miércoles, 6 de junio de 2012



 PROXY EN ISA SERVER 2006






CONFIGURACIÓN



Después de tener una maquina con el isa server 2006 instalado procedemos a editar la regla de acceso de HTTP que ya teníamos antes creada, le damos clic derecho – Propiedades.






Nos aparecen las propiedades de la red interna.





Seleccionamos la pestaña de proxy web y habilitamos las conexiones del cliente proxy y habilitamos el http por el puerto 8080.


Luego vamos al panel de herramientas de la izquierda entramos a configuración y seleccionamos redes, en red interna le damos clic derecho – propiedades.



En  estas opciones entramos a configuración de la conexión y seleccionamos la segunda opción de auto detectar configuración del proxy para esta red.




FILTRO POR USUARIOS


En la regla de HTTP y HTTPS damos clic derecho - propiedades.





Ahora crearemos un filtro por usuarios, para cuando alguien quiera entrar a cualquier pagina primero sea autenticado, ahora crearemos los usuarios o grupos de usuarios.


Seleccionamos los usuarios que van a hacer parte del grupo en este caso elegimos usuarios y grupos de Windows.


Buscamos los usuarios con que se autenticaran los clientes.




En este seleccionaremos el usuario Administrador.


Ya queda agregado el usuario.


Lo agregamos y le damos siguiente.


Agregamos el usuario y aceptamos.





FILTRO POR HORARIOS Y DÍAS

Vamos a crear el filtro por días en este caso elegiremos que sea siempre el acceso a internet.


También definimos el horario, colocaremos el horario en el cual necesitamos tener acceso a internet en este caso de 12:00  pm a 6:00 pm.







FILTRO POR EXTENSIONES DE ARCHIVOS


Ahora vamos a entrar a las opciones de la regla web, así que le damos clic derecho – configurar HTTP.


Vamos a la pestaña de extensiones y allí seleccionamos la opción de bloquear extensiones especificadas.






Especificamos la extensión que queremos boquear en este caso será la extensión .exe





FILTROS DE PALABRAS EN LA URL


En la pestaña Firmas agregaremos las palabras que no queremos que se muestren cuando realicemos una búsqueda en nuestro browser.


Estas son las palabras que bloqueamos a nuestra necesidad.


Ahora realizaremos pruebas para ver si las palabras que bloqueamos en realidad quedan bloqueadas. En nuestro browser en este caso Mozilla Firefox vamos a la pestaña herramientas y entramos a opciones.

En la pestaña Red configuramos la conexión, allí seleccionamos configurar manualmente el proxy y colocamos nuestra dirección de proxy.


Ingresamos a YouTube en nuestro navegador y vemos que no deja mostrar la página.


Ahora probamos con otra palabra en Google  en este caso “juegos”




Y vemos que no se puede tener acceso a ella.


FILTRO POR URL


Vamos al panel de la derecha y entramos a la pestaña de Herramientas y seleccionamos conjunto de direcciones URL.




En este caso vamos a denegar la dirección URL de Hotmail.


FILTRO POR DOMINIO


Para denegar un dominio completo vamos a Herramientas conjunto de nombres de dominio.

En nuestro caso lo haremos con ultimate-guitar.com.



FILTRO POR EQUIPO



Vamos a herramientas seleccionamos Equipo.




Colocamos la dirección de cualquier equipo que queramos denegar.


REGLAS DE ACCESO


Con todos los objetos de la red creados vamos a aplicar las reglas. Lo primero que hacemos para empezar a crear las reglas es ingresar a la pestaña de Tareas y seleccionamos crear regla de acceso.




Le damos un nombre a la regla.




Le damos en la acción denegar.




Seleccionamos los protocolos en este caso será HTTP y HTTPS.


Seleccionamos la red que será denegada en este caso la interna.


A este destino le agregamos los objetos que ya habíamos creado como por ejemplo el equipo y la URL en este caso.


Por ultimo seleccionamos los usuarios para los cuales será aplicada la regla, en este caso serán todos los usuarios.


Finalizamos el asistente.




Por ultimo ubicamos las reglas de proxy en la parte superior de las de firewall.















































lunes, 4 de junio de 2012

Firewall mOnOwall

m0n0wall.

Buen día en esta entrada vamos a ver como se pueden configurar un firewall asiendo las reglas para configurar una red internar (LAN) , una zona desmilitarizada (DMZ), y el acceso a internet (WAN), para crear así algunas restricciones y mejorar la seguridad de nuestra red.

Para realizar esto vamos a utilizar un sistema basado en FreeBSD llamado m0n0wall, este el software libre y es de gran ayuda que que nos genera un entorno centralizado para administrar la seguridad y nos ase la vez de router y firewall.

La topología que vamos a ver a continuación es la implementación del firewall, en la cual vamos a tener tres subredes. Lo que deseamos hacer es que el trafico que venga de la WAN no entre directamente ala LAN sino que sea reenviado ala DMZ, que la LAN tenga acceso ala WAN sin ningún problema y que la DMZ sea vista por la WAN y la LAN y que ella no vea ala LAN.



Asignamos las tarjetas de red que necesitamos.

En esta imagen mostramos como habilitamos la red interna para nuestra LAN.
 

En este paso también estamos habilitando la tarjeta de red en modo puente, con la cual vamos a salir a internet.

 


Este adaptador es para nuestra zona desmilitarizada, también en red interna.

Ahora comenzamos la instalación del m0n0wall el cual esta hecho sobre un sistema operativo freeBSD.

El paso a realizar ahora es la instalación en el disco duro con la opción 7 del menú que se nos a desplegado.

En esta imagen comenzamos la instalación del m0nowall en nuestro disco duro. 


Ahora estamos aceptando el proceso de reinicio.

Debemos recordar que cuando reiniciamos el equipo con el m0n0wall hay que quitar la ISO de instalación.

Luego de que el equipo allá reiniciado perfectamente, le damos en la opción 1 del menú para configurar las interfaces de red de nuestro firewall.


En esta imagen podemos ver nuestras 3 interfaces la de la LAN, WAN, DMZ.


Ahora asignamos los interfaces a cada red.
  

Nos informan que hay que reiniciar el equipo que confirmamos en proceso.

Realizamos un ping para probar nuestra conexión.

Configuramos un DHCP para nuestra red interna LAN.


Asignamos el rango para nuestro DHCP.


Revisamos que el DCHP si nos este asignando dirección IP.


Accediendo al monowall vía browser.



Ingresamos desde nuestra red interna a interfaces gráfica del monowall.

 
Le cambiamos el nombre a la interfaz OPT1 por DMZ y revisamos que la IP si sea la correcta.

  Configuramos el NAT para nuestro FTP desde la DMZ.


Configuración NAT para el servidor WEB de la DMZ.

  Ahora vamos a comenzar con las reglas según el requerimiento.

  En estas imágenes vemos como se configuran las reglas para el HTML o servicio WEB.


  En esta imagen vemos como configuramos que todo pueda pasar ala DMZ pero nada para la LAN.

  Configuramos que pase todo el trafico WEB para nuestra DMZ tanto de entrada y salida así la DMZ no pueda acceder ala LAM ya que el tiene que responder cuando la red interna quiera acceder a los servicios de la zona desmilitarizada.


  En esta imagen vemos como se permite el trafico WEB de la WAN a la DMZ.

Estas configuraciones también las realizamos para la configuración de un servicio FTP la única diferencia es cambiar HTTP por FTP o como sea nuestra necesidad.


En esta imagen estamos accediendo a el servidor FTP de nuestras red interna estando en la LAN.

Nos registramos y con esto podemos comprobar que si tenemos acceso al FTP.







  Ahora vamos a probar nuestro pagina Web interna.

Ahora vamos a probar que podamos ver los servidores FTP y HTTP de nuestra DMZ desde la LAN.

En esta imagen vemos que estamos en un equipo de la red interna y vemos el FTP de la DMZ.
Interna: 192.168.1.0, zona desmilitarizada: 192.168.2.0




 
De igual manera revisamos la pagina de la DMZ y podemos ver que tenemos acceso a ella también.
Ahora nos percatamos que podamos salir a internet desde la LAN.

Ahora vamos a revisar que la DMZ tenga comunicación con la WAN para poder salir a internet.

Para ello tenemos que configurar el DNS en el equipo de nuestra DMZ, como nosotros teníamos un equipo Linux lo realizamos con el comando system-config-network-tui.


Y ahora ya podemos salir a internet sin ningún problema.