Vous êtes sur la page 1sur 40

TALLER PROXY. CONFIGURANDO PROXY EN WINDOWS 2003 CON ISA SERVER 2006.

POR: Maicol Muoz. INSTRUCTOR: Andres Mauricio Ortiz.

Gestin de la seguridad de la red. 35442. Tecnlogo en administracin de redes Informticas. Servicio nacional de aprendizaje (SENA) Antioquia Centro de Servicios y Gestin Empresarial. (CESGE) 2011

INTRODUCCION.

La seguridad es la principal defensa que puede tener una Organizacin si desea conectarse a Internet, dado que expone su informacin privada y arquitectura de red a los intrusos de Internet. El Firewall ofrece esta seguridad, mediante: Polticas de seguridad, determinando que servicios de la red pueden ser acezados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados. En este trabajo les dar a conocer como implementar y configurar un proxy con ISA server en Windows 2003.

MARCO TEORICO.
Proxy. Un proxy me permite tener control sobre la navegacin en internet. Su finalidad ms habituales la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino. Existes mltiples proxys que cumplen la misma finalidad pero lo hacen de maneras diferentes. Estos son los tipos de proxys:

Servicio Proxy o Proxy Web: Su funcionamiento se basa en el del Proxy HTTP y HTTPs, pero la diferencia fundamental es que la peticin se realiza mediante una Aplicacin Web embebida en un Servidor HTTP al que se accede mediante una direccin DNS, esto es una pgina web que permite estos servicios.

Proxy Cach: Su mtodo de funcionamiento es similar al de un proxy HTTP o HTTPs. Su funcin es precargar el contenido web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma informacin de la misma mquina u otras. Almacenar las pginas y objetos que los usuarios solicitan puede suponer una violacin de la intimidad para algunas personas.

Proxys transparentes: Un proxy transparente combina un servidor proxy con NAT (Network AddressTranslation) de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP).

Reverse Proxy / Proxy inverso: Un reverse proxy es un servidor proxy instalado en el domicilio de uno o ms servidores web. Todo el trfico entrante de Internet y con el destino de uno de esos servidores web pasa a travs del servidor proxy. Proxy NAT: Otro mecanismo para hacer de intermediario en una red es el NAT. La traduccin de direcciones de red (NAT, Network AddressTranslation) tambin es conocida como enmascaramiento de IPs. Es una tcnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ah el "enmascaramiento"). Proxy abierto: Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est o no conectado a su red.

Cross-Domain Proxy: Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc.) que tienen restricciones para establecer una comunicacin entre elementos localizados en distintos dominios.

Desarrollando.
La topologa a realizar ser muy sencilla ser implementar un proxy en ISA server en la interface de nuestra LAN. Principalmente deberemos habilitar el servidor proxy en la interfaz de nuestra red LAN.

Ahora en nuestros equipos de la red LAN, deberemos especificar el Gateway o direccin ip de nuestra interfaz LAN.

Ya con todo lo anterior podemos comenzar a crear nuestras reglas para nuestro proxy.

Filtro Por Usuarios Del Sistema. Comenzaremos por utilizar un filtro por usuarios, para que as cualquier persona que intente ingresar a una pgina de internet pase primero por una autenticacin, crearemos entonces de la siguiente manera un usuario o grupo de usuarios.

Ahora ya con nuestro usuario ya creado procedemos a especificar conexiones a internet por autenticacion, esto lo deberemos de hacer en la regla que creamos de http de nuestro firewall.

Ahora lo que crearemos ser un grupo, esto para que contenga los usuarios que queramos para la autenticacin de conexin a internet.

Luego podemos elegir el lugar de donde se buscaran los usuarios, podemos hacerlo desde una base de datos LDAP, RADIUS o SecurID, en este caso lo haremos con usuarios o grupos del sistema.

Buscaremos los usuarios con el que se autenticaran los clientes. En mi caso lo hare con solo un usuario.

Ya seleccionado el usuario de autenticacion, solo deberemos dar siguiente y finalizar.

Ahora dejaremos solo a dicho usuario para que sea obligatoria la autenticacin.

Aplicamos los cambios de nuestro firewall y procedemos a la prueba en una maquina de la red LAN.

Filtro Por URL. Ahora lo que haremos ser crear un filtro por url.Para esto deberemos crear una regla en nuestro firewall y un conjunto de url a denegar. Lo que primero haremos ser crear el conjunto de url as:

Le ponemos un nombre y especificamos las url a denegar, el * significa que despus del / para adelante no sern ejecutadas en otras palabras no se podr abrir.

Ya creada nuestro conjunto de url procedemos a la creacin de la regla en el firewall as:

Le ponemos un nombre con el cual reconozcamos la regla.

Le especificamos que la regla sea denegar.

Especificamos el protocolo por el cual va a trabajar la regla.

Especificamos la interfaces por la cual va a trabajar.

Especificamos el conjunto de url que creamos anteriormente.

Especificamos que la regla se aplique a todos los usuarios y ya por ultimo finalizar.

Aplicamos los cambios en nuestro firewall y procedemos a la prueba.

Filtro Por Extensin. El filtro por extensin es denegar la descarga de ciertos paquetes que sean como por ejemplo: .exe, .rar, .zip. Para configurar el proxy para que nos deniegue por extensin lo deberemos configurar en la regla de http de nuestro firewall as:

Seleccionamos la pestaa que dice extensions, especificamos la opcin bloquear y agregamos las extensiones que queremos bloquear el acceso a descargas. En mi caso solo lo hare con la extensin .exe.

Aplicamos los cambios en nuestro firewall y procedemos a probar.

Filtro Por Palabras. El filtro por palabras bsicamente es bloquear el acceso web de una palabra en especfico. Para bloquear por palabras lo deberemos hacer en la regla http de nuestro firewall as:

Seleccionamos la pestaa signatures y agregamos la palabras a bloquear.

Aplicamos los cambios de nuestro firewall y procedemos a la prueba.

Filtro Por IP. El filtro por ip es bsicamente denegar acceso web a una determinada ip de nuestra red. Primero lo que debemos hacer es especificar una ip para bloquear y despus crear una regla en nuestro firewall todo esto lo haremos as:

Ahora le especificamos un nombre y la ip a denegar.

Procedemos a la creacin de nuestra regla para bloquear dicha ip.

Le especificamos un nombre fcil de reconocer.

Le especificamos que la regla sea denegar.

Le especificamos los protocolos por los cuales va a trabajar.

Aqu lo que deberemos hacer es especificar la ip que anteriormente especificamos en computers.

Especificamos la interfaces de salida.

Especificamos que la regla se aplique a todos los usuarios y finalizar.

Aplicamos los cambios en nuestro firewall y procedemos a la prueba.

Filtro Por Tiempo. El filtro por tiempo es bsicamente que a un tiempo en especfico se bloquee o permita el acceso a internet. Esto lo deberemos hacer en la regla de http de nuestro firewall as:

Seleccionamos la pestaa Schedule y le damos new, lo que haremos ser especificar una hora o tiempo en especifico (10 a 11 am) y todos los das para denegar todo el acceso web de toda la red LAN.

Aplicamos los cambios a nuestro firewall y procedemos a la prueba.

Filtro Por Dominio. Este filtro lo que hace es bloquear todos aquellos domins que nosotros queramos que nuestros clientes no se conecten. Para realizar este filtradado deberemos crear un conjunto de dominios a bloquear y despus crear nuestra regla de firewall as:

Le especificamos un nombre a nuestro conjunto de dominios, en mi caso le puse gmail pero como en este mismo conjunto se pueden agregar varios dominios sera mejor especificarla como dominios o domins a bloquear.

Ahora lo que haremos ser crear una regla de firewall para que me bloquee dichos dominios.

Le especificamos un nombre fcil de reconocer.

Le especificamos que la regla sea denegar.

Le especificamos los protocolos por los cuales va a trabajar.

Le especificamos la interfaces por la cual va a trabajar.

Le especificamos nuestro conjunto de dominios.

Especificamos que la regla se aplique a todos los usuarios y finalizar.

Aplicamos los cambios de nuestro firewall y ya se nos denegaran los dominios especificados. Ahora Les mostrare todas las reglas que llevamos hasta el momento en nuestro proxy.

En resumidas cuentas lo que implementamos en nuestro proxy fue: *Acceso web con autenticacin. *Denegacin por URL. *Denegacin por Dominios. *Denegacin por palabras. *Denegacin por IP. *Denegacin por extensin. *Denegacin por tiempo.

Proxy trasparente.
Ahora si queremos un proxy mucho ms completo le pondremos la opcin de proxy transparente. Nuestra infraestructura est basada en : *WAN *DMZ *LAN Esto para tener en claro que todos los servicios de mi red interna estn publicados en mi DMZ, y el DNS que utiliza mi red LAN es el DNS de la DMZ. Ahora algo sumamente importante es agregar un registro en nuestro servidor DNS con el nombre del servidor ISA Server en mi caso es isaserver. El nombre lo podrn ver en las propiedades de mi PC. Nos dirigiremos entonces al servidor DNS y agregaremos un registro, este registro se llama WPAD y deber apuntar a la direccin IP del ISA Server o al Gateway de nuestra LAN que es el mismo ISA Server.

Como vemos en la anterior imagen agregamos dos registros, un registro tipo A con el nombre de la mquina de ISA server y con la ip de mi interfaces LAN y el registro CNAME es el registro que resolver con la misma direccin ip de nuestra interfaces LAN, pero que la funcin que desempea es: WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automticamente, es decir que cuando configuramos un navegador para que detecte automticamente el proxy, el se dirigir al DNS buscando cual es la IP que responda al nombre de WPAD y con dicha respuesta sabr cual es el proxy al que debe conectarse.

Nota: Si quieren conocer un poco ms sobre el registro WPAD pueden visitar el siguiente blog:
http://jelperu.wordpress.com/2007/04/09/wpad-con-dns-y-wins/

Nota: Si no tienen conocimientos sobre servidores DNS pueden visitar el siguiente enlace:
http://maicolqm.blogspot.com/2011/04/servidor-dns-en-centos_27.html

Ahora ya con nuestros registros en el DNS ya listo volvemos y nos dirigimos a ISA server y configuramos en la tarjeta de red interna:

Ahora en la pestaa auto discovery habilitamos nuestras proxy trasparente y le especificamos el puerto de uso el 80.

Aplicamos los cambios de nuestro ISA server y listo ya solo bastar que en los clientes de nuestra red LAN configurar en el navegador la bsqueda automtica del proxy.

Y listo ya con todo lo anterior hemos terminado por completo nuestro proxy. Glosario: DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN. LAN: Una red de rea local. WAN: Las Redes de rea amplia. Router: Enrutador, encaminador. Dispositivo hardware o software para interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red. SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador. Esta herramienta soporta un amplio nmero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayora de los routers nuevos de Cisco. SSH: SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.

JAVA: Java es un lenguaje de programacin. Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro y fiable. De porttiles a centros de datos, de consolas de juegos a sper equipos cientficos, de telfonos mviles a Internet, Java est en todas partes. NAT: En las redes de computadoras, NAT es el proceso de modificacin de la direccin IP de informacin en los encabezados de paquetes IP , mientras que en trnsito a travs de un trfico de dispositivos de enrutamiento El tipo ms simple de NAT proporciona una traduccin a una de las direcciones IP. DNS: Es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignados a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipacin que el protocolo es TCP). TCP es un protocolo orientado a conexin, es decir, que permite que dos mquinas que estn comunicadas controlen el estado de la transmisin.

UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls User Datagram Protocol) un protocolo sin conexin que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperacin de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisin de la informacin, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en ingls Trivial File Transfer Protocol), y puesto que es trivial, perder algo de informacin en la transferencia no es crucial Stateless: Crear reglas de ida y de respuesta. Statefull: Crear reglas de ida y las reglas de respuestas son automticas no hay que crearlas. Mascara wildcard: Una mscara wildcard es sencillamente una agrupacin de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una mscara wildcard le recordar probablemente a una mscara de subred. Salvo esa apariencia, no existe otra relacin entre ambas. Por ejemplo, una mscara wildcard puede tener este aspecto:192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255 ISA server: ISA Server es un Gateway integrado de seguridad perimetral que protege su entorno de IT frente a amenazas basadas en Internet

y permite a los usuarios un acceso remoto rpido y seguro a las aplicaciones y los datos. Servidor: En informtica, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes. WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automticamente, es decir que cuando configuramos un navegador para que detecte automticamente el proxy, el se dirigir al DNS buscando cual es la IP que responda al nombre de WPAD y con dicha respuesta sabr cual es el proxy al que debe conectarse.

Vous aimerez peut-être aussi