SR08

Enunciado.

Instalación y Configuración de un servidor Proxy con cortafuegos en Linux.

Como técnica o técnico en Sistemas Microinformáticos y Redes, trabajas administrando la red

de comunicaciones de una gestoría. Esta empresa ha comprado un servidor y quiere instalar
en el toda la seguridad que necesitan para el acceso a Internet. Esta empresa quiere
minimizar gastos utilizando software libre en la medida de lo posible. Con todos estos datos
decides instalar un servidor Proxy en un equipo Linux con un cortafuegos, para
posteriormente aplicar la política de seguridad que requiere la empresa.

Para simular esta práctica, usarás el entorno virtual que tienes configurado de las tareas
anteriores. En las tareas anteriores instalaste Oracle VM VirtualBox y dentro de este entorno
virtual instalaste servidores Ubuntu.

En esta práctica se pretende instalar y configurar un servidor Proxy en Linux con Squid en el
servidor Ubuntu. Con lo cual, usarás una de las maquinas Linux ya instaladas como servidor.

El servidor Proxy funcionará de UNA de estas dos opciones:

1.-proxy en modo transparente, asegurándote que funciona sin tener que configurar el
navegador.
2.-proxy en modo caché, que permitirá el tráfico http solo para el usuario "newuser" (para
salir a navegar a través del proxy, habrá que utilizar ese usuario y su contraseña). Ten en
cuenta que aquí, al no ser transparente, deberás configurar el navegador del cliente
adecuadamente.

En el servidor Proxy crearemos una regla de acceso que prohíba la navegación por páginas
como facebook.com, twitter.com e instagram.com.

Cuando tengas la práctica terminada, tienes que entregar una memoria de la práctica en un
documento de texto.

El documento de texto contendrá los siguientes apartados:

Instalación del servidor Proxy.

Configuración básica de Squid.
Configuración de reglas de seguridad.
Pruebas realizadas.
Instalación del servidor Proxy > Opción proxy en modo Cache con autenticación usuario
newuser

El esquema que nos piden es crear un servidor proxy con dos interfaces de red entre internet y la red
Local con Cortafuegos que haga de representante en las solicitudes por internet de la red LAN

El modo de conexión será en modo cache, los clientes tendrán que configurar el navegador.

>En VirtualBox he instalado un equipo Ubuntu como servidor con dos interfaces una conectada a
NAT y otra a Red Interna y modo Promiscuo modo permitir todo
>También he instalado un equipo Windows con una tarjeta en Red interna modo promiscuo y modo
permitir todo.

En el servidor tengo dos tarjetas de red enp0s3 para Internet y enp0s8 para Red Interna

nos logueamos como usuario root

$ sudo -i
actualizamos repositorios y instalamos ufw gufw squid
# apt update ; apt install ufw gufw squid

Configuro con netplan dhcp para NAT y una ip estática para la Red Interna

En El Cliente Configuro una IP estática también

Compruebo que Squid esta funcionando y escuchando en el puerto 3128.
Podemos cambiar el puerto por seguridad a cualquier otro por debajo de 1023 que no se este usando
en la configuración de Squid.
# systemctl status squid

Configuración básica de Squid.

Hago una copia de seguridad del archivo de configuración de squid

# cp /etc/squid/squid.conf{,.original} > esto nos crea una copia del archivo con
extensión .original

Configuración del navegador del Cliente (mozilla)

Pruebo el proxy en mi navegador Mozilla> Menu>General>Configuración de Red>Configuración

manual del Proxy
El proxy procesa las peticiones http pero aun no esta configurado por eso bloquea todo

Para añadir reglas nos vamos al archivo /etc/squid/squid.conf

permitimos el acceso a internet
http_access allow all > esta linea antes de la linea de denegar

Configuración de reglas de seguridad.

bloqueamos paginas web usando un archivo donde pondremos las paginas que vamos a bloquear

dentro del directorio squid creamos un archivo de texto donde ponemos las paginas a bloquear por
ejemplo "/etc/squid/bloquea_esto"
Volvemos al fichero de configuración de Squid y definimos el archivo donde tenemos las palabras
clave a bloquear, no entrara en paginas que tengan esas palabras

acl blockthis url_regex -i "/etc/squid/bloquea_esto"

acl > lista de control de acceso
blockthis > nombre de la lista de control de acceso
url_regex -i > se le da un archivo donde cogerá las url a bloquear

http_access deny blockthis > denegar el acceso de la lista de control de acceso llamada blockthis

Reinicio el Servicio de Squid y compruebo su estado:

# systemctl restart squid
# systemctl status squid

Comprobamos en un equipo Windows con la configuración de proxy que no nos deja acceder a
instagram, twitter ni facebook.com

Y si nos deja navegar por otras paginas web

Autenticación con usuario y contraseña

Editamos el archivo /etc/squid/squid.conf

añadimos las lineas

# basic_ncsa_auth> programa para comprobar los usuarios y contraseñas

# auth_param basic childrem 10 > numero maximo de instancias del programa activas
# auth_param basic realm Mensaje que solicita el usuario y la contraseña

Reinicio el Servicio de Squid y compruebo su estado:

# systemctl restart squid
# systemctl status squid

Vamos a crear con la utilidad htpasswd el archivo que tendrá la contraseña y usuario "newuser"
Ahora ya nos pide usuario y contraseña cuando intentamos acceder a alguna pagina

Habilitamos el firewall UFW por seguridad

# ufw enable

Permitimos las conexiones entrantes al puerto del proxy

# ufw allow from 192.168.1.0/24 to any port 3128

Por defecto UFW deniega las conexiones entrantes, permite las salientes y deniega el enrutamiento
o forward
Pruebas Realizadas

Introducimos el usuario "newuser" y su contraseña y ya podemos navegar, si ponemos mal la

contraseña o el usuario no nos deja entrar, nos vuelve a preguntar.

Intentamos entrar en una pagina bloqueada y no nos deja

Intentamos acceder a una pagina no bloqueada y podemos navegar