SOLUCIONES PERIMETRALES_PLAN DE SEGURIDAD DE LA INFORMACIN SOLUCIN DE ACELERACIN Y FILTRADO WEB (PROXY) EN ZENTYAL

ERIKA STEPHANY FRANCO ORTEGA GRUPO: 38110

INSTRUCTOR ANDRES MAURICIO ORTIZ MORALES

CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL GESTION DE LA SEGURIDAD EN LA RED MEDELLN SENA 2011

CONTENIDO

INTRODUCCIN 1. OBJETIVOS 1.1 Objetivo General 1.2 Objetivo Especfico 2. MARCO TERICO 3. DIAGRAMA LGICO DE RED 4. SOLUCIN DE ACELERACIN Y FILTRADO WEB (PROXY) EN ZENTYAL 4.1 Configuracin de las Interfaces de Red 4.2 Instalacin del componente HTTP Proxy (Cach and Content Filter) 4.3 Configuracin General 4.4 Perfiles de filtrado 4.5 Perfil de filtrado por objeto 4.6 Configuracin de Perfiles de filtrado 4.7 Filtrado de Extensiones 4.8 Activacin del Estado del mdulo HTTP Proxy 4.9 Filtrado por dominios 5. CONCLUSIONES BIBLIOGRAFIA

INTRODUCCIN

La seguridad perimetral se define como la correcta implementacin de los equipos de seguridad que controlan y protegen todo el trfico de entrada y salida entre todos los puntos de conexin o el permetro de la red a travs de una correcta definicin de las polticas de seguridad y una buena configuracin de los dispositivos de proteccin. La solucin de Seguridad Perimetral protege a las redes de las amenazas tales como Hackers, ataques de Negacin de Servicio (Denied of Service -DoS), Malware, Spam, contenido malicioso en correos y Pginas Web en diferentes medios y puntos de conexin o permetro de la red organizacional. El objetivo principal de la realizacin de este trabajo es con el fin de implementar uno de los tipos de Soluciones Perimetrales, aplicables dentro de un entorno real, como lo es el PROXY buscando en esencia fomentar y propiciar la seguridad del ambiente productivo en las conexiones de Red e Internet (Filtro del acceso o descarga de diferentes dominios o extensiones de archivo desde Internet para las redes internas). Cabe resaltar que para su correcta elaboracin, desarrollo e implementacin se hizo uso de diferentes herramientas y aplicaciones (Software) para facilitar dicho proceso como lo es la distribucin de firewalls por software denominada ZENTYAL, la cual a su vez permite configurar eficazmente otras soluciones perimetrales como FIREWALL y VPN para tener bajo un mismo sistema todas las implementaciones de seguridad. Se realiz con la mayor creatividad e inters posible para que el lector lo disfrute completamente.

1. OBJETIVOS

1.1 Objetivo General Definir las polticas, normas, tcnicas y procedimientos de seguridad de la red, aplicando estndares y normas internacionales de seguridad vigentes, para el aseguramiento de la informacin y la red, utilizando herramientas tecnolgicas para implementar un Servidor Proxy HTTP.

1.2 Objetivos Especficos Configurar el hardware, el software y aplicar procedimientos de seguridad, de acuerdo con el diseo establecido, de tal forma que los clientes de la red Interna no hagan uso de pginas no relacionadas con la organizacin como tal. Identificar las vulnerabilidades y ataques de la red de cmputo a travs de tcnicas y herramientas que permitan realizar el anlisis de riesgos y garantizar el funcionamiento de la red de tal forma que se aseguren los recursos de la compaa (hardware, software, datos, entre otros). Realizar procedimientos para la revisin y seguimiento de registro de eventos, en el Servidor Proxy mediante herramientas que permitan determinar eventos que alteran el estado de la seguridad de la red, para monitorear garantizando la integridad del sistema.

2. MARCO TERICO

SERVIDOR PROXY: Acta como intermediario en las peticiones de los clientes en busca de recursos de otros servidores. Un cliente se conecta al servidor proxy, solicitando algn servicio, como un archivo, la conexin en la Pgina Web u otros recursos disponibles desde un servidor diferente. El servidor proxy evala la solicitud de acuerdo con sus reglas de filtrado, es decir, puede filtrar el trfico por direccin IP, protocolo, extensin, ancho de banda de descarga, dominios, entre otros; si la solicitud es validada por el filtro, el proxy proporciona el recurso mediante la conexin con el servidor correspondiente y solicitar el servicio en nombre del cliente. Un servidor proxy, opcionalmente, puede alterar la solicitud del cliente o la respuesta del servidor y, a veces se puede atender la solicitud sin contacto con el servidor especificado. Entre la implementacin y tipos de proxy se destacan los siguientes: PROXY TRANSPARENTE: Combina un Servidor Proxy con NAT (Network Address Translation, Traduccin de Direccin de Red) de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. PROXY CACH: Este tipo de proxy guarda las respuestas a peticiones anteriores y puede hacer uso de dicha cach para dar nuevas respuestas directamente a otros clientes que requieran de este mismo servicio o contenido con el fin de mejorar el uso y utilizacin del ancho de banda en la red; es decir, su funcin es precargar el contenido Web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma informacin de la misma mquina u otras.

ZENTYAL: Es un servidor de red unificado de cdigo abierto (Plataforma de red

unificada) para las PYMEs (Pequeas y medianas empresas) el cual puede actuar gestionando la infraestructura de red, como puerta de enlace a Internet (Gateway), gestionando las amenazas de seguridad a partir de la configuracin de Soluciones Perimetrales (Firewall, Proxy, VPNs e IDS)), como servidor de oficina, como servidor de comunicaciones unificadas o una combinacin de estas. Adems, Zentyal incluye un marco de desarrollo (Framework) para facilitar el desarrollo de nuevos servicios basados en Unix.

3. DIAGRAMA LGICO DE RED

ETH1

ETH2

ETH0

4. SOLUCIN DE ACELERACIN Y FILTRADO WEB (PROXY) EN ZENTYAL Para la configuracin e implementacin de un Servidor Proxy a travs de la Distribucin Zentyal se utilizarn dos mquinas virtuales que cumplirn la funcin de Red LAN y DMZ; y una de las mquinas reales en la red por DHCP la cual permitir la salida a Internet (Red WAN). La mquina que correr bajo el sistema Zentyal ser un intermediario entre las tres redes por lo que poseer tres interfaces, dos por Red Interna para las redes LAN y DMZ y una por Adaptador puente que ser la Puerta de enlace para salir a Internet.

4.1 Configuracin de las Interfaces de Red Como primer paso, y instalado el Sistema de Zentyal, nos dirigimos a la terminal y estando en el modo sper-usuario reiniciamos las interfaces utilizando el comando /etc/init.d/networking restart para que la interfaz eth2 que se encuentra en modo Adaptador Puente reciba direccin IP por DHCP. En este caso se puede apreciar cada uno de los paquetes respectivos para la asignacin de Direccin IP y la direccin como tal que en el paquete DHPACK proporciona dicho servicio en red (192.168.10.61/24).

A continuacin, nos dirigimos a verificar la configuracin de los adaptadores de red en la Mquina Zentyal los cuales deben estar asociados con cada una de las redes (LAN y DMZ) de acuerdo a su nombre para que haya un puente entre ambas y el trfico vaya dirigido directamente a dicha interfaz. Para la red LAN la interfaz recibir el nombre de intnet-lan, la Red DMZ, intnet-dmz y la WAN eth2. NOTA: El nombre de las interfaces tanto para la red LAN y DMZ vara ya que son interfaces virtuales propias del Virtualizador (Virtual Box).

El Adaptador 3 al ser configurado en modo Adaptador puente (Bridge) estar directamente conectado a la Red WAN.

Luego de verificar los tres adaptadores de red en Zentyal, nos dirigimos a configurarlos en las mquinas virtuales LAN y DMZ; ambos adaptadores de red deben ubicarse en el mismo nmero de adaptador para que la conexin se encuentre correcta. En el Adaptador 1 debe estar directamente conectada la interfaz intnet-dmz y en el Adaptador 2 la interfaz intnet-lan.

Ya configurados los adaptadores de red, debemos recordar que el direccionamiento perteneciente a cada red fue configurado en el Manual sobre SEGURIDAD PERIMETRAL CON FIREWALLS EN ZENTYAL la cual se puede visualizar con el comando ifconfig en la mquina de Zentyal; ya cada una de la redes debe tener una IP dentro de su rango respectivo. La direccin asignada en estas interfaces debe estar relacionadas al Gateway (Puerta de enlace) de cada una de las mquinas pertenecientes a las redes en dicha infraestructura. RED LAN: IP: 192.168.188.7/24 GW: 192.168.188.1 RED DMZ: IP: 192.168.150.7/24 GW: 192.168.150.1 RED WAN: IP: 192.168.10.61/24 GW: 192.168.10.1

4.2 Instalacin del componente HTTP Proxy (Cach and Content Filter) Teniendo las interfaces y el direccionamiento activo de forma correcta iniciamos sesin desde el administrador de Zentyal para comenzar con la configuracin del Servidor Proxy. Ingresamos el login correspondiente especificado en la instalacin del Servidor y damos clic en Entrar.

Ya estando dentro de la plataforma, ingresamos a la pestaa Gestin de software Componentes Zentyal.

En esta opcin podemos visualizar cada uno de los componentes que el Servidor Zentyal permite instalar para su configuracin y administracin dentro de la pestaa Install; tambin se pueden Actualizar dichos paquetes o eliminarlos en Borrar. Para este caso instalaremos el componente HTTP Proxy (Cach and Content Filter) para poder implementar dicho servidor (componente).

Seleccionamos dicho componente y damos clic en Instalar.

Inmediatamente nos aparece un mensaje de confirmacin para dicha Intalacin, damos clic en Aceptar.

Esperamos a que el proceso de instalacin se lleve a cabo completamente para que cada uno de los componentes requeridos para el Servidor Proxy se aplique correctamente.

Finalizada la instalacin de los paquetes el Wizard (Asistente) de configuracin inicial nos indica que debemos guardar los cambios para comenzar a utilizar el servidor o componente en Zentyal. Damos clic en Guardar cambios.

Esperamos a que el Asistente guarde completamente los cambios y los aplique al mdulo ya existente de Firewall la cual es la principal funcin del Servidor Zentyal. Ya guardados los cambios correctamente podemos verificar que en el men del aplicativo se encuentra instalado un nuevo componente en la pestaa Gateway Proxy HTTP por medio del cual podremos configurar nuestro Servidor Proxy.

4.3 Configuracin General Nos dirigimos a la pestaa Proxy HTTP General donde se realizarn las configuraciones bsicas para dicho Servidor.

Entre los parmetros a configurar podremos definir si el proxy funciona en modo Proxy Transparente. En este ltimo caso, en Puerto estableceremos dnde escuchar el servidor las conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos tpicos son el 8000 y el 8080. El proxy de Zentyal nicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una direccin interna en la configuracin del navegador. El tamao de la cach define el espacio en disco mximo usado para almacenar temporalmente contenidos web. Se establece en Tamao de cach y corresponde a cada administrador decidir cul es el tamao ptimo teniendo en cuenta las caractersticas del servidor y el trfico esperado (100 MB). Tambin se establece la Poltica predeterminada para el acceso al contenido web HTTP a travs del proxy. Esta poltica determina si se puede acceder o no a la web y si se aplica el filtro de contenidos. Puede configurarse de las siguientes formas: Permitir todo: Se permite a los usuarios navegar sin ningn tipo de restricciones pero todava haciendo uso de la cach, ahorro de trfico y mayor velocidad. Denegar todo: Deniega totalmente el acceso a la web y luego establecer posteriormente polticas particulares para objetos, usuarios o grupos, pudiendo usar esta poltica para denegar en principio y luego aceptar explcitamente en determinadas condiciones. Filtrar: Permite a los usuarios navegar pero activa el filtrado de contenidos que puede denegar el acceso web segn el contenido solicitado por los usuarios. Autorizar y filtrar, permitir todo o denegar todo: Son versiones de las polticas anteriores que incluyen autorizacin.

Para este caso seleccionaremos la opcin Siempre permitir. Damos clic en Cambiar.

En la pestaa Excepciones en la cach, aadiremos un nuevo dominio para que a ste no se aplique la configuracin del Servidor Proxy. En este caso agregaremos el dominio eriku.com el cual es el perteneciente al DNS implementado en la Red DMZ. Damos clic en Aade nuevo.

Ingresamos el dominio que vamos a agregar como excepcin y seleccionamos la opcin Negar almacenamiento en cach del dominio. Damos clic en Aadir.

Ya configurados los parmetros generales que utilizar el servidor, damos clic en Guardar cambios.

Inmediatamente nos indica algunas especificaciones que se deben tener en cuenta y que activaremos ms adelante como lo es la activacin e inicio del Servidor Proxy HTTP. Damos clic en Guardar.

4.4 Perfiles de filtrado Como siguiente paso nos dirigimos a la pestaa Proxy HTTP Filtrado de Perfiles en el cual se aadirn los perfiles de polticas que se quieren aplicar a cada objeto ya creado en el manual sobre el Firewall (RED_LAN, RED_DMZ y RED_WAN). El perfil que ya aparece aadido es el que trae por defecto dicho servicio, es decir, si no existen ms perfiles, el Proxy aplicar el perfil por defecto (default).

Damos clic en Aade nuevo para agregar un nuevo perfil.

Para este caso se aadirn dos perfiles, uno para la RED_LAN y otro para la RED_DMZ. Agregamos dicho nombre en Filtrar grupo y damos clic en Aadir.

4.5 Perfil de filtrado por objeto Creados los perfiles, procedemos a crear las Polticas de Objeto. Damos clic en la pestaa del men Proxy HTTP Poltica de Objeto.

A continuacin para aadir este tipo de configuraciones damos clic en Aade nuevo, que desplegar el formulario de configuracin de una poltica por objeto. En cada una de estas polticas podremos especificar el Objeto de red para el que se aplicar, la Poltica (Filter), el Periodo de tiempo permitido y el Perfil de filtrado (RED_LAN y RED_DMZ), definidas anteriormente. Damos clic en Aadir.

Ya aadidas las Polticas que van a aplicar a cada Objeto nos dirigimos a Guardar los cambios ya realizados.

4.6 Configuracin de Perfiles de filtrado Como siguiente paso nos dirigimos nuevamente a la pestaa Proxy HTTP Filtrado de Perfiles y estando all procedemos a editar cada uno de los perfiles; en primer lugar ingresaremos a configurar el filtro del perfil RED_LAN.

4.7 Filtrado de Extensiones Estando dentro de la configuracin del perfil ingresamos a la pestaa Filtrado de extensiones de ficheros en la cual aadiremos las extensiones que los miembros de dicho objeto al que va aplicado este perfil (RED_LAN) no podrn descargar desde Internet. Damos clic en Aade nuevo en Configurar extensiones de ficheros permitidas.

Agregamos en Extensin el tipo de extensin (pdf) que vamos a denegar; y no seleccionamos la opcin Permitir. Damos clic en Aadir.

Ahora damos clic en Guardar cambios para que dicha configuracin sea establecida en el Servidor.

4.8 Activacin del Estado del mdulo HTTP Proxy Para comprobar que dicho filtro se encuentra en funcionamiento debemos activar el Servidor Proxy ya que se encuentra deshabilitado. Ingresamos a la pestaa del men Core Deshboard y en la parte inferior de la pgina podemos comprobar que dicho servicio no est activo. Para habilitarlo, estando en el mismo men ingresamos a Estado del mdulo.

Aqu podemos ver todos los mdulos que se encuentran en funcionamiento, buscamos el Servicio de Proxy HTTP y seleccionamos la opcin.

Inmediatamente aparece una ventana que indica las acciones y modificaciones que se harn al colocar en funcionamiento dicho Servicio, as como los archivos en los cuales estarn alojadas las configuraciones. Damos clic en Aceptar.

Como podemos ver dicho mdulo ya se encuentra activo. Damos clic en Guardar cambios.

Para verificar que se encuentra habilitado correctamente el Servicio Proxy HTTP nuevamente ingresamos a la pestaa Deshboard.

Como podemos ver efectivamente el servicio se encuentra en estado Ejecutndose y tiene habilitada la opcin para Reiniciar.

Para este caso la mquina que se encuentra en la RED LAN se llama FIREWALL_Erika; desde ella haremos las pruebas respectivas con el fin de verificar que las polticas de filtrado de perfiles para los objetos se encuentran funcionando correctamente. Ingresamos al navegador y con la sentencia filetype: pdf haremos una bsqueda de ficheros con esta extensin. Damos clic en alguno perteneciente a sta y cmo podemos ver el Servidor Proxy Zentyal filtra dicha descarga, denegando el acceso a la misma.

4.9 Filtrado por dominios Nuevamente nos dirigimos al Servidor Zentyal e ingresamos a Filtrado de Perfiles para aadir otros parmetros a la configuracin del perfil RED_LAN.

Estando dentro de la Configuracin del perfil RED_LAN ingresamos a la pestaa Filtrado de dominios para grupo de filtros en la cual podremos hacer restricciones a URLs y dominios especficos.

Para este caso haremos una restriccin de un dominio especfico, damos clic en Aade nuevo de la opcin Reglas de dominios y URLs.

Ingresamos en el parmetro el dominio que se quiere filtrar o bloquear como por ejemplo youtube.com y le indicamos que su Poltica ser Siempre denegar (Always deny). Damos clic en Aadir.

Ya aadida dicha poltica, ingresamos a l Filtrado de Perfiles (Filter Profiles) para realizar las respectivas configuraciones en el perfil RED_DMZ.

Al igual que el perfil RED_LAN realizaremos un filtro por extensiones de fichero; damos clic en la pestaa Filtrado de extensiones de fichero Configurar extensiones de fichero permitidas Aade nuevo.

Para este caso bloquearemos la extensin doc. Damos clic en Aadir.

Como siguiente paso pasamos a filtrar un dominio determinado en la pestaa Filtrado de dominios para grupo de filtros.

Estando en este modo de configuracin damos clic en Aade nuevo en la opcin Reglas de dominios y URLs y filtramos el dominio hotmail.com indicando que su poltica de bloqueo va a estar Siempre denegada (Always deny). Seleccionamos el botn Aadir.

Procedemos a guardar los cambios realizados en cada uno de los perfiles dando clic en la pestaa Guardar cambios.

Procedemos a dirigirnos nuevamente a la mquina LAN para verificar que el acceso al dominio youtube.com se encuentre denegado. Ingresamos al Navegador y en la barra de direcciones aadimos la URL http://www.youtube.com y cmo podemos observar el sitio no se encuentra permitido.

Ahora desde una mquina dentro de la RED_DMZ desde el navegador hacemos una bsqueda de ficheros con extensin doc y efectivamente el Servidor bloquea la descarga del mismo.

Como siguiente prueba, estando en la mquina de la DMZ ingresamos al dominio hotmail.com con la URL http://www.hotmail.com y como se muestra en la siguiente imagen dicho dominio se encuentra en estado no permitido lo que nos permite comprobar que el Proxy HTTP Zentyal se encuentra en correcto funcionamiento.

CONCLUSIONES

Un Servidor Proxy es un programa que trabaja con servidores externos en nombre de clientes internos. Los Clientes Proxy se comunican con los Servidores Proxy, los cuales, a su vez, transmiten solicitudes aprobadas de clientes a servidores nicos y luego transmiten de nuevo las respuestas a los clientes. Una de las principales ventajas de utilizar un Servidor Proxy es la capacidad de ocultar la red interna a proteger desde el exterior, debido a que todos los paquetes que atraviesan el Proxy, aparecen en el exterior con la direccin de origen del Proxy. Permitir que las Direcciones IP Internas es una tcnica que puede aplicarse sin un servidor proxy, utilizando un Gateway o pasarela de traduccin de direcciones (NAT). Cuando se utiliza un Proxy se establecen conexiones separadas desde el servidor hacia cada punto terminal, lo que permite conexiones ms seguras con el uso del NAT ya que permite ocultar los detalles del direccionamiento IP interno. En situaciones de trfico pesado este tipo de firewalls puede convertirse en un cuello de botella en la red, debido a la cantidad de procesos que realiza. Una funcin que realizan los servidores Proxy es el Caching local de contenidos Web as como de comportarse en modo transparente para que el cliente no tenga conocimiento del filtro que se est realizando por debajo de la conexin.

BIBLIOGRAFA

https://cursos.redsena.net http://www.zentyal.com/es/ http://es.wikipedia.org/wiki/Zentyal http://es.wikipedia.org/wiki/Proxy http://en.wikipedia.org/wiki/Proxy_server