SOLUCIONES PERIMETRALES_PLAN DE SEGURIDAD DE LA INFORMACIÓN SOLUCIÓN DE ACELERACIÓN Y FILTRADO WEB (PROXY) EN ZENTYAL

ERIKA STEPHANY FRANCO ORTEGA GRUPO: 38110

INSTRUCTOR ANDRES MAURICIO ORTIZ MORALES

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL GESTION DE LA SEGURIDAD EN LA RED MEDELLÍN SENA 2011

CONTENIDO

INTRODUCCIÓN 1. OBJETIVOS 1.1 Objetivo General 1.2 Objetivo Específico 2. MARCO TEÓRICO 3. DIAGRAMA LÓGICO DE RED 4. SOLUCIÓN DE ACELERACIÓN Y FILTRADO WEB (PROXY) EN ZENTYAL 4.1 Configuración de las Interfaces de Red 4.2 Instalación del componente HTTP Proxy (Caché and Content Filter) 4.3 Configuración General 4.4 Perfiles de filtrado 4.5 Perfil de filtrado por objeto 4.6 Configuración de Perfiles de filtrado 4.7 Filtrado de Extensiones 4.8 Activación del Estado del módulo HTTP Proxy 4.9 Filtrado por dominios 5. CONCLUSIONES BIBLIOGRAFIA

INTRODUCCIÓN

La seguridad perimetral se define como la correcta implementación de los equipos de seguridad que controlan y protegen todo el tráfico de entrada y salida entre todos los puntos de conexión o el perímetro de la red a través de una correcta definición de las políticas de seguridad y una buena configuración de los dispositivos de protección. La solución de Seguridad Perimetral protege a las redes de las amenazas tales como Hackers, ataques de Negación de Servicio (Denied of Service -DoS), Malware, Spam, contenido malicioso en correos y Páginas Web en diferentes medios y puntos de conexión o perímetro de la red organizacional. El objetivo principal de la realización de este trabajo es con el fin de implementar uno de los tipos de Soluciones Perimetrales, aplicables dentro de un entorno real, como lo es el PROXY buscando en esencia fomentar y propiciar la seguridad del ambiente productivo en las conexiones de Red e Internet (Filtro del acceso o descarga de diferentes dominios o extensiones de archivo desde Internet para las redes internas). Cabe resaltar que para su correcta elaboración, desarrollo e implementación se hizo uso de diferentes herramientas y aplicaciones (Software) para facilitar dicho proceso como lo es la distribución de firewalls por software denominada ZENTYAL, la cual a su vez permite configurar eficazmente otras soluciones perimetrales como FIREWALL y VPN para tener bajo un mismo sistema todas las implementaciones de seguridad. Se realizó con la mayor creatividad e interés posible para que el lector lo disfrute completamente.

1. OBJETIVOS

1.1 Objetivo General Definir las políticas, normas, técnicas y procedimientos de seguridad de la red, aplicando estándares y normas internacionales de seguridad vigentes, para el aseguramiento de la información y la red, utilizando herramientas tecnológicas para implementar un Servidor Proxy HTTP.

1.2 Objetivos Específicos  Configurar el hardware, el software y aplicar procedimientos de seguridad, de acuerdo con el diseño establecido, de tal forma que los clientes de la red Interna no hagan uso de páginas no relacionadas con la organización como tal.  Identificar las vulnerabilidades y ataques de la red de cómputo a través de técnicas y herramientas que permitan realizar el análisis de riesgos y garantizar el funcionamiento de la red de tal forma que se aseguren los recursos de la compañía (hardware, software, datos, entre otros).  Realizar procedimientos para la revisión y seguimiento de registro de eventos, en el Servidor Proxy mediante herramientas que permitan determinar eventos que alteran el estado de la seguridad de la red, para monitorear garantizando la integridad del sistema.

2. MARCO TEÓRICO

 SERVIDOR PROXY: Actúa como intermediario en las peticiones de los clientes en busca de recursos de otros servidores. Un cliente se conecta al servidor proxy, solicitando algún servicio, como un archivo, la conexión en la Página Web u otros recursos disponibles desde un servidor diferente. El servidor proxy evalúa la solicitud de acuerdo con sus reglas de filtrado, es decir, puede filtrar el tráfico por dirección IP, protocolo, extensión, ancho de banda de descarga, dominios, entre otros; si la solicitud es validada por el filtro, el proxy proporciona el recurso mediante la conexión con el servidor correspondiente y solicitar el servicio en nombre del cliente. Un servidor proxy, opcionalmente, puede alterar la solicitud del cliente o la respuesta del servidor y, a veces se puede atender la solicitud sin contacto con el servidor especificado. Entre la implementación y tipos de proxy se destacan los siguientes:  PROXY TRANSPARENTE: Combina un Servidor Proxy con NAT (Network Address Translation, Traducción de Dirección de Red) de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. PROXY CACHÉ: Este tipo de proxy guarda las respuestas a peticiones anteriores y puede hacer uso de dicha caché para dar nuevas respuestas directamente a otros clientes que requieran de este mismo servicio o contenido con el fin de mejorar el uso y utilización del ancho de banda en la red; es decir, su función es precargar el contenido Web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma información de la misma máquina u otras.

 ZENTYAL: Es un servidor de red unificado de código abierto (Plataforma de red

unificada) para las PYMEs (Pequeñas y medianas empresas) el cual puede actuar gestionando la infraestructura de red, como puerta de enlace a Internet (Gateway), gestionando las amenazas de seguridad a partir de la configuración de Soluciones Perimetrales (Firewall, Proxy, VPNs e IDS)), como servidor de oficina, como servidor de comunicaciones unificadas o una combinación de estas. Además, Zentyal incluye un marco de desarrollo (Framework) para facilitar el desarrollo de nuevos servicios basados en Unix.

.

3. DIAGRAMA LÓGICO DE RED

ETH1

ETH2

ETH0

4. SOLUCIÓN DE ACELERACIÓN Y FILTRADO WEB (PROXY) EN ZENTYAL Para la configuración e implementación de un Servidor Proxy a través de la Distribución Zentyal se utilizarán dos máquinas virtuales que cumplirán la función de Red LAN y DMZ; y una de las máquinas reales en la red por DHCP la cual permitirá la salida a Internet (Red WAN). La máquina que correrá bajo el sistema Zentyal será un intermediario entre las tres redes por lo que poseerá tres interfaces, dos por Red Interna para las redes LAN y DMZ y una por Adaptador puente que será la Puerta de enlace para salir a Internet.

4.1 Configuración de las Interfaces de Red Como primer paso, y instalado el Sistema de Zentyal, nos dirigimos a la terminal y estando en el modo súper-usuario reiniciamos las interfaces utilizando el comando /etc/init.d/networking restart para que la interfaz eth2 que se encuentra en modo Adaptador Puente reciba dirección IP por DHCP. En este caso se puede apreciar cada uno de los paquetes respectivos para la asignación de Dirección IP y la dirección como tal que en el paquete DHPACK proporciona dicho servicio en red (192.168.10.61/24).

A continuación, nos dirigimos a verificar la configuración de los adaptadores de red en la Máquina Zentyal los cuales deben estar asociados con cada una de las redes (LAN y DMZ) de acuerdo a su nombre para que haya un puente entre ambas y el tráfico vaya dirigido directamente a dicha interfaz. Para la red LAN la interfaz recibirá el nombre de intnet-lan, la Red DMZ, intnet-dmz y la WAN eth2. NOTA: El nombre de las interfaces tanto para la red LAN y DMZ varía ya que son interfaces virtuales propias del Virtualizador (Virtual Box).

El Adaptador 3 al ser configurado en modo Adaptador puente (Bridge) estará directamente conectado a la Red WAN.

Luego de verificar los tres adaptadores de red en Zentyal, nos dirigimos a configurarlos en las máquinas virtuales LAN y DMZ; ambos adaptadores de red deben ubicarse en el mismo número de adaptador para que la conexión se encuentre correcta. En el Adaptador 1 debe estar directamente conectada la interfaz intnet-dmz y en el Adaptador 2 la interfaz intnet-lan.

Ya configurados los adaptadores de red, debemos recordar que el direccionamiento perteneciente a cada red fue configurado en el Manual sobre SEGURIDAD PERIMETRAL CON FIREWALLS EN ZENTYAL la cual se puede visualizar con el comando ifconfig en la máquina de Zentyal; ya cada una de la redes debe tener una IP dentro de su rango respectivo. La dirección asignada en estas interfaces debe estar relacionadas al Gateway (Puerta de enlace) de cada una de las máquinas pertenecientes a las redes en dicha infraestructura. RED LAN: IP: 192.168.188.7/24 GW: 192.168.188.1 RED DMZ: IP: 192.168.150.7/24 GW: 192.168.150.1 RED WAN: IP: 192.168.10.61/24 GW: 192.168.10.1

4.2 Instalación del componente HTTP Proxy (Caché and Content Filter) Teniendo las interfaces y el direccionamiento activo de forma correcta iniciamos sesión desde el administrador de Zentyal para comenzar con la configuración del Servidor Proxy. Ingresamos el login correspondiente especificado en la instalación del Servidor y damos clic en Entrar.

Ya estando dentro de la plataforma, ingresamos a la pestaña Gestión de software – Componentes Zentyal.

En esta opción podemos visualizar cada uno de los componentes que el Servidor Zentyal permite instalar para su configuración y administración dentro de la pestaña Install; también se pueden Actualizar dichos paquetes o eliminarlos en Borrar. Para este caso instalaremos el componente HTTP Proxy (Caché and Content Filter) para poder implementar dicho servidor (componente).

Seleccionamos dicho componente y damos clic en Instalar.

Inmediatamente nos aparece un mensaje de confirmación para dicha Intalación, damos clic en Aceptar.

Esperamos a que el proceso de instalación se lleve a cabo completamente para que cada uno de los componentes requeridos para el Servidor Proxy se aplique correctamente.

Finalizada la instalación de los paquetes el Wizard (Asistente) de configuración inicial nos indica que debemos guardar los cambios para comenzar a utilizar el servidor o componente en Zentyal. Damos clic en Guardar cambios.

Esperamos a que el Asistente guarde completamente los cambios y los aplique al módulo ya existente de Firewall la cual es la principal función del Servidor Zentyal. Ya guardados los cambios correctamente podemos verificar que en el menú del aplicativo se encuentra instalado un nuevo componente en la pestaña Gateway – Proxy HTTP por medio del cual podremos configurar nuestro Servidor Proxy.

4.3 Configuración General Nos dirigimos a la pestaña Proxy HTTP – General donde se realizarán las configuraciones básicas para dicho Servidor.

Entre los parámetros a configurar podremos definir si el proxy funciona en modo Proxy Transparente. En este último caso, en Puerto estableceremos dónde escuchará el servidor las conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos típicos son el 8000 y el 8080. El proxy de Zentyal únicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una dirección interna en la configuración del navegador. El tamaño de la caché define el espacio en disco máximo usado para almacenar temporalmente contenidos web. Se establece en Tamaño de caché y corresponde a cada administrador decidir cuál es el tamaño óptimo teniendo en cuenta las características del servidor y el tráfico esperado (100 MB). También se establece la Política predeterminada para el acceso al contenido web HTTP a través del proxy. Esta política determina si se puede acceder o no a la web y si se aplica el filtro de contenidos. Puede configurarse de las siguientes formas:  Permitir todo: Se permite a los usuarios navegar sin ningún tipo de restricciones pero todavía haciendo uso de la caché, ahorro de tráfico y mayor velocidad.  Denegar todo: Deniega totalmente el acceso a la web y luego establecer posteriormente políticas particulares para objetos, usuarios o grupos, pudiendo usar esta política para denegar en principio y luego aceptar explícitamente en determinadas condiciones.  Filtrar: Permite a los usuarios navegar pero activa el filtrado de contenidos que puede denegar el acceso web según el contenido solicitado por los usuarios.  Autorizar y filtrar, permitir todo o denegar todo: Son versiones de las políticas anteriores que incluyen autorización.

Para este caso seleccionaremos la opción Siempre permitir. Damos clic en Cambiar.

En la pestaña Excepciones en la caché, añadiremos un nuevo dominio para que a éste no se aplique la configuración del Servidor Proxy. En este caso agregaremos el dominio eriku.com el cual es el perteneciente al DNS implementado en la Red DMZ. Damos clic en Añade nuevo.

Ingresamos el dominio que vamos a agregar como excepción y seleccionamos la opción Negar almacenamiento en caché del dominio. Damos clic en Añadir.

Ya configurados los parámetros generales que utilizará el servidor, damos clic en Guardar cambios.

Inmediatamente nos indica algunas especificaciones que se deben tener en cuenta y que activaremos más adelante como lo es la activación e inicio del Servidor Proxy HTTP. Damos clic en Guardar.

4.4 Perfiles de filtrado Como siguiente paso nos dirigimos a la pestaña Proxy HTTP – Filtrado de Perfiles en el cual se añadirán los perfiles de políticas que se quieren aplicar a cada objeto ya creado en el manual sobre el Firewall (RED_LAN, RED_DMZ y RED_WAN). El perfil que ya aparece añadido es el que trae por defecto dicho servicio, es decir, si no existen más perfiles, el Proxy aplicará el perfil por defecto (default).

Damos clic en Añade nuevo para agregar un nuevo perfil.

Para este caso se añadirán dos perfiles, uno para la RED_LAN y otro para la RED_DMZ. Agregamos dicho nombre en Filtrar grupo y damos clic en Añadir.

4.5 Perfil de filtrado por objeto Creados los perfiles, procedemos a crear las Políticas de Objeto. Damos clic en la pestaña del menú Proxy HTTP – Política de Objeto.

A continuación para añadir este tipo de configuraciones damos clic en Añade nuevo, que desplegará el formulario de configuración de una política por objeto. En cada una de estas políticas podremos especificar el Objeto de red para el que se aplicará, la Política (Filter), el Periodo de tiempo permitido y el Perfil de filtrado (RED_LAN y RED_DMZ), definidas anteriormente. Damos clic en Añadir.

Ya añadidas las Políticas que van a aplicar a cada Objeto nos dirigimos a Guardar los cambios ya realizados.

4.6 Configuración de Perfiles de filtrado Como siguiente paso nos dirigimos nuevamente a la pestaña Proxy HTTP – Filtrado de Perfiles y estando allí procedemos a editar cada uno de los perfiles; en primer lugar ingresaremos a configurar el filtro del perfil RED_LAN.

4.7 Filtrado de Extensiones Estando dentro de la configuración del perfil ingresamos a la pestaña “Filtrado de extensiones de ficheros” en la cual añadiremos las extensiones que los miembros de dicho objeto al que va aplicado este perfil (RED_LAN) no podrán descargar desde Internet. Damos clic en Añade nuevo en “Configurar extensiones de ficheros permitidas”.

Agregamos en Extensión el tipo de extensión (pdf) que vamos a denegar; y no seleccionamos la opción Permitir. Damos clic en Añadir.

Ahora damos clic en Guardar cambios para que dicha configuración sea establecida en el Servidor.

4.8 Activación del Estado del módulo HTTP Proxy Para comprobar que dicho filtro se encuentra en funcionamiento debemos activar el Servidor Proxy ya que se encuentra deshabilitado. Ingresamos a la pestaña del menú Core – Deshboard y en la parte inferior de la página podemos comprobar que dicho servicio no está activo. Para habilitarlo, estando en el mismo menú ingresamos a Estado del módulo.

Aquí podemos ver todos los módulos que se encuentran en funcionamiento, buscamos el Servicio de Proxy HTTP y seleccionamos la opción.

Inmediatamente aparece una ventana que indica las acciones y modificaciones que se harán al colocar en funcionamiento dicho Servicio, así como los archivos en los cuales estarán alojadas las configuraciones. Damos clic en Aceptar.

Como podemos ver dicho módulo ya se encuentra activo. Damos clic en Guardar cambios.

Para verificar que se encuentra habilitado correctamente el Servicio Proxy HTTP nuevamente ingresamos a la pestaña Deshboard.

Como podemos ver efectivamente el servicio se encuentra en estado “Ejecutándose” y tiene habilitada la opción para Reiniciar.

Para este caso la máquina que se encuentra en la RED LAN se llama FIREWALL_Erika; desde ella haremos las pruebas respectivas con el fin de verificar que las políticas de filtrado de perfiles para los objetos se encuentran funcionando correctamente. Ingresamos al navegador y con la sentencia filetype: pdf haremos una búsqueda de ficheros con esta extensión. Damos clic en alguno perteneciente a ésta y cómo podemos ver el Servidor Proxy Zentyal filtra dicha descarga, denegando el acceso a la misma.

4.9 Filtrado por dominios Nuevamente nos dirigimos al Servidor Zentyal e ingresamos a Filtrado de Perfiles para añadir otros parámetros a la configuración del perfil RED_LAN.

Estando dentro de la Configuración del perfil RED_LAN ingresamos a la pestaña “Filtrado de dominios para grupo de filtros” en la cual podremos hacer restricciones a URLs y dominios específicos.

Para este caso haremos una restricción de un dominio específico, damos clic en Añade nuevo de la opción “Reglas de dominios y URLs”.

Ingresamos en el parámetro el dominio que se quiere filtrar o bloquear como por ejemplo “youtube.com” y le indicamos que su Política será Siempre denegar (Always deny). Damos clic en Añadir.

Ya añadida dicha política, ingresamos a l Filtrado de Perfiles (Filter Profiles) para realizar las respectivas configuraciones en el perfil RED_DMZ.

Al igual que el perfil RED_LAN realizaremos un filtro por extensiones de fichero; damos clic en la pestaña “Filtrado de extensiones de fichero” – “Configurar extensiones de fichero permitidas” – Añade nuevo.

Para este caso bloquearemos la extensión “doc”. Damos clic en Añadir.

Como siguiente paso pasamos a filtrar un dominio determinado en la pestaña “Filtrado de dominios para grupo de filtros”.

Estando en este modo de configuración damos clic en Añade nuevo en la opción “Reglas de dominios y URLs” y filtramos el dominio “hotmail.com” indicando que su política de bloqueo va a estar Siempre denegada (Always deny). Seleccionamos el botón Añadir.

Procedemos a guardar los cambios realizados en cada uno de los perfiles dando clic en la pestaña Guardar cambios.

Procedemos a dirigirnos nuevamente a la máquina LAN para verificar que el acceso al dominio “youtube.com” se encuentre denegado. Ingresamos al Navegador y en la barra de direcciones añadimos la URL http://www.youtube.com y cómo podemos observar el sitio no se encuentra permitido.

Ahora desde una máquina dentro de la RED_DMZ desde el navegador hacemos una búsqueda de ficheros con extensión “doc” y efectivamente el Servidor bloquea la descarga del mismo.

Como siguiente prueba, estando en la máquina de la DMZ ingresamos al dominio “hotmail.com” con la URL http://www.hotmail.com y como se muestra en la siguiente imagen dicho dominio se encuentra en estado no permitido lo que nos permite comprobar que el Proxy HTTP Zentyal se encuentra en correcto funcionamiento.

CONCLUSIONES

 Un Servidor Proxy es un programa que trabaja con servidores externos en nombre de clientes internos. Los Clientes Proxy se comunican con los Servidores Proxy, los cuales, a su vez, transmiten solicitudes aprobadas de clientes a servidores únicos y luego transmiten de nuevo las respuestas a los clientes.  Una de las principales ventajas de utilizar un Servidor Proxy es la capacidad de ocultar la red interna a proteger desde el exterior, debido a que todos los paquetes que atraviesan el Proxy, aparecen en el exterior con la dirección de origen del Proxy. Permitir que las Direcciones IP Internas es una técnica que puede aplicarse sin un servidor proxy, utilizando un Gateway o pasarela de traducción de direcciones (NAT). Cuando se utiliza un Proxy se establecen conexiones separadas desde el servidor hacia cada punto terminal, lo que permite conexiones más seguras con el uso del NAT ya que permite ocultar los detalles del direccionamiento IP interno. En situaciones de tráfico pesado este tipo de firewalls puede convertirse en un cuello de botella en la red, debido a la cantidad de procesos que realiza.  Una función que realizan los servidores Proxy es el “Caching” local de contenidos Web así como de comportarse en modo transparente para que el cliente no tenga conocimiento del filtro que se está realizando por debajo de la conexión.

BIBLIOGRAFÍA

    

https://cursos.redsena.net http://www.zentyal.com/es/ http://es.wikipedia.org/wiki/Zentyal http://es.wikipedia.org/wiki/Proxy http://en.wikipedia.org/wiki/Proxy_server

Sign up to vote on this title
UsefulNot useful