martes, 29 de mayo de 2012

Proxy En Endian.

En este manual se mostrara como implementar una solución de proxy web/cache, utilizando endian en Linux, administrado por vía web. Se mostrara como configurar además un proxy transparente y una filtración de paginas web por su contenido y una autentificaron ante el servidor.
Para esta practica se utilizara el servidor proxy como forwarding y va a conectar una red interna y una red con acceso a internet por medio de NAT, siendo la red interna la verde para el endian y a la cual se le aplicaran las políticas del proxy,
Para la instalación de endian y configuración básica del endian se puede ver el siguiente link:
Configuración de las interfaces del servidor:
Red interna (verde): 192.168.100.1/24
Wan (Roja): 192.168.10.37/24
Ahora para permitir que los clientes naveguen en internet se crea un NAT básico en la pestaña de cortafuegos y luego en Reenvio de puertos/NAT:
Para empezar con la configuración del proxy se hace un desplazamiento hasta la pestaña proxy y como se desea implementar un proxy web/cache se elige la pestaña http, luego en la parte configuración luego para iniciar damos click en el botón a la derecha de activar el proxy, después lo que sigue es hacer la configuración inicial de este; como también se desea realizar uno transparente seleccionamos esta pestaña, y escogemos las opciones de puerto, lenguaje y un numero máximo de descarga:
Se seleccionan los puertos SSL esta opción se puede dejar por defecto, luego se habilitan las opciones mostradas, para permitir la utenticacion de usuarios al proxy pero la ultima se desabilita para que el proxy transparente no necesite utenticacion de ningun tipo:
Luego las opciones de la administración de cache, en la cual se escoge la cache en el disco, la memoria y el tamaño de los objetos que almacenara, estas opciones permiten que la navegación web sea mas rápida para todos los clientes, las demás opciones se pueden dejar tal cual:
Luego se guardan los cambios y se aplican:
Para crear los usuarios a registrar en el proxy hay que desplazarse a la pestaña Autenticación, esta configuración se puede hacer por diferentes métodos, como buscar un LDAP o en active directory pero esta ves se harán usuarios con método NSCA, se puede colocar un numero máximo de clientes y otras opciones mas, las que están por defecto también son útiles:
 
Luego se da click en la pestaña administración de usuarios y se crean:
Luego se crean los grupos de usuarios, para esto en la parte de autenticación se da click en el botón de administración de grupo, se crea un grupo y se seleccionan los usuarios que se desean incluir se guarda y aplican los cambios:
Luego se crean los filtros, se pueden tener varios de estos, para esto hay que desplazarse a la pestaña filtros, aquí se puede encontrar uno por defecto para los virus:
Se da click en crear perfil, aquí se le da un nombre, se chulea el escaneo de virus y en el primer grupo de opciones se puede bloquear paginas que con el contenido a escoger, por tener palabras o frases claves:
El el segundo conjunto se bloquean paginas conocidas con las características a seleccionar:
En el ultimo conjunto se pueden ingresar manualmente las URLs o los dominios que se desean bloquear, se guarda y se aplican los cambios:
Ahora se crean las políticas, esto para aplicar los filtros que se crearon y asociarlos a los usuarios o a todos, para esto hay que desplazarse a la opción de políticas de acceso y se agrega una nueva, se escoge la fuente y el destino, y si se desea se selecciona la autenticación, y luego se selecciona el grupo:
Luego en filter profile se selecciona el filtro que queremos seleccionar, las demás opciones se pueden dejar así:
Luego para registrarse desde un cliente, se ingresa a las opción de proxy del navegador, (depende de este), se ingresa la ip del prixy y se selecciona para todos los puertos:
Se ingresa un usuario el password de este:
Se verifica que el filtro funcione:
Para verificar la funcionabilidad del proxy transparente solo basta con crear otra política pero esta ves no se selecciona la autenticación, luego en las opciones de proxy del navegador se selecciona detectar automáticamente el proxy de la red:

viernes, 25 de mayo de 2012

INSTALACIÓN DE ISA SERVER 2006 EN WINDOWS SERVER 2003


Que es isa server?

Isa Server 2006 es un gateway integrado de seguridad perimetral que contribuye a la protección de un entorno de TI frente amenazas procedentes de internet, y ademas ofrece a los usarios un acceso remoto rapido y seguro a sus aplicaciones y datos corporativos.

Para este caso utilizaremos  tres maquinas virtuales.

windows server 2003: Donde esta implementado isa server 2006 (FIREWALL).

CentOS: es la zona DMZ (Zona Desmilitarizada) con los servicios FTP,WEB,DNS

windows XP: Es el cliente interno que esta alojado en la  LAN

Las maquinasde xp, CentOS, van en red interna con una ip estatica.

Vale aclarar que el windows server  debe de tener tres tarjetas  de red, dos  en red interna, y la otra en modo puente.

Windows server.

192.168.10.196/24 WAN

192.168.50.1/24 DMZ

192.168.40.1/24 LAN

Antes de empezar debemos de tener las ip estaticas lista.


INSTALCIÓN DE ISA SERVER 2006

 Primero que todos necesitamos el paquete de isa server 2006 descarado y lo ejecutamos.
 Cuando lo ejecutamos nos dice que si vamos a extraer los archivos y que se necesita un espacio de 150 MB le damos que si.
 Cuando está extrayéndose nos aparece este pantallazo automáticamente

Bueno cuando ya allá extraído en su totalidad nos debe aparecer esta ventana le damos instalar ISA Server 2006


 Nos sale el asistente para la instalación damos siguiente
 Aceptamos los términos de la licencia.
 El numero del producto sale automáticamente solo damos continuar
 Damos que va ser una instalación típica y siguiente
Damos en la opción agregar

 Agregamos un adaptador

Escogemos el adaptador que se llama LAN y damos aceptar.
 Ya escogido el adaptador nos aparece así solo es dar aceptar.
Damos siguiente.

 Lo dejamos así solo siguiente.
 Damos siguiente para que los servicios mostrados se reinicien.
 Damos instalar para terminar con el asistente de la instalación.

Esperamos a que acabe de instalar.
Click en finalizar para acabar el proceso de la instalación  
Como observamos el ISA SERVER 2006 nos instalo bien.  



Configuración de ISA SERVER 2006

Ya dentro de la administración de ISA Server vamos a redes- configuración y asi se debe de ver con su plantilla predeterminada

Vamos a la derecha de la pantalla y escogemos esta plantilla

Nos sale el asistente para la plantilla y damos siguiente.  

Click en siguiente.

 Agregamos un adaptador que es LAN damos aceptar y damos siguiente.
Agregamos otra adaptador pero esta vez va ser DMZ y damos aceptar y después siguiente. 
Vamos a bloquear todos y damos siguiente. 
Damos finalizar. 
Aplicamos los cambios. 

Esperamos a que cargue y damos aceptar y nos debe de quedar la plantilla que escogimos en los pasos anteriores.

Como observamos el diagrama cambio con la instalación que hicimos.

Creación De NAT.



Nos vamos para redesy en reglas de red eliminamos unas reglas de VPN y pasamos a crear nuestra regla de NAT

Le damos Crear regla Nueva.

Nos aparece el asistente y le damos nombre a la regla que vamos a crear.
                                                                Le damos Agregar.

Escogemos interna le damos agregar y siguiente.
Nos aparece un cuadro nuevo y agregamos la opción perimetral.
Le damos en traducción de NAT y siguiente.
Le damos Finalizar.
Como observamos la regla se creo con éxito.


Implementado Reglas De Firewall




Nos vamos para redes donde vamos a crear la reglas.


Le damos en crear regla nos aparece el asistente donde vamos a colocar el nombre de la regla.



Le damos nombre a la regla.


Le damos permitir.


Escogemos el protocolo y le damos agregar.



Escogemos los parámetros y le damos siguiente.



Nos aparece el mismo cuadro y agregamos otro parámetro.


Los agregamos.


Le damos siguiente.


Le damos Siguiente.


                                                                Le damos Finalizar.



Como observamos la regla fue creada con éxito lo único que debemos de hacer es darle aplicar para que los cambio sufran efectos.

Publicación del FTP de la DMZ a la LAN



 Nos vamos para reglas del firewall y nos vamos para publicar protocolos de servicios no web.

Nos aparece el asistente y le damos un nombre a la regla que vamos a crear.


Colocamos la ip del server DMZ donde están los servicios de WEB,FTP,DNS.
 Y le damos siguiente.

Le damos nuevo donde vamos a crear una regla.

Nos aparece un asistente nuevo le damos un nombre a la regla y le damos siguiente.

Le damos en Nueva.

Agregamos el protocolo dirección de entrada y el numero de puerto le damos aceptar.

Le damos Siguiente.

Le damos NO y le damos siguiente.

 Le damos Finalizar.
Volvemos al cuadro anterior le damos siguiente ya que tenemos la regla creada.

Escogemos externa y siguiente.


Le damos Finalizar.


 Como observamos la regla se creo exitosamente le demos en aplicar para que surjan los cambios.
Verificación de las Reglas 
FTP.

Nos vamos para una maquina cliente y probamos los servicios. 

WEB.



Creación de la regla del DNS para salir a internet con las maquinas en Red Interna

 Vamos  a crear una regla nueva y le damos un nombre y le damos siguiente.


Le damos permitir.


Escogemos el protocolo que deseamos.



Agregamos los parámetros de interna y perimetral y le damos siguiente.


Nos aparece un cuadro nuevo y escogemos otros parámetros y le damos siguiente.


Siguiente.


 Le damos Siguiente.



Le damos Finalizar.

 Nos aparece la regla y le damos aplicar para que sufran efecto los cambios.

Pasamos a Crear una regla para el DNS.




Nos vamos a publicar servidor no web.

 Le damos un nombre a la regla.



Colocamos la ip del DNS del SENA y le damos siguiente.



Nos aparece un cuadro y le damos en nuevo y nos aparecerá un nuevo asistente donde le colocamos un nombre a la regla para la definición de protocolos.


Escogemos el tipo de protocolo la dirección si es de entrada o de salida y numero de puerto.


Le damos siguiente.


Le damos Finalizar.


Volvemos al punto anterior y le damos siguiente.


Escogemos la opción externa y le damos siguiente.


Le damos Finalizar.


Como vemos la regla se creo le damos en aplicar cambios.


Nos vamos la maquina cliente de la LAN y le colocamos los DNS el que creamos en la zona DMZ y el DNS del SENA.


 Nos vamos para el server de la DMZ y en el archivo /etc/named.conf le agregamos la linea de los                 reenviadores guardamos y reiniciamos.


 Además hay que cambiarle el RESOL.



 Lo copiamos guardamos y nos salimos y nos vamos para la maquina cliente donde vamos a verificar si la regla nos funciona.








Como observamos nos funciono mas que bien.