jueves, 31 de mayo de 2012

CREACION DE PROXY EN ENDIAN

En este manual se mostrara como implementar una solución de proxy web/cache, utilizando endian en Linux, administrado por vía web. Se mostrara como configurar además un proxy transparente y una filtración de paginas web por su contenido y una autentificaron ante el servidor.
Para esta practica se utilizara el servidor proxy como forwarding y va a conectar una red interna y una red con acceso a internet por medio de NAT, siendo la red interna la verde para el endian y a la cual se le aplicaran las políticas del proxy,
Para la instalación de endian y configuración básica del endian se puede ver el siguiente link:
Configuración de las interfaces del servidor:
Red interna (verde): 192.168.100.1/24
Wan (Roja): 192.168.10.37/24
Ahora para permitir que los clientes naveguen en internet se crea un NAT básico en la pestaña de cortafuegos y luego en Reenvio de puertos/NAT:
Para empezar con la configuración del proxy se hace un desplazamiento hasta la pestaña proxy y como se desea implementar un proxy web/cache se elige la pestaña http, luego en la parte configuración luego para iniciar damos click en el botón a la derecha de activar el proxy, después lo que sigue es hacer la configuración inicial de este; como también se desea realizar uno transparente seleccionamos esta pestaña, y escogemos las opciones de puerto, lenguaje y un numero máximo de descarga:
Se seleccionan los puertos SSL esta opción se puede dejar por defecto, luego se habilitan las opciones mostradas, para permitir la utenticacion de usuarios al proxy pero la ultima se desabilita para que el proxy transparente no necesite utenticacion de ningun tipo:
Luego las opciones de la administración de cache, en la cual se escoge la cache en el disco, la memoria y el tamaño de los objetos que almacenara, estas opciones permiten que la navegación web sea mas rápida para todos los clientes, las demás opciones se pueden dejar tal cual:
Luego se guardan los cambios y se aplican:
Para crear los usuarios a registrar en el proxy hay que desplazarse a la pestaña Autenticación, esta configuración se puede hacer por diferentes métodos, como buscar un LDAP o en active directory pero esta ves se harán usuarios con método NSCA, se puede colocar un numero máximo de clientes y otras opciones mas, las que están por defecto también son útiles:
 
Luego se da click en la pestaña administración de usuarios y se crean:
Luego se crean los grupos de usuarios, para esto en la parte de autenticación se da click en el botón de administración de grupo, se crea un grupo y se seleccionan los usuarios que se desean incluir se guarda y aplican los cambios:
Luego se crean los filtros, se pueden tener varios de estos, para esto hay que desplazarse a la pestaña filtros, aquí se puede encontrar uno por defecto para los virus:
Se da click en crear perfil, aquí se le da un nombre, se chulea el escaneo de virus y en el primer grupo de opciones se puede bloquear paginas que con el contenido a escoger, por tener palabras o frases claves:
El el segundo conjunto se bloquean paginas conocidas con las características a seleccionar:
En el ultimo conjunto se pueden ingresar manualmente las URLs o los dominios que se desean bloquear, se guarda y se aplican los cambios:
Ahora se crean las políticas, esto para aplicar los filtros que se crearon y asociarlos a los usuarios o a todos, para esto hay que desplazarse a la opción de políticas de acceso y se agrega una nueva, se escoge la fuente y el destino, y si se desea se selecciona la autenticación, y luego se selecciona el grupo:
Luego en filter profile se selecciona el filtro que queremos seleccionar, las demás opciones se pueden dejar así:
Luego para registrarse desde un cliente, se ingresa a las opción de proxy del navegador, (depende de este), se ingresa la ip del prixy y se selecciona para todos los puertos:
Se ingresa un usuario el password de este:
Se verifica que el filtro funcione:
Para verificar la funcionabilidad del proxy transparente solo basta con crear otra política pero esta ves no se selecciona la autenticación, luego en las opciones de proxy del navegador se selecciona detectar automáticamente el proxy de la red:

PASO A PASO PARA CREAR UN PROXY CON ISA SERVER 2006

hola vamos a crear un proxy con isa server lo primero que debemos de tener es el isa server como  en nuestra guia pasada http://redesurrego.blogspot.com/search?updated-max=2012-05-25T11:10:00-07:00&max-results=7

Bueno vamos hacer un filtro por usuario:

bueno vamos a ir a configuraccion-redes-vamos y damos click izquierdo en interna damos click en la opción propiedades 



habilitamos las conexiones de cliente por el puerto 8080 y habilitar HTTP.


configuramos el proxy en el navegador que tengamos o el que nos guste mas usar 
vamos a nuestra reglas del isa server donde dimos permitimos el protocolo HTTP Y HTTPS vamos a propiedades.


vamos a usuarios y damos agregar usuario.

 damos click en la pestaña nuevo.



ponemos el nombre al nuevo usuario en este caso lo llamaremos firewall y vamos a dar siguiente 


damos click en agregar y escogeremos la opción de usuarios y grupos de windows
}
vamos a buscar el usuario vamos a avanzadas 

 damos click en buscar ahora.
 escogemos el usuario Administrador para que tenga todos lo privilegios y click en aceptar.


ya acá solo nos falta dar click en aceptar y ya.




click en siguiente para ya casi acabar con la creación del usuario.



finalizamos con la creación del usuario.


ya creado el usuario lo escogemos damos agregar y así nos debe de quedar.

 damos aceptar para acabar con la creación del usuario.
 aplicamos lo cambios hechos y damos aceptar



ya con el navegador que tiene el proxy configurado vamos a entrar a google y nos pide el usuario y la contraseña.

FILTRÓ POR HORAS Y DÍAS

bueno vamos hacer un filtro por horas o por días para poder hacer al Internet 
 lo primero que debemos hacer es ir a la regla de HTTP y vamos a propiedades.
vamos a programacion crearemos una nueva.


daremos como nosotros queramos que puedan hacer de una hora hasta la ultima de día en nuestro caso diremos que puede hacer de lunes a domingo de las 12 PM hasta las 6 PM  y aceptamos


ya creada la nueva programacion del acceso al Internet vamos a dar click en aceptar.
aplicamos los cambios y aceptamos 
solo falta probar el filtro vamos al navegador e intentamos acceder a google

FILTRO POR EXTENSIÓN 

bueno en este paso agregaremos un filtro denegando que no se va a poder descargar nada con .exe
bueno vamos a la regla de HTTP damos click derecho y vamos a la opcion configurar HTTP


vamos a la pestaña extensiones y damos en la opción agregar
damos la extensión que no se va a poder descargar en este caso el .exe y dejamos la descripción exacta de lo que estamos haciendo.
ya solo nos falta aceptar 
vamos al navegador y vamos a descargar el ares 
ya acá vamos a iniciar la descarga del ares
en este pantallazo miramos como el filtro se activa y no podemos descargar nada con .exe podemos mirar en la URL que lo que vamos a descargar era .exe 

FILTRO POR PALABRA EN LA  URL

bueno en este filtro denegaremos palabreas en las URL de las paginas web

 lo primero que hacemos vamos a la regla HTTP y configuracion HTTP
vamos a las pestaña firma y le damos click en agregar 
en este caso vamos a bloquear la URL de youtube  damos aceptar
como han visto he creado mas firmas con unas cuantas URL y unas palabras 
como sabemos siempre va a tocar aplicar los cambios y después de eso aceptar
la palabra que no se puede buscar es porno como vemos en la imagen la estamos buscando en google
como vemos el filtro por la palabra porno no se puede buscar ya que el proxy bloquea esa búsqueda 
como podemos ver no podemos ingresar ni a youtube ni a hotmail por el filtro que acabamos de hacer.
  
FILTRO DE URL

vamos a denegar la URL




 lo primero que vamos hacer es ir a herramientas y creamos un conjunto de direcciones URL
vamos a denegar la URL del colombiano para ello copiamos la URL en todos lo cuadros en
blanco y damos aceptar
comí hemos visto también agregue otras URL 
 vamos donde dice crear regla de acceso 




ponemos el nombre que queramos dar en este denegar objetos en la LAN y damos siguiente 
vamos darle que deniegue y siguiente

damos que va a pasar por el protocolo HTTP y HTTPS y damos siguiente

le decimos que el trafico que se va denegar es de la interna y le damos siguiente
escogemos los conjuntos que creamos de URL en este caso www.elcolombiano.com, www.youtube.com, www.twitter.com damos siguiente para ya casi acabar 
vamos a decirle que la nueva regla va a afectar a todos o usuarios 


y finalizamos con la nueva regla 
así debería de quedar la nueva regla aplicamos los cambios y aceptamos


como podemos ver que al intentar acceder alguna URL no podemos por el filtro que acabamos de hacer 

FILTRO POR DOMINIO

hacer un filtro por dominio es fácil se parece mucho con el anterior 
 lo primero que debemos hacer es ir a herramientas y hacer un conjunto de nombres de dominio 
ponemos el dominio que vamos a denegar en este caso friv.com llenamos los primero dos cuadros en blanco y damos aceptar 
vamos a la regla que se creo anteriormente no metemos en propiedades y vamos a la pestaña A agregamos y escogemos el dominio que acabamos de hacer damos aceptar

aplicamos los cambios y aceptamos 
mirando la regla se diferencia entre el dominio y la URL 
ya cuando vamos a intentar acceder a friv.com el filtro no nos deja acceder a la pagina web ya  eso seria todo hasta el momento gracias por su visita