IMPLEMENTACIN DE PROXY CON PFSENSE

Por
Wilmer Arlex Castrilln




Grupo
38110



Instructor
Mauricio Ortiz




Centro de servicios y gestin empresaria
Tecnlogo en administracin de redes
Sena
Medelln
2011
Introduccin
En este trabajo les dar a conocer como implementar y configurar un proxy con pfsense.
Pfsense es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y
Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de
ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin
Un proxy es un programa o dispositivo que realiza una accin en representacin de otro, esto
es, si una hipottica mquina a solicita un recurso a una c, lo har mediante una peticin a b; C
entonces no sabr que la peticin procedi originalmente de a. Su finalidad ms habitual es la
de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un
servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc.




















Servidor proxy en pfsense
Para implementar un servidor proxy primeros vamos a dar una pequea teora del servidor
proxy.
Un proxy me permite tener control sobre la navegacin en internet. Su finalidad ms habitual
es la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a
un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato,
etc.
Existes mltiples proxies que cumplen la misma finalidad pero lo hacen de maneras diferentes.
Estos son los tipos de proxys:
Servicio Proxy o Proxy Web:Su funcionamiento se basa en el del Proxy HTTP y HTTPs,
pero la diferencia fundamental es que la peticin se realiza mediante una Aplicacin
Web embebida en un Servidor HTTP al que se accede mediante una direccin DNS,
esto es, una pgina web que permite estos servicios.
Proxy Cach:Su mtodo de funcionamiento es similar al de un proxy HTTP o HTTPs. Su
funcin es precargar el contenido web solicitado por el usuario para acelerar la
respuesta Web en futuras peticiones de la misma informacin de la misma mquina u
otras.
Almacenar las pginas y objetos que los usuarios solicitan puede suponer una violacin
de la intimidad para algunas personas.
Proxies transparentes: Un proxy transparente combina un servidor proxy con NAT
(Network AddressTranslation) de manera que las conexiones son enrutadas dentro del
proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente
conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de
servicios de internet (ISP).
Reverse Proxy / Proxy inverso:Un reverse proxy es un servidor proxy instalado en el
domicilio de uno o ms servidores web. Todo el trfico entrante de Internet y con el
destino de uno de esos servidores web pasa a travs del servidor proxy.
Proxy NAT:Otro mecanismo para hacer de intermediario en una red es el NAT.
La traduccin de direcciones de red (NAT, Network AddressTranslation) tambin es
conocida como enmascaramiento de IPs. Es una tcnica mediante la cual las
direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de
ah el "enmascaramiento").
Proxy abierto:Este tipo de proxy es el que acepta peticiones desde cualquier
ordenador, est o no conectado a su red.
Cross-Domain Proxy:Tpicamente usado por Tecnologas web asncronas (flash, ajax,
comet, etc) que tienen restricciones para establecer una comunicacin entre
elementos localizados en distintos dominios.



Diagrama a trabajar

La implementacin del servidor proxy la vamos a realizar en pfsense. Ya luego de tener
instalado el pfsense y configurado las interfaces no dirigimos a instalar el paquete squid que
es uno de los servidores proxies ms implementados a nivel mundial.
Para instalar el paquete, entramos al sitio web administrativo del pfsense y seleccionamos la
pestaa Systemy damos clic en la opcin Packages.



Luego vamos a buscar el paquete squid y cuando ya lo encontremos al frente de paquete
aparece un cuadrito con un signo +, damos clic sobre el cuadrito para instalar el paquete.
Nota: Le decimos paquete al programa a instalar en el pfsense.


Cuando hacemos el paso anterior nos aparecer una imagen como la que se muestra a
continuacin, donde aparece el proceso de instalacin del paquete. Esperamos a que el
proceso termine.








Ya de terminado el proceso de instalacin nos vamos a la opcin Services y nos debe aparecer
el proxy instalado. El proxy en pfsense se hace llamar Proxy Server. Damos doble clic sobre la
opcin Proxy Server para entrar a configurar y crear restricciones en el servidor proxy.

Nos vamos para la pestaa Generalpara ver la configuracin bsica del proxy. Los cambios
realizados fueron: habilitar el proxy transparente, cambiar idioma al idioma correspondiente al
lenguaje hablado y en el parmetro Proxy interface especificamos en que interfaz va a trabajar
el proxy transparente. El proxy siempre va a actuar en la interfaz de la red LAN. El resto de los
parmetros se dejan por defecto y guardamos los cambios
Todo lo anterior se muestra en las dos imgenes a continuacin.


Restricciones en el proxy
Ahora vamos a probar que el equipo de la red lan salga a internet. Ingresamos a una pgina
xxx en este caso es www.playboy.com para probar que el equipo si este saliendo a esas
pginas y ms adelante bloquearemos dicha pgina para comprobar el funcionamiento del
proxy..

Para bloquear la pgina del paso anterior nos dirigimos ya dentro de la configuracin del proxy
a la pestaa Access Control para generar la restriccin. Ya dentro de dicha pestaa nos
dirigimos al parmetro Blacklist y al frente colocamos las pginas a bloquear. En este ejemplo
vamos a bloquear la pgina del paso anterior que es www.playboy.com y damos clic en Save.



Ahora vamos a realizar la prueba de la restriccin de la pgina xxx. Para ello nos dirigimos a la
mquina que est dentro de la red LAN y volvemos a ingresar a la pgina www.playboy.com y
nos debe salir un error como se muestra en la imagen siguiente.

Ahora vamos a hacer una restriccin en la que va hacer primordial el peso de descargar de una
pgina. Para realizar dicha restriccin vamos a la pestaa TrafficMigmt y en el parmetro
Maximumdownloadsize especificamos la cantidad mximo peso de descarga d la pgina en
kilobytes, en este ejemplo colocamos 15 kilobytes y guardamos los cambios.


Luego nos dirigimos a la mquina que est dentro de la red LAN para realizar la prueba de la
restriccin del paso anterior. Desde la maquina local abrimos el navegador e ingresamos a la
pgina www.softonic.com, dicha pgina el peso de descarga de la pgina es muy grande ya que
dicha pgina sirve para descargar programas entonces su contenido pesa demasiado. Si todo
est bien nos debe salir una imagen despus de ingresar a la pgina de softonic como la que se
muestra a continuacin.

Vamos a crear una restriccin que cuando un usuario de la red LAN quiera navegar en internet
deba autenticarse contra el servidor proxy. La autenticacin con el proxy no sirve si tenemos
habilitado que el proxy es transparente. Para poder crear la restriccin de autenticacin vamos
a la pestaa General, le quitamos el chulo al parmetro Transparent Proxyy guardamos los
cambios.





Ahora si vamos a crear la restriccin para navegar a internet con autenticacin en el proxy,
para ello nos dirigimos a la pestaa Auth Settings y en el parmetro Authentication method
vamos a seleccionar Local. Esto quiere decir que el mtodo de autenticacin va hacer local y
guardamos los cambios.

Luego vamos a crear los usuarios locales que se van a autenticar en el servidor proxy, para ello
vamos a la pestaa Local Users y dentro de dicha pestaa vamos y dao clic en el cuadrito con
el signo + para agregar un usuario local.
Nota: Los usuarios creados en la pestaa Local Users pueden ser otros usuarios distintos a los
del sistema.

Llenamos los parmetros correspondientes para crear el usuario y luego guerdarmos para que
los cambios se apliquen. En este ejemplo el usuario es Wilmer.


Aqu como lo muestra la imagen siguiente se ve el usuario creado correctamente. Si queremos
aadir ms usuarios repetimos los dos anteriores pasos y listo.

Ahora desde el equipo que est dentro de la red LAN, abrimos el navegador y vamos a
configurar en el navegador el proxy, ya que recuerden que el proxy no est trabajando como
trasparente. Para configurar el proxy en el navegador y realizar la prueba vamos a la opcin del
navegador editary seleccionamos Preferencias.

Luego nos dirigimos a la pestaa Avanzado, luego de estar en dicha pestaa nos dirigimos a la
pestaa Red y damos doble clic sobre la opcin Configuracin.

No va a parecer una imagen como la que se muestra a continuacin, seleccionamos la opcin
Configuracin manual del proxy y en el parmetro Proxy HTTP ingresamos la direccin ip y el
puerto por donde escucha las peticiones del servidor proxy, seleccionamos con el chulo la
opcin Usar el mismo proxy para todo ydamos clic en aceptar.

Cerramos el navegador y lo volvemos a abrir e ingresamos a una pgina en internet y nos debe
aparecer un cuadro solicitando usuario y contrasea para navegar en internet. Si le parece una
imagen como la que se muestra a continuacin la restriccin si se esta aplicando.

Si la autenticacin con el usuario yla contrasea son correctas podremos navegar en internet.

Ahora vamos a crear restriccin por direccin IP. Para hacer dicha restriccin en el pfsense nos
dirigimos a la pestaa Access control y en el parmetro Banned host addresses colocamos la ip
del host a restringir la navegacin y guardamos para que se aplique los cambios.

Ahora desde la maquina local abrimos la consola y listamos su configuracin IP y verificamos
que la IP si corresponda con la direccin IP que se le va a aplicar la restriccin.

Ahora abrimos el navegador e intentamos ingresar a una pgina cualquiera en internet y nos
saldr una imagen como la que se ve a continuacin sacando un error.



Instalacin del complemento SquidGuard para el servidor proxy
SquidGuardes un redirector direccin URL utilizada para el uso de listas negras con los
proxysoftware Squid. Hay dos grandes ventajas de SquidGuard: es rpido y es gratis.
SquidGuard se publica bajo licencia pblica GNU.
Ya sabiendo que es SquidGuard vamos a instalar el paquete o sea el complemento, para ello
nos vamos a la pestaa System del pfsense y seleccionamos Packages.


Buscamos el complemento o paquete y al frente aparece un cuadrito con un signo +,damos
clic sobre el para instalar.


Ya realizado el paso anterior nos va a aparecer el proceso de instalacin y esperamos a que
termine.



Luego de que termine la instalacin vamos a la pestaa Services y nos debe de aparecer el
nombre proxy filter. Si aparece dicho nombre es porque el SquidGuard instalo correctamente
y damos doble clic sobre dicho nombre.

Dentro del Proxy Filter para que el SquidGuard empiece a funcionar vamos al parmetro
Enable y al frente nos va a aparecer un cuadrito para generar un chulito, generamos el chulito
y damos clic en Apply. Si todo lo anterior se hizo correctamente va a aparecer que es
SquidGuard esta iniciado. Todo lo anterior se afirma en la siguiente imagen.

Restricciones con SquidGuard
Para generar restricciones dentro del SquidGuard primero vamos a la pestaa Target
categories para crear una nueva categora. Para agregar la categora debemos dar clic sobre el
cuadrito con el signo +.

Le asignamos un nombre a la categora y vamos al parmetro Domain list y aadimos los
dominios que queremos restringir. En este caso como prueba son los dominios facebook.com
y Wikipedia.org y damos clic en guardar.


Aqu podemos ver que la categora se agreg correctamente.

Luego vamos a crear una regla de grupo para aplicrsela a la categora creada en el paso
anterior, para ello nos dirigimos a la pestaa Groups ACLy damos clic sobre el cuadrito que
tiene un signo +.



Los parmetros a bsicos a configurar son:
Name: Asignamos un nombre para la ACL.
Client (origen): direccin ip del equipo al cual le vamos a aplicar la ACL. Si queremos
aplicrsela a una red completa colocamos el ID de red con su respectiva mascara.
Target Rules: damos clic sobre el smbolo > que aparece en color verde y buscamos la
categora creada anteriormente con el nombre que le asignamos en las opciones que aparecen
al frente de la categora que son Accesscolocamos deny, esto va a denegarlos dominio que
queremos restringir.
Guardamos los cambios.






Ya esta creada la ACL que me va a denegar lo dominios especificados en la categora Paginas.

Ahora vamos hacia el equipo que est dentro de la red para realizar las pruebas de los
dominios. Abrimos el navegador e ingresamos a los dominios denegados anteriormente. En
este ejemplo denegamos facebook.com y wikipedia.org.
En la imagen que se ve a continuacin podremos ver que al ingresar al dominio facebook.com
el proxy deniega la conexin.


En este paso podremos observar tambin que el dominio wikipedia.org tambin el proxy esta
denegando la conexin hacia la pagina web.




Procedemos a crear una restriccin en el proxy de tiempo. La regla de tiempo va a permitir
denegar el acceso a internet en un horario especfico. Para crear la regla de tiempo vamos a la
pestaa Times que est dentro del paquete Proxy Filter y estando dentro de la pestaa Times
damos clic en el cuadrito que tiene en signo + para aadir una nueva regla.


Los parmetros a configurar en esta restriccin son:
Name: asignamos un nombre a la restriccin.
Values: Valores que va a tener la restriccin, que son:
Time type: Especificados el tipo de tiempo
Days: Los das en lo que se va a aplicar la restriccin
Time range: Rango del tiempo en horas para denegar el acceso a internet.
Ya teniendo configurado los parmetros anteriores guardamos. En la imagen que se muestra a
continuacin vemos un ejemplo de cmo crear la regla de tiempo.

En rango del tiempo especificado en el paso anterior fue de 6:30 a 7:30. Ahora nos dirigimos a
la maquina local verificamos la hora que se encuentra en la parte superior derecha e
ingresamos al navegar e intentamos abrir una pagina web. El resultado debe ser igual a el que
nos muestra la imagen siguiente.




Ahora vamos a restringir con el proxy por expresiones. Para realizar las restricciones por
expresiones nos dirigimos a la pestaa Target categories que se encuentra dentro del paquete
Proxy Filter y luego damos clic en el cuadrito que contiene la letra e para editar la categora
que aparece.

Ya estando en la categora nos dirigimos al parmetro Expressions e ingresamos las
expresiones a bloquear, en este caso son sexo y porno, en el parmetro redirect mode
seleccionamos la opcin que aparece en la imagen para que cuando salga el error en la pagina
muestra un mensaje personalizado y el mensaje personalizado se agrega en el parmetro
Redirect. Las expresiones deben de ir separadas por una tubera. Ya cuando tengamos las
expresiones aadidas guardamos.


Desde la maquina que est en la red LAN ingresamos a ww.google.com y buscamos las
expresiones que se aadieron en el paso anterior las cuales se van a denegar. En la imagen
siguiente se muestra ingresando a www.google.com y buscando la expresin sexo.

Al dar enter en buscar en google en el paso anterior nos debe salir la siguiente imagen que se
muestra con el error y el mensaje personalizado que colocamos.





CONCLUSIONES
Al implementar un servidor proxy en nuestra red nos va a permitir tener mejor
rendimiento en una empresa u organizacin ya que tendremos control sobre la
navegacin a internet y esto va permitir que cualquier empleado no entre a pginas
web que no se debe entrar en horarios de trabajo.
El servidor proxy es uno de los elementos bsicos en una red en donde es constante la
navegacin a internet. Un servidor proxy tambin es uno de los elementos de la
seguridad informtica ya que brinda seguridad en la red.
Hay que tener claro antes de implementar un proxy que tipo de proxy se va a utilizar y
que es lo que busca la empresa con el servidor proxy.