Este documento contiene instrucciones para configurar un servidor proxy y un servidor Kerberos. Explica cómo configurar un servidor proxy en Windows, Chrome y FTP, así como las funciones de un servidor proxy de caché. También detalla los pasos para instalar y configurar un servidor Kerberos básico, incluida la creación de la base de datos Kerberos y la configuración de los archivos krb5.conf y kadm5.acl.
2. Jacqueline Luzardo
Es un servidor, programa o dispositivo, que
hace de intermediario en las peticiones de
recursos que realiza un cliente (A) a otro
servidor (C). Por ejemplo, si una hipotética
máquina A solicita un recurso a C, lo hará
mediante una petición a B, que a su vez
trasladará la petición a C; de esta forma C no
sabrá que la petición procedió originalmente
de A.
3. Jacqueline Luzardo
Existen varias funcionalidades de un servidor proxy, aquí trataré de explicar las
configuraciones:
Usar un Servidor Proxy de Caché
Servidor Proxy de Caché Externo
1. Configure su servidor proxy de caché.
2. En la configuración de Acción de Proxy HTTP, seleccione Servidor de
Caché Web.
3. Marque la casilla de selección Utilizar servidor proxy de caché externo
para tráfico HTTP.
4. En los cuadros de texto Dirección IP y Puerto, ingrese la dirección IP y el
puerto para el servidor proxy de caché externo.
5. Para cambiar la configuración para otra categoría en este proxy, consulte el
tema para esa categoría.
6. Guarde la configuración.
Si modificó una acción proxy predefinida, cuando guarde los cambios se le
solicitará clonar (copiar) sus configuraciones a una acción nueva.
4. Jacqueline Luzardo
Usar un Servidor Proxy de Caché
Servidor Proxy de Caché Interno
1. Configure la acción proxy HTTP con las mismas configuraciones que para
un servidor proxy externo.
2. En la misma política proxy HTTP, permita todo el tráfico de los usuarios en
su red, cuyas solicitudes web desea enrutar a través del servidor proxy en
caché.
3. Agregue una política de filtro de paquete HTTP a su configuración.
4. Configure la política de filtrado de paquetes HTTP para permitir tráfico
desde la dirección IP de su servidor proxy de caché a Internet.
5. Si es necesario, mueva en forma manual esta política en su lista de
política, a fin de que tenga una mayor precedencia que su política proxy
HTTP.
5. Jacqueline Luzardo
Cómo se configura un servidor proxy en Windows
Aquí se explica cómo configurar su PC con Windows para que utilice un servidor proxy en
Windows 8 o Windows 10:
1. Pulse simultáneamente las teclas Windows + I para acceder al menú Configuración
de Windows.
2. En Windows 10, haga clic en Configuración > Red e Internet > Proxy. En Windows 8,
haga clic en Configuración > Proxy de red.
3. En la sección Configuración manual, establezca el control “Utilizar un servidor proxy”
en Activado. Compruebe que también esté activado el control “Detectar la
configuración automáticamente”.
4. De forma predeterminada, Windows comprueba automáticamente si su empresa,
institución educativa o red local ya tiene configurado y listo para usar un servidor
proxy automático. Si es así, Windows le indica su nombre y le indica que siga sus
instrucciones.
5. Suponiendo que Windows encuentre un archivo PAC, en Configuración automática
del proxy establezca el control Usar script de configuración en Activado.
6. Introduzca la dirección del servidor y haga clic en guardar.
¡Felicidades! Ha terminado y está listo para utilizar el proxy.
6. Jacqueline Luzardo
Cómo configurar de forma manual un proxy en Windows 8 o Windows 10
No todas las organizaciones configuran este proceso automáticamente. Si debe
configurar un proxy de forma manual en Windows 8 o Windows 10, aquí le explicamos
cómo se hace.
1. Para acceder al menú Configuración de Windows, pulse las
teclas Windows + I simultáneamente.
2. En Windows 10, haga clic en Configuración > Red e Internet > Proxy. En sistemas con
Windows 8, haga clic en Configuración > Proxy de red.
3. Desplácese hacia abajo hasta “Configuración manual del proxy” y establezca el
control “Utilizar un servidor proxy” en Activado.
4. En el campo de dirección, introduzca el nombre del servidor proxy o la dirección IP.
En el campo Puerto, introduzca el número de puerto del proxy. Puede obtener estos
datos de su soporte técnico informático.
5. Si el servidor proxy está protegido mediante una contraseña, marque la casilla “El
servidor proxy requiere una contraseña”. Introduzca su nombre de cuenta y
contraseña en los campos correspondientes.
6. Haga clic en Guardar.
7. Jacqueline Luzardo
Cómo se configura un servidor proxy en Google Chrome
De forma predeterminada, Chrome utiliza el proxy de macOS o Windows. Para
cambiar la configuración del proxy desde dentro de Chrome, realice los pasos
siguientes:
1. Abra la barra de herramientas de Chrome y seleccione Configuración.
2. Desplácese hasta el final de la pantalla. Haga clic en Configuración avanzada.
3. Desplácese hacia abajo hasta “Sistema” y elija Abrir la configuración de
proxy de tu ordenador.
4. A continuación, para configurar su servidor proxy, siga las instrucciones
indicadas anteriormente para su sistema operativo.
En resumen, para configurar un servidor proxy en Google Chrome, realiza los
primeros pasos en el navegador y luego completa el proceso en el sistema
operativo de su equipo.
8. Jacqueline Luzardo
Conectar utilizando un servidor proxy SOCKS
Utilice este procedimiento para configurar conexiones en el Cliente FTP si el sitio utiliza
un servidor proxy SOCKS.
Para conectarse utilizando un servidor proxy SOCKS
1. Inicie el Cliente FTP. Se abrirá el cuadro de diálogo Conectar con sitio FTP. (Si el Cliente
FTP ya está ejecutándose y este cuadro de diálogo no está abierto,
seleccione Conexión >Conectar).
2. Realice una de las siguientes tareas:
Para Hacer lo siguiente
Crear un sitio
nuevo
En el cuadro de diálogo Conectar con sitio FTP, haga clic en Nuevo.
En el cuadro de diálogo Agregar sitio FTP, escriba el nombre del host
o la dirección IP del servidor FTP y luego haga clic en Siguiente.
En el cuadro de diálogo Información de inicio de sesión, seleccione
Usuario.
Modificar un
archivo existente
En el cuadro de diálogo Conectar con sitio FTP, seleccione un sitio.
3. Haga clic en Seguridad.
4. La configuración de SOCKS es diferente según se trate de una conexión FTP o SFTP:
9. Jacqueline Luzardo
Para Hacer lo siguiente
Configure una
conexión FTP
En la ficha SOCKS, seleccione Utilizar SOCKS. Haga clic en Configurar para
configurar los servidores proxy SOCKS y las direcciones de destino.
Configure una
conexión SFTP
En la ficha Secure Shell, haga clic en Configurar para abrir el cuadro de
diálogo Configuración de Reflection Secure Shell. En la ficha General,
seleccione Utilizar proxy SOCKS. Haga clic en Configurar SOCKS para
configurar los servidores proxy SOCKS y las direcciones de destino.
5. Realice una de las siguientes tareas:
Para Hacer lo siguiente
Crea un sitio nuevo Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades
de seguridad y haga clic en Siguiente.
En el cuadro de diálogo Inicio de sesión de usuario FTP, escriba su
nombre de usuario en el servidor FTP y haga clic en Siguiente.
Haga clic en Finish (Finalizar).
Modifica un sitio
existente
Haga clic en Aceptar para cerrar los cuadros de diálogo abiertos.
NOTA: el número de puerto predeterminado para los servidores SOCKS es 1080.
10. Jacqueline Luzardo
Ipchains se basa en una lista (cadena) de reglas que determinan el
comportamiento y las decisiones a tomar sobre paquetes cuando alcanzan un
interfaz de entrada o salida. Estas son:
Configuración del firewall
Input Output Forward
La configuración que se llevará a cabo permitirá la conexión desde el exterior al front-end a través del
protocolo SSH, además se podrán conectar a la web de documentación a través del puerto 80.
#!/bin/sh
# firewall
# probe: true
# Source function library.
. /etc/rc.d/init.d/functions
# Source networking configuration.
if [ ! -f /etc/sysconfig/network ]; then
exit 0
fi
. /etc/sysconfig/network
# Check that networking is up.
[ $NETWORKING = ``no'' ] && exit 0
if [ ! -x /sbin/ipchains ]; then
11. Jacqueline Luzardo
Existen cuatro tablas a aplicar dentro de IPtables: filter, mangle, nat y raw; que
a su vez contienen tres cadenas: INPUT, OUTPUT y FORWARD. Vamos a utilizar
la tabla "filter", y lo podremos hacer de dos formas. Una sería aceptar todos los
paquetes entrantes al equipo e ir restringiendo uno a uno los paquetes que nos
interesen; esta sería la política conocida como ACCEPT. La otra forma de filtrar
paquetes sería el opuesto, denegar el acceso a todos los paquetes y se van
permitiendo los paquetes que queramos; esta segunda política de filtrado se
conoce como DROP. Para esto necesitamos órdenes y parámetros con los que
formular la regla debidamente.
Ordenes:
IPtables –F: flush (borrado, vaciado) de todas las reglas
IPtables –L: listado de reglas que se están aplicando.
IPtables –A: añadir regla.
IPtables –D: borrar una regla
Etc...
Estos son varios de los parámetros que usaremos para configurar las reglas de IPtables.
-p [protocolo]: Protocolo al que pertenece el paquete.
12. Jacqueline Luzardo
TCP Wrapper es un sistema que nos permite
permitir, denegar o filtrar el acceso a los servicios de
un servidor con sistema operativo UNIX (como por
ejemplo Linux o BSD).
Los ficheros principales implicados en TCP
Wrappers son “/etc/host.allow” y “/etc/host.deny”. En
el fichero /etc/host.allow se indican las políticas
permisivas y en el fichero /etc/host.deny las políticas
restrictivas.
13. Jacqueline Luzardo
Las políticas o reglas para filtrar el acceso al servidor desde la red se definen de la
siguiente forma:
Dominios: Son servicios que existen en sistemas operativos Unix como por ejemplo
SSHD (servicio SSH), slapd (servicio LDAP) o proftpd (servicio FTP). Para crear una
regla común para varios demonios debemos indicar su nombre separados por
comas. Existe también el comodín “ALL” que hace que dicha política afecte a todos
los demonios del sistema.
Lista de equipos: En este campo indicamos a que equipos aplicamos esta política.
Podemos indicar una dirección IP, un rango de direcciones IP, o un nombre de
dominio. También podremos usar el comodín “ALL” para que esta política afecte a
todos los equipos que intenten acceder. También existe el operador “EXCEPT” que
nos permite eliminar de la regla uno o varios equipos.
14. Jacqueline Luzardo
Acción a realizar: Aquí debemos indicar si la política permite el acceso o deniega el
acceso a los dominios indicados anteriormente. Las palabras que se usa denegar el
acceso es “deny”. En caso de dejar este campo vacío, significa que permitimos el
acceso a los dominios y equipos indicados. Opcionalmente, podemos enviar comandos
con la directiva “spawn”. Esta directiva suele ser utilizada para la creación de registros
de conexión al propio equipo. Existe también la directiva “twist” que sustituye el servicio
o dominio solicitado por el comando que le hemos especificado. Esto significa que por
defecto se deniega el acceso. Esto es muy útil para la creación de honeypost.
15. Jacqueline Luzardo
Es un protocolo de autenticación de redes de
ordenador creado por el MIT que permite a dos
ordenadores en una red insegura demostrar su
identidad mutuamente de manera segura. Sus
diseñadores se concentraron primeramente en
un modelo de cliente-servidor, y brinda
autenticación mutua: tanto cliente como servidor
verifican la identidad uno del otro. Los mensajes
de autenticación están protegidos para evitar
eavesdropping y ataques de Replay.
16. Jacqueline Luzardo
Para configurar un servidor Kerberos básico, siga estos pasos:
1. Asegúrese de que tanto el reloj como el DNS funcionan correctamente en todas las
máquinas servidores y clientes antes de configurar el Kerberos 5. Preste especial
atención a la sincronización de la hora entre el servidor Kerberos y de sus clientes.
Si la sincronización de los relojes del servidor y de los clientes se diferencia en más
de cinco minutos ( la cantidad predeterminada es configurable en el Kerberos 5), los
clientes de Kerberos no podrán autentificarse al servidor. La sincronización de los
relojes es necesaria para evitar que un intruso use un ticket viejo de Kerberos para
hacerse pasar como un usuario autorizado.
2. Instale los paquetes krb5-libs, krb5-server, y krb5-workstation en una máquina
dedicada que ejecutará el KDC. Esta máquina tiene que ser muy segura — si es
posible, no debería ejecutar ningún otro servicio excepto KDC.
17. Jacqueline Luzardo
3. Modifique los archivos de configuración /etc/krb5.conf y
/var/kerberos/krb5kdc/kdc.conf para que reflejen el nombre de su reino y las
correspondencias (mappings) de dominio a reino. Se puede construir un reino
simple sustituyendo las instancias de EXAMPLE.COM y example.com con el
nombre correcto del dominio — siempre y cuando se respete el formato correcto de
los nombres escritos en mayúscula y en minúscula — y se cambie el KDC del
kerberos.example.com con el nombre de su servidor Kerberos. En general, los
nombres de reinos se escriben en mayúscula y todos los nombre DNS de host y
nombres de dominio se escriben en minúscula. Para más detalles sobre los
formatos de estos archivos, vea sus respectivas páginas man.
18. Jacqueline Luzardo
4. Cree la base de datos usando la utilidad kdb5_util desde el intérprete de comandos
del shell: /usr/kerberos/sbin/kdb5_util create -s
5. El comando create crea la base de datos que será usada para almacenar las llaves
para el reino Kerberos. La opción -s fuerza la creación de un archivo stash en el cual
la llave maestra del servidor es guardada. Si no se presenta un archivo stash desde
donde leer la llave, el servidor Kerberos (krb5kdc) le pedirá al usuario que ingrese la
contraseña maestra del servidor (la cual puede ser usada para regenerar la llave)
cada vez que arranca.
6. Modifique el archivo /var/kerberos/krb5kdc/kadm5.acl. Este archivo es usado por
kadmind para determinar cuales principales tienen acceso administrativo a la base
de datos Kerberos y sus niveles de acceso. La mayoría de las organizaciones
pueden resolverse con una sola línea: */admin@EXAMPLE.COM *
19. Jacqueline Luzardo
7. La mayoría de los usuarios serán presentados en la base de datos por un principal
simple (con una instancia NULL, o vacía, tal como joe@EXAMPLE.COM). Con esta
configuración, los usuarios con un segundo principal con una instancia de admin
(por ejemplo, joe/admin@EXAMPLE.COM) podrán tener todo el acceso sobre la
base de datos del reino Kerberos.
8. Una vez que se arranca kadmind en el servidor, cualquier usuario puede accesar a
sus servicios ejecutando kadmin en cualquiera de los clientes o servidores en el
reino. Sin embargo, solamente los usuarios que aparecen en la lista del archivo
kadm5.acl podrán modificar la base de datos, excepto por sus propias contraseñas.
9. Escriba el comando kadmin.local en una terminal KDC para crear la primera entrada
como usuario principal:
/usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"
20. Jacqueline Luzardo
10. Arranque Kerberos usando los siguientes comandos:
/sbin/service krb5kdc start
/sbin/service kadmin start
/sbin/service krb524 start
11. Agregue principals para sus usuarios con el comando addprinc y kadmin. kadmin y
kadmin.local son interfaces de línea de comandos para el KDC. Como tales, muchos
comandos están disponibles después de lanzar el programa kadmin. Vea la página
del manual kadmin para más información.
12. Verifique que el servidor KDC esté creando tickets. Primero, ejecute kinit para
obtener un ticket y guardarlo en un archivo de credenciales caché. Luego, use klist
para ver la lista de credenciales en su caché y use kdestroy para eliminar el caché y
los credenciales que contenga.
21. Jacqueline Luzardo
10. Arranque Kerberos usando los siguientes comandos:
/sbin/service krb5kdc start
/sbin/service kadmin start
/sbin/service krb524 start
11. Agregue principals para sus usuarios con el comando addprinc y kadmin. kadmin y
kadmin.local son interfaces de línea de comandos para el KDC. Como tales, muchos
comandos están disponibles después de lanzar el programa kadmin. Vea la página del
manual kadmin para más información.
12. Verifique que el servidor KDC esté creando tickets. Primero, ejecute kinit para obtener un
ticket y guardarlo en un archivo de credenciales caché. Luego, use klist para ver la lista de
credenciales en su caché y use kdestroy para eliminar el caché y los credenciales que
contenga.
Una vez que haya completado los pasos listados, el servidor Kerberos funcionará
correctamente.
22. Jacqueline Luzardo
Una Virtual Private Network (VPN) se podría
decir que es una extensión de una red local, de esta
manera podemos conectar a una red a miles de
kilómetros como si estuviéramos físicamente en
ella. Hay que tener en cuenta, que la información
que estamos tratando va encriptada y solamente es
funcional para los que estén dentro de esta.
23. Jacqueline Luzardo
La negociación VPN de IPsec se produce en dos fases. En la fase 1, los participantes
establecen un canal seguro en el que negociar la Asociación de seguridad IPsec (SA). En la
fase 2, los participantes negocian la SA IPsec para autenticar el tráfico que fluirá a través del
túnel.
En esta introducción se describen los pasos básicos para configurar una VPN basada en
rutas o IPsec que utilice Autokey ICR (claves previamente compartidas o certificados).
Para configurar una VPN basada en rutas o IPsec con Autokey ICR:
1. Configurar interfaces, zonas de seguridad e información de la libreta de direcciones.
(Para VPN basadas en la ruta) Configurar una interfaz st0. x de túnel seguro. Configure el
enrutamiento en el dispositivo.
24. Jacqueline Luzardo
2. Configure la fase 1 del túnel VPN de IPsec.
a. Adicional Configure una propuesta de ICR de la fase 1 personalizada. Este paso es
opcional, ya que puede usar un conjunto de propuestas ICR fase 1 predefinida
(estándar, compatible o básico).
b. Configure una directiva de ICR que haga referencia a la propuesta de propuesta de
fase 1 personalizada de ICR o a un conjunto predefinido de propuestas de fase 1 de
ICR. Especifique Autokey ICR clave previamente compartida o información de
certificado. Especifique el modo (principal o agresivo) para los intercambios de la fase
1.
c. Configure una puerta de enlace de ICR que haga referencia a la Directiva ICR.
Especifique los ID ICR para los dispositivos locales y remotos. Si no se conoce la
dirección IP de la puerta de enlace remota, especifique cómo se va a identificar la
puerta de enlace remota.
25. Jacqueline Luzardo
3. Configure la fase 2 del túnel VPN de IPsec.
a. Adicional Configure una propuesta de la fase 2 de IPsec personalizada. Este paso es
opcional, ya que puede usar un conjunto predefinido de propuesta de fase 2 de
IPsec (estándar, compatible o básico).
b. Configure una directiva IPsec que haga referencia a la propuesta de IPsec Phase 2
personalizada o a un conjunto predefinido de propuestas de fase 2 de IPsec.
Especificar las claves de confidencialidad directa perfecta (PFS).
c. Configure un túnel VPN de IPsec que haga referencia tanto a la puerta de enlace de
ICR como a la directiva IPsec. Especifique los identificadores de proxy que se
usarán en las negociaciones de fase 2.
(Para VPN basadas en la ruta) Enlace la interfaz de túnel seguro st0. x al túnel VPN
de IPsec.
26. Jacqueline Luzardo
4. Configure una directiva de seguridad para permitir el tráfico desde la zona de origen a la
zona de destino. (Para VPN basadas en políticas) Especifique la acción tunnel ipsec-vpn
de la Directiva de seguridad con el nombre del túnel VPN de IPsec que configuró.
5. Actualice su configuración de VPN global.