Está en la página 1de 89

IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD

MAURICIO JOSE NADER SIERRA

FUNDACIN UNIVERSITARIA SAN MARTN FACULTAD DE EDUCACION ABIERTA Y A DISTANCIA PROGRAMA DE INGENIERIA DE SISTEMAS SINCELEJO SUCRE 2011

IMPLEMENTACION DE UN PROXY FIREWALL EN UNA RED CONSIDERANDO POLITICAS DE SEGURIDAD

MAURICIO JOSE NADER SIERRA

Trabajo de grado presentado como requisito para optar el ttulo de Ingeniero de Sistemas.

Director: Ing. ngel Daro Pinto Mangones

FUNDACIN UNIVERSITARIA SAN MARTN FACULTAD DE EDUCACION ABIERTA Y A DISTANCIA PROGRAMA DE INGENIERIA DE SISTEMAS SINCELEJO SUCRE 2011

NOTA DE ACEPTACIN

-------------------------------------

-------------------------------------

-------------------------------------

---------------------------------------Presidente del Jurado

-----------------------------------Jurado

----------------------------------Jurado

Sincelejo, Mayo 31 de 2011

DEDICATORIA

A Dios, que me brindo la luz para prepararme y cumplir la misin que me encomend. A mis padres Jos y Beatriz, por su amor y apoyo incondicional. A mis hermanas Diana y Andrea, por su lealtad y serenidad que me alientan en la vida. A mis amigos, por su gran compaa en mi afn por alcanzar mi sueo.

Mauricio Jos Nader Sierra

Agradecimientos

Expreso mis sinceros agradecimientos a:

Fundacin Universitaria San Martin, por orientarnos con sus mejores aportes acadmicos, su dedicacin y espritu de transformacin humana.

ngel Daro Pinto Mangones, Director del curso de profundizacin.

Gustavo Agudelo Solrzano, Asesor de planeacin del proyecto. Carlos Prez, Asesor metodolgico de esta propuesta.

A todas las personas que brindaron su valioso aporte para hacer de ste proyecto una realidad.

Mauricio

TABLA DE CONTENIDO

INTRODUCCIN ......................................................................................................11 CAPITULO I: MARCO TERICO ..............................................................................13 1. CENTOS ...............................................................................................................14 1.1. Porque Centos ...................................................................................................14 2. PROXY .................................................................................................................16 2.1. Definicin ...........................................................................................................16 2.1.1. Principio de funcionamiento ............................................................................17 2.1.2. Filtrado ............................................................................................................17 2.1.3. Autenticacin ..................................................................................................17 2.1.4. Almacenamiento de Logs ................................................................................18 2.2. Los Proxys annimos .........................................................................................18 2.3. Proxys transparentes .........................................................................................18 2.4. Ventajas .............................................................................................................19 2.5. Desventajas .......................................................................................................20 3. FIREWALL ............................................................................................................21 3.1. Qu es un Firewall? ........................................................................................21 Figura 1. Modelo de Firewall .....................................................................................22 3.2. Componentes del sistema Firewall. ....................................................................23

3.2.1. Ruteador Filtra-paquetes..23 3.2.2. Gateway a nivel-aplicacin... 23 3.2.3. Gateway a nivel-circuito.....23 3.3. Caractersticas y ventajas del Firewall. ..............................................................24 3.4. Diseo de decisin de un Firewall de Internet. ...................................................25 3.5. Cmo funciona un sistema Firewall ....................................................................26 3.6. Filtrado de paquetes Stateless ...........................................................................26 Tabla 1. Reglas del Firewall................27 3.7. Filtrado Dinmico ...............................................................................................28 3.8. Filtrado de aplicaciones......................................................................................29 3.9. El concepto de Firewall personal ........................................................................30 3.10. Beneficios de un firewall en Internet .................................................................30 3.11. Limitaciones del Firewall ..................................................................................33 CAPITULO II: IMPLEMENTACIN Y CONFIGURACIN .......................................34 4. EQUIPOS Y/O MATERIALES NECESARIOS PARA LA CONFIGURACIN DEL PROXY/FIREWALL ..................................................................................................35 Figura 2. Arquitectura De Configuracin ...................................................................35 5. CONFIGURACIN DE PARMETROS DE RED EN CENTOS ..........................36 5.1. Deteccin y configuracin del sustento fsico (hardware). ..................................36 5.2. Asignacin de parmetros de red.36 5.2.1. Nombre del anfitrin (Hostname).....37 5.2.2. Direccin IP, mscara de subred y puerta de enlace.................37

5.2.3. Servidores de nombres ..................38

5.2.4. Funcin de Reenvo de paquetes para IPv4.........................................38

5.2.5. Funcin zeroconf............................39 5.2.6. Desactivar el soporte para IPv6.............................40 6. CONFIGURACIN DE ROUTER .........................................................................41 7. INSTALACIN Y CONFIGURACIN DEL SQUID ...............................................43 7.1. Instalacin ..........................................................................................................43 7.2. Archivos de configuracin del Squid...................................................................43 7.3. Configuracin Squid. .............................................................................. .44 7.3.1. Parmetro http_port45 7.3.2. Parmetro cache_mem.. 45 7.3.3. Parmetros cache_swap.45 7.3.4. Parmetros maximum_object_size46 7.3.5. Parmetro hierarchy_stoplist..46 7.3.6. Parmetro visible_hostname..47 7.3.7. Parmetro cache_dir...47 7.3.8. Parmetro access_log.47 7.3.9. Parmetro cache_log.................48 7.4. Reglas acl ..........................................................................................................48 7.4.1. Regla Tipo src....................49 7.4.2. Regla Tipo dts49

7.4.3. Regla Tipo url_regex.....50 7.5. Configuracin bsica Squid................................................................................51 7.6. Configuracin de Navegadores Web. .................................................................51 7.7. Configuracin Squid Transparente .....................................................................52 7.8. Parmetro http_port ...........................................................................................52 7.9. Control de Acceso ..............................................................................................52 7.10. Proxy Acelerado: Opciones Servidor Intermediario (Proxy) Transparente .53 7.11. Estableciendo el idioma de los mensajes mostrados por Squid

hacia el usuario..............53 8. INSTALACION Y CONFIGURACIN DE SHOREWALL (FIREWALL) .................54 8.1. Fichero de configuracin /etc/shorewall/shorewall.conf ......................................54 8.2. Fichero de configuracin /etc/shorewall/zones ...................................................54 8.3. Fichero de configuracin /etc/shorewall/interfaces .............................................55 8.4. Fichero de configuracin /etc/shorewall/policy ...................................................56 8.5. Fichero de configuracin /etc/shorewall/masq ....................................................58 8.6. Fichero de configuracin /etc/shorewall/rules .....................................................59 8.6.1. Accept.. .59 8.6.2. Redirect..60 8.7. Iniciar el cortafuego y aadirlo a los servicios de arranque del sistema .............60 9. CONFIGURACION DE PARMETROS DE SEGURIDAD ....................................62 9.1. Reglas del Firewall .............................................................................................62

9.2. Iniciar el cortafuego y aadirlo a los servicios de arranque del sistema ..............64 CAPITULO 3: PRUEBAS Y RESULTADOS .66 I. PRUEBAS .............................................................................................................67 II. RESULTADOS......................................................................................................70 CONCLUSIONES .....................................................................................................71 RECOMENDACIONES .............................................................................................72 BIBLIOGRAFA .........................................................................................................73 ANEXOS ...................................................................................................................74 I. INSTALACIN DEL SISTEMA OPERATIVO CENTOS 5.4 ...................................75 III. CONFIGURACIN DEL SERVICIO SQUID EN CENTOS. .................................85

INTRODUCCION

La seguridad ha sido la principal premisa a tratar cuando una organizacin desea conectar una red privada al Internet. Sin tomar en cuenta el tipo de negocio, se ha incrementado el nmero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso pblico en el Internet.

Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas y fluidez del trfico de red de los mismos, debido a que se expone la organizacin privada de sus datos as como la infraestructura de su red a los Expertos de Internet (Internet Crackers). Para superar estos temores y proveer el nivel de proteccin requerida, la organizacin necesita seguir una poltica de seguridad para prevenir el acceso no autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportacin privada de informacin. Todava, aun si una organizacin no est conectada al Internet, esta debera establecer una poltica de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la informacin secreta.

11

En lo que respecta al trfico de red, tenemos la implementacin del proxy el cual es el representante de la red en la que est implementndose. Otra razn que podemos mencionar y que hace interesante para las empresas al

implementar un proxy es el ahorro de ancho de banda que se gana con su uso, al evitar las consultas repetidas a un mismo sitio web. Y por supuesto no podra faltar la razn que aman los gerentes de sistemas y gerentes generales y que el resto de los usuarios odia: restringir el uso de internet solo al personal autorizado y a las pginas web autorizadas por la empresa.

Debido a la importancia que tiene la implementacin de estos componentes de sistemas de red en el presente trabajo se implementara y se configurara un proxy/firewall en una computadora con plataforma Linux (Centos 5), de manera bsica para ampliar nuestros conocimientos sobre el tema, y as poder ofrecer soluciones en situaciones en las que no se disponga de equipos especializados donde se pueda implementar estos componentes para la administracin eficiente de redes.

12

CAPITULO 1: MARCO TEORICO

13

1. CENTOS Durante los ltimos aos en el mundo del alojamiento en Linux, se ha producido una distribucin que ha sido dominante. Poco a poco, muchas empresas de web hosting Linux se estn moviendo de otras distribuciones de Linux a este nuevo sistema operativo dominante debido a sus caractersticas, precio y seguridad. Centos que ha sido el dominante sistema operativo Linux en los ltimos aos, sustituyendo rpidamente a la empresa Red Hat como Linux OS estndar. La principal ventaja de Centos con respecto a la empresa Red Hat es el hecho de que es gratis. Mientras que una licencia de servidor para RHEL (Red Hat Enterprise) puede costarle un brazo y una pierna, Centos es completamente gratis. Se basa en RHEL y es casi totalmente compatible con sus productos. Bsicamente este sistema operativo de servidor es lo mismo que RHEL pero sin la etiqueta de precio. No falta ninguna de las caractersticas de la empresa de software RHEL, adems del hecho de que no es oficialmente el apoyo de RHEL. Tiene muchas ventajas adicionales y modificaciones desde su creacin inicial.

1.1. Por qu Centos?

Centos tiene claras ventajas frente a otras distribuciones de Linux como SO de servidor a causa de una gran activa y creciente comunidad de usuarios de soporte, actualizaciones de seguridad rpida, mantenida por Centos, dedicado a equipos de desarrolladores, y el apoyo de respuesta rpida a travs de chat IRC, manuales en lnea, FAQ, listas de correo y foros. Siendo ya un usuario hace un buen tiempo de Centos, he encontrado por m mismo que el apoyo en estos lugares es tan bueno como y, a menudo superior a los soportes pagados de otras empresas.

14

Centos siempre tiene una ventaja clara entre el personal de apoyo de alojamiento web. Por trmino medio, los administradores de servidores Linux y personal de apoyo estn ms familiarizados con la distribucin Centos que cualquier otra distribucin y los problemas se resuelven ms rpido, ya que es muy probable que ellos incurran en algn mismo problema. Centos tambin est siendo constantemente actualizado con nuevos parches de seguridad, los parches y mejoras en el desempeo. El tiempo necesario para parchar Centos es mejor que el tiempo necesario para los parches de cualquier otro servidor de OS.

Al igual que antes de que la empresa Red Hat, Centos es increblemente estable y eficaz en los recursos. A travs de sus cinco iteraciones, se ha optimizado para correr Apache, PHP, MySQL, Ruby on Rails, y una variedad de otros marcos de desarrollo con la mxima eficacia. Si ests buscando alojarte a ti mismo, Centos es probablemente el sistema operativo que usted desea utilizar como se hace desde el suelo hasta que sea fcil de mantener y muy apto para el uso a largo plazo.

Estas razones, junto con el hecho de que siempre hay para mejorar el desarrollo activo de la plataforma, la infraestructura de la comunidad, una comunidad de amistad, y el apoyo de una gran cantidad de proveedores de alojamiento web Centos, es la eleccin clara para el alojamiento web tanto ahora como para el previsible futuro.

15

2. PROXY 2.1. Definicin En el contexto de las redes informticas, el trmino proxy hace referencia a un programa o dispositivo que realiza una accin en representacin de otro. Su finalidad ms habitual es la de servidor proxy, que permite el acceso a Internet a todos los equipos de una organizacin cuando slo se puede disponer de un nico equipo conectado, esto es, una nica direccin IP. La palabra proxy se usa en situaciones en donde tiene sentido un intermediario.

El uso ms comn es el de servidor proxy, que es un computador que intercepta las conexiones de red que un cliente hace a un servidor de destino. De ellos, el ms famoso es el servidor proxy web (comnmente conocido solamente como proxy). Intercepta la navegacin de los clientes por pginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. Tambin existen proxys para otros protocolos, como el proxy de FTP. El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre varios computadores. Proxy (patrn de diseo) tambin es un patrn de diseo

(programacin) con el mismo esquema que el proxy de red. Un componente hardware tambin puede actuar como intermediario para otros.

16

Fuera de la informtica, un proxy puede ser una persona autorizada para actuar en representacin de otra persona; por ejemplo, alguien a quien le han delegado el derecho al voto.

Una guerra proxy es una en la que las dos potencias usan a terceros para el enfrentamiento directo.

Como se ve, proxy tiene un significado muy general, aunque siempre es sinnimo de intermediario. Tambin se puede traducir por delegado o apoderado (el que tiene el poder).

2.1.1 Principio de funcionamiento Los servidores Proxy permiten dar seguridad y mejorar el acceso a pginas Web, conservndolas en la cach. De este modo, cuando un usuario enva una peticin para acceder a una pgina Web que est almacenada en la cach, la respuesta y el tiempo de visualizacin es ms rpido. Los servidores Proxy aumentan tambin la seguridad ya que pueden filtrar cierto contenido Web y programas maliciosos.

2.1.2. Filtrado El filtrado se aplica en funcin de la poltica de seguridad implementada en la red. Este permite bloquear sitios considerados maliciosos o sitios considerados intiles en relacin a la actividad de la empresa (pornografa, etc...)

2.1.3. Autenticacin A fin de limitar el acceso a la red exterior, y aumentar de este modo la seguridad de la red local, se puede implementar un sistema de autenticacin para acceder a recursos externos. Esto es bastante disuasivo 17

para los usuarios que desean visitar sitios que estn en contra de las reglas de uso de Internet en la empresa.

2.1.4. Almacenamiento de Logs El almacenamiento de logs de los sitios visitados y pginas vistas, permite al administrador de la red redefinir la poltica de seguridad de la red y/o detectar a un usuario que visita frecuentemente sitios maliciosos o sin relacin con la actividad de la empresa.

2.2. Los proxys annimos Adems de ocultar la direccin IP, un Proxy annimo puede eliminar: - Cookies - Pop-ups - Banners - Scripts - Informacin confidencial en los campos de texto (nombre de usuario y contrasea)

2.3. Proxys transparentes

Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxys para reforzar las polticas de uso de la red o para proporcionar seguridad y servicios de cach. Normalmente, un proxy Web o NAT no es transparente a la aplicacin cliente: debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy cambiando simplemente la configuracin. Una ventaja de tal es que se puede usar para redes de empresa. Un proxy transparente combina un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el 18

propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP).

2.4. Ventajas En general (no slo en informtica), los proxys hacen posibles varias cosas nuevas:

Control: slo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy.

Ahorro. Slo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real.

Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer cach: guardar la respuesta de una peticin para darla directamente cuando otro usuario la pida. As no tiene que volver a contactar con el destino, y acaba ms rpido.

Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que estn prohibidas.

Modificacin. Como intermediario que es, un proxy puede falsificar informacin, o modificarla siguiendo un algoritmo.

Anonimato. Si todos lo usuarios se identifican como uno slo, es difcil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificacin.

19

2.5.

Desventajas

En general (no slo en informtica), el uso de un intermediario puede provocar:

Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y al responderlas, es posible que haga algn trabajo que no toque. Por tanto,

Controlar quin tiene acceso y quin no a sus servicios, cosa que normalmente es muy difcil.

Carga. Un proxy ha de hacer el trabajo de muchos usuarios. Intromisin. Es un paso ms entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de cach y guarda copias de los datos.

Incoherencia. Si hace de cach, es posible que se equivoque y d una respuesta antigua cuando hay una ms reciente en el recurso de destino. En realidad este problema no existe con los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar que la versin que tiene en cache sigue siendo la misma que la existente en el servidor remoto.

Irregularidad. El hecho de que el proxy represente a ms de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicacin directa entre 1 emisor y 1 receptor (como TCP/IP).

20

3. FIREWALL Cada computador que se conecta a internet (y, bsicamente, a cualquier red de computadores pueda ser vctima del ataque de un hacker.

La metodologa que generalmente usan los hackers consiste en analizar la red (mediante el envo aleatorio de paquetes de datos) en busca de un computador conectado. Una vez que encuentra un computador, el hacker busca un punto dbil en el sistema de seguridad para explotarlo y tener acceso a los datos de la mquina. Por muchas razones, esta amenaza es an mayor cuando la mquina est permanente conectada a internet.

Es probable que la mquina elegida est conectada pero no controlada. Generalmente, la mquina conectada que se elige posee un ancho de banda ms elevado.

La mquina elegida no cambia las direcciones IP o lo hace muy ocasionalmente.

Por lo tanto, es necesario que las redes de las compaas, como los usuarios de internet con conexiones por cable o ADSL se protejan contra intrusiones en la red instalando un dispositivo de proteccin.

3.1 Qu es un Firewall? Un firewall es un sistema que protege a un computador o a una red de computadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a travs de internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red: 21

- Una interfaz para la red protegida (red interna). - Una interfaz para la red externa.

Figura 1. Modelo de Firewall

El sistema firewall es un sistema de software, a menudo sustentado por un hardware de red dedicada, que acta como intermediario entre la red local (computadora local) y una o ms redes externas. Un sistema de firewall puede instalarse en computadores que utilicen cualquier sistema siempre y cuando: La mquina tenga capacidad suficiente como para procesar el trfico. El sistema sea seguro. No se ejecute ningn otro servicio ms que el servicio de filtrado de paquetes en el servidor.

22

3.2. Los componentes del sistema Firewall. Un Firewall tpico se compone de uno, o una combinacin, de:

Ruteador Filtra-paquetes. Gateway a nivel-aplicacin. Gateway a nivel-circuito.

3.2.1. Ruteador Filtra-paquetes. El ruteador toma las decisiones de rehusar y permitir el paso de cada uno de los paquetes que son recibidos. Este sistema se basa en el examen de cada datagrama enviado y cuenta con una regla de revisin de informacin de los encabezados IP, si estos no corresponden a las reglas, se descarta o desplaza el paquete.

3.2.2. Gateway a nivel-aplicacin Los gateways nivel-aplicacin permiten al administrador de red la implementacin de una poltica de seguridad estricta que la que permite un ruteador filtra-paquetes. Mucho mejor que depender de una herramienta genrica de filtrapaquetes para administrar la circulacin de los servicios de Internet a travs del firewall, se instala en el gateway un cdigo de propsitoespecial (un servicio Proxy) para cada aplicacin deseada.

3.2.3. Gateway a nivel-circuito Un Gateway a nivel-circuito es en si una funcin que puede ser perfeccionada en un Gateway a nivel-aplicacin. A nivel-circuito simplemente trasmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes.

23

Tal como se menciono anteriormente, este gateway simplemente trasmite la conexin a travs del firewall sin examinarlo adicionalmente, filtrarlo, o dirigiendo el protocolo de Telnet. El gateway a nivel-circuito acciona como un cable copiando los bytes antes y despus entre la conexin interna y la conexin externa.

3.3. Caractersticas y ventajas del Firewall. - Proteccin de la red: Mantiene alejados a los piratas informticos (crakers) de su red al mismo tiempo que permite acceder a todo el personal de la oficina. - Control de acceso a los recursos de la red: Al encargarse de filtrar, en primer nivel antes que lleguen los paquetes al resto de las computadoras de la red, el firewall es idneo para implementar en el los controles de acceso. - Control de uso de internet: Permite bloquear el material no- adecuado, determinar que sitios que puede visitar el usuario de la red interna y llevar un registro. - Concentra la seguridad: El firewall facilita la labor a los responsables de seguridad, dado que su mxima preocupacin de encarar los ataques externos y vigilar, es mantener un monitoreo. - Control y estadsticas: Permite controlar el uso de internet en el mbito interno y conocer los intentos de conexiones desde el exterior y detectar actividades sospechosas. - Choke-Point: Permite al administrador de la red definir un (embudo) manteniendo al margen los usuarios no-autorizados fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la proteccin para varios tipos de ataques. 24

- Genera Alarmas de Seguridad: El administrador del firewall puede tomar el tiempo para responder una alarma y examina regularmente los registros de base. - Audita y registra internet: Permite al administrador de red justificar el gasto que implica la conexin a internet, localizando con precisin los cuellos de botella potenciales del ancho de banda.

3.4. Diseo de decisin de un Firewall de Internet. Cuando se disea un firewall de internet, se toman algunas decisiones que pueden ser asignadas por el administrador de red: - Las polticas que propone el Firewall: Posturas de las polticas No todo lo especficamente permitido est prohibido y Ni todo lo especficamente prohibido est permitido - La primera postura asume que un firewall puede obstruir todo el trfico y cada uno de los servicios o aplicaciones deseadas necesariamente y ser aplicadas caso por caso. - La segunda propuesta asume que el firewall puede desplazar todo el trfico y que cada servicio potencialmente peligroso necesitara ser aislado bsicamente caso por caso. - La Poltica interna propia de la organizacin para la seguridad total: La poltica de seguridad se basara en una conduccin cuidadosa analizando la seguridad, la asesora en caso de riesgo. - El costo Financiero del proyecto Firewall: Es el precio que puede ofrecer una organizacin por su seguridad, un simple paquete filtrado firewall puede tener un costo mnimo ya que la organizacin necesita

25

un ruteador conectado al internet, y dicho paquete ya est incluido como estndar del equipo. 3.5. Cmo funciona un sistema Firewall Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al sistema: - Autorizar la conexin (permitir) - Bloquear la conexin (denegar) - Rechazar el pedido de conexin sin informar al que lo envi (negar) Todas estas reglas implementan un mtodo de filtrado que depende de la poltica de seguridad adoptada por la organizacin. Las polticas de seguridad se dividen generalmente en dos tipos que permiten: - La autorizacin de slo aquellas comunicaciones que se autorizaron explcitamente: "Todo lo que no se ha autorizado explcitamente est prohibido" - El rechazo de intercambios que fueron prohibidos explcitamente. El primer mtodo es sin duda el ms seguro. Sin embargo, impone una definicin precisa y restrictiva de las necesidades de comunicacin. 3.6. Filtrado de paquetes Stateless

Un sistema de firewall opera segn el principio del filtrado simple de paquetes, o filtrado de paquetes stateless. Analiza el encabezado de cada paquete de datos (datagrama) que se ha intercambiado entre un computador de red interna y un computador externo. As, los paquetes de datos que se han intercambiado entre un computador con red externa y uno con red interna pasan por el firewall y

26

contienen los siguientes encabezados, los cuales son analizados sistemticamente por el firewall: - La direccin IP del computador que enva los paquetes - La direccin IP del computador que recibe los paquetes - El tipo de paquete (TCP, UDP, etc.) - El nmero de puerto (recordatorio: un puerto es un nmero asociado a un servicio o a una aplicacin de red). Las direcciones IP contienen los paquetes que permiten identificar al computador que enva los paquetes al computador de destino, mientras que el tipo de paquete y el nmero de puerto indican el tipo de servicio que se utiliza. La siguiente tabla proporciona ejemplos de reglas del firewall: Regla Accin IP fuente IP destino Protocolo Puerto fuente 1 2 3 4 Aceptar 192.168.10.20 194.154.192.3 Aceptar cualquiera 192.168.10.3 cualquiera cualquiera tcp tcp tcp cualquiera cualquiera cualquiera Puerto destino 25 80 80

Aceptar 192.168.10.0/24 Negar cualquiera

cualquiera cualquiera cualquiera

Tabla 1. Reglas Firewall Los puertos reconocidos (cuyos nmeros van del 0 al 1023) estn asociados con servicios ordinarios (por ejemplo, los puertos 25 y 110 estn asociados con el correo electrnico y el puerto 80 con la Web). La mayora de los dispositivos de firewall se configuran al menos para filtrar comunicaciones de acuerdo con el puerto que se use. Normalmente, se recomienda bloquear todos los puertos que no son fundamentales (segn la poltica de seguridad vigente). 27

Por ejemplo, el puerto 23 a menudo se bloquea en forma predeterminada mediante dispositivos de firewall, ya que corresponde al protocolo TELNET, el cual permite a una persona emular el acceso terminal a una mquina remota para ejecutar comandos a distancia. Los datos que se intercambian a travs de TELNET no estn codificados. Esto significa que es probable que un hacker observe la actividad de la red y robe cualquier contrasea que no est codificada. Generalmente, los administradores prefieren el protocolo SSH, el cual tiene la reputacin de ser seguro y brinda las mismas funciones que TELNET. 3.7. Filtrado Dinmico El Filtrado de paquetes Stateless slo intenta examinar los paquetes IP independientemente, lo cual corresponde al nivel 3 del modelo OSI (Interconexin de sistemas abiertos). Sin embargo, la mayora de las conexiones son admitidas por el protocolo TCP, el cual administra sesiones, para tener la seguridad de que todos los intercambios se lleven a cabo en forma correcta. Asimismo, muchos servicios (por ejemplo, FTP) inician una conexin en un puerto esttico. Sin embargo, abren un puerto en forma dinmica (es decir, aleatoria) para establecer una sesin entre la mquina que acta como servidor y la mquina cliente. De esta manera, con un filtrado de paquetes stateless, es imposible prever cules puertos deberan autorizarse y cules deberan prohibirse Para solucionar este problema, el sistema de filtrado dinmico de paquetes se basa en la inspeccin de las capas 3 y 4 del modelo OSI, lo que permite controlar la totalidad de las transacciones entre el cliente y el servidor. El trmino que se usa para denominar este proceso es "inspeccin stateful" o "filtrado de paquetes stateful". Un dispositivo de firewall con "inspeccin stateful" puede asegurar el control de los intercambios. Esto significa que toma en cuenta el estado 28

de paquetes previos cuando se definen reglas de filtrado. De esta manera, desde el momento en que una mquina autorizada inicia una conexin con una mquina ubicada al otro lado del firewall, todos los paquetes que pasen por esta conexin sern aceptados implcitamente por el firewall. El hecho de que el filtrado dinmico sea ms efectivo que el filtrado bsico de paquetes no implica que el primero proteger a la maquina contra los hackers que se aprovechan de las vulnerabilidades de las aplicaciones. An as, estas vulnerabilidades representan la mayor parte de los riesgos de seguridad. 3.8. Filtrado de aplicaciones El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicacin. El filtrado de aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del filtrado simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los protocolos utilizados por cada aplicacin. Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicacin. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un gran entendimiento de la forma en que en sta se estructuran los datos intercambiados (puertos, etc.). Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de aplicaciones" o ("proxy"), ya que acta como rel entre dos redes mediante la intervencin y la realizacin de una evaluacin completa del contenido en los paquetes intercambiados. Por lo tanto, el proxy acta como intermediario entre los computadores de la red interna y la red externa, y es el que recibe los ataques. Adems, el filtrado de aplicaciones permite la destruccin de los encabezados que 29

preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad. Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena proteccin de la red. Por otra parte, el anlisis detallado de los datos de la aplicacin requiere una gran capacidad de procesamiento, lo que a menudo implica la ralentizacin de las comunicaciones, ya que cada paquete debe analizarse minuciosamente. Adems, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades relacionadas para ser efectivo. Finalmente, un sistema como este podra tener vulnerabilidades debido a que interpreta pedidos que pasan a travs de sus brechas. Por lo tanto, el firewall (dinmico o no) debera disociarse del proxy para reducir los riesgos de comprometer al sistema. 3.9. El concepto de Firewall personal El trmino firewall personal se utiliza para los casos en que el rea protegida se limita al computador en el que el firewall est instalado. Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador y prevenir notablemente los ataques de programas como los troyanos, es decir, programas dainos que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas al conectarse a su computador. 3.10. Beneficios de un firewall en Internet Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del

30

sistema se expone al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es nicamente seguro tanto como la seguridad en la fragilidad posible del sistema. El firewall permite al administrador de la red definir un "choke point" (embudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vndalos, y espas) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la proteccin para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administracin, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada. El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algn problema en el trnsito de los datos. Esto se podr notar al acceder al Internet, la pregunta general es "si" pero "cuando" ocurrir el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitcora del trfico significativo a travs del firewall. Tambin, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, ya que el administrador de red desconoce si ha sido exitosamente atacado.

31

- Concentra la seguridad, Centraliza los accesos - Genera alarmas de seguridad Traduce direcciones (NAT) - Monitorea y registra el uso de Servicios de WWW y FTP. - Internet. Con el paso de algunos aos, el Internet ha experimentado una crisis en las direcciones, logrando que el direccionamiento IP sea menos generoso en los recursos que proporciona. Por este medio se organizan las compaas conectadas al Internet, debido a esto hoy no es posible obtener suficientes registros de direcciones IP para responder a la poblacin de usuarios en demanda de los servicios. Un firewall es un lugar lgico para desplegar un Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio de direccionamiento acortando y eliminando lo necesario para re-enumerar cuando la organizacin cambie de Proveedor de Servicios de Internet (ISP). Un firewall de Internet es el punto perfecto para auditar o registrar el uso del Internet. Esto permite al administrador de red justificar el gasto que implica la conexin al Internet, localizando con precisin los cuellos de botella potenciales del ancho de banda, y promueve el mtodo de cargo a los departamentos dentro del modelo de finanzas de la organizacin. Un firewall de Internet ofrece un punto de reunin para la organizacin. Si una de sus metas es proporcionar y entregar servicios de informacin a consumidores, el firewall de Internet es ideal para desplegar servidores WWW y FTP. Finalmente, el firewall puede presentar los problemas que genera un punto de falla simple. Enfatizando si este punto de falla se presenta en la

32

conexin a Internet, aun as la red interna de la organizacin puede seguir operando - nicamente que el acceso al Internet este perdido. La preocupacin principal del administrador de red, son los mltiples accesos al Internet, que se pueden registrar con un monitor y un firewall en cada punto de acceso que posee la organizacin hacia el Internet. Estos dos puntos de acceso significan dos puntos potenciales de ataque a la red interna que tendrn que ser monitoreados regularmente. 3.11. Limitaciones del Firewall Por supuesto que los sistemas firewall no brindan seguridad absoluta; todo lo contrario. Los firewalls slo ofrecen proteccin en tanto todas las comunicaciones salientes pasen sistemticamente a travs de stos y estn configuradas correctamente. Los accesos a la red externa que sortean el firewall tambin son puntos dbiles en la seguridad. Claramente, ste es el caso de las conexiones que se realizan desde la red interna mediante un mdem o cualquier otro medio de conexin que evite el firewall. Asimismo, la adicin de medios externos de

almacenamiento a los ordenadores de sobremesa o porttiles de red interna puede daar enormemente la poltica de seguridad general. Para garantizar un nivel mximo de proteccin, debe ejecutarse un firewall en el computador y su registro de actividad debe controlarse para poder detectar intentos de intrusin o anomalas. Adems, se recomienda controlar la seguridad (por ejemplo, inscribindose para recibir alertas de seguridad de CERT) a fin de modificar los parmetros del dispositivo de firewall en funcin de las alertas publicadas. La instalacin de un firewall debe llevarse a cabo de la mano de una poltica de seguridad real.

33

CAPITULO 2: IMPLEMENTACIN Y CONFIGURACIN

34

4.

EQUIPOS

MATERIALES

NECESARIOS

PARA

LA

CONFIGURACIN DEL PROXY/FIREWALL


1 Router. 1 Switch. 1 PC servidor Proxy/Firewall. 1 PC servidor Web. 2 PC Clientes para la LAN o red corporativa. Cables par trenzado 3 directos y 2 cruzados. Conectores RJ45. Cable consola para la configuracin del Router.

Al contar con los equipos y/o materiales se diseo la arquitectura de la configuracin:

FIGURA 2. Arquitectura De Configuracin 35

5. CONFIGURACIN DE PARMETROS DE RED EN CENTOS Configurar los parmetros de red en una estacin de trabajo Linux se realizaron los siguientes procedimientos:

5.1. Deteccin y configuracin del sustento fsico (hardware) La deteccin del sustento fsico (hardware) es realizada o bien por el programa de instalacin. En trminos generales, no hace falta configurar parmetro alguno mientras los dispositivos de red sean compatibles y exista un controlador para la versin del ncleo (kernel) ejecutado. Es posible configurar todo manualmente. La marca de la tarjeta de red es lo que menos interesa, lo que es importante es que se determine con exactitud que circuito integrado auxiliar (chipset) utiliza la tarjeta de red. Esto puede determinarse examinando fsicamente la tarjeta de red o bien examinando a detalle la salida en pantalla que se obtiene al ejecutar el siguiente comando:

lspci | grep Ethernet

Lo anterior devuelve una salida similar a la siguiente (en el caso de una tarjeta 3Com 905 C).

Ethernet controller: 3Com Corporation 3c905C-TX [Fast Etherlink] (rev 120).

5.2. Asignacin de parmetros de red. 5.2.1. Nombre del anfitrin (Hostname) Debe modificarse con un editor de textos el fichero /etc/hosts, y debe verificarse que este diferenciado el eco o retorno del sistema del nombre del 36

sistema, el cual deber estar asociado a una de las direcciones IP, especficamente la que est asociado a dicho nombre en el servidor del sistema de nombres de dominio (DNS) si se cuenta con uno en la red local.

127.0.0.1 localhost.localdomain localhost 192.168.1.50 localhost.tobe localhost

Se debe establecer un nombre para el sistema. Este deber ser un FQDN (acrnimo de Fully Qualified Domain Name o Nombre de Dominio Plenamente Calificado) resuelto por un servidor de nombres de domino (DNS) o bien, en el caso de sistemas sin conexin a red o sistemas caseros, sea resuelto localmente en el fichero /etc/hosts. De tal modo, el nombre del anfitrin (hostname) del sistema se definir dentro del fichero /etc/sysconfig/network del siguiente modo:

NETWORKING=yes HOSTNAME=localhost.tobe

5.2.2. Direccin IP, mscara de subred y puerta de enlace Debe modificarse con cualquier editor de textos, y verificar que sus parmetros de red sean los correctos, el fichero localizado en la ruta /etc/sysconfig/network-scripts/ifcfg-eth0/1. Ejemplo: DEVICE=eth0 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.1.1 NETMASK=255.255.255.0 DEVICE=eth1 ONBOOT=yes 37

BOOTPROTO=static IPADDR=192.168.2.2 NETMASK=255.255.255.0 GATEWAY=192.168.2.1 Los parmetros anteriores son proporcionados por el administrador de la red local en donde se localice la mquina que est siendo configurada, o bien definidos de acuerdo a una planificacin previamente establecida. El administrador de la red deber proporcionar una direccin IP disponible (IPADDR) y una mscara de la subred (NETMASK). 5.2.3. Servidores de nombres

Debe modificarse con un editor de textos vim /etc/resolv.conf, donde se establecern los servidores del sistema de resolucin de nombres de dominio (DNS). Ejemplo:

nameserver 192.168.3.2

5.2.4.

Funcin de Reenvo de paquetes para IPv4

Si se tiene planeado implementar un NAT o DNAT, se debe habilitar el reenvo de paquetes para IP versin 4. Esto se realiza en el fichero /etc/sysctl.conf cambiando net.ipv4.ip_forward = 0 por

net.ipv4.ip_forward = 1: net.ipv4.ip_forward = 1

Despus de hacer configurado todos los parmetros de red deseados, solo deber de ser reiniciado el servicio de red, ejecutando lo siguiente:

service network restart

38

5.2.5. Funcin zeroconf De modo predeterminado, y a fin de permitir la comunicacin entre dos diferentes sistemas a travs de un cable RJ45 cruzado (crossover), el sistema tiene habilitado Zeroconf, tambin conocido como Zero

Configuration Networking o Automatic Private IP Addressing (APIPA).

Es un conjunto de tcnicas que automticamente crean una direccin IP utilizable sin necesidad de configuracin de servidores especiales. Permite a usuarios sin conocimientos de redes conectar computadoras, impresoras en red y otros aparatos entre si. Sin Zeroconf los usuarios sin conocimientos tendran que configurar servidores especiales como DHCP y DNS para poder establecer conectividad entre dos equipos.

Estando habilitado Zeroconf se mostrar un registro en la tabla de encaminamientos para la red 169.254.0.0 al utilizar el mandato route -n, devolviendo una salida similar a la siguiente:

192.168.1.0 169.254.0.0 127.0.0.0 0.0.0.0

0.0.0.0 0.0.0.0 0.0.0.0 192.168.1.1

255.255.255.0 255.255.0.0 255.0.0.0 0.0.0.0

U U U UG

0 0 0 0

0 0 0 0

0 0 0 0

eth0 eth0 lo eth0

Si se desea desactivar Zeroconf, solo bastar aadir en el fichero /etc/sysconfig/network el parmetro NOZEROCONF con el valor yes: NETWORKING=yes HOSTNAME=localhost.tobe NOZEROCONF=yes Al terminar, solo hay que reiniciar el servicio de red para que surtan efecto los cambios y comprobar de nuevo con el mandato route -n que la ruta para Zeroconf ha desaparecido: 39

192.168.1.0 0.0.0.0 127.0.0.0 0.0.0.0 0.0.0.0 192.168.1.1

255.255.255.0 255.0.0.0 0.0.0.0

U U UG

0 0 0

0 0 0

0 eth0 0 0 lo eth0

Una vez hecho lo anterior, existen dos servicios en el sistema en Centos, que se pueden desactivar puesto que sirven para establecer la comunicacin a travs de Zeroconf, estos son mDNSResponder y nifd. Desactivar estos dos servicios ahorrar tiempo en el arranque y se consumirn algunos pocos menos recursos de sistema.

chkconfig nifd off chkconfig mDNSResponder off service nifd stop service mDNSResponder stop

Muchas aplicaciones y componentes para el modo grfico dependen de Zeroconf para su correcto funcionamiento. Por tanto, no es conveniente desactivar este soporte si se va a hacer uso del modo grfico. 5.2.6. Desactivar el soporte para IPv6

IPv6 o Protocolo de Internet versin 6 (Internet Protocol Version 6) es un estndar del Nivel de Red de TCP/IP orientado hacia datos utilizada por dispositivos electrnicos para transmitir datos a travs de una Interred (Internetworking) creado por Steve Deering y Craig Mudge mientras trabajaban para el Centro de Investigaciones de Palo Alto de Xerox, o Xerox Palo Alto Research Center (Xerox PARC). Sucediendo a IPv4, es la segunda versin de Protocolo de Internet en ser formalmente adoptada para uso general. IPv6 tiene como objetivo solucionar el problema concerniente al lmite de direcciones IP que se pueden asignar a travs de IPv4, las cuales tendrn mucha demanda en un 40

futuro no muy lejano cuando se incrementen el nmero de telfonos mviles y otros dispositivos de comunicacin que ofrezcan acceso hacia Internet. IPv4 solo incluye soporte para 4,294 mil millones (4,294 x 109) de direcciones IP, lo cual es adecuado para asignar una direccin IP a cada persona del planeta. IPv6 incluye soporte para 340 undecillones (340 x 1038) de direcciones IP. Se espera que IPv4 siga siendo til hasta alrededor del ao 2025, lo cual dar tiempo a corregir errores y problemas en IPv6. Mientras no se implemente de modo formal IPv6, el sistema cargar un controlador que har que algunas aplicaciones manifiesten un acceso lento hacia Internet o problemas de conectividad. Si no se va a utilizar IPv6 lo mejor es desactivar ste del sistema. Edite el fichero /etc/modprobe.conf y aada lo siguiente: Tobe ipv6 off tobe net-pf-10 off

Al terminar utilize: depmod -a Reinicie el sistema a fin de que surtan efecto los cambios.

reboot

6. CONFIGURACIN DE ROUTER Para configurar un router se tiene que asignar ips a las interfaces y tambin la ruta esttica desde el firewall hacia la LAN, como se muestra en el grfico.

41

Se realizo la seguridad a nivel de consola y acceso remoto.

Para visualizar el enrutamiento del router utilizamos el comando show ip route.

42

En esta imagen podemos visualizar que no se ha creado listas en el router.

7. INSTALACIN Y CONFIGURACIN DEL SQUID 7.1. Instalacin Para poder instalar el servicio de Squid tendremos que ejecutar los siguientes comandos como usuario root.

[root]#yum install Squid

Con esto instalaremos nuestro servidor Squid ms las dependencias que tenga.

7.2. Archivos de configuracin del Squid Ya teniendo instalado nuestro servidor Squid, ahora debemos saber en dnde se encuentra toda la configuracin del mismo. 43

/etc/squid

Ya dentro de esta carpeta se encontraran varios archivos pero el ms importante es el squid.conf el cual se encarga de la configuracin del servicio. Por recomendacin antes de editar un archivo de configuracin de algn servicio, siempre deberemos hacer una copia de respaldo original del mismo.

[root@localhost squid]# cp squid.conf squid.conf-orig

7.3.

Configuracin Squid

Squid utiliza el fichero de configuracin localizado en /etc/squid/squid.conf, y podr trabajar sobre este utilizando su editor de texto simple preferido. Existen un gran nmero de parmetros, de los cuales se recomienda configurar los siguientes:

http_port cache_dir Al menos una Lista de Control de Acceso Al menos una Regla de Control de Acceso httpd_accel_host httpd_accel_port httpd_accel_with_proxy

44

7.3.1.

Parmetro http_port

En este parmetro configuramos el puerto de escucha de nuestro servidor squid, por default es el puerto 3128, pero tambin puede ser utilizado el 8080.

http_port 3128

7.3.2.

Parmetro cache_mem

Establece la cantidad de memoria RAM dedicada para almacenar los datos ms solicitados. Esta opcin viene comentada por los cual la des comentaremos para darle un valor reservado en memoria RAM.

# cache_mem 8 MB por: cache_mem 50 MB

El valor ya depende del administrador y de la carga que tenga el squid.

7.3.3. Dentro

Parmetros cache_swap del cache_swap, existen dos parmetros: cache_swap_low

cache_swap-hight Con estos le indicamos a squid que mantenga los niveles del espacio del rea de intercambio o tambin conocido como swap. Estos parmetros vienen siempre desactivados por cual los buscaremos para activarlos.

#cache_swap_low 90 #cache_swap_high 95 Por: 45

cache_swap_low 90 cache_swap_high 95

Con esto decimos al squid que mantenga los niveles del espacio del area de intercambio entre 90% y 95%.

7.3.4.

Parmetros maximum_object_size

Utilizamos esta directiva para indicar el tamao mximo para los objetos a almacenar en la cache. #maximum_object_size 4096 KB por: maximum_object_size 10240 MB

7.3.5.

Parmetro hierarchy_stoplist

Este parmetro es til para indicar a squid que pginas que contengan ciertos caracteres no deben almacenarse en cache. Tambin se pueden incluir como sitios de web mail y paginas locales en su red ya que no sera necesario almacenarlas en el cache, esta opcin ya viene habilitada solamente tendremos que modificarle algunos datos de la misma.

hierarchy_stoplist cgi-bin? por hierarchy_stoplist cgi-bin ? hotmail gmail yahoo

46

7.3.6.

Parmetro visible_hostname

Es el nombre del equipo, el nombre debe ser igual a los siguientes ficheros /etc/hosts y en /etc/sysconfig/network. Este parmetro no viene configurado en el archivo de configuracin, tendremos que agregar y que en ocasiones pueda ser que nuestro servicio de squid no quiera iniciar.

visible_hostname mantis

7.3.7.

Parmetro cache_dir

Con este parmetro establecemos el tamao que deseamos que tenga la cache en el disco, lo cual tendremos que habilitar y modificar el siguiente dato.

#cache_dir ufs /var/spool/squid 100 16 256 por cache_dir ufs /var/spool/squid 700 16 256

Con esto establecemos el tamao que deseamos que tenga la cache en el disco, se puede incrementar hasta el tamao que desee el administrador, establecemos 700 MB de cache con 16 directorios subordinados y 256 niveles cada uno.

7.3.8.

Parmetro access_log

Especifica en que directorio se realizara el registro de accesos al squid, este parmetro es importante para definir un anlisis de estadsticas con webalizer.

access_log /var/log/squid/access.log squid 47

7.3.9.

Parmetro cache_log

Define en donde se almacenaran los mensajes del comportamiento de la cache de squid. Por default viene desactivado.

cache_log /var/log/squid/cache.log

7.4.

Reglas ACL

Una ACL es una definicin de control de acceso, que utiliza squid para especificar mediante el, existen varios tipos de reglas ACL que comentaremos en la tabla.

src dts srcdomain dstdomain srcdom_regex dstdom_regex

Time url_regex urlpath_regex req_mime Macaddress Password

Las reglas que se usaran sern las siguientes:

48

7.4.1.

Regla Tipo src

Esta regla especifica una o varias direcciones IP de origen o un segmento de red con su mscara de red. Nomenclatura:

acl [Nombre] src [Contenido]

El nombre de la regla es llamada red corporativa la cual tendra asignada un segmento de red 192.168.1.0 a 24 bits.

Acl redcorporativa src 192.168.1.0/24

Esta regla que se llama redes en la cual manda a llamar al archivo permitido el cual se encuentra en /etc/squid, contiene las IP de la gente que trabaja en redes. acl redes src /etc/squid/permitidos

El archivo permitidos.txt contienen las siguientes ips: o o o o

192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.5

7.4.2.

Regla Tipo dts

Especifica una direccin de destino en formato IP y mascara o el nombre del sitio a visitar. Nomenclatura: acl [Nombre] dts [Contenido]

49

En esta regla es llamada webmail la cual contendr como destino final las direcciones de webmail mas conocidos de internet.

acl webmailip dst 192.168.3.2 255.255.255.0 acl webmailip2 dst 192.168.3.0 255.255.255.0 acl webmail dstdomain www.redes2.com acl webmail2 dstdomain www.fiis.com

7.4.3.

Regla Tipo url_regex

Permite especificar expresiones regulares para comprobar dicha url, a este tipo de regla se recomienda tener un archivo en cual agregamos todas la palabras que nosotros creamos que importantes. Nomenclatura: acl [Nombre] url_regex Path

Archivo noporno.txt: Sex xxx adult pornotube chicas porn playboy

Esta regla se llama noporno el cual manda a llamar a un archivo que contiene palabras relacionadas a pornografa. Acl noporno url-regex /etc/squid/listas/noporno.txt 50

7.5. Configuracin bsica Squid Como vemos en el siguiente diagrama de red, especificaremos las siguientes reglas que tendr la red.

Todas las computadoras de la red corporativa se encuentra dentro del

segmento de red 192.168.1.0/24. El resto de la red solamente tiene acceso a la pgina de la empresa

Factor y de inters social, con un horario de 08:00 a 19:00 hrs, sin poder descargar archivos de msica y vdeos. Comenzaremos a configurar el control de accesos. http_access allow redcorporativa http_access allow webmail http_access allow/deny webmail2

Con esto tendremos ya configurado nuestro squid, para poder exportar en proxy desde consola tendremos que hacer lo siguiente:

[root@localhost ~]# export http_proxy=[http://192.168.2.2:3128]

7.6. Configuracin de Navegadores Web Solo falta que en las ms mquinas clientes se configure la salida a internet por proxy. -

Firefox Men Editar ---> Avanzadas ---> Red ---> Configuracin de red.

Opera.

51

Men Herramientas ---> Preferencias ---> Avanzadas ---> Red Internet Explorer. Men Herramientas ---> Opciones de Internet --->Conexiones ---> Configuracin de LAN 7.7. Configuracin Squid Transparente Este tipo de configuracin de squid transparente, lo que hace es que las conexiones son enrutadas al proxy sin hacer ninguna configuracin en los clientes para que tengan salida a internet. Este tipo de configuracin depende de las reglas del firewall.

7.8. Parmetro http_port Solamente tendremos que configurar este parmetro para que sea un proxy transparente. Se le debe indicar la IP del servidor squid, puerto de escucha y la palabra transparente.

http_port 3128 por http_port 192.168.2.2:3128 transparent

7.9. Control de Acceso El control de acceso define si se permite o deniega el acceso a las reglas para que empecemos a crear el filtrado. Nomenclatura:

http_access allow/Deny Regla

Como sabemos la regla redcorporativa dado el segmento de red 192.168.1.0/24 y tendrn acceso a todo el internet.

http_access allow redcorporativa 52

7.10. Proxy Acelerado: Opciones para Servidor Intermediario (Proxy transparente) Si se trata de un Servidor Intermediario (Proxy) transparente, deben utilizarse las siguientes opciones, considerando que se har uso del cach de un servidor HTTP (Apache) como auxiliar: # Debe especificarse la IP de cualquier servidor HTTP en la # Red local o bien el valor virtual

httpd_accel_host 192.168.3.2 httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on

7.11. Estableciendo el idioma de los mensajes mostrados por Squid al usuario. Squid incluye traduccin a distintos idiomas de las distintas pginas de error e informativas que son desplegadas en un momento dado durante su operacin. Dichas traducciones se pueden encontrar en

/usr/share/squid/errors/. Para poder hacer uso de las pginas de error traducidas al espaol, es necesario cambiar un enlace simblico localizado en /etc/squid/errors para que apunte hacia /usr/share/squid/errors/Spanish en lugar de hacerlo hacia /usr/share/squid/errors/English.

Elimine primero el enlace simblico actual:

rm -f /etc/squid/errors

53

Coloque un nuevo enlace simblico apuntando hacia el directorio con los ficheros correspondientes a los errores traducidos al espaol.

ln -s /usr/share/squid/errors/Spanish /etc/squid/errors

8.

INSTALACION Y CONFIGURACIN DE SHOREWALL (FIREWALL)

8.1. Fichero de configuracin /etc/shorewall/shorewall.conf En ste se definen, principalmente, dos parmetros. STARTUP_ENABLED y CLAMPMSS. STARTUP_ENABLED se utiliza para activar Shorewall. De modo predefinido est desactivado, solo basta cambiar No por Yes. STARTUP_ENABLED=Yes CLAMPMSS se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para limitar el MSS (acrnimo de Maximum Segment Size que significa Mximo Tamao de Segmento). Cambiando el valor No por Yes, Shorewall calcular el MSS ms apropiado para la conexin. Si es lanzado, puede tambin especificarse un nmero en paquetes SYN. La recomendacin es establecer Yes si se cuenta con un enlace tipo PPP. CLAMPMSS=Yes 8.2. Fichero de configuracin /etc/shorewall/zones Este fichero se utiliza para definir las zonas que se administrarn con Shorewall y el tipo de zona (firewall, ipv4 o ipsec). La zona fw est presente en el fichero /etc/shorewall.conf como configuracin predefinida. En el siguiente ejemplo se registrarn las zonas de Internet (net), Red Local (loc):

54

#ZONE fw net lan

DISPLAY firewall ipv4 ipv4

OPTIONS

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 8.3. Fichero de configuracin /etc/shorewall/interfaces En ste se establecen cuales sern las interfaces para las tres diferentes zonas. Se establecen las interfaces que corresponden a la Internet y Red Local. Se cuenta con una interfaz eth0 para acceder hacia la lan y una interfaz eth1 para acceder hacia internet, y en todas se solicita que se calcule automticamente la direccin de transmisin (Broadcast): #ZONE net loc INTERFACE eth1 eth0 BROADCAST detect detect OPTIONS GATEWAY

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE En el siguiente ejemplo, se cuenta con una interfaz eth0 para acceder hacia Internet, una interfaz eth1 para acceder hacia la LAN, y en todas se solicita se calcule automticamente la direccin de transmisin (Broadcast): #ZONE net loc dmz INTERFACE eth0 eth1 eth2 BROADCAST detect detect detect OPTIONS GATEWAY

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 55

Hay una cuarta zona implcita que corresponde al cortafuego mismo y que se denomina fw. Si acaso hubiera un servicio de DHCP, sea como cliente, como servidor o como intermediario, en alguna de las interfaces, se debe aadir la opcin dhcp para permitir la comunicacin requerida para este servicio. En el siguiente ejemplo el anfitrin donde opera el cortafuegos obtiene su direccin IP, para la interfaz ppp0, a travs del servicio DHCP del ISP; en este mismo anfitrin opera simultneamente un servidor DHCP, el cual es utilizado en la red de rea local para asignar direcciones IP; por todo lo anterior se debe activar la opcin DHCP para las interfaces eth0 y eth1, que

correspondientemente son utilizadas por la zona de Internet y la red de rea local: #ZONE net loc dmz INTERFACE ppp0 eth1 eth2 BROADCAST detect detect detect OPTIONS dhcp dhcp GATEWAY

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

8.4. Fichero de configuracin /etc/shorewall/policy En este fichero se establece como se acceder desde una zona hacia otra y hacia la zona de Internet. #SOURCE lan fw lan DEST net net fw POLICY LOG ACCEPT ACCEPT ACCEPT 56 LIMIT: BURST

net all

all all

DROP REJECT

info info

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Lo anterior hace lo siguiente:

1. La zona Lan puede acceder hacia la zona de Internet. 2. El cortafuego mismo puede acceder hacia la zona de Internet. 3. La zona Lan puede acceder hacia la zona del cortafuego. 4. Se impiden conexiones desde Internet hacia el resto de las zonas. 5. Se establece una poltica de rechazar conexiones para todo lo que se haya omitido. Todo lo anterior permite el paso entre las diversas zonas hacia Internet, lo cual no es deseable si se quiere mantener una poltica estricta de seguridad. La recomendacin es cerrar todo hacia todo e ir abriendo el trfico de acuerdo a como se vaya requiriendo. Es decir, utilizar algo como lo siguiente: #SOURCE net all DEST all all POLICY LOG DROP REJECT LIMIT: BURST info Info

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Lo anterior bloquea todo el trfico desde donde sea a donde sea. Si es necesario realizar pruebas de diagnstico desde el cortafuego hacia Internet para probar conectividad y acceso hacia diversos protocolos, se puede utilizar lo siguiente: 57

#SOURCE fw net all

DEST net all all

POLICY LOG ACCEPT DROP REJECT

LIMIT: BURST

info info

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Lo anterior permite al propio cortafuego acceder hacia la zona de Internet. Esta sera la poltica ms relajada que se puede recomendar para mantener un nivel de seguridad aceptable. 8.5. Fichero de configuracin /etc/shorewall/masq Se utiliza para definir que a travs de que interfaz o interfaces se habilitar enmascaramiento, o NAT, y para que interfaz o interfaces o redes se aplicar dicho enmascaramiento. En el siguiente ejemplo, se realizar

enmascaramiento a travs de la interfaz ppp0 para las redes que acceden desde las interfaces eth0 y eth1:
#INTERFACE ppp0 ppp0 SUBNET ADDRESS eth0 eth1 PROTO PORT(S) IPSEC

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

En el siguiente ejemplo, se realizar enmascaramiento a travs de la interfaz eth0 para las redes 192.168.0.0/24 y 192.168.1.0/24:
#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC

eth0 eth0

192.168.0.0/24 192.168.1.0/24

58

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Tambin es posible hacer NAT solamente hacia una IP en particular y para un solo protocolo en particular. En el siguiente ejemplo se hace NAT a travs de la interfaz ppp0 para la direccin 192.168.3.25 que accede desde la interfaz eth1 y solo se le permitir hacer NAT de los protocolos smtp y pop3. Los nombres de los servicios se asignan de acuerdo a como estn listados en el fichero /etc/services.
#INTERFACE eth0 SUBNET eth1 ADDRESS tcp PROTO PORT(S) IPSEC

192.168.3.2

25,110, 53

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

8.6. Fichero de configuracin /etc/shorewall/rules Todos los puertos estn cerrados de modo predefinido, y es en este fichero donde se habilitan los puertos necesarios. Hay diversas funciones que pueden realizarse. 8.6.1. Accept

La accin Accept se hace para especificar si se permiten conexiones desde o hacia una(s) zona (s) un protocolo(s) y puerto(s) en particular. En el siguiente ejemplo se permiten conexiones desde Internet hacia el puerto 80 (www), 25 (smtp) y 110 (pop3). Los nombres de los servicios se asignan de acuerdo a como estn listados en el fichero /etc/services.
#ACTION ACCEPT SOURCE net DEST fw PROTO DEST PORT tcp 80,25,110, 53

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

59

8.6.2.

Redirect

La accin Redirect permite redirigir peticiones hacia un puerto en particular. Muy til cuando se quieren redirigir peticiones para HTTP (puerto 80) y se quiere que estas pasen a travs de un Servidor Intermediario (Proxy) como Squid. En el siguiente ejemplo las peticiones hechas desde la red local y desde la DMZ sern redirigidas hacia el puerto 8080 del cortafuegos, en donde hay un Servidor Intermediario (Proxy) configurado de modo transparente.
#ACTION REDIRECT REDIRECT SOURCE DEST loc dmz 8080 8080 PROTO DEST #PORT tcp tcp 80 80

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

En el siguiente ejemplo las peticiones hechas desde la red local (LAN) sern redirigidas hacia el puerto 8080 del cortafuegos, en donde hay un Servidor Intermediario (Proxy) configurado de modo transparente, limitando la taza de conexiones a diez por segundo con rfagas de hasta cinco conexiones. Esto es muy til para evitar ataques de DoS (acrnimo de Denial of Service que se traduce como Denegacin de Servicio) desde la red local (LAN).
#ACTION REDIRECT SOURCE loc DEST PROTO PDEST SOURCE ORIGINALRATE 8080 tcp 80 20/sec:5

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

8.7.

Iniciar el cortafuego y aadirlo a los servicios de arranque del sistema

Para ejecutar por primera vez el servicio, utilice:

60

service shorewall start Para hacer que los cambios hechos a la configuracin surtan efecto, utilice: service shorewall restart Para detener el cortafuego, utilice: service shorewall stop Cabe sealar que detener el cortafuego tambin detiene todo trfico de red, incluyendo el trfico proveniente desde la LAN. Si se desea restaurar el trfico de red, sin la proteccin de un cortafuego, ser necesario tambin utilizar el guin de iptables. service iptables stop Lo ms conveniente, en caso de ser necesario detener el cortafuegos, es definir que direcciones IP o redes podrn continuar accediendo cuando el cortafuegos es detenido, o cuando ste se encuentra en proceso de reinicio. Esto se define en el fichero /etc/shorewall/routestopped, definiendo la interfaz, a travs de la cual se permitir la comunicacin, y la direccin IP o red, en un formato de lista separada por comas, de los anfitriones que podrn acceder al cortafuegos. Ejemplo:
#INTERFACE HOST(S) eth0 eth0 192.168.1.0/24 192.168.2.30, 192.168.2.31 OPTIONS

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Para aadir Shorewall al arranque del sistema, utilice: chkconfig shorewall on 61

9. CONFIGURACION DE PARMETROS DE SEGURIDAD 9.1. Reglas del Firewall Para poder configurar este tipo de proxy, tendremos que configurar reglas de firewall, en nuestro caso usaremos reglas de iptables ya que es la herramienta ms utilizada en todas distribuciones GNU/Linux; para que funcione de manera transparente debemos de aplicar la siguiente regla en iptables. iptables -t nat -A PREROUTING -i eth1 -p tcp dport 80 -j REDIRECT --toport 3128

Con esto estamos desviando el trafico que venga por la LAN que vaya por web al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no se pueden desplegar las paginas seguras, para eso necesitamos aplicar otras reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente manera: iptables -t nat -A PREROUTING -i eth1 -p tcp dport 443 -j REDIRECT --toport 3128

Aceptamos conexiones locales en la interfaz lo

iptables -A INPUT -i lo -j ACCEPT

Tenemos acceso al firewall desde el segmento de red 192.168.1.0 por la interfaz eth0:

iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

62

Aceptamos que todo el trfico que viene desde la red local vaya hacia los puertos 80/443 sean aceptadas estas son solicitudes http/https:

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT

Aceptamos que consultas de DNS de la red local:

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp --dport 53 -j ACCEPT

Denegamos el resto de los servicios:

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j REJECT

Ahora hacemos enmascaramiento de la red local:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Rechaza todas la demas conexiones desde el puerto 1 al 1024 por protocolo tcp/udp por la interfaz de red eth0.

iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

Habilitamos el reenvo de paquetes dentro de la red. echo 1 > /proc/sys/net/ipv4/ip_forward y guardamos las reglas con el siguiente comando. 63

iptables-save > /etc/sysconfig/iptables Reiniciamos el servicio de firewall /etc/init.d/iptables restart Con esto tendremos configurado nuestro squid transparente. 9.2. Iniciar el cortafuego y aadirlo a los servicios de arranque del sistema Para ejecutar por primera vez el servicio, utilice: service shorewall start Para hacer que los cambios hechos a la configuracin surtan efecto, utilice: service shorewall restart Para detener el cortafuego, utilice: service shorewall stop Cabe sealar que detener el cortafuego tambin detiene todo trfico de red, incluyendo el trfico proveniente desde la LAN. Si se desea restaurar el trfico de red, sin la proteccin de un cortafuego, ser necesario tambin utilizar el guin de iptables. service iptables stop Lo ms conveniente, en caso de ser necesario detener el cortafuego, es definir que direcciones IP o redes que podrn continuar accediendo cuando el cortafuego es detenido, o cuando ste se encuentra en proceso de reinicio. Esto se define en el fichero /etc/shorewall/routestopped, definiendo la interfaz, a travs de la cual se permitir la comunicacin, y la

64

direccin IP o red, en un formato de lista separada por comas, de los anfitriones que podrn acceder al cortafuegos. Ejemplo: #INTERFACE eth0 eth0 HOST(S) 192.168.1.0/24 192.168.2.30, 192.168.2.31 OPTIONS

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Para aadir Shorewall al arranque del sistema, utilice: chkconfig shorewall on

65

CAPITULO 3: PRUEBAS Y RESULTADOS

66

I. PRUEBAS Luego de realizar las configuraciones de las interfaces y los

enrutamientos, se procede a comprobar si hay realmente conectividad y para ello utilizamos el comando ping.

67

Como se puede apreciar en las imgenes, comprobamos que hay conectividad en toda la red.

Esta PC se encuentra en la Lan 192.168.1.0/24 y es identificada con IP 192.168.1.3/24 donde se puede apreciar el acceso a la pgina http://www.fiis.com/index.html antes de restringir su acceso en el Proxy.

68

Esta PC se encuentra en la Lan 192.168.1.0/24 y es identificada con IP 192.168.1.3/24 donde se puede apreciar el acceso a la pgina http://www.fiis.com/index.html antes de restringir su acceso en el Proxy.

Esta PC se encuentra en la Lan 192.168.1.0/24 y es identificada con la IP 192.168.1.3/24 donde se puede apreciar el intento de acceso a la pgina http://www.fiis.com/index.html luego de restringir el acceso en el Proxy.

69

II.

RESULTADOS Existe una red corporativa que tiene conectividad completa entre todos los hosts, se verifico la conexin haciendo ping a todos los puertos de interfaces habilitados en la lan. Existe conexin total de extremo a extremo (de la lan corporativa hacia el servidor web). Se logro restringir las pginas prohibidas o de accesos no permitidos donde se ha mostrado en las Pruebas. Se logr la cargar las pginas creadas en el Servidor web desde la lan corporativa. Se realiz una configuracin exitosa en el servidor Proxy/Firewall, logrando corroborar todas las restricciones y aprobaciones de esta.

70

CONCLUSIONES

Con la configuracin de un Proxy y Firewall en Centos, puede ser una muy buena solucin para usuarios particulares o pequeas empresas que requieran de una eficiente proteccin de su red y no dispongan de un gran presupuesto, con este producto de licencia gratuita se puede reciclar hardware obsoleto y tener un sistema confiable. Adems hay que tener en cuenta que ltimamente el mercado tiene una gran tendencia hacia el Software Abierto, y que esta tendencia seguir creciendo ya que entre otras ventajas es mucho ms econmica que el software cerrado.

Luego de haber revisado todo sobre el DNS nos hemos dado cuenta que es muy til para la reparticin de dominios y adems se ha aprendido a tener mucho cuidado en cuanto a la configuracin y proteccin.

Con la configuracin de Proxy y Firewall se restringe los accesos a las pginas que estn prohibidas, o a zonas que puedan perjudicar nuestra red local.

Se logro implementar el Proxy y el Firewall en Centos, incluyendo la configuracin del servidor Web para la realizacin de las pruebas respectivas.

71

RECOMENDACIONES

Se recomienda implementar un servidor proxy/firewall para una mejor seguridad de una red evitando el ingreso de personas o hosts no autorizados.

Se recomienda configurar correctamente los parmetros de red, el proxy y firewall para su correcto funcionamiento. Usar el programa Squid para el proxy y el Shorewall para el Firewall porque son robustos, estables y confiables en lo que respecta sus funciones.

72

BIBLIOGRAFA

http://www.alcancelibre.org/staticpages/index.php/como-centos5-grafico - Gua de instalacin de Centos 5.4 http://linux-web-py.blogspot.com/2009/02/porque-centos-es-el-sistemaoperativo.html - Definicin de Centos http://es.wikipedia.org/wiki/Proxy - Definicin de Proxy http://www.linuxparatodos.net/portal/staticpages/index.php?page=19-0como-squid-general - Configuracin de Proxy http://www.linuxparatodos.net/portal/staticpages/index.php?page=comoshorewall-3-interfaces-red Configuracin de Firewall http://www.icetex.gov.co/portal/Default.aspx?tabid=1012 - Polticas De Seguridad De La Informacin

73

ANEXOS

74

I.

INSTALACIN DEL SISTEMA OPERATIVO CENTOS 5.4

Procedimientos para la instalacin de Centos. Inserte el disco DVD de instalacin de Centos 5 y en cuanto aparezca el dilogo de inicio (boot:), pulse la tecla ENTER o bien ingrese las opciones de instalacin deseadas. Si desea verificar la integridad del disco a partir del cual se realizar la instalacin, seleccione OK y pulse la tecla ENTER, considere que esto puede demorar varios minutos. Si est seguro de que el disco o discos a partir de los cuales se realizar la instalacin estn en buen estado, seleccione Skip y pulse la tecla ENTER.

Haga clic sobre el botn Next en cuanto aparezca la pantalla de bienvenida de Centos. Seleccione Spanish como idioma para ser utilizado durante la instalacin. Seleccione el mapa de teclado que corresponda al dispositivo utilizado. El mapa Espaol o bien Latinoamericano de acuerdo a lo que corresponda. Al terminar, haga clic sobre el botn Siguiente.

75

Salvo que exista una instalacin previa que se desee actualizar (no recomendado), deje seleccionado Instalar Centos y haga clic en el botn Siguiente a fin de realizar una instalacin nueva. Para crear las particiones de forma automtica, lo cual puede funcionar para la mayora de los usuarios, puede seleccionar: Remover particiones en dispositivos seleccionados y crear

disposicin, lo cual eliminara cualquier particin de cualquier otro sistema operativo presente, y crear de forma automtica las particiones necesarias. Remover particiones de Linux en dispositivos seleccionados y crear disposicin, lo cual eliminara cualquier particin otra instalacin de Linux presente, y crear de forma automtica las particiones necesarias.

76

Usar espacio disponible en dispositivos seleccionados y crear disposicin, lo cual crear de forma automtica las particiones necesarias en el espacio disponible

Conviene crear una disposicin que permita un mayor control. Seleccione Crear disposicin personalizada. Una vez seleccionado Crear disposicin personalizada, haga clic sobre el botn Siguiente. La herramienta de particiones mostrar el espacio disponible. Haga clic en el botn Nuevo.

77

Se verifica la cantidad de espacio de disco con la que tenemos asignado al Centos y distribuimos para las diferentes partes: por ejemplo al boot le asignamos 100 MB

Si est conforme, haga clic otra vez en el botn Nuevo y proceda a crear la siguiente particin.

78

Configuramos: /: 25Gb Swap: 2Gb Asigne a la particin / el resto del espacio disponible menos lo que tenga calculado asignar para la particin de intercambio (200% de la memoria fsica, o cuanto baste para 2 GB). Se recomienda asignar / como particin primaria, siempre que la tabla de particiones lo permita. Si est conforme, haga clic otra vez en el botn Nuevo y proceda a crear la siguiente particin. La particin para la memoria de intercambio no requiere punto de montaje. Seleccione en el campo de Tipo de sistema de archivos la opcin swap, asigne el 200% de la memoria fsica (o cuanto basta para 2 GB). Por tratarse de la ltima particin de la tabla, es buena idea asignarle el espacio por rango, especificando valores ligeramente por debajo y ligeramente por arriba de lo planeado. Otras particiones que se recomienda asignar, si se dispone del espacio en disco duro suficiente, son: /usr: /tmp: /var: /home: 8 GB 3 GB 10 GB 10 GB

Si est conforme con la tabla de particiones creada, haga clic sobre el botn siguiente para pasar a la siguiente pantalla.

79

Ingresar a la configuracin del gestor de arranque. Por motivos de seguridad, y principalmente con la finalidad de impedir que alguien sin autorizacin y con acceso fsico al sistema pueda iniciar el sistema en nivel de corrida 1, o cualquiera otro, haga clic en la casilla Usar la contrasea del gestor de arranque. Se abrir una ventana emergente donde deber ingresar, con confirmacin, la clave de acceso exclusiva para el gestor de arranque. Al terminar, haga clic sobre el botn Aceptar. Al terminar, haga clic sobre el botn Siguiente. Para configurar los parmetros de red del sistema, haga clic sobre el botn Modificar para la interfaz eth0.

80

En la ventana emergente para modificar la interfaz eth0, desactive la casilla Configurar usando DHCP y especifique la direccin IP y mscara de subred que utilizar en adelante el sistema. Si no va a utilizar IPv6, tambin desactive la casilla. Confirme con el administrador de la red donde se localice que estos datos sean correctos antes de continuar. Al terminar, haga clic sobre el botn Aceptar.

81

Asigne un nombre de anfitrin (HOSTNAME) para el sistema. Se recomienda que dicho nombre sea un FQDN (Fully Qualified Domain Name) resuelto al menos en un DNS local. Defina, adems, en esta misma pantalla, la direccin IP de la puerta de enlace y las direcciones IP de los servidores DNS de los que disponga. Si desconoce que dato ingresar, defina ste como localhost.localdomain. Al terminar, haga clic sobre el botn Siguiente. Seleccione la casilla El sistema horario usar UTC, que significa que el reloj del sistema utilizar UTC (Tiempo Universal Coordinado), que es el sucesor de GMT (b>Greenwich Mean Time, que significa Tiempo Promedio de Greenwich), y es la zona horaria de referencia respecto a la cual se calculan todas las otras zonas del mundo. Haga clic con el ratn sobre la regin que corresponda en el mapa mundial o seleccione en el siguiente campo la zona horaria que corresponda a la regin donde se hospedar fsicamente el sistema. Asigne una clave de acceso al usuario root. Debe escribirla dos veces a fin de verificar que est coincide con lo que realmente se espera. Por razones de seguridad, se recomienda asignar una clave de acceso que evite utilizar palabras provenientes de cualquier diccionario, en cualquier idioma, as como cualquier combinacin que tenga relacin con datos personales.

82

Al terminar, haga clic sobre el botn Siguiente, y espere a que el sistema haga la lectura de informacin de los grupos de paquetes. En la siguiente pantalla podr seleccionar los grupos de paquetes que quiera instalar en el sistema. Aada o elimine a su conveniencia. Lo recomendado, sobre todo si se trata de un servidor, es realizar una instalacin con el mnimo de paquetes, desactivando todas las casillas para todos los grupos de paquetes. El objeto de esto es solo instalar lo mnimo necesario para el funcionamiento del sistema operativo, y permitir instalar posteriormente solo aquello que realmente se requiera de acuerdo a la finalidad productiva que tendr el sistema. Al terminar, haga clic sobre el botn Siguiente. Se realizar una comprobacin de dependencias de los paquetes a instalar. Este proceso puede demorar algunos minutos. Antes de iniciar la instalacin sobre el disco duro, el sistema le informar respecto a que se guardar un registro del proceso en si en el fichero /root/install.log. Para continuar, haga clic sobre el botn Siguiente. Si iniciar de forma automtica el proceso de formato de las particiones que haya creado para instalar el sistema operativo. Dependiendo de la capacidad del disco duro, este proceso puede demorar algunos minutos. Se realizar automticamente una copia de la imagen del programa de instalacin sobre el disco duro a fin de hacer ms eficiente el proceso. Dependiendo de la capacidad del microprocesador y cantidad de memoria disponible en el sistema, este proceso puede demorar algunos minutos. Espere a que se terminen los preparativos de inicio del proceso de instalacin.

83

Se realizarn preparativos para realizar las transacciones de instalacin de paquetes. Iniciar la instalacin de los paquetes necesarios para el funcionamiento del sistema operativo. Espere algunos minutos hasta que concluya el proceso. Una vez concluida la instalacin de los paquetes, haga clic sobre el botn Reiniciar.

84

II.

CONFIGURACIN DEL SERVICIO SQUID EN CENTOS.

85

86

87

88

89