Escolar Documentos
Profissional Documentos
Cultura Documentos
GRUPO “MiNdWiDe”
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME
Mauricio Ortiz
INDICE
Introducción ......................................................................................................................... 3
Objetivo ............................................................................................................................... 4
Topología ................................................................................................................................................... 5
Tabla de direccionamiento ........................................................................................................................ 5
Screenshot de las VM. ............................................................................................................................... 6
Servidor Proxy ....................................................................................................................................... 6
Cliente WEB ........................................................................................................................................... 6
Configuración de R1 ................................................................................................................................... 7
Configuración básica ............................................................................................................................. 7
Configuración de las interfaces ............................................................................................................. 8
Configuración de enrutamiento ............................................................................................................ 8
Tabla de enrutamiento de R1 ................................................................................................................ 8
Proxy HTTP - Squid ................................................................................................................................... 10
Las directivas ....................................................................................................................................... 10
# NETWORK OPTIONS ..................................................................................................................... 10
# MEMORI CACHE OPTIONS ............................................................................................................ 10
# ACCESS CONTROL ......................................................................................................................... 11
# DISK CACHE OPTIONS ................................................................................................................... 16
# LOG FILE OPTIONS ........................................................................................................................ 17
# ADMINISTRATIVA PARAMETERS .................................................................................................. 17
# ERROR PAGE OPTIONS ................................................................................................................. 18
# MISCELLANEOUS .......................................................................................................................... 18
Aplicar algunas políticas ...................................................................................................................... 19
Queremos restringir cierto tipo de extensiones, y messenger ....................................................... 19
Prohibir el acceso a ciertos sitios. ................................................................................................... 25
Conclusiones....................................................................................................................... 27
Bibliografía ......................................................................................................................... 27
MiNdWiDe - Group 2
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Introducción
Existen cientos de manuales y howto’s de cómo montar un servidor Proxy en producción para una
empresa. En este manual se hará énfasis sobre todo en la manera de filtrar el contenido Web a
ciertas páginas, el filtrado de las descargas por Internet.
Me imagino que muchos sabran que un Proxy es un software que realiza las peticiones a un
servidor en nombre de un cliente. Aunque la configuración básica de un Proxy es la de cachear el
contenido Web este concepto para mí ya no tiene mucho sentido dado las velocidades que
tenemos hoy en día para el acceso a Internet, fácilmente en un hogar podemos contar con
velocidades de mínimo 2000 Kbps y sobre todo el aspecto cambiante que tienen las páginas Web.
De qué sirve cachear una página Web si a los 5 minutos ya ha cambiado su aspecto.
MiNdWiDe - Group 3
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Objetivo
Implementar un servidor proxy HTTP y para lleva a cabo este proyecto nos apoyaremos en los
aplicativos VMware Workstation, GNS3, la distribución de Linux CentOS 5.5. Con el fin de tener
una solución la cual permita limitar a los usuarios de la LAN en la navegación por internet.
MiNdWiDe - Group 4
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Topología
Tabla de direccionamiento
Mascara de Gateway
Dispositivo Interfaz Direccion IP
subred predeterminada
Fa0/0 10.0.0.6 255.255.255.248 NO APLICABLE
R1
Fa0/1 10.0.0.13 255.255.255.248 NO APLICABLE
SVR-PROXY-01 NIC 10.0.0.3 255.255.255.248 10.0.0.6
CLIENTE-WEB-01 NIC 10.0.0.5 255.255.255.248 10.0.0.6
MiNdWiDe - Group 5
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Servidor Proxy
Cliente WEB
MiNdWiDe - Group 6
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Configuración de R1
Configuración básica
enable
configure terminal
hostname R0
line console 0
password cisco
login
exec-timeout 0 0
logging synchronous
exit
line vty 0 4
password cisco
exec-timeout 3 0
logging synchronous
login
exit
service password-encryption
banner motd / !!¡¡ SOLO PERSONAL AUTORIZADO ¡¡!! /
enable secret class
clock timezone BOGOTA -5
END
clock set 15:35:30 12 january 2010
cop r s
MiNdWiDe - Group 7
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
R1(config)#interface fa0/1
R1(config-if)#ip add
R1(config-if)#ip address 10.0.0.13 255.255.255.248
R1(config-if)#description TO INTERNET
R1(config-if)#no shutdown
Configuración de enrutamiento
R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.14
Tabla de enrutamiento de R1
MiNdWiDe - Group 8
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 9
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Para la instalación de squid ejecutamos el comando yum install squid, el directorio principal de
squid lo encontramos en /etc/squid/. Nos posicionamos sobre ese directorio y procedemos a
realizar una copia del archivo de configuración ppal el cual es squid.conf.
cp squid.conf squid.conf.old
Antes de que empecemos a configurar el servidor vamos a agregarlo al inicio, con el siguiente
comando.
chkconfig squid on
Las directivas
# NETWORK OPTIONS
# TAG: http_port
http_port: esta directiva permite configurar squid para que escuche por un puerto específico
además también podemos especificar que escuche por una dirección ip determinada o cualquiera
que tenga configurada el servidor donde se ejecuta squid.
http_port 10.0.0.3:3128
http_port 10.0.0.3:8080
cache_mem: nos permite especificar la cantidad de memoria RAM que usara para almacenar los
datos más solicitados.
MiNdWiDe - Group 10
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
cache_mem 16 MB
# ACCESS CONTROL
# TAG: acl
Alc: nos permite crear listas de control de acceso para definir que se permite o no, como por
ejemplo dominios permitidos de destino, ips, etc.
Empezaremos a agregar las directivas acl desde acl CONNECT method CONNECT.
Con esta configuración básica ya podemos empezar a testear nuestro proxy, antes de configurar
nuestro cliente debemos habilitar conexiones a el puerto 8080 en el firewall de CentOS.
Reiniciamos el servicio
MiNdWiDe - Group 11
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 12
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Por lo pronto vemos que nos dejo conectarnos al servidor proxy pero no podemos visualizar
ninguna página web, esto es porque debemos especificar si permitimos o denegamos la acl creada
anteriormente en # ACCESS CONTROL > # TAG: acl.
# TAG: http_access
Agregaremos la siguiente directiva a esta sección para que nos permita visualizar cualquier página
a la LAN_LOCAL o sea a 10.0.0.0/29.
Reiniciamos squid.
MiNdWiDe - Group 13
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 14
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
R1(config)#interface fa0/0
R1(config-if)#ip access-group ONLYPROXY in
En esta captura podemos observar la cantidad de coincidencia que se permiten y deniegan para la
ACL creada con el nombre de ONLYPROXY.
MiNdWiDe - Group 15
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
cache_dir: Con esta directiva podemos especificar el tamaño de almacenamiento en disco duro
que utilizara squid para almacenar el cache, número de directorios y subdirectorios.
Es importante aclarar que cuando se toca el tamaño del cache debemos parar el servicio y ejecutar
el siguiente comando en la CLI del OS.
squid -z
# TAG: minimum_object_size
minimum_object_size: Con esta directiva podemos especificar el tamaño mínimo permitido que
se almacenara en cache.
MiNdWiDe - Group 16
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
minimum_object_size 0 KB
# TAG: maximum_object_size
maximum_object_size: Con esta directiva podemos especificar el tamaño máximo permitido que
se almacenara en cache.
maximum_object_size 2048 KB
# TAG: cache_log
cache_log: Esta directiva nos permite definir la ubicación del archivo en donde se almacenara
datos del comportamiento de cache squid.
cache_log /var/log/squid/cache.log
# ADMINISTRATIVA PARAMETERS
# TAG: cache_mgr
cache_mgr: Esta directiva nos permite configurar una dirección de correo electrónico para en
envío de eventos si ocurre algo relacionado con el cache.
cache_mgr jfherrera49@misena.edu.co
# TAG: visible_hostname
visible_hostname localhost3
error_directory: Esta directiva permite cambiar el idioma para que aparezcan los mensajes de
error a los clientes en el idioma deseado.
error_directory /usr/share/squid/errors/Spanish
# TAG: err_html_text
err_html_text: Esta directiva nos permite agregar comentarios adicionales a los errors generados
por squid hacia sus clientes, para que el valor asignado a esta directiva tenga efecto debemos
agregar a el tipo de mensaje en el que queremos incluir este comentario la variable %L.
# TAG: deny_info
deny_info: Esta directiva nos permite asociar una página de error personalizada a una negación
establecida por http_access.
Por el momento dejaremos esta directiva tal cual está en la configuración por defecto.
# MISCELLANEOUS
# TAG: offline_mode
offline_mode: Permite especificar que nuestro servidor proxy este en modo offline o sea que
proporcionara información de cache que este en el servidor, pero si la información solicitada es
nueva no actualizara el cache, igualmente nunca tratara de verificar si hay nueva información de
sitos, para su actualización en cache.
MiNdWiDe - Group 18
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
offline_mode off
Si por algún motivo no nos inicia squid podemos verificar que está ocurriendo con el siguiente
comando:
MiNdWiDe - Group 19
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
\.[Mm][Pp]3$
\.[Aa][Vv][Ii]$
\.[Rr][Aa][Rr]$
\.[Ee][Xx][Ee]$
\.[Bb][Aa][Tt]$
\.[Cc][Oo][Mm]$
Con esto estaremos restringiendo mp3, avi, rar, exe, bat, com.
NOTA: El orden es importante para que la política se aplique correctamente las reglas deny las
ingresamos antes de lo que se permite.
Reiniciamos el servicio.
MiNdWiDe - Group 20
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 21
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 22
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 23
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Y esta es una captura en una estación de trabajo no esta dentro del dominio del servidor proxy.
MiNdWiDe - Group 24
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
tube8.com
megaupload.com
rapidshare.com
taringa.net
MiNdWiDe - Group 25
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Para finalizar vamos a personalizar un mensaje para la acl deny_files creada anteriormente.
Con esto cuando intenten descargar un tipo de extensión lo que hará es re direccionar a la url
http://jfherrera.wordpress.com.
MiNdWiDe - Group 26
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Conclusiones
La implementación de un servidor proxy puede ser muy útil para la implementación de políticas de
una organización.
Si queremos reservar el ancho de banda para otras tareas más necesarias podemos apoyarnos en
un servidor proxy con cache.
Bibliografía
http://www.visolve.com
http://www2.linuxparatodos.net/web/comunidad/base-de-conocimiento
http://www.vlan7.org/
MiNdWiDe - Group 27
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Gracias…
Juan Alejandro Bedoya
MiNdWiDe - Group 28