Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Implementacion de Un Proxy Firewall en U PDF
Implementacion de Un Proxy Firewall en U PDF
Director:
Ing. ngel Daro Pinto Mangones
NOTA DE ACEPTACIN
-------------------------------------
-------------------------------------
-------------------------------------
-----------------------------------Jurado
----------------------------------Jurado
DEDICATORIA
Agradecimientos
Fundacin Universitaria San Martin, por orientarnos con sus mejores aportes
acadmicos, su dedicacin y espritu de transformacin humana.
A todas las personas que brindaron su valioso aporte para hacer de ste
proyecto una realidad.
Mauricio
TABLA DE CONTENIDO
INTRODUCCIN ......................................................................................................11
CAPITULO I: MARCO TERICO ..............................................................................13
1. CENTOS ...............................................................................................................14
1.1. Porque Centos ...................................................................................................14
2. PROXY .................................................................................................................16
2.1. Definicin ...........................................................................................................16
2.1.1. Principio de funcionamiento ............................................................................17
2.1.2. Filtrado ............................................................................................................17
2.1.3. Autenticacin ..................................................................................................17
2.1.4. Almacenamiento de Logs ................................................................................18
2.2. Los Proxys annimos .........................................................................................18
2.3. Proxys transparentes .........................................................................................18
2.4. Ventajas .............................................................................................................19
2.5. Desventajas .......................................................................................................20
3. FIREWALL ............................................................................................................21
3.1. Qu es un Firewall? ........................................................................................21
Figura 1. Modelo de Firewall .....................................................................................22
3.2. Componentes del sistema Firewall. ....................................................................23
el
idioma
de
los
mensajes
mostrados
por
Squid
hacia el usuario..............53
8. INSTALACION Y CONFIGURACIN DE SHOREWALL (FIREWALL) .................54
8.1. Fichero de configuracin /etc/shorewall/shorewall.conf ......................................54
8.2. Fichero de configuracin /etc/shorewall/zones ...................................................54
8.3. Fichero de configuracin /etc/shorewall/interfaces .............................................55
8.4. Fichero de configuracin /etc/shorewall/policy ...................................................56
8.5. Fichero de configuracin /etc/shorewall/masq ....................................................58
8.6. Fichero de configuracin /etc/shorewall/rules .....................................................59
8.6.1. Accept.. .59
8.6.2. Redirect..60
8.7. Iniciar el cortafuego y aadirlo a los servicios de arranque del sistema .............60
9. CONFIGURACION DE PARMETROS DE SEGURIDAD ....................................62
9.1. Reglas del Firewall .............................................................................................62
9.2. Iniciar el cortafuego y aadirlo a los servicios de arranque del sistema ..............64
CAPITULO 3: PRUEBAS Y RESULTADOS .66
I. PRUEBAS .............................................................................................................67
II. RESULTADOS......................................................................................................70
CONCLUSIONES .....................................................................................................71
RECOMENDACIONES .............................................................................................72
BIBLIOGRAFA .........................................................................................................73
ANEXOS ...................................................................................................................74
I. INSTALACIN DEL SISTEMA OPERATIVO CENTOS 5.4 ...................................75
III. CONFIGURACIN DEL SERVICIO SQUID EN CENTOS. .................................85
INTRODUCCION
11
12
13
1. CENTOS
Durante los ltimos aos en el mundo del alojamiento en Linux, se ha
producido una distribucin que ha sido dominante. Poco a poco, muchas
empresas de web hosting Linux se estn moviendo de otras distribuciones
de Linux a este nuevo sistema operativo dominante debido a sus
caractersticas, precio y seguridad. Centos que ha sido el dominante sistema
operativo Linux en los ltimos aos, sustituyendo rpidamente a la empresa
Red Hat como Linux OS estndar.
La principal ventaja de Centos con respecto a la empresa Red Hat es el
hecho de que es gratis. Mientras que una licencia de servidor para RHEL
(Red Hat Enterprise) puede costarle un brazo y una pierna, Centos es
completamente gratis. Se basa en RHEL y es casi totalmente compatible con
sus productos. Bsicamente este sistema operativo de servidor es lo mismo
que RHEL pero sin la etiqueta de precio. No falta ninguna de las
caractersticas de la empresa de software RHEL, adems del hecho de que
no es oficialmente el apoyo de RHEL.
Tiene muchas ventajas adicionales y modificaciones desde su creacin
inicial.
14
apto
para
el
uso
largo
plazo.
Estas razones, junto con el hecho de que siempre hay para mejorar el
desarrollo activo de la plataforma, la infraestructura de la comunidad, una
comunidad de amistad, y el apoyo de una gran cantidad de proveedores de
alojamiento web Centos, es la eleccin clara para el alojamiento web tanto
ahora como para el previsible futuro.
15
2. PROXY
2.1. Definicin
En el contexto de las redes informticas, el trmino proxy hace referencia a
un programa o dispositivo que realiza una accin en representacin de otro.
Su finalidad ms habitual es la de servidor proxy, que permite el acceso a
Internet a todos los equipos de una organizacin cuando slo se puede
disponer de un nico equipo conectado, esto es, una nica direccin IP.
La palabra proxy se usa en situaciones en donde tiene sentido un
intermediario.
Proxy
(patrn
de
diseo)
tambin
es
un
patrn
de
diseo
16
Una guerra proxy es una en la que las dos potencias usan a terceros
para el enfrentamiento directo.
2.1.2. Filtrado
El filtrado se aplica en funcin de la poltica de seguridad implementada en
la red. Este permite bloquear sitios considerados maliciosos o sitios
considerados intiles en relacin a la actividad de la empresa (pornografa,
etc...)
2.1.3. Autenticacin
A fin de limitar el acceso a la red exterior, y aumentar de este modo la
seguridad de la red local, se puede implementar un sistema de
autenticacin para acceder a recursos externos. Esto es bastante disuasivo
17
para los usuarios que desean visitar sitios que estn en contra de las reglas
de uso de Internet en la empresa.
2.4. Ventajas
En general (no slo en informtica), los proxys hacen posibles varias cosas
nuevas:
Ahorro. Slo uno de los usuarios (el proxy) ha de estar equipado para
hacer el trabajo real.
19
2.5.
Desventajas
20
3. FIREWALL
Cada computador que se conecta a internet (y, bsicamente, a cualquier
red de computadores pueda ser vctima del ataque de un hacker.
Por lo tanto, es necesario que las redes de las compaas, como los
usuarios de internet con conexiones por cable o ADSL se protejan contra
intrusiones en la red instalando un dispositivo de proteccin.
3.1 Qu es un Firewall?
Un firewall es un sistema que protege a un computador o a una red de
computadores contra intrusiones provenientes de redes de terceros
(generalmente desde internet). Un sistema de firewall filtra paquetes de
datos que se intercambian a travs de internet. Por lo tanto, se trata de una
pasarela de filtrado que comprende al menos las siguientes interfaces de
red:
21
22
Ruteador Filtra-paquetes.
Gateway a nivel-aplicacin.
Gateway a nivel-circuito.
23
25
26
IP fuente
IP destino
Protocolo
Puerto
Puerto
fuente
destino
tcp
cualquiera
25
Aceptar
192.168.10.3
tcp
cualquiera
80
Aceptar 192.168.10.0/24
cualquiera
tcp
cualquiera
80
Negar
cualquiera
cualquiera
cualquiera
30
31
32
33
CAPITULO 2: IMPLEMENTACIN Y
CONFIGURACIN
34
4.
EQUIPOS
MATERIALES
NECESARIOS
PARA
LA
1 Router.
1 Switch.
1 PC servidor Proxy/Firewall.
1 PC servidor Web.
Conectores RJ45.
NETWORKING=yes
HOSTNAME=localhost.tobe
BOOTPROTO=static
IPADDR=192.168.2.2
NETMASK=255.255.255.0
GATEWAY=192.168.2.1
Los parmetros anteriores son proporcionados por el administrador de la
red local en donde se localice la mquina que est siendo configurada, o
bien definidos de acuerdo a una planificacin previamente establecida. El
administrador de la red deber proporcionar una direccin IP disponible
(IPADDR) y una mscara de la subred (NETMASK).
5.2.3.
Servidores de nombres
nameserver 192.168.3.2
5.2.4.
cambiando
net.ipv4.ip_forward
por
net.ipv4.ip_forward = 1:
net.ipv4.ip_forward = 1
38
tiene
habilitado
Zeroconf,
tambin
conocido
como
Zero
192.168.1.0
0.0.0.0
255.255.255.0
eth0
169.254.0.0
0.0.0.0
255.255.0.0
eth0
127.0.0.0
0.0.0.0
255.0.0.0
lo
0.0.0.0
192.168.1.1
0.0.0.0
UG
eth0
192.168.1.0 0.0.0.0
255.255.255.0
0 eth0
127.0.0.0
0.0.0.0
255.0.0.0
lo
0.0.0.0
192.168.1.1
UG
eth0
0.0.0.0
Al terminar utilize:
depmod -a
Reinicie el sistema a fin de que surtan efecto los cambios.
reboot
6. CONFIGURACIN DE ROUTER
Para configurar un router se tiene que asignar ips a las interfaces y tambin
la ruta esttica desde el firewall hacia la LAN, como se muestra en el
grfico.
41
42
/etc/squid
7.3.
Configuracin Squid
http_port
cache_dir
httpd_accel_host
httpd_accel_port
httpd_accel_with_proxy
44
7.3.1.
Parmetro http_port
http_port 3128
7.3.2.
Parmetro cache_mem
# cache_mem 8 MB
por:
cache_mem 50 MB
7.3.3.
Parmetros cache_swap
Dentro
del
cache_swap,
existen
dos
parmetros:
cache_swap_low
#cache_swap_low 90
#cache_swap_high 95
Por:
45
cache_swap_low 90
cache_swap_high 95
Con esto decimos al squid que mantenga los niveles del espacio del area
de intercambio entre 90% y 95%.
7.3.4.
Parmetros maximum_object_size
Utilizamos esta directiva para indicar el tamao mximo para los objetos a
almacenar en la cache.
#maximum_object_size 4096 KB
por:
maximum_object_size 10240 MB
7.3.5.
Parmetro hierarchy_stoplist
Este parmetro es til para indicar a squid que pginas que contengan
ciertos caracteres no deben almacenarse en cache. Tambin se pueden
incluir como sitios de web mail y paginas locales en su red ya que no sera
necesario almacenarlas en el cache, esta opcin ya viene habilitada
solamente tendremos que modificarle algunos datos de la misma.
hierarchy_stoplist cgi-bin?
por
hierarchy_stoplist cgi-bin ? hotmail gmail yahoo
46
7.3.6.
Parmetro visible_hostname
Es el nombre del equipo, el nombre debe ser igual a los siguientes ficheros
/etc/hosts y en /etc/sysconfig/network. Este parmetro no viene configurado
en el archivo de configuracin, tendremos que agregar y que en ocasiones
pueda ser que nuestro servicio de squid no quiera iniciar.
visible_hostname mantis
7.3.7.
Parmetro cache_dir
7.3.8.
Parmetro access_log
7.3.9.
Parmetro cache_log
cache_log /var/log/squid/cache.log
7.4.
Reglas ACL
Una ACL es una definicin de control de acceso, que utiliza squid para
especificar mediante el, existen varios tipos de reglas ACL que
comentaremos en la tabla.
src
Time
dts
url_regex
srcdomain
urlpath_regex
dstdomain
req_mime
srcdom_regex
Macaddress
dstdom_regex
Password
48
7.4.1.
Esta regla que se llama redes en la cual manda a llamar al archivo permitido
el cual se encuentra en /etc/squid, contiene las IP de la gente que trabaja en
redes.
acl redes src /etc/squid/permitidos
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.5
7.4.2.
49
En esta regla es llamada webmail la cual contendr como destino final las
direcciones de webmail mas conocidos de internet.
7.4.3.
Archivo noporno.txt:
-
Sex
xxx
adult
pornotube
chicas
porn
playboy
Factor y de inters social, con un horario de 08:00 a 19:00 hrs, sin poder
descargar archivos de msica y vdeos.
Comenzaremos a configurar el control de accesos.
http_access allow redcorporativa
http_access allow webmail
http_access allow/deny webmail2
Firefox
Men Editar ---> Avanzadas ---> Red ---> Configuracin de red.
Opera.
51
Internet Explorer.
Men Herramientas ---> Opciones de Internet --->Conexiones --->
Configuracin de LAN
httpd_accel_host 192.168.3.2
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Dichas
traducciones
se
pueden
encontrar
en
rm -f /etc/squid/errors
53
ln -s /usr/share/squid/errors/Spanish /etc/squid/errors
8.
54
#ZONE
DISPLAY
fw
firewall
net
ipv4
lan
ipv4
OPTIONS
INTERFACE
BROADCAST
net
eth1
detect
loc
eth0
detect
OPTIONS
GATEWAY
INTERFACE
BROADCAST
net
eth0
detect
loc
eth1
detect
dmz
eth2
detect
OPTIONS
GATEWAY
Hay una cuarta zona implcita que corresponde al cortafuego mismo y que se
denomina fw.
Si acaso hubiera un servicio de DHCP, sea como cliente, como servidor o
como intermediario, en alguna de las interfaces, se debe aadir la opcin
dhcp para permitir la comunicacin requerida para este servicio. En el
siguiente ejemplo el anfitrin donde opera el cortafuegos obtiene su direccin
IP, para la interfaz ppp0, a travs del servicio DHCP del ISP; en este mismo
anfitrin opera simultneamente un servidor DHCP, el cual es utilizado en la
red de rea local para asignar direcciones IP; por todo lo anterior se debe
activar
la
opcin
DHCP
para
las
interfaces
eth0
eth1,
que
INTERFACE
BROADCAST
OPTIONS
net
ppp0
detect
dhcp
loc
eth1
detect
dhcp
dmz
eth2
detect
GATEWAY
DEST
POLICY LOG
lan
net
ACCEPT
fw
net
ACCEPT
lan
fw
ACCEPT
LIMIT: BURST
56
net
all
DROP
info
all
all
REJECT
info
DEST
POLICY LOG
LIMIT: BURST
net
all
DROP
info
all
all
REJECT
Info
#SOURCE
DEST
POLICY LOG
LIMIT: BURST
fw
net
ACCEPT
net
all
DROP
info
all
all
REJECT
info
enmascaramiento.
En
el
siguiente
ejemplo,
se
realizar
SUBNET ADDRESS
ppp0
eth0
ppp0
eth1
PROTO PORT(S)
IPSEC
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
eth0
192.168.0.0/24
eth0
192.168.1.0/24
PROTO PORT(S)
IPSEC
58
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
SUBNET
eth1
ADDRESS
192.168.3.2
PROTO
tcp
PORT(S)
IPSEC
25,110, 53
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Accept
SOURCE
net
DEST
fw
80,25,110, 53
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
59
8.6.2.
Redirect
SOURCE DEST
REDIRECT
loc
8080
tcp
80
REDIRECT
dmz
8080
tcp
80
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
En el siguiente ejemplo las peticiones hechas desde la red local (LAN) sern
redirigidas hacia el puerto 8080 del cortafuegos, en donde hay un Servidor
Intermediario (Proxy) configurado de modo transparente, limitando la taza
de conexiones a diez por segundo con rfagas de hasta cinco conexiones.
Esto es muy til para evitar ataques de DoS (acrnimo de Denial of Service
que se traduce como Denegacin de Servicio) desde la red local (LAN).
#ACTION
SOURCE
REDIRECT
loc
tcp
80
20/sec:5
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
8.7.
60
OPTIONS
eth0
192.168.1.0/24
eth0
192.168.2.30, 192.168.2.31
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Con esto estamos desviando el trafico que venga por la LAN que vaya por
web al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no
se pueden desplegar las paginas seguras, para eso necesitamos aplicar
otras reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente
manera:
iptables -t nat -A PREROUTING -i eth1 -p tcp dport 443 -j REDIRECT --toport 3128
62
Aceptamos que todo el trfico que viene desde la red local vaya hacia los
puertos 80/443 sean aceptadas estas son solicitudes http/https:
64
HOST(S)
eth0
192.168.1.0/24
eth0
192.168.2.30, 192.168.2.31
OPTIONS
65
CAPITULO 3:
PRUEBAS Y RESULTADOS
66
I. PRUEBAS
Luego
de
realizar
las
configuraciones
de
las
interfaces
los
67
68
69
II.
RESULTADOS
70
CONCLUSIONES
Luego de haber revisado todo sobre el DNS nos hemos dado cuenta que
es muy til para la reparticin de dominios y adems se ha aprendido a
tener mucho cuidado en cuanto a la configuracin y proteccin.
71
RECOMENDACIONES
72
BIBLIOGRAFA
http://www.alcancelibre.org/staticpages/index.php/como-centos5-grafico
- Gua de instalacin de Centos 5.4
http://linux-web-py.blogspot.com/2009/02/porque-centos-es-el-sistemaoperativo.html - Definicin de Centos
http://es.wikipedia.org/wiki/Proxy - Definicin de Proxy
http://www.linuxparatodos.net/portal/staticpages/index.php?page=19-0como-squid-general - Configuracin de Proxy
http://www.linuxparatodos.net/portal/staticpages/index.php?page=comoshorewall-3-interfaces-red Configuracin de Firewall
http://www.icetex.gov.co/portal/Default.aspx?tabid=1012 - Polticas De
Seguridad De La Informacin
73
ANEXOS
74
I.
75
Salvo que exista una instalacin previa que se desee actualizar (no
recomendado), deje seleccionado Instalar Centos y haga clic en el botn
Siguiente a fin de realizar una instalacin nueva.
Para crear las particiones de forma automtica, lo cual puede funcionar para
la mayora de los usuarios, puede seleccionar:
Remover
particiones
en
dispositivos
seleccionados
crear
76
77
Si est conforme, haga clic otra vez en el botn Nuevo y proceda a crear
la siguiente particin.
78
Configuramos:
/: 25Gb
Swap: 2Gb
Asigne a la particin / el resto del espacio disponible menos lo que tenga
calculado asignar para la particin de intercambio (200% de la memoria
fsica, o cuanto baste para 2 GB). Se recomienda asignar / como particin
primaria, siempre que la tabla de particiones lo permita.
Si est conforme, haga clic otra vez en el botn Nuevo y proceda a crear
la siguiente particin.
La particin para la memoria de intercambio no requiere punto de montaje.
Seleccione en el campo de Tipo de sistema de archivos la opcin
swap, asigne el 200% de la memoria fsica (o cuanto basta para 2 GB).
Por tratarse de la ltima particin de la tabla, es buena idea asignarle el
espacio por rango, especificando valores ligeramente por debajo y
ligeramente por arriba de lo planeado.
Otras particiones que se recomienda asignar, si se dispone del espacio en
disco duro suficiente, son:
/usr:
8 GB
/tmp:
3 GB
/var:
10 GB
/home:
10 GB
Si est conforme con la tabla de particiones creada, haga clic sobre el botn
siguiente para pasar a la siguiente pantalla.
79
80
81
82
83
84
II.
85
86
87
88
89