2. CONFIGURACION DE UN PROXY
Un servidor proxy es una puerta de enlace entre usted e Internet. Cuando visita un sitio
web, el servidor proxy se comunica con él en nombre de su navegador. Una vez que el sitio
responde, el proxy le transmite a usted los datos.
Los servidores proxy realizan muchas tareas. Pueden buscar virus, actuar como
cortafuegos, acelerar la conexión guardando en la memoria caché y ocultar su dirección IP
pública.
Cómo se configura un servidor proxy en Windows
Aquí se explica cómo configurar su PC con Windows para que utilice un servidor proxy
en Windows 8 o Windows 10:
Pulse simultáneamente las teclas Windows + I para acceder al menú Configuración de
Windows.
En Windows 10, haga clic en Configuración > Red e Internet > Proxy. En Windows 8,
haga clic en Configuración > Proxy de red.
3. CONFIGURACION DE UN PROXY
Pulse simultáneamente las teclas Windows + I para acceder al menú Configuración de
Windows.
En Windows 10, haga clic en Configuración > Red e Internet > Proxy. En Windows 8,
haga clic en Configuración > Proxy de red.
En la sección Configuración manual, establezca el control “Utilizar un servidor proxy”
en Activado. Compruebe que también esté activado el control “Detectar la configuración
automáticamente”.
De forma predeterminada, Windows comprueba automáticamente si su empresa,
institución educativa o red local ya tiene configurado y listo para usar un servidor proxy
automático. Si es así, Windows le indica su nombre y le indica que siga sus instrucciones.
4. CONFIGURACION DE UN PROXY
Suponiendo que Windows encuentre un archivo PAC, en
Configuración automática del proxy establezca el control Usar script de
configuración en Activado.
5. CONFIGURACION DE UN PROXY
Introduzca la dirección del servidor y haga clic en
Guardar.
¡Felicidades! Ha terminado y está listo para
utilizar el proxy
6. CONFIGURACION DE UN FIREWALL
IPCHAINS IPTABLES
Los cortafuegos, unos mecanismos bastante extendidos para proteger un
equipo o una red de estos. También conocidos como "firewalls", los
podemos encontrar como dispositivos externos al PC (conectados entre la
máquina a proteger y la red), o bien como un software implementado sobre
un sistema operativo. Los primeros son denominados "Hardware Firewall"
(cortafuegos por hardware) y los segundos, más comunes entre los usuarios
'de a pie' se conocen como "software firewall" (cortafuegos por software). La
cantidad de marcas que fabrican estos dispositivos (Hardware Firewall)
sería incontable y casi tendríamos que dedicar un post sólo para
enumerarlas; pero para nombrar alguna de las más conocidas tenemos a
Cisco o Linksys. Además de las funciones propias de un cortafuegos, estos
dispositivos suelen implementar otras características, como pueden ser
soportar VPN, QoS, proxis, entre otros.
7. CONFIGURACION DE UN FIREWALL
IPCHAINS IPTABLES
Los cortafuegos por software, destaca un nombre, IPtables, el cortafuegos que
por defecto viene integrado con la mayoría de las distribuciones Linux, y es en el que
nos centraremos, no sin mencionar antes los distintos tipos de software firewall que
podemos encontrar.
Cortafuegos de Estado: Este firewall comprobará el estado del paquete en la
transmisión diferenciando entre una nueva conexión y otra ya existente.
Cortafuegos de capa de aplicación: Tiene en cuenta el contenido del paquete a
nivel de aplicación, pudiendo hacer así un filtrado más específico.
Cortafuegos de filtrado de paquetes: Con este tipo analizamos y filtramos los
paquetes transmitidos o recibidos, según alguno parámetros designados previamente
como por ejemplo direcciones IP, puertos a usar, origen, destino.
8. CONFIGURACION DE UN FIREWALL IPCHAINS
IPTABLES
Estos son varios de los parámetros que usaremos para configurar las reglas de
IPtables.
-p [protocolo]: Protocolo al que pertenece el paquete. -s [origen]: dirección de
origen del paquete, puede ser un nombre de host, una dirección IP normal, o una
dirección de red (con máscara, de forma dirección/máscara). -d [destino]: Al igual
que el anterior, puede ser un nombre de host, dirección de red o dirección IP
singular. -i [interfaz-entrada]: Especificación del interfaz por el que se recibe el
paquete. -o [interfaz-salida]: Interfaz por el que se va a enviar el paquete. [!] -f:
Especifica que la regla se refiere al segundo y siguientes fragmentos de un paquete
fragmentado. Si se antepone !, se refiere sólo al primer paquete, o a los paquetes
no fragmentados. -j [target]: Nos permite elegir el target al que se debe enviar ese
paquete, esto es, la acción a llevar a cabo con él.
9. CONFIGURACION DE UN FIREWALL IPCHAINS IPTABLES
Ahora vamos con un ejemplo de una regla que acepta conexiones al puerto 80 del sistema.
iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p TCP --dport www -j ACCEPT
Y aquí la descripción de cada componente del anterior comando:
iptables: comando para IPtables (no hay que olvidar que las reglas son un Shell script) -A: append,
opción para añadir la regla INPUT: estado del paquete (al entrar es INPUT) -i eth0: interfaz de red eth0 -
s 0.0.0.0/0:dirección de acceso (cualquiera en este caso) -p TCP: tipo de puerto --dport: puerto de
destino -j ACCEPT:destino del paquete (se acepta aunque aquí podría ser DROP, LOG, REJECT,..)
Pues ya tenemos y conocemos todo lo básico para crear un firewall por software en Linux a nuestra
medida.
Así que ahora pongámonos manos a la obra y lo primero será cortar todas las comunicaciones con esta
línea:
sudo iptables -P INPUT DROP
Así lo que decimos a IPtables es que no permita el paso de ningún paquete de datos, y esto incluye
incluso los salientes, por lo que si hacemos la comprobación, comprobaremos que no tenemos conexión
a Internet. Esto lo podemos arreglar fácilmente si usamos la siguiente línea.
sudo iptables -A INPUT -i lo -j ACCEPT
10. CONFIGURACION DE UN FIREWALL IPCHAINS IPTABLES
Muy bien, ahora ya podemos navegar, pero indaguemos en algunas web y comprobemos que la carga
de contenido está restringida, es decir, sí podemos navegar, pero no vemos imágenes, contenido flash y
cualquier otro componente de una web de hoy día. Esto se debe a que con la línea anterior hemos
permitido el acceso de nuestro equipo (con 'lo' que IPtables traduce como localhost, es decir, nuestro
ordenador) a Internet, pero no al contrario. Fijemos entonces una norma que nos permita una
navegación adecuada y segura a la par con la siguiente línea de comandos:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Así decimos a IPtables que permita la entrada de datos al equipo, pero únicamente aquellos paquetes
que estén relacionados directamente con las solicitudes que nuestro equipo ha emitido.
Pues ya tenemos configurado nuestro cortafuegos por software con IPtables, sólo comentar una última
cosa, y es que estas reglas desaparecen al apagar la máquina, por lo que al iniciarlas tendremos que
volver a introducirlas. A no ser que programemos un script que se ejecute durante el inicio del sistema.
11. CONFIGURACION DE UN FIREWALL IPCHAINS
IPTABLES
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
Así decimos a IPtables que permita la entrada de datos al equipo, pero
únicamente aquellos paquetes que estén relacionados directamente con
las solicitudes que nuestro equipo ha emitido.
Pues ya tenemos configurado nuestro cortafuegos por software con
IPtables, sólo comentar una última cosa, y es que estas reglas
desaparecen al apagar la máquina, por lo que al iniciarlas tendremos
que volver a introducirlas. A no ser que programemos un script que se
ejecute durante el inicio del sistema.
12. ESTRICCIÓN DE ACCESO A SERVICIOS (TCP
WRAPPERS)
TCP Wrapper es un sistema que nos permite permitir, denegar o filtrar el acceso a los
servicios de un servidor con sistema operativo UNIX (como por ejemplo Linux o BSD).
Los ficheros principales implicados en TCP Wrappers son “/etc/host.allow” y “/etc/host.deny”.
En el fichero /etc/host.allow se indican las políticas permisivas y en el fichero /etc/host.deny
las políticas restrictivas.
Las políticas o reglas para filtrar el acceso al servidor desde la red se definen de la siguiente
forma:
Demonios o lista de demonios del sistema : Lista de equipos : Acción a realizar
A continuación detallamos cada campo:
– Demonios: Son servicios que existen en sistemas operativos Unix como por ejemplo sshd
(servicio SSH), slapd (servicio LDAP) o proftpd (servicio FTP). Para crear una regla común para
varios demonios debemos indicar su nombre separados por comas. Existe también el
comodín “ALL” que hace que dicha política afecte a todos los demonios del sistema.
13. ESTRICCIÓN DE ACCESO A SERVICIOS (TCP WRAPPERS)
– Lista de equipos: En este campo indicamos a que equipos aplicamos esta política.
Podemos indicar una dirección IP, un rango de direcciones IP, o un nombre de
dominio. También podremos usar el comodín “ALL” para que esta política afecte a
todos los equipos que intenten acceder. También existe el operador “EXCEPT” que
nos permite eliminar de la regla uno o varios equipos.
– Acción a realizar: Aquí debemos indicar si la política permite el acceso o deniega el
acceso a los demonios indicados anteriormente. Las palabras que se usa denegar el
acceso es “deny”. En caso de dejar este campo vacío, significa que permitimos el
acceso a los demonios y equipos indicados. Opcionalmente, podemos enviar
comandos con la directiva “spawn”. Esta directiva suele ser utilizada para la creación
de registros de conexión al propio equipo. Existe también la directiva “twist”
quesustituye el servicio o demonio solicitado por el comando que le hemos
especificado. Esto significa que por defecto se deniega el acceso. Esto es muy útil
para la creación de honeypost.
14. ESTRICCIÓN DE ACCESO A SERVICIOS (TCP WRAPPERS)
Ejemplo de uso de TCP Wrapper
Como primer ejemplo vamos a denegar el acceso a un servidor SSH instalado
en el equipo solo a una determinada IP. Al ser una política permisiva (permite el
acceso a todos los equipos excepto a la IP que se le indica) la vamos a definir
utilizando el fichero /etc/host.allow .
Escribiremos lo siguiente para aplicar esta política:
15. ESTRICCIÓN DE ACCESO A SERVICIOS (TCP WRAPPERS)
sshd —> Deminio del servicio SSH
192.168.5.135—> Ip a la que vamos a aplicar la política
deny —> Denegamos el acceso
Comprobamos que desde el equipo con la IP 192.168.5.135 no se
puede acceder al servicio SSH:
16. ESTRICCIÓN DE ACCESO A SERVICIOS (TCP WRAPPERS)
A continuación vamos a denegar el acceso al servicio SSH a todos los
equipos. Además, gracias a la directiva “spawn” vamos a guardar un
registro del intento de conexión a nuestro servidor. Con %d imprimimos
el demonio que denegamos y %h el equipo que se intenta conectar.
17. ESTRICCIÓN DE ACCESO A SERVICIOS (TCP
WRAPPERS)
Una vez que un equipo se intenta conectar a la
máquina en la que tenemos la política anterior
configurada, se crea una linea en el fichero que hemos
indicado con el demonio al que hemos denegado el
acceso y la IP desde donde se intentaba conectar.
18. CONFIGURACION DE SERVIDOR
KEBEROS Y VPN´S CON IPSEC
Kerberos es un protocolo de autenticación de redes de
ordenador creado por el MIT que permite a dos ordenadores en una red
insegura demostrar su identidad mutuamente de manera segura. Sus
diseñadores se concentraron primeramente en un modelo de cliente-
servidor, y brinda autenticación mutua: tanto cliente como servidor
verifican la identidad uno del otro. Los mensajes de autenticación están
protegidos para evitar eavesdropping y ataques de Replay.
Kerberos se basa en criptografía de clave simétrica y requiere un tercero
de confianza. Además, existen extensiones del protocolo para poder
utilizar criptografía de clave asimétrica.