Servidor Proxy en EndianUn servidor proxy básicamente lo que hace es filtrar la información que sale de un host a la red y la redirige al proxy para controlar los sitios o las peticiones que realiza, ya sea por motivos de seguridad, autenticación, anonimato, re direccionamiento entre otros.

En esta practicas volveremos a trabajar con endian, sobre las reglas de firewall publicadas en entradas anteriores, donde está documentada la instalación y la configuración (http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html ) aunque estas reglas no son necesarias, crearemos nuestro proxy por autenticación de usuarios y restringiremos algunos sitios por usuarios.

Comenzamos eligiendo la opción Proxy en la barra superior del endian, allí ingresaremos a configuración y damos click sobre el botón Habilitar Proxy HTTP.

 Aquí lo pondremos en modo transparente si deseamos que el proxy este por defecto en el sistema, o No trasparente si queremos agregar el proxy manualmente en cada browser,

elegimos el puerto por el que queremos que corra nuestro proxy, el idioma para el despliegue de error, un nombre cualquiera, una dirección de correo cualquiera, y elegimos los tamaños de

descarga y de subida de archivos.

Aqui veremos los puertos que tenemos permitidos.

Aquí habilitaremos el registro, los términos de consulta de registro, el registro de filtro de contenido, y el registro por usuarios.

 

Aqui agregaremos un sitio para que no quede registrado en la cache, es opcional.

Y aplicamos las reglas una vez guardadas.

Ahora realizaremos las restricciones por usuario, ingresamos a Contenfilter donde crearemos un perfil para definir la autenticación.

Le damos crear perfil, o si ya tenemos uno lo editamos.

 Cuando le damos crear nos despliega unas ventanas donde configuraremos las políticas de perfil, en esta configuraremos el nombre, y tenemos otras siguientes a esta donde podemos

restringir por palabras o por contenidos.

 

La que nos importa a nosotros será esta de listas negras y blancas personalizadas, donde pondremos en la parte que dice Bloquear los siguientes sitios, agregaremos allí los sitios a

bloquear en nuestro caso youtube, hotmail y facebook.

 

Le damos crear perfil y aplicamos las reglas.

Ahora nos dirigiremos a Autenticación, y le damos en administrar usuarios, para crear los usuarios a los que restringiremos los sitios anteriormente mencionados.

 

Agregamos el nombre y la contraseña del usuario, y le damos crear usuario.

Ahora crearemos el grupo donde estará nuestro usuario, volvemos a Autenticación y le damos en administrar grupos.

Agregamos el nombre del grupo y seleccionamos los usuarios pertenecientes a este.

Vamos a Política de acceso para definir a quienes le aplicaremos estas.

En autenticación escogemos si queremos que sea por grupo o por usuario o para cualquiera, en Filtro de perfil buscamos el perfil que creamos anteriormente llamado reglas, y le damos

crear política.

O por usuario, le damos user based en Autenticación y seleccionamos el usuario.

 

Aplicamos la regla. 

 Ahora si tenemos el proxy modo no trasparente, lo agregaremos en nuestro browser.

   

Y hacemos las pruebas.

 

En este caso lo tenemos en autenticación por grupo entonces al intentar ingresar a www.youtube.com nos pide que nos registremos.

 

En este caso lo hicimos por usuario, nos logueamos con nuestras credenciales de usuario, y vemos lo que pasa al intentar ingresar a uno de los sitios restringidos.

Nos deniega el acceso a youtube.

Igualmente para hotmail.

 Y tenemos acceso a otros sitios como google.

Y esto fue un servidor proxy en endian, con restricciones y autenticación por usuario.

ENDIAN FIREWALL CONFIGURACION Y ADMINISTRACIONEndian es un firewall de OpenSource básicamente para el control de amenazas en nuestra red, pero también cuenta con características especiales ya que funciona como proxy, canales VPN, enrutador, antivirus y filtrado de datos, antispam entre otras. Es bastante fácil de administrar y de instalar, con versión gratuita que podemos adquirir desde la página oficial como ISO de descarga.

En esta entrada configuraremos ENDIAN como firewall para implementar la seguridad a la siguiente topología:

Direcciones:

LAN 192.168.100.0 /24FTP LAN 192.168.100.3 /24WEB LAN 192.168.100.3 /24GateWay LAN (endian) 192.168.100.2 /24DMZ 192.168.101.0 /24FTP DMZ 192.168.101.3 /24WEB DMZ 192.168.101.3 /24GateWay DMZ (endian) 192.168.101.2 /24WAN 192.168.10.0 /24Endian Interfaz WEB 192.168.10.50 /24GateWay WAN 192.168.10.1

Requerimientos:

* Red LAN: servicios privados solo accesibles desde la LAN, debe comunicarse con la DMZ y con la WAN.* Red DMZ: servicios públicos accesibles desde la DMZ, LAN y WAN, no debe ver la LAN.

* Red WAN: Debe acceder a los servicios públicos de la DMZ por el firewall (re direccionamiento de IP) y no debe ver la LAN.* Todas las redes deben salir a internet.

Configuración:

Al igual que en la entrada del m0n0wall, en esta agregaremos tres adaptadores de red a nuestra máquina de endian, uno para nuestra LAN otro para DMZ y otro para la WAN, una vez tengamos estos adaptadores, crearemos también una maquina en Windows que funcionara como servidor WEB y FTP, otra en CentOS que será servidor WEB y FTP también, y un cliente en la WAN.

La instalación de endian es bastante sencilla una vez pongamos a bootear nuestra máquina, escogeremos el lenguaje apropiado, que escriba los cambios en el disco duro, habilitar el servicio de consola por cable serial, agregar una dirección ip por la que accederemos vía web a la interfaz web de endian, retiramos la ISO de instalación de la unidad de CD y finalizamos la instalación, una vez hechos estos pasos empezaremos la configuración.

Cuando nos aparezca este pantallazo escogeremos la opción 0 para ingresar a la shell.

Una vez alli le diremos login y pondremos la contraseña del root que por defecto es endian.

Aquí podremos administrar desde la shell de endian con algunos de los comandos que usualmente usamos en nuestras maquina con SO en Linux.

Desde la maquina Windows, pondremos la dirección IP que le dimos en la instalación, la pondremos en la barra de direcciones y entraremos a la interfaz web de endian.

Una vez allí le daremos en el botón con las flechas (siguiente).

Si queremos hacer un respaldo de nuestro firewall escogemos la opción si en el siguiente paso, en este caso le diremos que no, y continuamos.

Escogemos la contraseña para nuestro usuario y para el servicio SSH del root y continuamos.

En endian, las Zonas se definen por colores, por eso es importante leer bien lo que hacemos ya que allí está todo muy bien definido.

En este paso configuraremos el tipo de interfaz para la zona ROJA que es la WAN, seleccionaremos  ETHERNET ESTATICO para que nuestra dirección sea estática y le damos

siguiente, donde escogeremos el color para nuestra zona DMZ que como allí dice NARANJA para DMZ o AZUL para WI FI.

Aquí configuraremos la zona VERDE que sera la LAN, le pondremos una dirección ip, la que nosotros destinemos a la LAN, la máscara y chuleamos la opción verde en la tabla de abajo

para confirmar la mac el vínculo y la interfaz en este caso eth0.

En la misma página configuraremos la zona NARANJA que sera la DMZ, le pondremos una dirección ip estática y su respectiva mascara que asignamos en una previa planeación

para la DMZ y chuleamos la opción naranja en la tabla, si queremos cambiamos el nombre del equipo y del dominio y continuamos.

En el siguiente paso configuraremos la dirección estática para nuestra WAN, como sabremos que ip ponerle? en la shell de endian haremos un dhclient a la interfaz por la que este nuestra

WAN en nuestro caso la eth2 y vemos que ip nos entrega.

Agregaremos la ip que obtuvimos con la máscara, chuleamos la opción roja o la última de la tabla, y agregamos el gateway.

Aquí pondremos los servidores DNS que normalmente usamos para salir a internet y continuamos, donde nos pedirá una dirección de correo electrónico pero esto es opcional y se

puede omitir.

Una vez estemos en el ultimo paso le damos Aceptar, aplicar configuración, esperamos 20 segundos y nos aparecera el login.

Entramos con el usuario admin y la contraseña endian (en la imagen dice conectar a 192.168.30.2, pido disculpas esto es un error de imagen, nuestra dirección es la

192.168.100.2)

Configuración del NATNos dirigiremos a la opción cortafuegos y allí Reenvio de puertos / NAT y luego Nat Fuente 

Alli en Origen le diremos que es tipo Red/IP y agregaremos la dirección de nuestra LAN con destino a cualquier destino (0.0.0.0) y le damos crear regla, esto es para que nuestra LAN

tenga acceso a internet, crearemos dos una para la LAN y otra para la DMZ.

Aplicamos las reglas haciendo click en Aplicar

Luego le daremos en Incoming Routed Traffic para denegar el acceso de la WAN a la LAN.

Alli en Origen le diremos que es tipo ROJA (WAN) y en destino tipo Zonas, seleccionamos la VERDE (LAN) y en la politica le diremos DENEGAR y creamos la regla, esto quiere decir

que nuestra WAN no tendra acceso a la LAN.

Ahora configuraremos las reglas de reenvíos nos dirigiremos a Port forwarding / Destination NAT Rule Editor.

En tipo buscamos la opción Zona/VPN/Enlace activo y buscamos el enlace activo de nuestra WAN y lo seleccionamos, le diremos q es para el servicio FTP y en la parte Mapear a,

escogemos tipo IP y ponemos la dirección de la DMZ donde esta nuestro servicio FTP y su respectivo puerto, y que tenga acceso desde cualquier enlace activo y le damos crear regla, y

creamos otra igual pero para nuestro servicio WEB.

Y así quedaran nuestras reglas de reenvio, ahora podemos acceder desde la WAN a los servicios de la DMZ.

Ahora configuraremos el tráfico entre zonas, nos dirigiremos a Tráfico entre Zonas y añadiremos una nueva.

Le diremos que de la Zona VERDE a la NARANJA permita cualquier servicio y le damos crear regla.

Luego añadiremos otra, donde le diremos que deniegue todo el tráfico de cualquier servicio de la Zona NARANJA a la VERDE, ya que este es un requisito principal que la DMZ no vea a la

LAN, pero la LAN si tenga acceso a los servicios de la DMZ.

Pruebas:

Primero probaremos nuestra red LAN

En este paso intentaremos acceder al servidor FTP de la DMZ y como vemos nos pide el login por lo tanto es exitoso.

Haremos lo mismo para el servidor WEB, y también es exitoso.

Y como podemos ver también tenemos salida a internet, si estamos utilizando un proxy se lo agregamos al navegador y listo.

Ahora desde la WAN:

Intentaremos acceder al FTP de la DMZ por reenvio, colocamos la ip de nuestro firewall la 192.168.10.50 y como vemos nos pide el login por lo tanto el reenvio fue exitoso.

Lo mismo para nuestro servidor WEB en la DMZ, también es exitoso.

Tunel VPN endian conexión virtual IPSEC, the green bow

Túnel VPN conexión virtual IPsec 

En esta entrada, configuraremos un túnel virtual para conectarnos a una red LAN desde un host en la WAN por medio de OpenVPN y una conexión virtual con IPsec, todo esto lo haremos con endian firewall, y para el cliente utilizaremos the green bow.

VPN  (Virtual private network)

Red privada virtual, es una tecnología de red que nos permite realizar una conexión de una red local a una red publica, como por ejemplo conectarnos desde nuestro hogar a nuestra oficina a través de internet, con unas características esenciales tales como la autenticación, la integridad y la confidencialidad sin olvidar el no repudio ( verificación de firma).

Algunos tipos:

VPN de acceso remoto: es una de las conexiones mas comunes, un ejemplo de esta seria una conexión desde nuestro hogar a nuestra oficina mediante internet.

VPN punto a punto: esta conexión podría ser implementada por ejemplo cuando queremos conectar varias oficinas remotas de una sede en particular entre si, mediante un túnel permanente en internet. 

IPsec

Son varios protocolos que actúan en la capa 3 del modelo OSI, implementando seguridad, en este caso a los túneles vpn, se encarga de autenticar usuarios, cifrar datos enviados, en resumen permitir una conexión virtual segura.

Software's:

OpenVPN

Es un software que permite realizar conexiones virtuales con autenticación de usuarios y host remotos, lo utilizaremos en el servidor, y OpenVPN Client para el cliente fuera de la LAN.

The Green Bow

Es un software que ofrece soluciones de seguridad  y actúa como Cliente VPN, lo instalaremos en el cliente remoto en la WAN.

Direcciones:

LAN: 192.168.100.0 /24WAN: 192.168.10.0 /24Rango OpenVPN: 192.168.100.129 - 192.168.100.190

Endian Firewall VPN Gateway LAN: 192.168.100.1Endian Firewall VPN Gateway WAN: 192.168.10.1Cliente Servidor en LAN: 192.168.100.2Cliente remoto IP WAN: 192.168.10.159Cliente remoto IP LAN mediante OpenVPN: 192.168.100.130

La instalación de Endian Firewall es bastante sencilla y como en entradas anteriores ya esta explicada, no la agregaremos a esta entrada, pero por si las dudas anexo este link con la isntalacion y configuracion del mismo.

Link:  http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html

Configuraciones

OpenVPN

En la barra de manu de endian, ingresaremos a VPN

Una vez allí en Servidor OpenVPN activaremos el servidor, y le daremos el rango de ip disponibles de la LAN que entregara a nuestros clientes VPN.

 Luego ingresamos a Cuentas donde crearemos el usuario con el que nos conectaremos, le damos el nombre y la contraseña, y en Empujar solo estas redes, damos la dirección de la

LAN pero esto es opcional, y le damos guardar.

 Una vez creado nuestro usuario lo podemos visualizar en Configuracion de la cuenta, alli nos aparece un link de descarga el cual contiene nuestro certificado CA, lo descargaremos y lo

copiaremos en una maquina cliente VPN.

Lo copiamos en el cliente.

Continuando con la configuración, ingresamos a Avanzado, donde configuraremos el puerto (1194) y el protocolo (UDP), le damos guardar y reiniciar.

En opciones global de envío de parámetros, agregaremos la dirección de nuestro servidor aunque esto es para un DNS, nosotros no tenemos servidor de nombres pero igual

pondremos la dirección del gateway de LAN de nuestro servidor endian. 

 En la configuración de autenticación le diremos que es tipo PSK (usuario/contraseña), le damos guardar y reiniciar.

 Ahora miraremos cual es la dirección de gateway por el que les servidor endian sale a la WAN, ingresamos a Sistema, buscamos Enlaces activos y la miramos, en nuestro caso es la

192.168.10.124, esto es para saber a que gateway se dirigira el cliente.

 Ahora desde la maquina cliente descargaremos y configuraremos OpenVPN para la conexion, lo podemos descargar de:

http://openvpn.net/index.php/open-source/downloads.html Una vez descargado, lo instalamos, la instalación es sencilla no requiere configuraciones, nos dirigiremos la carpeta de ejemplos de configuración del OpenVPN, ubicada en: Mi PC, Disco

local C, Archivos de programa, OpenVPN, sample-config.

 Allí buscaremos el archivo client, y lo abriremos con wordpad, lo editaremos, click derecho abrir con, y buscamos wordpad.

El archivo debe quedar de la siguiente manera:

############################################### Sample client-side OpenVPN 2.0 config file ## for connecting to multi-client server.     ##                                            ## This configuration can be used by multiple ## clients, however each client should have   ## its own cert and key files.                ##                                            ## On Windows, you might want to rename this  ## file so it has a .ovpn extension           ###############################################

# Specify that we are a client and that we# will be pulling certain config file directives# from the server.client

# Use the same setting as you are using on# the server.# On most systems, the VPN will not function# unless you partially or fully disable# the firewall for the TUN/TAP interface.dev tap#dev tun

# Windows needs the TAP-Win32 adapter name# from the Network Connections panel# if you have more than one.  On XP SP2,# you may need to disable the firewall# for the TAP adapter.#dev-node MyTap

# Are we connecting to a TCP or# UDP server?  Use the same setting as# on the server.;proto tcpproto udp

# The hostname/IP and port of the server.# You can have multiple remote entries# to load balance between the servers.remote 192.168.10.124 1194 ( esta es la ip del gateway del servidor en la WAN y el puerto)#remote my-server-2 1194

float

# Choose a random host from the remote# list for load-balancing.  Otherwise# try hosts in the order specified.#;remote-random

# Keep trying indefinitely to resolve the# host name of the OpenVPN server.  Very useful# on machines which are not permanently connected# to the internet such as laptops.resolv-retry infinite

# Most clients don't need to bind to# a specific local port number.nobind

# Downgrade privileges after initialization (non-Windows only)#;user nobody#;group nobody

# Try to preserve some state across restarts.persist-keypersist-tun

# If you are connecting through an# HTTP proxy to reach the actual OpenVPN# server, put the proxy server/IP and# port number here.  See the man page# if your proxy server requires# authentication.#;http-proxy-retry # retry on connection failures#;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot# of duplicate packets.  Set this flag# to silence duplicate packet warnings.#;mute-replay-warnings

# SSL/TLS parms.# See the server config file for more# description.  It's best to use# a separate .crt/.key file pair# for each client.  A single ca# file can be used for all clients.ca efw-1339012775.pem (nombre del certificadoCA que descargamos)#cert client.crt#key client.key

# Verify server certificate by checking# that the certicate has the nsCertType# field set to "server".  This is an# important precaution to protect against# a potential attack discussed here:#  http://openvpn.net/howto.html#mitm## To use this feature, you will need to generate# your server certificates with the nsCertType# field set to "server".  The build-key-server# script in the easy-rsa folder will do this.;ns-cert-type server

# If a tls-auth key is used on the server# then every client must also have the key.;tls-auth ta.key 1

# Select a cryptographic cipher.# If the cipher option is used on the server# then you must also specify it here.;cipher x

# Enable compression on the VPN link.# Don't enable this unless it is also

# enabled in the server config file.comp-lzo

# Set log file verbosity.verb 3

# Silence repeating messages;mute 20

auth-user-pass 

Una vez terminado de editar el archivo client, lo copiaremos en la carpeta config.

Ahora copiaremos el certificado en la carpeta config, ubicada en la carpeta OpenVPN, (en el pantallaso podemos ver la ruta completa)

 

En la conexión suele surgir un problema de falla de conexión, es porque falta generar la llave, ingresaremos a Inicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN

key.

Esto nos generara una llave llamada key en la carpeta config.

Ahora abriremos el OpenVPN GUI y nos saldrá un icono en la barra inferior del equipo le damos click derecho, Connect.

Ahora nos loggearemos con el usuario que creamos anteriormente en el servidor endian VPN.

usuario: danielcontraseña: sena.123

Ahora tenemos conexion con el servidor mediante OpenVPN.

Como lo verificamos? ingresamos a la consola de administración y hacemos un ipconfig, veremos como nos asigno un nuevo adaptador de red con la ip del rango que asignamos al

principio la 192.168.100.129.

Y vemos que el icono paso de rojo a verde, la conexión es exitosa.

Tunel IPSEC

ingresamos al servidor nuevamente a VPN.

ingresamos a IPsec y activamos el servicio, le damos guardar.

En Estado y control de conexión añadiremos una nueva conexión, un nuevo túnel, le damos añadir.

El tipo de conexion sera VPN tipo host-to-net (roadwarrior).

En la configuración solo agregaremos el nombre y lo activaremos los demás parámetros los dejamos como están, a no ser de que queramos hacer otro tipo de configuración, como por

ejemplo cambiar la acción de cuando se cae el túnel.

En Autenticación la haremos por palabra clave compartida, la primera opción, en caso tal de que queramos hacerlo por certificado, también están las opciones para subirlo, o generar uno,

y le damos guardar.

 En avanzadas, podemos elegir el tipo de encriptacion, los grupos IKE entre otros parámetros de cifrado.

Una vez creada la conexión vemos que el estado del tunel es CERRADO.

Configuracion del cliente

Software: The Green Bow (VPN Client)

Este software lo podemos descargar de:

http://www.thegreenbow.com/es/vpn_down.html Una vez descargado e instalado the green bow, lo configuraremos, la instalación no requiere configuraciones, por eso no la agregue en esta entrada, después de

instalarlo nos creara el acceso directo  en el escritorio, lo abrimos y vemos que nos despliega un icono en la barra inferior de nuestra maquina, le damos click derecho e ingresamos al

panel de configuración.

En este panel agregaremos las fases, que son como las reglas para el VPN y el tunel, le damos click derecho en Configuracion de VPN, Nueva Fase1.

 

 Esto nos creara una Fase llamada Gateway, alli configuraremos en la pcion Gateway Remoto la direccion del gateway del servidor por el que sale a la WAN, la que vimos en pasos

anteriores, la 192.168.10.124 este es el gateway, en Autenticación seleccionamos la opción Llave secreta, o si lo hicimos por certificado seleccionamos certificado y lo subimos, como lo hicimos por palabra clave, pondremos la palabra clave que pusimos en la configuración de la

autenticación de la conexión, nuestra palabra es 1234567890, y en el IKE el tipo de criptografía que seleccionamos también en las opciones avanzadas de la configuración de la

conexión.

Ahora crearemos el tunel, le damos en gateway click derecho, Nueva Fase2.

Esto nos creara la segunda fase llamada Túnel, allí en las Direcciones, el tipo de Dirección le diremos Dirección IP de Red, en Dirección de LAN remota, como su nombre lo especifica pondremos el gateway del servidor endian de la LAN la 192.168.100.1 con su respectiva

mascara, y en PFS el grupo ya sea el DH2 o el DH5 (esto lo seleccionamos en la configuración avanzada de la conexión en el servidor endian VPN).

Una vez configuradas las dos fases, le damos guardar y aplicar.

Vamos al icono de la barra inferior, y le damos Abrir tunel'Gateway-Tunnel'.

Si nuestras configuraciones están bien, y no tenemos problemas de conectividad entre maquinas, tendremos éxito en la conexión por IPsec, y nos saldrá Túnel abierto.

En el servidor nos dirigimos a IPsec, y vemos en estado y control de conexión, que nuestra conexión esta abierta.

Si queremos ver los registros, los loggins, etc, ingresamos a Registros en la barra de menu.

Una vez alli, vemos una tabla con todos los registros que podemos ver, buscaremos el de OpenVPN.

Hacemos click en Muestra este registro únicamente, y vemos el registro, que podemos ver alli? por ejemplo la fecha, el usuario y la ip del cliente que se conecto al túnel.

Glosario

IKE (internet key exchange): es un protocolo que nos proporciona la seguridad en el protocolo IPsec, como un método de autenticidad, mediante llaves publicas o privadas.

AES: es un estándar de cifrado muy utilizado en criptografia simétrica que funciona mediante un cifrado de bloques.

Creo que estos son los términos mas desconocidos, cualquier inquietud por favor comentar y esperar respuesta gracias.

Problemas Errores

Estas configuraciones e instalaciones son bastante sencillas pero a veces resultan pequeños conflictos estas son algunas pautas en caso de algun posible error:

* Verificar rangos de direcciones, en the green bow verificar que tengamos bien los gateways tanto de la LAN como de la WAN en las dos fases y que la maquina cliente pertenezca por al menos un adaptador de red a alguno de estas dos redes.

* Muchas veces en el OpenVPN no agregamos el KEY el cual algunas veces es necesario para la autenticacion,  ingresaremos a Inicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN key y esto nos generara la llave en la carpeta config del OpenVPN y la autenticacion y la conexion deberan ser exitosas.

Esto fue instalación, configuración e implementación de una conexión virtual segura, mediante el servidor Endian Firewall/OpenVPN e IPsec, utilizando como cliente The Green Bow, Hasta

pronto!!