“Instalación y configuración de servidores proxy”:ESPERANZA ELIPE

Transcripción

2ºASIR
PRÁCTICAS UNIDAD 5
[ “INSTALACIÓN Y
CONFIGURACIÓN DE
SERVIDORES PROXY”]
ESPERANZA ELIPE JIMENEZ
1.Realiza en un documento PDF un
planteamiento de escenario informático
utilizando servidores proxy (servicios web y ftp).
Debe utilizarse en las siguientes propuestas de
prácticas.
En el anterior escenario observamos que vamos a tener dos clientes uno con
Linux y otro con Ubuntu , para el funcionamiento del proxy en ese caso el
servidor proxy es un Ubuntu tambien y usamos el squid.
Los clientes tendrán la dirección ip que indican en el dibujo al igual que el
servidor tendrá esa misma ip en las siguientes practicas.
2. Instalación y configuración del servidor Proxy
“Squid” en GNU/Linux.
En primer lugar para configurar el proxy tenemos que tener internet , para ello
yo voy hacer el escenario de los proxy mediante NAT tanto en el servidor como
en el cliente estará en NAT.
En primer lugar instalamos el paquete como los demás paquetes y lo hacemos
con el apt-get install squid
Una vez instalamos en el directorio de /etc/squid nos creamos un archivo
llamado bloqueados en el cual vamos a poner las direcciones que queremos
que sean bloqueados.
Luego vamos a editar el archivo e configuración llamado squid.conf
Y configuramos el puerto del proxy .
Configuramos la cache del proxy que es la que usaremos para almacenar la
memoria.
Lo que quieres guardar en el disco duro de internet.
Ya tenemos configurado el proxy
Ahora vamos a configurar lso parámetros vamso a establecer las reglas con las
acl que estas se componen de un parámetro acl seguido de un nombre que
queramos el método de acceso y el rango de acceso.
Ponemos una acl de nuestra red que la acl se llamara mired.
Ahora indicamos otra acl la cual indica otra regla , que esta regla será para
palabras que nosotros indiquemos para ello esta acl es acl el nombre que
queramos mas url_regex y las palabras o la ruta del archivo donde están las
palabras.En el archivo bloqueado es donde tendremos las palabras que no
queremos que tengan acceso el usuario.
Ahora se tiene que indicar si permitimos o las denegamos y esto se hace con
http_acces y se pone si se permite con allow y si se deniega con denny
entonces a la red le permitimos y para las palabras bloqueados se deniega.
Una vez establecido todos estos parámetros el archivo de configuración está
listo entonces guardamos el archivo y reiniciamos el servicio.
Una vez configurado todo el servidor proxy , tenemos que ver la tarjeta de red
que tiene el servidor para ello hacemos un ifconfig y vemos la dirección de
nuestro servidor proxy.
Ahora vamos a configurar tambien , para que cuando nos salte el proxy nos
salga un mensaje personalizado , para ello lo hacemos de la siguiente manera.
Nos dirigimos a /usr/share/squid/errors
En esta carpeta veremos todas las plantillas en diferentes idiomas.
Y modificamos manualmente el archivo donde queremos modifciar el error
personalizado.
3. Configuración de un cliente Proxy en
GNU/Linux.
Para la configuración del cliente de Linux tenemos que verificar primer la ip de
esto y que este en la misma red que nuestro servidor.
Luego configuramos el cliente de este , para ello lo hacemos desde el
navegador de Linux.
Nos vamos a editar/preferencias/configuración
Y en esta configuración configuramos el proxy al servidor que tenemos de
proxy.
Cuando intentamos poner en el navegador porno que era la otra palabra
prohibida nos lo prohíbe perfectamente.
4. Configuración de un cliente Proxy
en Windows.
Una vez configurado el servidor proxy , vamos a configurar el cliente en
Windows , para ello tiene que estar en la misma red que el servidor , lo
ponemos en nat y comprobamos su ip.
Una vez comprobada la ips, vamos a configurar el cliente , abrimos el
navegador de internet.
Comprobamos que tenemos internet y podemos acceder a google.
Ahora comprobamos que podemos acceder a www.tuenti.com ya que es una
de las paginas las cuales hemos bloqueado.
Ahora vamos a configurar el proxy.
Para ello sobre el navegador de internet explorer mismo , nos vamos a
herramientas , opciones de internet y hay lo configuramos.
Y en la siguiente ventana lo configuramos con la dirección de nuestro servidor
proxy , que la dirección es 192.168.159.184 con el puerto 3138
Una vez configurado , comprobamos si funciona para ello nos vamos a la
pagina de google y comprobamos que si nos deja tener acceso a google.
Ahora vamos a ir a la pagina de www.tuenti.com que en esta pagina en un
principio no nos tiene que dejar.
“Squid” en GNU/Linux utilizando Webmin.
En esta practica vamos a instalar el mismo servidor anterior pero este lo vamos
hacer con el webmin , para ello entramos en el entorno de webmin.
Tenemos que tener el servidor de squid , miramos en servidores y
comprobamos que este no esta entonces tenemos que instalarlo.
Para ello pulsamos sobre Un-used Modules y añadimos el modulo de squid.
Nos dirá que no esta instalado pero se puede instalar mediante el enlace que
nos muestra.
Comprobamos como se esta instalando el paquete de squid.
Ahora volvemos a pinchar en servidores y ya nos aparece el servidor de squid
instalado perfectamente.
Ahora vamos a configurar porque puerto vamos acceder al proxy para ello le
damos a puertos y trabajo en red y configuramos dicho puerto.
Por defecto nos viene el puerto 3128 y por las tarjetas que queremos ,
entonces la ponemos en 192.168.159.183.
Una vez configurado eso lo arrancamos el proxy y vamos al navegador a
configurarlo.
Lo hacemos con el cliente de Windows el cual lo hacemos sobre
herramientas/opciones de internet/y configuración.
Y configuramos al cliente la dirección del proxy.
E intentamos entrar a internet y nos sale el siguiente mensaje en el navegador
Esto nos sale porque el proxy squid viene preparado para que nos bloqué todo
el internet para ello tenemos que hacer unas pequeñas configuraciones.
Nos situamos ahora en control de acceso.
Y vamos hacer una regla la que nos permita acceder a los ordenadores que
estén en nuestra red local.
Nos aparecen una serie de acl(reglas) pues le damos a crear.
Ponemos el nombre de la regla que será sábado y tambien podemos poner un
rango de direcciones o una red completa yo indicare la red completa.
Cuando creamos la acl no nos hace nada , para ello tenemos que ir a
privilegios de proxy e poner la restrinccion.
Y le damos a añadir una restrinccion proxy.
Y le damos a permitir a sábado que es nuestra acl y guardamos cambios.
Comprobamos que la regla nos aparece con todas las reglas pero no nos
serviría para nada porque arriba de ella esta denegar a todo el mundo.
Por tanto lo subimos para que este haga su función.
Aplicamos cambios , para que se guarde estos cambios y probamos en el
navegador y ahora si nos tiene que dejar entrar a internet.
Ahora vamos a configurar la cache del proxy.
Este lo dejamos como está porque como solo tenemos un disco duro lo
dejamos como está por defecto.
Nos creamos una regla de acceso que permita al usuario dar su nombre y
contraseña para ello lo hacemos como anteriormente el crear una regla acl.
Le ponemos el nombre de contraseña y se la damos para todos los usuarios
aunque se pueden indicar algunos en concreto.
Ahora vamos a crear una restrinccion que en este caso va ser de denegar
aquellos que no tengan contraseña.
Y subimos la regla para que se aplique enseguida antes que las otras.
Luego nos vamos a programa de autenticación y seleccionamos por defecto de
webmin para que no nos de error en lo de los usuarios.
Para comprobar que esto funciona , tenemos que navegar por cualquier pagina
y nos tiene que aparecer que nos autentiquemos.
Como no tenemos ningún usuario le damos a cancelar y no nos deja entrar .
Como le hemos indicado que queremos que los usuarios sean de webmin
tenemos que crearlos con autentificación proxy.
Nos creamos un nuevo usuario el cual será espejesus y contraseña inves.
Este usuario no es usuario de Linux sino que es usuario de squid.
Ahora hacemos la misma tarea que antes de entrar con el usuario y la
contraseña.
Y comprobamos que ahora entra perfectamente.
Por ultimo vamos a crearnos otra acl en la cual vamos a prohibir las paginas
prohibidas.
Con esta acl no podremos acceder a paginas que contengan la palabra porno y
xxx.
Y aplicamos la regla de restrinccion y la vamos a denegar a la regla de stop.
Tendriamos que subir la regla mas arriba para que tenga su efecto.
Y aplicamos cambios y nos vamos al cliente para comprobar que no nos deja
entrar a esas paginas y a otras paginas si.
Comprobamos que a www.google.es si nos deja entrar.
Y ahora vamos a probar con la palabra xxx.
Y nos sale la siguiente pantalla.
Comprobamos que nuestro proxy funciona correctamente!
“Zentyal” en GNU/Linux.
En primer lugar nos tenemos que instalar el servidor proxy de zentyal que esta
en componentes.
El servidor proxy que queremos instalar le damos aceptar.
Comprobamos que se descarga el paquete.
En la pestaña de general , tenemos que configurar el puerto del proxy y el
tamaño de los ficheros de caché ,.La política aparece siempre denegar aunque
tiene una lista desplegable con varias.
En la anterior pantalla se puede añadir un domino el cual la caché no será
almacenado , yo lo dejo sin dominio.
Para la configuración del banda ancha , que se pueden limitar las velocidades ,
memoria etc…
Al añadir un objeto nos dice que no tenemos el modulo activado por lo cual lo
activamos.
Añadimos un objeto que será el xp.
Añadimos los datos del xp.
Y configuramos nuestros datos del cliente xp.
Añadimos la política que le vamos a denegar para toda la semana todos los
días es decir que el XP no va a poder pasar al proxy
Nos creamos una regla en el ancho de banda.
Luego en filtrado le damos a un nuevo filtrado el cual ponemos internet y en el
lle damos a configuración para que nos salga la siguiente pantalla y empezar a
configurar.
Luego nos creamso un nuevo dominio de internet que será de tuenti el cual
filtraremos que el denegar siempre el acceso a www.tuenti.com
Al crearlo nos da error , por lo cual tenemos que quitarle las www.
Comprobación.
Al poner tuenti en el nos aparece un mensaje en el cual tenemos que insertar
nombre de usuario y contraseña , le ponemos un nombre de usuario que ya
tenemos por ejemplo espe con la contraseña de inves.
Al querer entrar con el xp a zentyal al proxy http no nos deja porque tenemos
denegado el acceso.
“Wingate” en Windows
En primer lugar configuramos la dirección de nuestro equipo y le asignamos la
dirección 192.168.0.1
Y ahora vamos a configurar nuestro programa.
Configuramos el asistente de este y en la siguiente pantalla elegimos la de
server.
Activamos el programa.
E instalación completa.
Y nos pedirá que reiniciemos el equipo para que este se configure
correctamente.
Una vez reiniciado nos vamos a wingate /GateKeeper en esta ventana nos
pedirá que pongamos nuestro nombre de usuario y contraseña.
Y al entrar al programa nos encontramos con la siguiente pantalla.
Que es la pantalla donde se configura todo , observamos que están los
usuarios , servicios , el sistema etc….
Añadimos un nuevo host en el proxy de http.
Y vemos que aparecen los dos
Y la configuración esque en el navegador le ponemos la dirección del proxy y
con el puerto.
7.Descarga archivo de listas negras de sitios web
y anexa las mismas a la configuración de Squid.
http://urlblacklist.com/ . Prueba dichas listas
negras.
En primer lugar nos tenemos que descargar el paquete de blacklist ques es una
carpeta con muchas reglas de acl
Luego dos de sus listas nos la copiamos a nuestro squid .
Yo me voy a basar en la listas de juegos y en la de adultos.
Cuando ya tenemos creadas las listas nos creamos las acls en el archivo de
configuración del squid.conf
Nos creamos las acls para estas que son la de adultos y la de juegos.
Ahora aplicamos las reglas de estos.
Y guardamos cambios.
Observamos el listado de adultos y seleccionamos una y la comprobamos en el
navegador.
Y al conectar con el proxy y ponemos una dirección de este comprobamos que
nos da error al conectar.
8.Documenta la relación de productos que tiene y
ha tenido Microsoft en relación a servidores
“Proxy”. ¿Qué función tiene actualmente
Microsoft Forefront TMG Treat Managment
Gateway?. Describe su instalación y
configuración.
Forefront Threat Management Gateway 2010 (TMG) es un portal web seguro que
proporciona una completa protección contra amenazas basadas en Web mediante la
integración de múltiples capas de protección en un todo unificado y fácil de
usar. Forefront TMG permite a sus empleados a utilizar de manera segura y productiva
de la Internet para los negocios sin preocuparse por las amenazas de malware y otros.
La solución Forefront TMG incluye dos componentes:
Forefront Threat Management Gateway 2010 Server
Proporciona filtrado de URL, inspección antimalware, prevención de intrusiones,
firewall de aplicaciones y la red de capa y la inspección de HTTP / HTTPS en una
única solución.
Forefront Threat Management Gateway Web del Servicio de Protección
Proporciona actualizaciones continuas para el filtrado de malware y el acceso a las
tecnologías de URL basadas en la nube de filtrado de agregados de múltiples
proveedores de seguridad Web para proteger contra las últimas amenazas basadas en
Web.
Descripcion de instalación y
configuración.
Instalación de Microsoft Forefront TMG 2010,
Tenemos un equipo ya listo en la DMZ, al que simplemente le hemos instalado
Windows y configurado un nombre de equipo, dirección IP del rango DMZ (sin
configurar DNS‟s, ni meter en dominio, con las entradas en el archivo „hosts‟
correspondientes…). Introducimos el DVD de Microsoft Forefront Threat Management
Gateway 2010 y en el autorun seleccionamos “Ejecutar la herramienta de preparación”
Comenzará un asistente para preparar el equipo local con todos los requisitos
necesarios y nos los instalará, “Siguiente”,
“Acepto los términos de licencia” & “Siguiente”
Marcamos la primera opción “Servicios y Administración de Forefront TMG” &
“Siguiente”,
… lo dicho esperamos unos minutos mientras nos instala y configura las
características necesarias…
Seleccionamos “Iniciar el Asistente para la instalación de Forefront TMG” & “Finalizar”,
Y comenzaría el asistente de instalación de TMG, “Siguiente”,
“Acepto los términos del contrato de licencia” & “Siguiente”,
Indicamos los datos necesarios, así como el número de serie, “Siguiente”,
Seleccionamos el path de instalación (por defecto %ProgramFiles%\Microsoft
Forefront Threat Management Gateway), “Siguiente”,
Indicaremos en este momento que rango IP pertenece a la „red interna‟, pulsamos
“Agregar…”
Agregamos lo que nos interese, o el adaptador dedicado o el rango IP de la DMZ, para
ello “Agregar intervalo…”,
Indicamos el rango de la DMZ, IP inicial a IP final, “Aceptar”,
“Aceptar”,
“Siguiente”,
Deberemos tener en cuenta que los servicios especificados se reiniciarán (por si los
estamos usando en producción),
Y listo para comenzar la instalación!
… esperamos un buen rato…
Y ya tendremos el nuevo ISA instalado! mantenemos marcada la opción “Iniciar la
Administración de Forefront TMG cuando se cierre el asistente” & “Finalizar”,
En el asistente de introducción configuraremos primero las opciones de red de nuestro
equipo, pulsamos en “Configurar opciones de red”,
“Siguiente”,
En mi situación actual tengo una pata de red por lo que sólo puedo seleccionar
“Adaptador de red único”, las demás opciones serían a utilizar en diferentes
situaciones o con otros fines, en mi caso simplemente realizaré el traspaso seguro de
conexiones exteriores al interior para utilizar OWA, Outlook Anywhere… “Siguiente”,
Nos mostrará el adaptador de red del equipo con su configuración de red,
comprobamos que es correcto “Siguiente”,
Listo, confirmamos con “Finalizar”,
Ok, “Configurar opciones del sistema”
Breve asistente para modificar si consideramos necesarias algunas opciones del
servidor,
Comprobamos que todo es correcto & “Siguiente”,
“Finalizar”,
Finalmente acabamos con el asistente “Definir opciones de implementación”,
“Siguiente”,
Deberemos indicar “Usar el servicio Microsoft Update para buscar actualizaciones”
para mantener actualizado el Forefront TMG, “Siguiente”,
Configuramos el licenciamiento y temas de actualizaciones de TMG, “Siguiente”,
Si queremos partifipar el el programa de mejora y experiencia… “No” & “Siguiente”,
Si queremos enviar a Microsoft informes de uso de malware, etc… “Ninguno” &
“Siguiente”,
Por fin, listo “Finalizar”,
Cerramos el asistente, si queremos podemos utilizar el asistente para acceso Web y
poder tener conectividad con el TMG o lo configuraremos posteriormente.
Generando un certificado para OWA,
Antes de configurar TMG deberemos tener un certificado válido para el uso de OWA,
por lo que necesitamos desde Exchange generar una solicitud de certificado,
posteriormente con una CA válida generar el certificado, importarlo en el servidor que
hemos realizado la solicitud de certificado y asignarlo al servicio de IIS. Deberemos
exportar este certificado en formato PFX (con clave privada) e importarlo en los
equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para
ello será imprescindible que usemos los certificados locales de cada equipo y no los
del usuario; por lo que necesitaremos abrir una MMC y agregar el complemento
„Certificados‟ y de „cuenta de equipo local‟, desde ahí podremos exportar/importar
certificados, necesitaremos realizarlo en „Personal‟ y obviamente tener el certificado de
la CA (Certificate Authority – Entidad de emisora de certificados) en „Entidades de
certificación raíz de confianza‟.
Bueno, comenzamos, desde la Consola de administración de Exchange >
“Configuración del servidor” > “Nuevo certificado de intercambio…”
Indicamos el nombre del certificado, “Siguiente”,
“Siguiente”,
Indicamos el/los servicios que queramos que tenga el certificado, para ello deberemos
indicar los nombres de dominios que necesitaremos para OWA, ActiveSync, Outlook
Anywhere… en mi caso siempre será el mismo nombre de dominio para todo, lo
indicamos & “Siguiente”,
Confirmamos que el nombre de dominio es correcto & “Siguiente”,
Indicamos los datos del certificado: Organización, Unidad de organización, País o
región, Ciudad o localidad, Estado o provincia y donde dejaremos la solicitud del
certificado. “Siguiente”,
“Nuevo” para generar la solicitud del certificado,
“Finalizar”,
Ahora deberemos ir a una entidad emisora de certificados y presentarle la solicitud que
acabamos de generar, obtendremos un certificado para un servidor web listo para ser
usado, podremos usar CA‟s públicas (recomendado) o utilizar la CA de Microsoft de
nuestra red.
Una vez tenemos ya el certificado generado lo importamos, continuamos donde
estábamos sobre el mismo servidor que hemos realizado la solicitud pulsamos sobre
el „certificado‟ > “Completar solicitud pendiente…”
Seleccionamos el certificado desde “Examinar” & “Completar”,
“Finalizar”,
Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA)
debemos asignarlo a un servicio de Exchange, en nuestro caso será para OWA, por lo
que lo asignaremos al servicio de IIS. Sobre el certificado > “Asignar servicios a
certificado…”
Indicamos el nombre del servidor Exchange que se verá afectado & “Siguiente”
Indicamos “Internet Information Services” & “Siguiente”,
“Asignar”,
Y listo!
Todo esto será necesario tenerlo listo antes de configurar TMG, una vez lo tengamos,
lo dicho anteriormente, debemos instalar este certificado en el servidor TMG (en la
cuenta de equipo) y el de la CA si fuera necesario.
Configuración de Microsoft Forefront TMG 2010 para dar acceso a OWA,
En esta parte del documento veremos cómo permitir el uso de OWA desde el exterior
de nuestra organización al interior de forma segura, abrimos la consola de
administración de Forefront TMG, vamos a “Directiva de firewall” > “Publicar acceso de
cliente web de Exchange”
Indicamos un nombre a la regla, “Siguiente”,
Indicamos la versión de Exchange que tenemos en la organización y marcamos
“Outlook Web Access”, “Siguiente”,
“Publicar un único sitio web o equilibrio de carga” si tenemos un solo servidor con el rol
de Acceso de Cliente o tenemos un array de CAS, “Siguiente”,
Indicamos cómo queremos que se conecte el TMG al servidor de acceso de cliente,
marcamos la primera opción “Usar SSL”, “Siguiente”,
Indicamos el nombre interno del sitio de nuestro (nuestro CAS), si no resuelve el TMG
por nombre debemos indicar la dirección IP del servidor que tiene OWA, “Siguiente”,
Indicamos que acepte solicitudes sólo para el nombre de dominio público que
utilizaremos para que accedan desde el exterior y lo introducimos, “Siguiente”,
Creamos una escucha de web para indicar qué solicitudes escucharemos del exterior,
“Nueva…”,
Indicamos el nombre de escucha de la web & “Siguiente”,
Marcamos “Requerir conexiones seguras SSL con los clientes” & “Siguiente”,
Indicamos la red de escucha que utilizaremos (en este caso al disponer sólo de un
adaptador ethernet me daría igual, así que seleccionamos „Interna‟). “Siguiente”,
Seleccionamos el certificado que hemos generado anteriormente en el servidor de
Acceso de Cliente “Seleccionar certificado…”
Seleccionamos el único que tendremos & “Seleccionar”. Si aquí no nos sale ningún
certificado deberemos comprobar, que tenemos el certificado instalado en la cuenta de
equipo, que tenemos su clave privada y que conocemos/confiamos en toda la ruta de
certificación.
Indicamos la autenticación que necesitemos y la forma que el TMG validará contra
nuestros controladores de dominio (ojo de depende de la forma deberemos permitir
dicho tráfico de este equipo al DC de la red), “Siguiente”,
Desmarcamos SSO (Single Sign On) & “Siguiente”,
“Finalizar”,
Continuamos con la regla de TMG, “Siguiente”,
Indicamos la autenticación para validarse con el servidor de OWA, es recomendado
configurar „Autenticación básica‟ que va en texto plano pero ya hemos establecido una
sesión SSL por lo que iría cifrada. “Siguiente”
Deberemos por lo tanto en las propiedades de „owa‟ configurar el mismo método de
autenticación (en la Consola de Administración de Exchange > “Configuración del
servidor” > “Acceso de cliente” > Pestaña “Outlook Web App”).
Indicamos los usuarios a los que se aplicará la regla, “Siguiente”,
Y finalizamos la regla con “Finalizar”,
Aplicamos los cambios en TMG…
Y podremos comprobar desde el exterior si tenemos los mapeos de puertos (a nivel de
firewall) bien configurados cómo podremos acceder a OWA desde el exterior a través
del
servidor
TMG
de
forma
segura!
confirmamos como el portal de OWA indica que estamos „protegidos por Microsoft
Forefront Threat Management Gateway‟.

“Instalación y configuración de servidores proxy”:ESPERANZA ELIPE

Transcripción

Documentos relacionados

ESPERANZA ELIPE JIMENEZ