SOLUCION PERIMETRAL PROXY EN DISTRIBUCIN - ZENTYAL

JOHANA CANO HERNNDEZ GRUPO: 38110

INSTRUCTOR ANDRES MAURICIO ORTIZ MORALES

CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL ADMINISTRACION DE REDES DE CMPUTO MEDELLN SENA 2011

CONTENIDO

INTRODUCCIN 1. OBJETIVOS 1.1 Objetivo General 1.2 Objetivo Especfico 2. PROXY EN DISTRIBUCIN ZENTYAL 2.1 Diagrama de la topologa red 3. CONFIGURACIN DE LAS INTERFACES 3.1 Interfaz DMZ 3.2 Interfaz LAN 3.3 Interfaz WAN 4. PRUEBA DE CONECTIVIDAD 5. CONFIGURACION DE LOS OBJETOS 5.1 Objeto LAN 5.2 Objeto DMZ 5.3 Objeto WAN 6. INSTALACIN MDULO HTTP - PROXY 7. CONFIGURACIN PROXY 8. CONFIGURACION GENERAL 8.1 Creacin filtrado de Perfiles 8.2 Configuracin Perfil de filtrado por objeto 9. ACTIVAR MODULO HTTP PROXY 10. CONFIGURACIN FILTRADO DE PERFILES 10.1 Filtrado por extensiones 10.2 Filtrado por MIME 10.3 Filtrado por Dominio 10.4 Filtrado por Das 10.5 Filtrado por Tiempo 10.6 Filtrado basado en grupos de usuarios 10.7 Filtrado basado en grupos de usuarios para objetos 11. VOCABULARIO CONCLUSIONES BIBLIOGRAFIA

INTRODUCCIN Es muy importante plantear una solucin de seguridad perimetral dentro de un entorno corporativo ya que esto nos permite proteger el trfico de entrada y salida entre todos los puntos de conexin o el permetro de la red a travs de una correcta definicin en cuanto a las polticas de seguridad y una buena configuracin de los dispositivos de proteccin. Un proxy es un programa que se ejecuta en una mquina que acta de servidor en la red a la que est conectado, todas las peticiones son redirigidas a este; un proxy es una buena solucin de seguridad para as llevar un control detallado de todo lo que entra y sale de la red Con la realizacin de este trabajo se busca propiciar la seguridad del ambiente productivo en las conexiones de Red e Internet (Filtro del acceso o descarga de diferentes dominios o extensiones de archivo desde Internet para las redes internas, entre otras). Vamos a utilizar la distribucin Zentyal, la cual a su vez permite configurar eficazmente otros mdulos tiles para la seguridad de la informacin. En el contexto de servidores y servicios de Internet, un proxy un realiza las tareas de peticin y conexin a un servicio remoto, cuando un cliente realiza una peticin a un servicio de Internet a travs de un proxy, el cliente en realidad no se conecta directamente al servidor destino, en su lugar, el servidor proxy recibe la peticin y es l quien realiza la conexin con el servidor destino solicitado, un servidor proxy acta como intermediario entre el cliente y el servidor destino.

1. OBJETIVOS 1.1 Objetivo General Establecer polticas y procedimientos de seguridad entre las redes existentes utilizando un PROXY en la herramienta tecnolgica Zentyal, formular mecanismos adecuados de control y monitoreo, de resolucin de problemas y de suministro de recursos.

1.2 Objetivos Especficos Configurar la aplicacin Zentyal de acuerdo con el diseo establecido, para dar a cada una de las redes la seguridad necesaria dependiendo del grado de vulnerabilidad que estas tengan frente a redes externas o personas maliciosas. Aplicar conceptos bsicos para la seguridad de la informacin, planteando un paso a paso para llevar a cabo el proceso de instalacin y configuracin del Proxy y cada una de las maquinas pertenecientes a esta implementacin. Adquirir un conocimiento completo acerca de cmo es el funcionamiento de un Proxy, que nos ofrece y cules son los beneficios que nos trae permitindonos saber elaborar un plan de seguridad en un entorno real para una empresa u organizacin.

2. PROXY EN DISTRIBUCIN ZENTYAL 2.1 DIAGRAMA DE LA TOPOLOGA RED En el siguiente diagrama se puede observar cual es el planteamiento para llevar a cabo esta solucin perimetral en la distribucin ZENTYAL. Esta topologa de red est compuesta por dos redes privadas, Red LAN y Red DMZ y una red pblica, Red WAN; cada una de las cuales est identificada con un direccionamiento especifico como se puede observar en la imagen y estn conectadas directamente al firewall (ZENTYAL) habiendo configurado el Gateway en cada una de ellas. La RED WAN tiene la conexin a Internet (192.168.10.0), esta es la red que dar salida tanto a Zentyal como a las otras maquinas para navegar en Internet. El objetivo de esta implementacin es denegar y permitir el acceso a algunas pginas Web, descargar documentos, entre otros.

3. CONFIGURACIN DE LAS INTERFACES Para la configuracin de las interfaces, nos dirigimos a dirigirnos Red Interfaces, estando all podemos observar que para esta implementacin debemos tener tres adaptadores para cada una de las redes mencionadas anteriormente.

3.2 INTERFAZ DMZ (eth0) La primera que vamos a configurar es la DMZ y para ello debemos darle un NOMBRE, seleccionar el mtodo que para este caso ser esttico, editamos la direccin IP con su respectiva mascara y por ultimo daremos clic en Cambiar.

3.1 INTERFAZ LAN (eth1) Para la configuracin de esta interfaz, vamos a realizar el mismo procedimiento que hicimos con la interfaz anterior, debemos dar clic en la pestaa eth1 y especificamos los mismos parmetros que all nos piden, esta direccin IP tambin ser esttica y damos clic en Cambiar.

3.2 INTERFAZ WAN (eth2) Para esta interfaz, debemos editar nicamente el Nombre y en el Mtodo ser por DHCP, ya que es la interfaz de salida a Internet (RED WAN), marcamos la opcin Externo WAN para que pueda obtener la direccin IP y damos clic en Cambiar. Por ltimo, ya configuradas todas las interfaces damos clic en la opcin Guardar cambios que se encuentra en la parte superior de la interfaz grafica.

Nos aparece un mensaje en el cual debemos dar clic en guardar para que los cambios tomen efecto, esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Ahora, como siguiente paso nos dirigiremos a la consola de lnea de comandos de Zentyal y con el comando /etc/init.d/networking restart reiniciamos las interfaces para que la maquina pueda tener conectividad con cada una de las redes.

Como siguiente paso, con el comando ifconfig, vamos a verificar que efectivamente el direccionamiento IP ha quedado bien configurado en cada interfaz.

4. PRUEBA DE CONECTIVIDAD Para el funcionamiento del PROXY, las maquinas deben tener conexin con ZENTYAL, para ello con el comando Ping vamos a ingresar a cada una de las maquinas y probamos conectividad con Zentyal, lo mismo hacemos estando en la maquina Zentyal hacia cada una de las redes. ZENTYAL - - > RED DMZ, LAN Y WAN

NOTA: El adaptador de Red de la maquina DMZ y la interfaz eth0 de Zentyal deben estar en RED INTERNA DMZ, el Adaptador de Red de la maquina LAN y la interfaz eth1 de Zentyal deben estar en RED INTERNA INTNET y por ltimo el Adaptador de Red de la interfaz eth2 de Zentyal debe estar en ADAPTADOR PUENTE (BRIDGE) que est directamente conectado a la Red WAN (Internet). RED DMZ - - > ZENTYAL

RED LAN - - > ZENTYAL

RED WAN - - > ZENTYAL

 CONFIGURACION DE LOS OBJETOS Los Objetos de Red son una manera de representar un elemento de la red o a un conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestin de la configuracin de la red; podemos dar un nombre reconocible a una direccin IP o a un grupo de ellas, en lugar de definir la misma regla en el cortafuego para cada una de las direcciones IP, simplemente bastara con definirla para el objeto de red que contiene las direcciones. 5.1 OBJETO LAN Para empezar a trabajar con los objetos en Zentyal, accederemos la seccin Objetos, los objetos se pueden crear, editar y para crear el primer objeto damos clic en Aadir objeto.

Estando all, debemos darle un Nombre al objeto que para este caso ser Red_Lan, y por ultimo damos clic en Aadir.

Nos aparece un mensaje diciendo Objeto aadido, y efectivamente podemos visualizar nuevo objeto; cada uno de los objetos se compondr de un miembro que podemos modificar en cualquier momento. Para hacer esto, damos clic en Miembros como se muestra en la imagen.

Para crear el nuevo miembro damos clic en Aadir nuevo para poder agregar como miembro la red LAN.

Un miembro tendr los siguientes valores: Nombre, Direccin IP y Mscara de red. La Direccin MAC es opcional y lgicamente slo se podr utilizar para miembros que representen una nica mquina y se aplicar en aquellos contextos que la direccin MAC sea accesible, cuando terminemos de editar estos parmetros damos clic en Aadir.

Al final, podemos observar que efectivamente el miembro fue agregado con el Nombre y la direccin IP de la Red LAN, en este caso pondremos la direccin IP de red 192.168.120.0/24

5.2 OBJETO DMZ Ahora, para agregar el objeto de la DMZ, realizaremos el mismo procedimiento hecho anteriormente dando clic en Aadir y colocando el Nombre.

Luego podemos visualizar que el Objeto ha sido aadido y damos clic en Miembros.

Damos clic en Aadir nuevo para agregar el nuevo miembro, debemos editar los mismos parmetros que anteriormente especificamos en la Red LAN y tambin vamos a poner la direccin de red de la DMZ.

Por ltimo, podemos observar que efectivamente el miembro fue agregado con el Nombre y la direccin IP de la Red DMZ.

5.2 OBJETO WAN Como siguiente paso, agregaremos el ltimo objeto (WAN), realizaremos el mismo procedimiento hecho anteriormente dando clic en Aadir y colocando el Nombre como podemos observar en la siguientes dos imgenes.

El Objeto ha sido aadido y damos clic en Miembros.

Damos clic en Aadir nuevo para agregar el objeto y editamos los parmetros necesarios para esta configuracin, tambin vamos a poner la direccin re red de la DMZ.

Ya habiendo aadido el miembro, podemos observarlo como se muestra en la siguiente imagen.

Aqu podemos observar que los tres objetos han sido agregados correctamente; ahora vamos a guardar los cambios que hemos hecho dando clic en la opcin Guardar cambios en la parte superior de la pantalla.

Nos aparece un mensaje informndonos que efectivamente se anexo informacin en el sistema y por consiguiente debemos dar clic en Guardar.

Debemos esperar a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

6. INSTALACIN MDULO HTTP - PROXY En la siguiente imagen podemos observar la interfaz grafica de Zentyal, esta distribucin tiene diferentes opciones de las cuales podemos hacer uso para lograr un sistema informtico seguro y confiable; para este caso vamos a implementar la opcin de PROXY para la seguridad en la red, pero para ello lo primero que debemos hacer es instalar el modulo ya que no se encuentra en el sistema de Zentyal por defecto; nos dirigimos a la opcin Gestin de software como se muestra en la prxima imagen.

All podemos visualizar cada uno de los componentes que el Servidor Zentyal permite instalar para su configuracin y administracin, estando dentro de la pestaa INSTALL seleccionamos el componente HTTP Proxy (Cach and Content Filter) para poder implementar dicho servicio y damos clic en el botn Install que est en la parte inferior de la interfaz grafica; tambin se pueden Actualizar paquetes o eliminarlos en la pestaa Borrar.

Inmediatamente nos aparece un mensaje de confirmacin para la Instalacin y por consiguiente damos clic en Aceptar.

Debemos esperar a que el proceso de instalacin se lleve a cabo completamente para que cada uno de los componentes requeridos para el Servidor Proxy entren en funcionamiento.

Terminada la instalacin de los paquetes el Wizard (Asistente) de configuracin inicial nos informa que debemos guardar los cambios para comenzar a utilizar el servidor o componente en Zentyal. Damos clic en Guardar cambios.

Ahora debemos esperar a que se guarden completamente los cambios y por ultimo nos aparece un mensaje de informacin diciendo Cambios guardados.

7. CONFIGURACIN PROXY HTTP Para la configuracin del proxy nos dirigimos a la pestaa Proxy HTTP General. Estando all Podremos definir si el proxy funciona en modo Proxy Transparente para forzar la poltica establecida o si por el contrario requerir configuracin manual, para este caso utilizaremos PROXY TRANSPARENTE, en Puerto estableceremos dnde escuchar el servidor conexiones entrantes, el puerto preseleccionado es el 3128, otros puertos tpicos son el 8000 y el 8080. El proxy de Zentyal nicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una direccin interna en la configuracin del navegador. El tamao de la cach define el espacio en disco mximo usado para almacenar temporalmente contenidos web. Se establece en Tamao de cach y corresponde a cada administrador decidir cul es el tamao ptimo teniendo en cuenta las caractersticas del servidor y el trfico esperado, para este caso el tamao ser de 100 MB. Adems tambin estableceremos aqu la Poltica predeterminada para el acceso al contenido web HTTP a travs del proxy. Esta poltica determina si se puede acceder o no a la web y si se aplica el filtro de contenidos. Puede configurarse en: Permitir todo: Con esta poltica se permite a los usuarios navegar sin ningn tipo de restricciones pero todava disfrutando de las ventajas de la cach, ahorro de trfico y mayor velocidad. Denegar todo: Esta poltica deniega totalmente el acceso a la web. Aunque a primera vista podra parecer poco til ya que el mismo efecto se podra conseguir con una regla de cortafuegos, sin embargo podemos establecer posteriormente polticas particulares para objetos, usuarios o grupos, pudiendo usar esta poltica para denegar en principio y luego aceptar explcitamente en determinadas condiciones. Filtrar: Esta poltica permite a los usuarios navegar pero activa el filtrado de contenidos que puede denegar el acceso web segn el contenido solicitado por los usuarios. Autorizar y filtrar, permitir todo o denegar todo: Estas polticas son versiones de las polticas anteriores que incluyen autorizacin. Para este caso la Poltica predeterminada estar en Siempre denegar y por ultimo damos clic en Cambiar.

Es posible indicar que dominios no sern almacenados en cach. Por ejemplo, si tenemos servidores web locales no se acelerar su acceso usando la cach y se desperdiciara memoria que podra ser usada por elementos de servidores remotos. Si un dominio est exento de la cach, cuando se reciba una peticin con destino a dicho dominio se ignorar la cach y se devolvern directamente los datos recibidos desde el servidor sin almacenarlos. Nos dirigimos a Excepciones a la cach y aadiremos un nuevo dominio para que a ste no se aplique la configuracin del Servidor Proxy. En este caso agregaremos el dominio johana.com, el cual pertenece a la Red DMZ, damos clic en Aade nuevo.

Editamos el dominio que vamos a agregar como excepcin y seleccionamos la opcin Negar almacenamiento en cach del dominio, por ultimo damos clic en Aadir.

Al instante nos casa in mensaje diciendo Direccin aadida, ahora damos clic en la opcin Guardar cambios que est en la parte superior.

Nos aparece un mensaje en el cual debemos dar clic en Guardar para que los cambios tomen efecto, esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Debemos esperar a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

8. CONFIGURACION GENERAL 8.1 CONFIGURACIN FILTRADO DE PERFILES Se pueden crear y configurar nuevos perfiles de filtrado para su uso por grupos de usuarios u objetos de red. Se puede seleccionar un perfil de filtrado para un objeto origen. Ahora nos dirigimos a la pestaa Proxy HTTP Filtrado de Perfiles en el cual se aadirn los perfiles de polticas que se quieren aplicar a cada objeto ya creado anteriormente (Red_lan, Red_dmz y Red_wan). Aqu nos aparece el perfil por defecto (DEFAULT) del servicio Zentyal, es decir, si no se han especificado ms perfiles, el Proxy aplicar el perfil por defecto. A continuacin en las siguientes imgenes podremos observar cual es la configuracin que tiene el perfil que viene por defecto para el SERVIDOR ZENTYAL.

En las prximas dos imgenes podemos observar cuales es son las extensiones que podemos filtrar, permitir o denegar implementando una poltica de Filtrado de extensiones de ficheros.

En las siguientes dos imgenes podemos observar cuales es son las opciones que podemos filtrar, permitir o denegar implementando una poltica de Filtrado de tipos MIME (extensiones de correo de internet multipropsito).

A continuacin, en las prximas dos imgenes podemos observar cuales es son las extensiones que podemos filtrar, permitir o denegar implementando una poltica de Filtrado de dominios.

Para agregar un filtro de perfil, damos clic en Aadir nuevo.

FILTRO DE PERFIL RED_LAN Aqu nos pedirn un parmetro para su configuracin como lo es un Nombre y damos clic en Aadir. (Con este filtro se aplicaran las polticas a la Red LAN).

FILTRO DE PERFIL RED_DMZ Para agregar un nuevo foltro de perfil damos clic en Aadir nuevo, nuevamente editamos el parmetro para su configuracin (Nombre) y damos clic en Aadir. (Con este filtro se aplicaran las polticas a la Red DMZ).

A continuacin, podemos visualizar los dos filtros de perfil que hemos aadido.

8.2 CONFIGURACIN PERFIL DE FILTRADO POR OBJETO Se puede seleccionar un perfil de filtrado para un objeto origen. Las peticiones que procedan de este objeto usaran el perfil seleccionado en vez del perfil por defecto. Esta opcin es til si queremos definir polticas de seguridad diferentes para distintas redes o conjuntos de mquinas que accedan a travs de una puerta de enlace a Zentyal. Para ello, nos dirigimos a la pestaa del men Proxy HTTP Poltica de Objeto y damos clic en Aadir nuevo.

 POLITICA DE OBJETO RED_LAN Inmediatamente se desplegar el formulario de configuracin de una poltica por objeto. En cada una de estas polticas podremos especificar el Objeto de red para el que se aplicar (Red_lan), la Poltica (Filter), el Periodo de tiempo permitido (Horas o das de la semana que se aplicara la poltica), para este caso ser todos los das a cualquier hora y el Perfil de filtrado (Red_lan) que fue el que creamos anteriormente y en donde se especificaran las polticas. Damos clic en Aadir.

POLITICA DE OBJETO RED_DMZ Para esta poltica de objeto, tambin debemos especificar los mismos parmetros pero esta vez ser para la Red DMZ, damos clic en Aadir.

En la siguiente imagen, nos aparece un mensaje de confirmacin diciendo que la Poltica de Objeto fue aadida y podemos observar las dos agregadas.

9. ACTIVAR MODULO HTTP PROXY

Para comprobar que los filtros que realicemos ms adelante se entren en funcin y sean aplicados, debemos activar el Servidor Proxy ya que se encuentra deshabilitado y no se est ejecutando. Damos clic en la pestaa del men Deshboard y en la parte inferior de la pgina podemos comprobar que el modulo no est activo.

Como siguiente paso nos dirigimos a la pestaa Estado del modulo del men y estando all podemos verificar que efectivamente el servicio Proxy no est seleccionado para su funcionamiento y como tal debemos marcarlo.

Inmediatamente aparece una ventana que indica las acciones y modificaciones que se harn al colocar en funcionamiento el Proxy, as como los archivos en los cuales estarn guardadas las configuraciones. Damos clic en Aceptar.

Aqu podemos observar que el mdulo ya se encuentra activo. Damos clic en Guardar cambios ubicado en la parte superior de la pgina.

Nos aparece un mensaje de confirmacin y damos clic en Guardar.

Por ltimo nos muestra un mensaje de confirmacin informando que los cambios han sido guardados.

Para verificar que efectivamente el modulo (Proxy HTTP) ha sido habilitado correctamente, nos nuevamente dirigimos a la pestaa Deshboard y en la parte inferior podemos ver que se encuentra en estado Ejecutndose y tiene habilitada la opcin para Reiniciar.

10. CONFIGURACIN FILTRADO DE PERFILES 10.1 FILTRADO POR EXTENSIONES RED LAN Nuevamente estando dentro de la configuracin de Filtrar perfiles damos clic en la opcin de Configuracin de la Red_lan e ingresamos a la pestaa Filtrado de extensiones de ficheros en la cual aadiremos las extensiones que los miembros del objeto relacionado a esta red no podrn descargar desde Internet, ya que la poltica general por defecto esta en PERMITIR entonces debemos DENEGAR. Damos clic en Aade nuevo en Configurar extensiones de ficheros permitidas.

Para este caso agregamos en Extensin el tipo de extensin (doc) que vamos a bloquear; y cmo vamos a denegarla no seleccionamos la opcin Permitir. Damos clic en Aadir.

Al aadir la extensin nos aparece un mensaje de confirmacin, el cual nos indica que la extensin ha sido aadida para la Red_lan. Ahora damos clic en la opcin Guardar cambios que est en la parte superior.

Nos aparece un mensaje en el cual debemos dar clic en Guardar para que los cambios tomen efecto, esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Para realizar las pruebas respectivas a este tipo de filtrado, nos dirigimos al equipo que se encuentra en la RED LAN (192.168.120.2) y verificamos que efectivamente tiene conexin a Internet ingresando al navegador; estando all buscamos archivos que tengan extensin .doc con la sentencia redes filetype:doc, despus damos clic en algn link relacionado a sta y cmo podemos ver el Servidor Proxy Zentyal filtra dicha descarga y bloquea la extensin denegando el acceso a la misma.

 RED DMZ Para filtrar una extensin en la Red_dmz, debemos realizar el mismo procedimiento realizado anteriormente, pero para este caso denegaremos las extensiones pdf.

Ahora damos clic en la opcin Guardar cambios que est en la parte superior. Nos aparece un mensaje en el cual debemos dar clic en Guardar para que los cambios tomen efecto, esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Para realizar las pruebas respectivas a este tipo de filtrado, nos dirigimos al equipo que se encuentra en la RED DMZ (192.168.150.18) y verificamos que efectivamente tiene conexin a Internet ingresando al navegador; estando all buscamos archivos que tengan extensin .pdf en la barra superior de bsqueda, despus damos clic en algn link relacionado a sta y cmo podemos ver el Servidor Proxy Zentyal filtra dicha descarga y bloquea la extensin denegando el acceso a la misma.

10.2

FILTRADO POR MIME

El tipo de filtrado MIME (extensiones de correo de internet multipropsito), es un estndar que clasifica recursos y provee informacin a programas acerca de cmo manejarlos. Esto permite a los navegadores abrir correctamente un archivo .txt como un recurso de texto plano y no como un archivo de video o algn otro tipo. Cuando un tipo MIME no es especificado para un recurso, el programa que lo procese puede "suponer" su tipo por la extensin del recurso (por ejemplo, un archivo .bmp supone contener una imagen de mapa de bits). RED LAN Estando dentro de la configuracin de Filtrar perfiles damos clic en la opcin de Configuracin de la Red_lan e ingresamos a la pestaa Filtrado de tipos por MIME en la cual aadiremos tipos de MIME que los miembros del objeto relacionado a esta red no podrn descargar desde Internet, ya que la poltica general por defecto esta en PERMITIR entonces debemos DENEGAR. Damos clic en Aade nuevo en Configurar tipos de MIME permitidas.

Para este caso agregamos el Tipo MIME (application/zip) que vamos a bloquear; y cmo vamos a denegarla no seleccionamos la opcin Permitir. Damos clic en Aadir.

Al aadir la extensin nos aparece un mensaje de confirmacin, el cual nos indica que la extensin ha sido aadida para la Red_lan. Ahora damos clic en la opcin Guardar cambios que est en la parte superior.

Nos aparece un mensaje en el cual debemos dar clic en Guardar para que los cambios tomen efecto, esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Para realizar las pruebas respectivas a este tipo de filtrado, nos dirigimos al equipo que se encuentra en la RED LAN (192.168.120.2) y verificamos que efectivamente tiene conexin a Internet ingresando al navegador; estando all buscamos archivos que se puedan descargar en .zip, para este caso pondremos Descargar openvpn (que es un paquete con una solucin de conectividad basada en software SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada)), despus damos clic en algn link relacionado como se puede observar en la imagen.

Cuando ingresamos a la pagina, podemos observar que hay la opcin de descargar el paquete en diferentes tipos de MIME, para este caso damos clic en la opcin .zip y visualizamos que efectivamente el Servidor Proxy Zentyal filtra dicha descarga y bloquea el MIME.

10.3 FILTRADO POR DOMINIO En la pestaa de Filtrado de dominios encontraremos que podemos Bloquear sitios especificados slo como IP, es decir, bloquea cualquier pgina que intente acceder especificando nicamente su direccin IP y no el dominio asociado. La opcin de Bloquear dominios no listados, bloquea todos los dominios que no estn presentes en la seccin Reglas de dominios o en las categoras presentes en Ficheros de listas de dominios y cuya poltica no sea denegar. RED LAN Estando dentro de la configuracin de Filtrar perfiles damos clic en la opcin de Configuracin de la Red_lan e ingresamos a la pestaa Filtrado dominios para grupo de filtros en la cual aadiremos los dominios que los miembros del objeto relacionado a esta red no podrn acceder desde Internet; ya que la poltica general por defecto esta en PERMITIR entonces debemos DENEGAR. Damos clic en Aade nuevo en Reglas de dominios y URLs.

Editamos en Dominio o URL el dominio que vamos a bloquear (twitter.com); dentro de la Poltica indicamos que ser Siempre denegar (Always deny). Damos clic en Aadir.

Aadido el dominio nos aparece un mensaje de confirmacin, el cual nos indica que el dominio ha sido aadido para la Red_lan.

RED DMZ Para filtrar un dominio en la Red_dmz, debemos realizar el mismo procedimiento realizado anteriormente, pero para este caso denegaremos el dominio misena.edu.co.

Ahora damos clic en la opcin Guardar cambios que est en la parte superior. Aparece un mensaje en el cual debemos dar clic en Guardar para que los cambios tomen efecto, esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Para realizar las pruebas respectivas a este tipo de filtrado, nos dirigimos al equipo que se encuentra en la RED LAN (192.168.120.2) y verificamos que efectivamente tiene conexin a Internet ingresando al navegador; estando all editamos en la barra de direcciones http://www.twitter.com y cmo podemos ver el Servidor Proxy Zentyal filtra el dominio y lo bloquea denegando el acceso al mismo.

Ahora para vamos a realizar la prueba en la RED DMZ (192.168.150.18), verificamos que tiene conexin a Internet ingresando al navegador; estando all editamos en la barra de direcciones http://www.misena.edu.co y cmo podemos ver el Servidor Proxy Zentyal filtra el dominio y lo bloquea denegando el acceso al mismo.

10.4 FILTRADO POR DAS Es posible establecer polticas de filtrado por das, esto contribuye a promover polticas ms estrictas en das de trabajo, para ello debemos dirigirnos a Proxy HTTP - Poltica de objeto. Estando all editaremos la poltica de la Red LAN, para ello damos clic en el segundo icono del parmetro Action que es editar como se muestra en la imagen.

Antes de aplicar esta regla debemos tener en cuenta que se toma el da de la maquina Zentyal, es por ello que lo verificamos antes de continuar.

Volvemos a la Poltica de objeto, para este caso vamos a implementar en el Perfil de filtrado la opcin por default ya que con el que tenamos anteriormente no nos permite modificar el da. La poltica ser always allow (siempre permitir) y le quitare la seleccin al da SBADO para que lo deniegue y permita los dems das de la semana; por ultimo damos clic en Cambiar.

Nos aparece un mensaje de confirmacin el cual nos indica que la poltica de objeto se ha actualizado, y damos clic en Guardar cambios para que hagan efecto. Nos aparece un resumen de todo lo que hemos hecho y damos en Guardar.

Esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Para realizar la prueba y verificar si la regla est en funcionamiento, es decir, el da de hoy (sbado) no puede navegar en Internet la maquina LAN (192.168.120.2), para ello nos dirigirnos al equipo e ingresamos al navegador Web y cmo podemos observar en la imagen aparece un error el cual indica que la configuracin de control de acceso evita que su solicitud sea permitida en este momento.

10.5 FILTRADO POR TIEMPO Podemos establecer polticas de filtrado por intervalos (HORARIOS), implementar polticas ms estrictas en horas de trabajo, para ello debemos dirigirnos a Proxy HTTP - Poltica de objeto. Estando all editaremos la poltica de la Red LAN, para ello damos clic en el segundo icono del parmetro Action que es editar como se muestra en la imagen.

Antes de aplicar esta regla debemos tener en cuenta que se toma la hora de la maquina Zentyal, es por ello que la verificamos antes de continuar (21:23).

Volvemos a la Poltica de objeto, lo que haremos es cambiar la hora en un rango de tiempo que ser desde las 06:00 hasta las 13:00 ya que esta por fuera de la hora de Zentyal y por ultimo damos clic en la opcin Cambiar.

Nos aparece un mensaje de confirmacin el cual nos indica que la poltica de objeto se ha actualizado, y damos clic en Guardar cambios para que hagan efecto. Nos aparece un resumen de todo lo que hemos realizado y damos en Guardar.

Esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Ahora procedemos a realizar la prueba, para ello nos dirigimos a la mquina de la Red LAN (192.168.120.2) y accedemos al navegar, y como podemos observar en la prxima imagen la regla se est aplicando correctamente y el mensaje nos indica que la configuracin de control de acceso evita que su solicitud sea permitida en este momento.

Ahora vamos a realizar la prueba poniendo la hora en el rango del horario en el cual esta Zentyal y as con ello verificar que nos permita navegar; para ello haremos el mismo proceso anteriormente dicho pero ponemos un horario ms extendido que abarque la hora en la que esta la maquina que ser desde las 06:00 hasta las 22:00.

Nos aparece un mensaje de confirmacin el cual nos indica que la poltica de objeto se ha actualizado, y damos clic en Guardar cambios para que hagan efecto. Nos aparece un resumen de todo lo que hemos realizado y damos en Guardar.

Esperamos a que cargue la nueva configuracin y finalmente nos dice que los cambios han sido guardados.

Nuevamente nos dirigimos a la maquina LAN y accedemos a Internet para verificar que efectivamente la regla est en funcin y le permite navegar dentro del tiempo establecido.

10.6 FILTRADO BASADO EN GRUPOS DE USUARIOS Es posible usar los grupos de usuarios en el control de acceso y en el filtrado. Para ello, primero necesitamos habilitar el mdulo de Usuarios y Grupos en Estado del mdulo. Se puede crear un grupo desde el men Usuarios y Grupos - Grupos y aadir usuarios al sistema desde el men Usuarios y Grupos - Usuarios. Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen a ste AADIR GRUPO

 AADIR USUARIO

 AGREGAR POLTICA Para definir el filtrado basado en grupos de usuarios primero debemos usar una de las opciones que requieren Autorizar como poltica global o del objeto de red. Estas polticas hacen que el proxy pida identificacin de usuario y precise que esta identificacin sea correcta para permitir el acceso. Una vez podamos autenticar a los usuarios, podremos tambin establecer polticas globales de grupo. Estas polticas nos permitirn controlar el acceso a los miembros de un grupo en concreto y asignarles perfiles de filtrado distintos del perfil por defecto. Debemos tener en cuenta que, por una limitacin tcnica de la autenticacin HTTP, las polticas con autenticacin no se podrn implantar si el proxy se est usando en modo transparente. Las polticas de grupo se gestionan en la seccin Proxy HTTP - Poltica de Grupo. Slo controlan si el usuario tiene acceso o no a la web, si tambin queremos que se le aplique una poltica de filtrado concreta tendremos que hacer que la poltica global, o la de los objetos desde los que se conecta estn establecidas a Autorizar y filtrar. Como en las polticas por objeto de red, podremos definir para este grupo una Poltica, que tan slo podr ser Permitir o Denegar, un Periodo de tiempo y el Perfil de filtrado a aplicaren caso de que la mquina desde la que est autenticado el usuario tenga una poltica de filtrado o as se establezca en la configuracin global.

10.7 FILTRADO BASADO EN GRUPOS DE USUARIOS PARA OBJETOS Las polticas de filtrado por objeto de red tienen prioridad sobre la poltica general del proxy y sobre las polticas globales de grupo. Adems, en caso de que hayamos elegido una poltica con autorizacin, es posible tambin definir polticas por grupo. Como en las polticas de grupo globales, estas polticas slo influyen en el acceso y no en el filtrado, que vendr determinado por la poltica del objeto al que pertenecen. Al igual que en la poltica general, las polticas con autenticacin no se podrn implantar si el proxy se est usando en modo transparente. Por ltimo, cabe destacar que no podemos asignar perfiles de filtrado a los grupos en las polticas de objeto. Por tanto, un grupo usar el perfil de filtrado establecido en su poltica global de grupo, sea cual sea el objeto de red desde el que se acceda al proxy. Podremos aadir estas polticas desde la columna Poltica de grupo de la lista de Proxy HTTP Poltica de Objeto.

11 VOCABULARIO ZENTYAL: Es un servidor de red unificado de cdigo abierto (Plataforma de red unificada) para las PYMEs (Pequeas y medianas empresas) el cual puede actuar gestionando la infraestructura de red, como puerta de enlace a Internet (Gateway), gestionando las amenazas de seguridad a partir de la configuracin de Soluciones Perimetrales (Firewall, Proxy, VPNs e IDS)), como servidor de oficina, como servidor de comunicaciones unificadas o una combinacin de estas. Adems, Zentyal incluye un marco de desarrollo (Framework) para facilitar el desarrollo de nuevos servicios basados en Unix. SERVIDOR PROXY: Acta como intermediario en las peticiones de los clientes en busca de recursos de otros servidores. Un cliente se conecta al servidor proxy, solicitando algn servicio, como un archivo, la conexin en la Pgina Web u otros recursos disponibles desde un servidor diferente. El servidor proxy evala la solicitud de acuerdo con sus reglas de filtrado, es decir, puede filtrar el trfico por direccin IP, protocolo, extensin, ancho de banda de descarga, dominios, entre otros; si la solicitud es validada por el filtro, el proxy proporciona el recurso mediante la conexin con el servidor correspondiente y solicitar el servicio en nombre del cliente. Un servidor proxy, opcionalmente, puede alterar la solicitud del cliente o la respuesta del servidor y, a veces se puede atender la solicitud sin contacto con el servidor especificado. PROXY TRANSPARENTE: Combina un Servidor Proxy con NAT (Network Address Translation, Traduccin de Direccin de Red) de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. PROXY CACH: Este tipo de proxy guarda las respuestas a peticiones anteriores y puede hacer uso de dicha cach para dar nuevas respuestas directamente a otros clientes que requieran de este mismo servicio o contenido con el fin de mejorar el uso y utilizacin del ancho de banda en la red; es decir, su funcin es precargar el contenido Web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma informacin de la misma mquina u otras. MULTIPROXY: Es un servidor proxy multifuncional que puede mejorar las transferencias de archivos, especialmente cuando esas transferencias se realizan desde servidores lentos. Tambin puede ayudar a proteger la privacidad mediante la asignacin dinmica de un servidor proxy no-transparente de uso pblico. Es posible analiza runa lista de servidores proxy ordenndolos por velocidad de respuesta y por el grado de anonimato que proporcionan. LISTAS DE CONTROL DE ACCESO: Es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los permisos de acceso

apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACL permiten controlar el flujo del trfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna condicin. PROXY ABIERTO: Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est o no conectado a su red. En esta configuracin el proxy ejecutar cualquier peticin de cualquier ordenador que pueda conectarse a l, realizndola como si fuera una peticin del proxy. Por lo que permite que este tipo de proxy se use como pasarela para el envo masivo de correos de spam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como el DNS o la navegacin Web, mediante el cacheo de peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuracin "abierta" a todo internet, se convierte en una herramienta para su uso indebido. SQUID: Es un programa de software libre que implementa un servidor proxy y un dominio para cach de pginas web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un servidor web, guardando en cach peticiones repetidas a DNS y otras bsquedas para un grupo de gente que comparte recursos de la red, hasta cach de web, adems de aadir seguridad filtrando el trfico. Est especialmente diseado para ejecutarse bajo entornos tipo Unix. Squid ha sido desarrollado durante muchos aos y se le considera muy completo y robusto. Aunque orientado a principalmente a HTTP y FTP es compatible con otros protocolos como Internet Gopher. Implementa varias modalidades de cifrado como TLS, SSL, y HTTPS. EXTENSIN: una extensin de archivo o extensin de fichero, es una cadena de caracteres anexada al nombre de un archivo, usualmente precedida por un punto. Su funcin principal es diferenciar el contenido del archivo de modo que el sistema operativo disponga el procedimiento necesario para ejecutarlo o interpretarlo, sin embargo, la extensin es solamente parte del nombre del archivo y no representa ningn tipo de obligacin respecto a su contenido. MIME: (extensiones de correo de internet multipropsito), es un estndar que clasifica recursos y provee informacin a programas acerca de cmo manejarlos. Esto permite a los navegadores abrir correctamente un archivo .txt como un recurso de texto plano y no como un archivo de video o algn otro tipo. Cuando un tipo MIME no es especificado para un recurso, el programa que lo procese puede "suponer" su tipo por la extensin del recurso (por ejemplo, un archivo .bmp supone contener una imagen de mapa de bits). DOMINIO: Es una red de identificacin asociada a un grupo de dispositivos o equipos conectados a la red Internet. El propsito principal de los nombres de dominio en Internet y del sistema de nombres de dominio (DNS), es traducir las direcciones IP de cada nodo

activo en la red, a trminos memorizables y fciles de encontrar. Esta abstraccin hace posible que cualquier servicio (de red) pueda moverse de un lugar geogrfico a otro en la red Internet, aun cuando el cambio implique que tendr una direccin IP diferente. Sin la ayuda del sistema de nombres de dominio, los usuarios de Internet tendran que acceder a cada servicio web utilizando la direccin IP del nodo.

CONCLUSIONES El PROXY es una herramienta que nos permite asegurar y controlar una red corporativa de intrusos maliciosos en la web, podemos prevenir que los usuarios pertenecientes a una empresa u organizacin tengan acceso a pginas no permitidas o no relacionadas con el trabajo, ya que estas pginas pueden tener virus que probablemente daen informacin y vulneren la red. Es muy importante que el administrador de red tenga un control total en cuanto al acceso a Internet, ya que permite tener un orden promoviendo cada vez ms la seguridad en todo el sistema. Zentyal es una herramienta que me permite implementar un proxy de una manera sencilla ya que nos permite hacerlo grficamente, tiene mdulos y software integrados que nos permiten realizar mltiples tareas para el beneficio de la red en cuanto a la seguridad en general, tambin tiene otras utilidades como lo son la Firewall, VPN, antivirus entre otros ms. Un Servidor Proxy tiene la capacidad de ocultar la red interna para protegerla de redes externas. Cuando se utiliza un Proxy se establecen conexiones separadas desde el servidor hacia cada ordenador, lo que permite conexiones ms seguras y elevar el nivel de confiabilidad y seguridad en el ambiente de red.

BIBLIOGRAFIA o http://doc.zentyal.org/es/ o http://es.wikipedia.org/wiki/Zentyal o http://cursos.redsena.net o http:// es.wikipedia.org/wiki/Proxy o http://doc.zentyal.org/es/proxy.html