sitio web solicitada eso podemos hacer con diversos sitios web
en la que el usuario de la institucin no debe entrar a visitar.
-
Figura 11 Denegacin por peso de Pgina Web.
Ahora vamos a hacer una restriccin en la que va hacer primordial el peso de
descargar de una pgina. Para realizar dicha restriccin vamos a la pestaa
TrafficMigmty en el parmetro Mximum download size especificamos la
cantidad mximo peso de descarga de la pgina en kilobytes, en este ejemplo
colocamos 15 kilobytes y guardamos los cambios. Pero primero comprobaremos
con una pgina que pase la cantidad de peso en este caso www.softonic.com es
una web que tiene un peso de ms 15 kilobytes pero si comprobamos antes que
sea haya hecho la configuracin tenemos conexin todava.
Ahora vemos que ya no est en lnea por lo que ya aplicamos la configuracin de
peso en la configuracin anterior Mximumdownloadsize con 15 kilobytes. Lo
guardamos y en la siguiente pantalla ya nos cargara la pagina estar bloqueada.
-
Figura 12 Restriccin por Autentificacin para la conexin a Internet.
Vamos a crear una restriccin que cuando un usuario de la red LAN quiera
navegar en internet deba autenticarse contra el servidor proxy. La autenticacin
con el proxy no sirve si tenemos habilitado proxy transparente. Para poder crear
la restriccin de autenticacin vamos a la pestaa General, le quitamos el check
de la casilla del parmetro Transparent Proxy y guardamos los cambios.
Ahora si vamos a crear la restriccin para navegar a internet con autenticacin en
el proxy, para ello nos dirigimos a la pestaa AuthSettings y en el parmetro
-
Authenticationmethod vamos a seleccionar Local. Esto quiere decir que el
mtodo de autenticacin va hacer local y guardamos los cambios.
Luego vamos a crear los usuarios locales que se van a autenticar en el servidor
proxy, para ello vamos a la pestaa Local Users y dentro de dicha pestaa
vamos y damos clic en el cuadrito con el signo + para agregar un usuario local.
Llenamos los parmetros correspondientes para crear el usuario y luego
guardamos para que los cambios se apliquen. En este ejemplo el usuario es lab2
y Password es 123.
-
Aqu como lo muestra la imagen siguiente se ve el usuario creado correctamente.
Si queremos aadir ms usuarios repetimos los dos anteriores pasos y listo.
Ahora desde el equipo que est dentro de la red LAN, abrimos el navegador y
vamos a configurar en el navegador el proxy, ya que recuerden que el proxy no
est trabajando como trasparente. Para configurar el proxy en el navegador y
realizar la prueba vamos a Herramienta-opciones-Avanzado-Red-
configuracin.
-
No va a parecer una imagen como la que se muestra a continuacin,
seleccionamos la opcin Configuracin manual del proxy y en el parmetro
Proxy HTTP ingresamos la direccin Ip y el puerto por donde escucha las
peticiones del servidor proxy, seleccionamos la casilla opcin Usar el mismo
proxy para todo y le damos un check y aceptar.
Cerramos el navegador y lo volvemos a abrir e ingresamos a una pgina en
internet y nos debe aparecer un cuadro solicitando usuario y contrasea para
navegar en internet en este caso es usuario lab2 contrasea 123.
-
Figura 13 Restriccin o por Bloqueo de direccin IP.
Ahora vamos a crear restriccin por direccin IP. Para hacer dicha restriccin en
el PFSense nos dirigimos a la pestaa Access control y en el parmetro Banned
host addresses colocamos la IP del host a restringir la navegacin y guardamos
para que se aplique los cambios. Esto se har cuando el usuario tiene conflicto de
IP se podr deshabilitar el acceso a internet por un tiempo establecido por el
administrador para que dicha configuracin Ip no le cause problema al usuario en
la red.
-
Listamos su configuracin IP y verificamos que la IP si corresponda con la
direccin IP que se le va a aplicar la restriccin.
Ahora abrimos el navegador e intentamos ingresar a una pgina cualquiera en
internet y veremos que no tenemos conexin a internet por la Ip restringida al
equipo.
Figura 14 Instalacin Squidguard del complemento Squidguard proxy.
(Es un redirector de direccin URL utilizada para el uso de listas negras con los
proxy software Squid).
Hay dos grandes ventajas de Squidguard: es rpido y es gratis. Squidguard se
publica bajo licencia pblica GNU. Ya sabiendo que es Squidguard vamos a
instalar el paquete o sea el complemento, para ello nos vamos a la pestaa
System del PFSense y seleccionamos Packages.
-
Buscamos el complemento o paquete y al frente aparece un cuadrito con un signo
+, damos clic sobre l para instalar.
Ya realizado el paso anterior nos va a aparecer el proceso de instalacin y
esperamos a que termine.
Luego de que termine la instalacin vamos a la pestaa Services y nos debe de
aparecer el nombre proxy filter. Si aparece dicho nombre es porque el
Squidguard instalo correctamente y damos doble clic sobre dicho nombre.
-
Figura 15 Configuracin de Squidguard.
Dentro del Proxy Filter para que el Squidguard empiece a funcionar vamos al
parmetro Enable y al frente nos va a aparecer un cuadrito para generar un
check, generamos el check y damos clic en Apply. Nos saldr el mensaje que
Squidguard est iniciado.
Figura 16 Restricciones por Dominios.
Para generar restricciones dentro del Squidguard primero vamos a la pestaa
Target categories para crear una nueva categora. Para agregar la categora
debemos dar clic sobre el cuadrito con el signo +.
Le asignamos un nombre a la categora y vamos al parmetro Domain List y
aadimos los dominios que queremos restringir. En este caso como prueba son
los dominios facebook.com y Wikipedia.org y damos clic en guardar.
-
Luego vamos a crear una regla de grupo para aplicrsela a la categora creada
en el paso anterior, para ello nos dirigimos a la pestaa Groups ACLy damos clic
sobre el cuadrito que tiene un signo +.
Los parmetros a bsicos a configurar son:
Name: Asignamos un nombre para la ACL.
Client (origen): direccin ip del equipo al cual le vamos a aplicar la ACL. Si
queremos aplicrsela a una red completa colocamos el ID de red con su
respectiva mascara.
Target Rules: damos clic sobre el smbolo >que aparece en color verde y
buscamos la categora creada anteriormente con el nombre que le asignamos en
las opciones que aparecen al frente de la categora que son Access colocamos
deny, esto va a denegarlos dominio que queremos restringir.
Guardamos los cambios.
-
Ya est creada la ACL que me va a denegar lo dominios especificados en la
categora Paginas.
Ahora vamos hacia el equipo que est dentro de la red para realizar las pruebas
de los dominios. Abrimos el navegador e ingresamos a los dominios denegados
anteriormente. En este ejemplo denegamos facebook.com y wikipedia.org.
En este paso podremos observar tambin que el dominio facebook.com tambin
el proxy esta denegando la conexin hacia la pgina web.
-
Figura 17 Restricciones por Expresiones.
Ahora vamos a restringir con el proxy por expresiones. Para realizar las
restricciones por expresiones nos dirigimos a la pestaa Target categories que se
encuentra dentro del paquete Proxy Filter y luego damos clic en el cuadrito que
contiene la letra e para editar la categora que aparece.
Ya estando en la categora nos dirigimos al parmetro Expressions e ingresamos
las expresiones a bloquear, en este caso son sexo y porno, en el parmetro
Redirectmode seleccionamos la opcin in error page entermessage para
poder agregar un mensaje personalizado y el mensaje personalizado se agrega en
el parmetro Redirect. Las expresiones deben de ir separadas por una tubera.
Ya cuando tengamos las expresiones aadidas guardamos.
Desde la maquina que est en la red LAN ingresamos a www.google.comy
buscamos las expresiones que se aadieron en el paso anterior las cuales se van
a denegar. En la imagen siguiente se muestra ingresando a www.google.com y
buscando la expresin sexo y le damos Enter y veremos que no tiene acceso a
buscar esa palabra.
-
Figura 18 Instalacin Antivirus HAVP Antivirus.
Instalar Antivirus en PFSense con HAVP antivirus para eso Nos vamos en
System- Packages-+ y buscamos para agregar un repositorio mas en PFSense
como Proxy server, para hacer una doble capa de proteccin a cada usuario en la
que tiene uso al servidor proxy pueda ser protegido de amenazas de Virus por la
Red. Comenzara la Instalacin.
-
Figura 19 Configuracin del Antivirus.
Me voy al men Services-Antivirus-Settings.
Le indico que actualice y que lo siga haciendo cada 24Hrs.
Tras esto, voy a Http proxy y configuro el proxy mode en parentfor Squid para
relacionarlo con Squid Server y no afectarlo que ambos conserve las misma
configuracin, indico la interface LAN, las otras opciones los habilitamos como que
escaneo de las imgenes y los streams y que bloquee si hay error al descargar
fichero y que logue, puedo definir algn dominio en lista blanca pero en este caso
no lo hare solo necesito que me bloqueo de sitio que contenga Virus.
-
Tras esto voy a General Page y lanzo el servicio Http proxy antivirus y
Antivirus server.
Tras la Finalizacin de la configuracin HAVP antivirus quedara los procesos
Habilitados
-
Figura 20 Actualizar la base de Datos del Antivirus Atravez de la consola de
PFSense.
Luego vamos en la consola del server nos conectamos con el Putty le damos en
la Opcin 8 que es la parte de configuracin de Shell del sistema de PFSense.
Tecleamos el comando freshclam para actualizar la base de datos del servidor
antivirus. Comenzara descargar las actualizaciones.
Despus tecleamos el comando clamd para ver si la base de datos del antivirus
se actualizo correctamente.
-
Ahora comprobamos si el servidor antivirus me bloquea las paginas que
contengan virus nos dirigimos a esta pgina que contiene virus
http://www.eicar.org/download/eicar.com. Como vemos en pantalla si lo hizo.
Figura 21 Instalacin de BandwidthD para monitoreo del ancho de Banda de
la Red.
En este paso vamos Instalar BandwidthD para monitorear el uso del ancho de
banda de cada equipo en la red. Pero para eso nos vamos System-Packages-
BandwidthD. Comenzara la descarga y la Instalacin.
Figura 22 Configuracin de BandwidthD.
Ahora nos vamos a la pestaa Services-BandwidthD en la ventana principal
comenzamos configurar los parmetros de opciones. En la opcin Interfaces
seleccionamos cual es la interfaz que va ser monitoreado por defecto dejamos en
la interfaz LAN como ejemplo. En la opcin Subnet agregamos la direccin IP a la
-
sub red que va ser monitoreada por la aplicacin de BandwidthD 172.16.1.0/24,
habilitamos la opcin promiscuous y guardamos.
Nos vamos en la pestaa Access BandwidthD y nos muestra la tabla de
consumo de ancho de banda por secciones de protocolo de HTTP, VPN, P2P,
TCP, UDP, ICMP cada una uno representa un color nico para diferenciar y medir
con exactitud el nivel de consumo en cualquier protocolo usado en la red por un
equipo X. Se muestra una tabla de barra dependiendo el consumo del equipo X
se mostrara con su respectivo color, los informes grficos de consumo son
representados por da, semana, mes y ao. Como se muestra en pantalla lo
clasifica la sub-red o por el Subnet.
-
Figura 23 Monitorizacin de los procesos que corren en PFSense 2.0.3
-
Figura 24 Monitorizacin de reportes de pgina que los usuarios visitan con
LightSquid Reports.
-
Figura 25 Configuracin Portal Cautivo para un Servidor Radius de
Autentificacin al acceso Internet Inalmbrico
-
Figura 26 Configuracin Firewall para bloqueos de P2P y puertos de
Inseguridad.
-
DIAGRAMA ACTUAL SIN SERVIDOR FIREWALL-PROXY
-
DIAGRAMA PROPUESTO IMPLEMENTADO CON EL SERVER FIREWALL-PROXY
-
CONCLUSIONES
Finalizando con el estudio de la Investigacin de las seguridades LAN, Nicaragua
como los dems pases centroamericanos han venido creciendo en la rama de la
Tecnologa. Pero ha venido la necesidad en la que se haya implementar de una
forma cooperativa de mencionar de sistemas que puedan proporcionar seguridad
y poder explotar sus recursos al mximo dependiendo la necesidad de la empresa.
Las seguridades de las redes hoy en da han sido bien importantes y la misma
manera Vulnerables ante ataques de la red. Muchas empresas del pas hoy en da
se han venido adaptando a las mejoras de sistemas como este que es PFSense la
cual reduce costo de inversin antes sistemas propietarios o equipos Firewall que
tenga Incorporado a costos altos.
En las distribuciones de UNIX como sistemas FreeBSD incorpora herramientas
que permitan poder solucionar los problemas ms comunes en la red y poder dar
soporte y administracin.
Como resultado a resolver una necesidad realice este trabajo investigativo y
cooperativo a mejorar los servicios de conectividad y administracin de las Red de
la Universidad BICU de la costa Caribe de Nicaragua. Siendo un sistema de Portal
Cautivo Firewall y Proxy adems de Poseer Herramientas Incorporadas como
ASTERIC, SQUID, SQUIDGUARD, PROXYREPORTS, BANDWITH, RADIUS,
PORTAL CUATIVO, NMAP, DNS, ANTIVIRUS y muchos ms.
Esta investigacin ayudara a la Universidad BICU a tener control de conectividad
de internet y poder llevar con mas organizacin y desempeo sus sistema de
redes.
-
BIBLIOGRAFA
Carballar, J. A. (2006). Firewall la Seguridad de la banda ancha. Mxico:
Alfaomega grupo editor, S.A. de C.V.
Christopher M. Buechler, Pingle Jim. (2009). The Definitive Guide to the
PFSense Open.Portugal: Copyright.
Mercado, C. E. (2010). PFSense Firewall-Proxy. Colombia.
Nieto, M. A. (2008). Internet y Sistemas sobre GNU/Linux Squid. Espaa,
Madrid.
Nieto, Schez, Mercado, Jos A. Caballar. (2006 - 2010). Firewall la
Seguridad de la banda ancha . Mexico: Alfaomega grupo Editor edicin,
S.A. de CV.
Schez, F. (2007). Proxy al Mximo. E$spaa, Madrid.
Vivente Lpez Camacho, Ignacio Garca Soler, Francisco Tevar, Marcilla, Victor Manuelo Lpez, Jaquero, Antonio Gutirrez de Juan, Pedro
Javier Garca, Teresa Olivares Montes, Angel Corts Bragado. (2001). Linux Gua de Instalacin y Administracion. Espaa: McGRAW-HILL/INTERAMERICANA DE ESPAA, S.A.U.
-
Web Bibliogrfica
http://www.hispalinux.es/SoftwareLibre. 4 de 02 de 2011.
http://www.hispalinux.es/SoftwareLibre (ltimo acceso: 4 de 02 de 2011).
http://www.monografias.com/trabajos/sofreebsd/sofreebsd.shtml. 4 de 02 de
2011.
http://www.monografias.com/trabajos/sofreebsd/sofreebsd.shtml (ltimo
acceso: 4 de 02 de 2011).
http://www.ordenadores-y-portatiles.com/proxy-server.html. 24 de 02 de 2011.
http://www.ordenadores-y-portatiles.com/proxy-server.html (ltimo acceso: 24
de 02 de 2011)
Martinez, Pablo. http://aprendeinformatica.s3v-i.net/el-superdiccionario-
informatico/%C2%BFque-es-un-servidor-%C2%BFpara-que-sirve-
%C2%BFson-importantes-aqui-encontraras-todas-las-respuestas/. 26 de 02 de
2011. http://aprendeinformatica.s3v-i.net/el-superdiccionario-
informatico/%C2%BFque-es-un-servidor-%C2%BFpara-que-sirve-
%C2%BFson-importantes-aqui-encontraras-todas-las-respuestas/ (ltimo
acceso: 26 de 02 de 2011).
Wikipedia. http://es.wikipedia.org/wiki/Servidor. 1 de 03 de 2011.
http://es.wikipedia.org/wiki/Servidor (ltimo acceso: 1 de 03 de 2011).
WP.Daily.http://definicion.de/servidor/. 20de 02 de 2011.
http://definicion.de/servidor/ (ltimo acceso: 20 de 02 de 2011.