Professional Documents
Culture Documents
2. Dues targetes de xarxa. Una connectada a la xarxa PONT (que ens donarà internet) amb adreça IP fixa i una altre
connectada a una xarxa interna (192.168.0.0/24) amb l’adreça IP 192.168.0.1.
Passos inicials
1. Actualització del sistema base:
apt update
apt dist-upgrade
reboot
1. Editem l'arxiu /etc/bind/named.conf.options i afegim els forwarders (DNSs que ens faran la resolució de noms
si el nostre DNS no les pot fer) adequats:
forwarders {
8.8.8.8;
};
2. Editem l'arxiu /etc/bind/named.conf.local i afegim les zones directa i inversa del nostre DNS:
zone "xarxa.lan" {
type master;
file "/etc/bind/directa_xarxa";
};
zone "0.168.192.in-addr.arpa" {
type master;
file "/etc/bind/inversa_xarxa";
};
ZONA DIRECTA
; ZONA DIRECTA DE L'AULA
;
$TTL 86400
@ IN SOA xarxa.lan. root.xarxa.lan. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
86400 ) ; Negative Cache TTL
;
@ IN NS xarxa.lan.
xarxa.lan. IN A 192.168.0.1
ZONA INVERSA
; ZONA INVERSA DE L'AULA
;
$TTL 86400
@ IN SOA xarxa.lan. root.xarxa.lan. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
86400 ) ; Negative Cache TTL
;
@ IN NS xarxa.lan.
1 IN PTR xarxa.lan.
1. Editem l'arxiu /etc/dhcp/dhcpd.conf i configurem els paràmetres per defecte del nostre servidor:
ARXIU DHCPD.CONF
option domain-name "xarxa.lan";
default-lease-time 6000;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
2. Fem que només escolti per a la interfície local editant l'arxiu /etc/default/isc-dhcp-server:
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
# Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACESv4="enp0s8"
INTERFACESv6=""
1. Política de denegació per defecte, per tant tots els elements estaran tancats.
4. Permetem que l'equip servidor pugui accedir per SSH a la resta d'equips de l'aula (atenció NO A LA INVERSA).
6. Les màquines de l'aula es podran comunicar pel port 3128 (port del proxy SQUID).
7. Les màquines de l'aula es podran comunicar pel port 3129 (port del proxy SQUID).
8. Les màquines de l'aula es podran comunicar pel port 3130 (port del proxy SQUID).
9. Les màquines de l'aula es podran comunicar pels ports 67 i 68 que són els ports estàndards per a la recepció del
DHCP.
11. Les comunicacions 443 provinents dels clients es redirigiran al port 3130.
FIREWALL
#!/bin/bash
ipt=/usr/sbin/iptables
mkdir /etc/ssl/caijm/
mkdir /etc/ssl/caijm/certs
mkdir /etc/ssl/caijm/private
mkdir /etc/ssl/caijm/newcerts
mkdir /etc/ssl/caijm/crl
echo "01" > /etc/ssl/caijm/serial
touch /etc/ssl/caijm/index.txt
cd /etc/ssl/caijm/
openssl req -nodes -new -x509 -keyout private/caijm.key -out caijm.crt -days 3650
2. Dins del directori descomprimit configurem la compilació i la realitzem amb les següents ordres:
a) ./configure --enable-icap-client --enable-ssl --enable-ssl-crtd --with-openssl
b) make
c) make install
http_port 192.168.0.1:3128
http_port 192.168.0.1:3129 intercept
https_port 192.168.0.1:3130 intercept ssl-bump generate-host-certificates=on \
dynamic_cert_mem_cache_size=4MB cert=/etc/ssl/caijm/caijm.crt \
key=/etc/ssl/caijm/private/caijm.key
debug_options ALL,2
ATENCIÓ: La línia https_port ha d’estar en una única línia. Està posat així per temes d’espai.
9. Generem la base de dades a on s'emmagatzemaran els certificats dinàmics associats a cada WEB HTTPS:
/usr/local/squid/libexec/security_file_certgen -c -s /usr/local/squid/var/cache/squid/ssl_db -M 4MB.
10. Li donem permisos a l'usuari proxy per a que pugui accedir a la base de dades de certificats: chown -R
proxy:proxy /usr/local/squid/var/cache/squid/ssl_db.
11. Fem que l'usuari proxy pugui fer servir el bash afegint /bin/bash al /etc/passwd.
12. Li donem permisos a l'usuari proxy per a que pugui accedir a la carpeta de gestió d'execució: chown -R
proxy:proxy /usr/local/squid/var/run.
13. Donem permissos a la clau privada per a que l’usuari proxy la pugui llegir: chmod -R 755
/etc/ssl/caijm/private/.
15. Posem en marxa el nostre servidor fent servir la següent comanda: su proxy -c "/usr/local/squid/sbin/squid
-NCd1". I el podrem parar fent ctrl + c.
Client de la xarxa
El client rebrà l'adreça IP del servidor i l’únic que haurem de fer és importar el certificat de l'autoritat certificadora
(caijm.crt) al nostre navegador donant-li tots els permisos.
Comprobación:
Exercicis
1. Implementeu els punts anteriors i comproveu el funcionament amb el HTTPS i un conjunt de paraules
prohibides i dominis prohibits. [ 4 punts ]
(FET ADALT)
2. Consulteu el fitxer de logs d’accés del SQUID i trobeu les pàgines prohibides. [ 1 punt ]
/usr/local/squid/var/logs/access.log
3. Esbrineu com instal·lar i configurar l’aplicatiu WEB SquidAnalyzer al servidor per a poder fer consultes
sobre els hàbits de navegació dels clients de la xarxa. [ 5 punts ]