Professional Documents
Culture Documents
PRCTICAS UNIDAD 5
1.Realiza en un documento PDF un planteamiento de escenario informtico utilizando servidores proxy (servicios web y ftp). Debe utilizarse en las siguientes propuestas de prcticas.
En el anterior escenario observamos que vamos a tener dos clientes uno con Linux y otro con Ubuntu , para el funcionamiento del proxy en ese caso el servidor proxy es un Ubuntu tambien y usamos el squid. Los clientes tendrn la direccin ip que indican en el dibujo al igual que el servidor tendr esa misma ip en las siguientes practicas.
En primer lugar para configurar el proxy tenemos que tener internet , para ello yo voy hacer el escenario de los proxy mediante NAT tanto en el servidor como en el cliente estar en NAT. En primer lugar instalamos el paquete como los dems paquetes y lo hacemos con el apt-get install squid
Una vez instalamos en el directorio de /etc/squid nos creamos un archivo llamado bloqueados en el cual vamos a poner las direcciones que queremos que sean bloqueados.
Luego vamos a editar el archivo e configuracin llamado squid.conf Y configuramos el puerto del proxy .
Configuramos la cache del proxy que es la que usaremos para almacenar la memoria.
Ya tenemos configurado el proxy Ahora vamos a configurar lso parmetros vamso a establecer las reglas con las acl que estas se componen de un parmetro acl seguido de un nombre que queramos el mtodo de acceso y el rango de acceso. Ponemos una acl de nuestra red que la acl se llamara mired.
Ahora indicamos otra acl la cual indica otra regla , que esta regla ser para palabras que nosotros indiquemos para ello esta acl es acl el nombre que queramos mas url_regex y las palabras o la ruta del archivo donde estn las palabras.En el archivo bloqueado es donde tendremos las palabras que no queremos que tengan acceso el usuario.
Ahora se tiene que indicar si permitimos o las denegamos y esto se hace con http_acces y se pone si se permite con allow y si se deniega con denny entonces a la red le permitimos y para las palabras bloqueados se deniega.
Una vez establecido todos estos parmetros el archivo de configuracin est listo entonces guardamos el archivo y reiniciamos el servicio.
Una vez configurado todo el servidor proxy , tenemos que ver la tarjeta de red que tiene el servidor para ello hacemos un ifconfig y vemos la direccin de nuestro servidor proxy.
Ahora vamos a configurar tambien , para que cuando nos salte el proxy nos salga un mensaje personalizado , para ello lo hacemos de la siguiente manera. Nos dirigimos a /usr/share/squid/errors En esta carpeta veremos todas las plantillas en diferentes idiomas.
Luego configuramos el cliente de este , para ello lo hacemos desde el navegador de Linux. Nos vamos a editar/preferencias/configuracin Y en esta configuracin configuramos el proxy al servidor que tenemos de proxy.
Cuando intentamos poner en el navegador porno que era la otra palabra prohibida nos lo prohbe perfectamente.
Una vez comprobada la ips, vamos a configurar el cliente , abrimos el navegador de internet. Comprobamos que tenemos internet y podemos acceder a google.
Ahora comprobamos que podemos acceder a www.tuenti.com ya que es una de las paginas las cuales hemos bloqueado.
Ahora vamos a configurar el proxy. Para ello sobre el navegador de internet explorer mismo , nos vamos a herramientas , opciones de internet y hay lo configuramos.
Y en la siguiente ventana lo configuramos con la direccin de nuestro servidor proxy , que la direccin es 192.168.159.184 con el puerto 3138
Una vez configurado , comprobamos si funciona para ello nos vamos a la pagina de google y comprobamos que si nos deja tener acceso a google.
Ahora vamos a ir a la pagina de www.tuenti.com que en esta pagina en un principio no nos tiene que dejar.
Nos dir que no esta instalado pero se puede instalar mediante el enlace que nos muestra.
Ahora volvemos a pinchar en servidores y ya nos aparece el servidor de squid instalado perfectamente.
Ahora vamos a configurar porque puerto vamos acceder al proxy para ello le damos a puertos y trabajo en red y configuramos dicho puerto. Por defecto nos viene el puerto 3128 y por las tarjetas que queremos , entonces la ponemos en 192.168.159.183.
Lo hacemos con el cliente de Windows el cual lo hacemos sobre herramientas/opciones de internet/y configuracin. Y configuramos al cliente la direccin del proxy.
Esto nos sale porque el proxy squid viene preparado para que nos bloqu todo el internet para ello tenemos que hacer unas pequeas configuraciones. Nos situamos ahora en control de acceso.
Y vamos hacer una regla la que nos permita acceder a los ordenadores que estn en nuestra red local. Nos aparecen una serie de acl(reglas) pues le damos a crear.
Ponemos el nombre de la regla que ser sbado y tambien podemos poner un rango de direcciones o una red completa yo indicare la red completa.
Cuando creamos la acl no nos hace nada , para ello tenemos que ir a privilegios de proxy e poner la restrinccion.
Y le damos a aadir una restrinccion proxy. Y le damos a permitir a sbado que es nuestra acl y guardamos cambios.
Comprobamos que la regla nos aparece con todas las reglas pero no nos servira para nada porque arriba de ella esta denegar a todo el mundo.
Aplicamos cambios , para que se guarde estos cambios y probamos en el navegador y ahora si nos tiene que dejar entrar a internet.
Ahora vamos a configurar la cache del proxy. Este lo dejamos como est porque como solo tenemos un disco duro lo dejamos como est por defecto.
Nos creamos una regla de acceso que permita al usuario dar su nombre y contrasea para ello lo hacemos como anteriormente el crear una regla acl. Le ponemos el nombre de contrasea y se la damos para todos los usuarios aunque se pueden indicar algunos en concreto.
Ahora vamos a crear una restrinccion que en este caso va ser de denegar aquellos que no tengan contrasea.
Y subimos la regla para que se aplique enseguida antes que las otras.
Luego nos vamos a programa de autenticacin y seleccionamos por defecto de webmin para que no nos de error en lo de los usuarios.
Para comprobar que esto funciona , tenemos que navegar por cualquier pagina y nos tiene que aparecer que nos autentiquemos.
Como le hemos indicado que queremos que los usuarios sean de webmin tenemos que crearlos con autentificacin proxy. Nos creamos un nuevo usuario el cual ser espejesus y contrasea inves.
Este usuario no es usuario de Linux sino que es usuario de squid. Ahora hacemos la misma tarea que antes de entrar con el usuario y la contrasea.
Por ultimo vamos a crearnos otra acl en la cual vamos a prohibir las paginas prohibidas.
Con esta acl no podremos acceder a paginas que contengan la palabra porno y xxx. Y aplicamos la regla de restrinccion y la vamos a denegar a la regla de stop.
Tendriamos que subir la regla mas arriba para que tenga su efecto.
Y aplicamos cambios y nos vamos al cliente para comprobar que no nos deja entrar a esas paginas y a otras paginas si. Comprobamos que a www.google.es si nos deja entrar.
Y ahora vamos a probar con la palabra xxx. Y nos sale la siguiente pantalla.
En la pestaa de general , tenemos que configurar el puerto del proxy y el tamao de los ficheros de cach ,.La poltica aparece siempre denegar aunque tiene una lista desplegable con varias.
En la anterior pantalla se puede aadir un domino el cual la cach no ser almacenado , yo lo dejo sin dominio. Para la configuracin del banda ancha , que se pueden limitar las velocidades , memoria etc
Al aadir un objeto nos dice que no tenemos el modulo activado por lo cual lo activamos.
Aadimos la poltica que le vamos a denegar para toda la semana todos los das es decir que el XP no va a poder pasar al proxy
Luego en filtrado le damos a un nuevo filtrado el cual ponemos internet y en el lle damos a configuracin para que nos salga la siguiente pantalla y empezar a configurar.
Luego nos creamso un nuevo dominio de internet que ser de tuenti el cual filtraremos que el denegar siempre el acceso a www.tuenti.com
Al crearlo nos da error , por lo cual tenemos que quitarle las www.
Comprobacin. Al poner tuenti en el nos aparece un mensaje en el cual tenemos que insertar nombre de usuario y contrasea , le ponemos un nombre de usuario que ya tenemos por ejemplo espe con la contrasea de inves.
Al querer entrar con el xp a zentyal al proxy http no nos deja porque tenemos denegado el acceso.
Activamos el programa.
E instalacin completa.
Y nos pedir que reiniciemos el equipo para que este se configure correctamente. Una vez reiniciado nos vamos a wingate /GateKeeper en esta ventana nos pedir que pongamos nuestro nombre de usuario y contrasea.
Que es la pantalla donde se configura todo , observamos que estn los usuarios , servicios , el sistema etc.
7.Descarga archivo de listas negras de sitios web y anexa las mismas a la configuracin de Squid.
Luego dos de sus listas nos la copiamos a nuestro squid . Yo me voy a basar en la listas de juegos y en la de adultos.
Cuando ya tenemos creadas las listas nos creamos las acls en el archivo de configuracin del squid.conf
Nos creamos las acls para estas que son la de adultos y la de juegos.
Y al conectar con el proxy y ponemos una direccin de este comprobamos que nos da error al conectar.
8.Documenta la relacin de productos que tiene y ha tenido Microsoft en relacin a servidores Proxy. Qu funcin tiene actualmente
La solucin Forefront TMG incluye dos componentes: Forefront Threat Management Gateway 2010 Server Proporciona filtrado de URL, inspeccin antimalware, prevencin de intrusiones, firewall de aplicaciones y la red de capa y la inspeccin de HTTP / HTTPS en una nica solucin. Forefront Threat Management Gateway Web del Servicio de Proteccin Proporciona actualizaciones continuas para el filtrado de malware y el acceso a las tecnologas de URL basadas en la nube de filtrado de agregados de mltiples proveedores de seguridad Web para proteger contra las ltimas amenazas basadas en Web.
Tenemos un equipo ya listo en la DMZ, al que simplemente le hemos instalado Windows y configurado un nombre de equipo, direccin IP del rango DMZ (sin configurar DNSs, ni meter en dominio, con las entradas en el archivo hosts correspondientes). Introducimos el DVD de Microsoft Forefront Threat Management Gateway 2010 y en el autorun seleccionamos Ejecutar la herramienta de preparacin
Comenzar un asistente para preparar el equipo local con todos los requisitos necesarios y nos los instalar, Siguiente,
lo dicho esperamos unos minutos mientras nos instala y configura las caractersticas necesarias
Seleccionamos el path de instalacin (por defecto %ProgramFiles%\Microsoft Forefront Threat Management Gateway), Siguiente,
Indicaremos en este momento que rango IP pertenece a la red interna, pulsamos Agregar
Agregamos lo que nos interese, o el adaptador dedicado o el rango IP de la DMZ, para ello Agregar intervalo,
Aceptar,
Siguiente,
Deberemos tener en cuenta que los servicios especificados se reiniciarn (por si los estamos usando en produccin),
Y ya tendremos el nuevo ISA instalado! mantenemos marcada la opcin Iniciar la Administracin de Forefront TMG cuando se cierre el asistente & Finalizar,
En el asistente de introduccin configuraremos primero las opciones de red de nuestro equipo, pulsamos en Configurar opciones de red,
Siguiente,
En mi situacin actual tengo una pata de red por lo que slo puedo seleccionar Adaptador de red nico, las dems opciones seran a utilizar en diferentes situaciones o con otros fines, en mi caso simplemente realizar el traspaso seguro de conexiones exteriores al interior para utilizar OWA, Outlook Anywhere Siguiente,
Nos mostrar el adaptador de red del equipo con su configuracin de red, comprobamos que es correcto Siguiente,
Breve asistente para modificar si consideramos necesarias algunas opciones del servidor,
Finalizar,
Siguiente,
Deberemos indicar Usar el servicio Microsoft Update para buscar actualizaciones para mantener actualizado el Forefront TMG, Siguiente,
Si queremos enviar a Microsoft informes de uso de malware, etc Ninguno & Siguiente,
Cerramos el asistente, si queremos podemos utilizar el asistente para acceso Web y poder tener conectividad con el TMG o lo configuraremos posteriormente. Generando un certificado para OWA, Antes de configurar TMG deberemos tener un certificado vlido para el uso de OWA, por lo que necesitamos desde Exchange generar una solicitud de certificado, posteriormente con una CA vlida generar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarlo al servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en los equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello ser imprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo que necesitaremos abrir una MMC y agregar el complemento Certificados y de cuenta de equipo local, desde ah podremos exportar/importar certificados, necesitaremos realizarlo en Personal y obviamente tener el certificado de la CA (Certificate Authority Entidad de emisora de certificados) en Entidades de certificacin raz de confianza.
Bueno, comenzamos, desde la Consola de administracin de Exchange > Configuracin del servidor > Nuevo certificado de intercambio
Siguiente,
Indicamos el/los servicios que queramos que tenga el certificado, para ello deberemos indicar los nombres de dominios que necesitaremos para OWA, ActiveSync, Outlook
Anywhere en mi caso siempre ser el mismo nombre de dominio para todo, lo indicamos & Siguiente,
Indicamos los datos del certificado: Organizacin, Unidad de organizacin, Pas o regin, Ciudad o localidad, Estado o provincia y donde dejaremos la solicitud del certificado. Siguiente,
Finalizar, Ahora deberemos ir a una entidad emisora de certificados y presentarle la solicitud que acabamos de generar, obtendremos un certificado para un servidor web listo para ser usado, podremos usar CAs pblicas (recomendado) o utilizar la CA de Microsoft de nuestra red.
Una vez tenemos ya el certificado generado lo importamos, continuamos donde estbamos sobre el mismo servidor que hemos realizado la solicitud pulsamos sobre el certificado > Completar solicitud pendiente
Finalizar,
Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a un servicio de Exchange, en nuestro caso ser para OWA, por lo que lo asignaremos al servicio de IIS. Sobre el certificado > Asignar servicios a certificado
Indicamos el nombre del servidor Exchange que se ver afectado & Siguiente
Asignar,
Y listo! Todo esto ser necesario tenerlo listo antes de configurar TMG, una vez lo tengamos, lo dicho anteriormente, debemos instalar este certificado en el servidor TMG (en la cuenta de equipo) y el de la CA si fuera necesario. Configuracin de Microsoft Forefront TMG 2010 para dar acceso a OWA,
En esta parte del documento veremos cmo permitir el uso de OWA desde el exterior de nuestra organizacin al interior de forma segura, abrimos la consola de administracin de Forefront TMG, vamos a Directiva de firewall > Publicar acceso de cliente web de Exchange
Indicamos la versin de Exchange que tenemos en la organizacin y marcamos Outlook Web Access, Siguiente,
Publicar un nico sitio web o equilibrio de carga si tenemos un solo servidor con el rol de Acceso de Cliente o tenemos un array de CAS, Siguiente,
Indicamos cmo queremos que se conecte el TMG al servidor de acceso de cliente, marcamos la primera opcin Usar SSL, Siguiente,
Indicamos el nombre interno del sitio de nuestro (nuestro CAS), si no resuelve el TMG por nombre debemos indicar la direccin IP del servidor que tiene OWA, Siguiente,
Indicamos que acepte solicitudes slo para el nombre de dominio pblico que utilizaremos para que accedan desde el exterior y lo introducimos, Siguiente,
Creamos una escucha de web para indicar qu solicitudes escucharemos del exterior, Nueva,
Marcamos Requerir conexiones seguras SSL con los clientes & Siguiente,
Indicamos la red de escucha que utilizaremos (en este caso al disponer slo de un adaptador ethernet me dara igual, as que seleccionamos Interna). Siguiente,
Seleccionamos el certificado que hemos generado anteriormente en el servidor de Acceso de Cliente Seleccionar certificado
Seleccionamos el nico que tendremos & Seleccionar. Si aqu no nos sale ningn certificado deberemos comprobar, que tenemos el certificado instalado en la cuenta de equipo, que tenemos su clave privada y que conocemos/confiamos en toda la ruta de certificacin.
Indicamos la autenticacin que necesitemos y la forma que el TMG validar contra nuestros controladores de dominio (ojo de depende de la forma deberemos permitir dicho trfico de este equipo al DC de la red), Siguiente,
Finalizar,
Indicamos la autenticacin para validarse con el servidor de OWA, es recomendado configurar Autenticacin bsica que va en texto plano pero ya hemos establecido una sesin SSL por lo que ira cifrada. Siguiente
Deberemos por lo tanto en las propiedades de owa configurar el mismo mtodo de autenticacin (en la Consola de Administracin de Exchange > Configuracin del servidor > Acceso de cliente > Pestaa Outlook Web App).
Y podremos comprobar desde el exterior si tenemos los mapeos de puertos (a nivel de firewall) bien configurados cmo podremos acceder a OWA desde el exterior a travs del servidor TMG de forma segura! confirmamos como el portal de OWA indica que estamos protegidos por Microsoft Forefront Threat Management Gateway.