Introducción
Endian implementa un firewall basado en una distribución de linux, en el cual nos da la oportunidad de implementar otros servicios como por ejm Antivirus, IDS, IPS, Proxy, VPN, Control de contenidos, DHCP, NAT entre otros. Endian se administra por via web dandonos mas facilidad en el momento de implementar las reglas o politicas en nuestro firewall.
Endian es una gran ayuda para las grandes empresas que buscan proteges sus activos de informacion que se manejan dentro de la empresa.
Nota:
-A continuación se implementara una solución de proxy completa, que contemple autenticacion de usuarios, filtro de contenidos, listas de control de acceso, filtrado por tiempo, etc
Instalaccion de Endian
Nuestro equipo booteara desde la unidad de CD, al momento de que cargue nos debera aparecer la siguiente informacion:
Seleccionaremos el idioma para continuar con la instalación.
Mensaje de bienvenidas
En el proceso sacara informacion acerca del disco duro de nuestro equipo, el cual sera particionado con un sistema de ficheros posteriormente nos advertira que todos los datos que tenemos en disco duro se perderan.
Si estamos seguros de continuar con el proceso de instalacion yes y OK.
-Si deseamos habilitar una consola sobre un puerto serial, le decimos YES y OK, si queremos conectar de la laptop por medio de un cable null MODEM a nuestro firewall.
Ahora esperaremos a que se instalen los paquetes necesarios para nuestro firewall.
Ahora le especificaremos la direccion ip para la interfaz verde (LAN) o sea a la direccion de la red local.
Le asignaremos una direccion ip a nuestro servidor, con una mascara por defecto.
-Culminada la instalacion con exito.
Ahora le damos on OK, y reiniciamos nuestro equipo.
Va cargando el equipo y va arrogando informacion hacerla de los servicios que el sistema va cargando.
Desde un cliente en la Lan podemos administrar el Endian dandole en la url de algun navegador https://192.168.1.1:10443
Este cliente maneja la dirección 192.169.1.5/24
-Nos pide validar el certificado del sitio web visitado para asi poder acceder a la intefaz web de nuestro ENDIAN para poderlo administrar.
Antes de empezar con el proxy
Echaremos un vistazo a la configuración de la red
Ahora configuraremos el proxy
Seleccione proxy de la barra de menu en la parte superior de la pantalla, a continuacion, seleccione http en el submenu
Configuración haga clic en el proxy http activar boton para activar el proxy http.
Configuración.
- TransparenteAlgunos navegadores, como Internet Explorer y Firefox, son capaces de detectar automáticamenteservidores proxy mediante la detección automática de proxy Web Protocolo (WPAD).Mayoría de los navegadores también soportan configuración automática de proxy (PAC) a través de una URL especial.Cuando se utiliza un dispositivo UTM Endian.A continuación, viene una sección con las opciones de configuración global:Puerto utilizado por proxyEl puerto TCP en el que el servidor proxy (por defecto 8080) es la escucha de conexionesIdioma de los mensajes de errorEl idioma en el que aparecen mensajes de errorVisible el nombre de hostEl servidor proxy se asume esto como su nombre (también se mostrará en la parte inferior de los mensajes de error)De correo electrónico utilizada para la notificación (admin caché)El servidor proxy se mostrará la siguiente dirección de correo electrónico en mensajes de errorMax tamaño de la descarga (entrante)Límite para la descarga de archivos HTTP en KB (0 significa sin límite)Max tamaño de carga (saliente)Límite de carga de archivos HTTP (como los usados por los formularios HTML con la carga de archivos) en KB (0 significa sin límite)A continuación encontrará una serie de opciones adicionales, cada uno en su propio panel que se puede ampliar haciendo clic en el + icono:Puertos y Puertos permite SSLLos puertos permitidos (de cliente)Lista de los puertos TCP de destino al que el servidor proxy acepta conexiones cuando se utiliza HTTP (uno por línea, los comentarios comienzan con #)Permite Puertos SSL (del cliente)Lista de los puertos TCP de destino al que el servidor proxy se acepte conexiones HTTPS cuando se utiliza (uno por línea, los comentarios comienzan con #)Configuración del registroRegistro habilitadoRegistro de todas las URL que se accede a través del proxy (interruptor principal)Registro de términos de la consultaTambién registro de parámetros en la URL (por ejemplo,? id = 123)Useragents registroTambién useragents registro, es decir, que los navegadores web acceder a la webRegistro contentfilteringTambién de registro cuando el contenido se filtraEl registro de Firewall (proxies transparentes solamenteTtienen acceso a la web de registro de firewall (proxy transparente solamente)Bypass proxy transparenteBypass proxy transparente de la subred / IP / MACEspecificar las fuentes que no están sujetos a los proxys transparentes, dar una subred, la dirección IP o dirección MAC por líneaBypass proxy transparente para la subred / IPEspecificar los destinos que no están sujetos a los proxys transparentes, dar una subred o la dirección IP por líneaDe administración de cachéTamaño de la caché en el disco duro (MB)Especificar la cantidad de memoria del proxy debe asignar para almacenar en caché los sitios web en el disco duro (en megabytes)Tamaño de la caché en la memoria (MB)Especificar la cantidad de memoria del proxy debe asignar para almacenar en caché los sitios web en la memoria del sistema (en megabytes)El tamaño del objeto máximo (MB)Especificar el límite superior del tamaño de los objetos que deben ser cacheados (en megabytes)Tamaño mínimo del objeto (MB)Especificar el tamaño mínimo de los objetos que deben ser cacheados (en megabytes)Activar el modo fuera de líneaSi esta opción está activada, el proxy no se trata de actualizar los objetos almacenados en caché del servidor web ascendente - Los clientes pueden navegar por páginas web en caché, estática, incluso después de la subida se redujoBorrar la cachéSi se hace clic en este botón, la caché del proxy se vacía.No caché de estos dominiosEn esta área de texto se puede especificar qué dominios no deben almacenar en caché (un dominio por línea)Proxy aguas arribaProxy aguas arribaUtilizar esta opción para que el proxy Endian UTM de conectarse a otro proxy (upstream), especificar el proxy aguas arriba como "host: puerto"aguas arriba de usuario / contraseñaSi la autenticación del proxy de arriba es necesario, puede especificar las credenciales aquíNombre de usuario / cliente de reenvío IPAdelante el nombre de usuario / cliente la dirección IP del proxy arriba.
Haga clic en el Guardar para confirmar y guardar los cambios de configuración.No te olvides de hacer clic en el Aplicar botón para reiniciar el proxy para que los cambios se activen.
Antes de hacer las politica de acceso vamos a crear los usuarios y el filtro de contenido.
AUTETICACION
Proxy Endian UTM Appliance es compatible con cuatro tipos diferentes de autenticación:autenticación local (NCSA) , LDAP (v2, v3, Novell eDirectory, AD) , Active Directory de Windows (NTLM) y Radio .Cada uno de estos tipos de necesidades de los diferentes parámetros de configuración y se describe a continuación.Sin embargo, los parámetros de configuración global son:
- La autenticación de dominio
- Este texto se muestra en el cuadro de diálogo de autenticacion y se utilizará como campo de kerberos / winbind al unirse a un dominio de Active Directory (FQDN uso de PDC al Directorio Activo de Windows se utiliza para la autenticación).
- Número de niños de autenticacion
- El número máximo de procesos de autenticacion que se pueden ejecutar al mismo tiempo
- Autenticación caché TTL (en minutos)
- El tiempo en minutos de datos de autenticacion deben ser cacheados
- Número de direcciones IP diferentes para cada usuario
- El número máximo de direcciones IP desde la que permite al usuario conectarse al servidor proxy de forma simultánea
- Usuario / IP caché TTL (en minutos)
- El tiempo en minutos de una dirección IP se asocia con el usuario conectado
Los siguientes parámetros están disponibles para la autenticación local.
- la gestión de usuarios
- Al hacer clic en este botón, la interfaz de gestión de usuarios se le abrirá.
- gestión de grupos
- Al hacer clic en este botón, la interfaz de gestión de usuarios se le abrirá.
- Longitud mínima de contraseña
- Aquí se puede establecer la longitud de contraseña mínima de los usuarios locales.
Los siguientes parámetros están disponibles para la autenticación LDAP.
- Servidor LDAP
- La dirección IP o nombre de dominio completo del servidor LDAP
- El puerto del servidor LDAP
- El puerto en el que el servidor está escuchando
- Enlazar DN ajustes
- El nombre completo base, este es el punto de inicio de su búsqueda
- Tipo LDAP
- Aquí puede elegir si usted está usando un Active Directory del servidor, una Novell eDirectory servidor, un LDAP versión 2 del servidor o una versión 3 de LDAP del servidor
- Enlazar DN nombre de usuario
- El nombre completo de un usuario DN de enlace, el usuario debe tener permiso para leer los atributos de usuario
- Enlazar DN contraseña
- La contraseña del usuario
- usuario objectClass
- El usuario DN de enlace debe ser parte de este objectClass
- grupo objectClass
- El grupo de DN de enlace debe ser parte de este objectClass
Los siguientes parámetros están disponibles para la autenticación de Windows.
- Nombre de dominio del servidor de AD
- El dominio de Active Directory que desea unirse (uso FQDN)
- Ingreso de dominio
- Haga clic aquí para unirse al dominio (primero la configuración de autenticación debe ser guardados y aplicados)
- Nombre PDC
- Incluir el nombre del controlador de dominio principal
- PDC de direcciones IP
- La dirección IP del controlador de dominio primario (necesarios para crear las necesarias entradas DNS / configuración)
- Nombre BDC
- El nombre de host del controlador de dominio de reserva
- Dirección IP BDC
- La dirección IP del controlador de dominio de reserva (necesarios para crear las necesarias entradas DNS / configuración)
Con el fin de poder utilizar la autenticación nativa de Windows con Active Directory (NTLM), tiene que asegurarse de que algunas condiciones se cumplen: - La configuración de autenticación deben ser guardados y aplicados antes de intentar unirse al dominio.- El firewall debe unirse al dominio.- Los relojes del sistema en el firewall y en el servidor de directorio activo tienen que estar en sintonía.- El reino debe ser un nombre de dominio completo.- El nombre de host PDC tiene que ser definido como el nombre NetBIOS del servidor de Active Directory.
Desde la versión 2.3 del dispositivo UTM Endian no es necesaria la creación de host y las entradas de proxy DNS más.Que se genera automáticamente cuando la configuración de autenticación se aplican.
Los siguientes parámetros están disponibles para la autenticación RADIUS.
- Servidor RADIUS
- La dirección del servidor RADIUS
- Puerto
- El puerto en el que el servidor RADIUS está escuchando
- Identificador
- Un identificador adicional
- Secreto compartido
- La contraseña que se utilizara.
- Activar Análisis antivirus
- Permitir que tanto el filtro de contenido (Dansguardian) y el proxy antivirus (HAVP).
- Habilitar el registro
- Registro de solicitudes bloqueadas.
- Plataforma para la Selección de Contenidos de Internet
- Habilitar el control de los padres sobre la base de metadatos PICS.
- Max.puntuación de las frases
- Especificar el nivel de puntuación máxima de una página de confianza (50-300).Puede ajustar este nivel: si los niños navegar por la web a través de Endian Firewall debe establecer un valor de alrededor de 50, para los adolescentes que debe ser de 100 y 160 para los adultos jóvenes.
- Filtro de contenido
- Esta sección permite la configuración de filtros basados en el análisis de la frase.Usted puede bloquear o permitir una categoría de sitios, haga clic en el icono junto a él.Subcategorías se muestran al hacer clic en el icono +.
- URL de lista negra
- Esta sección permite la configuración de filtrado de URL basado en la comparación.Usted puede bloquear o permitir una categoría de sitios haciendo clic en el icono al lado del nombre de la categoría. Subcategorías se muestran al hacer clic en el icono +.
- Personalizado y negro listas blancas
- Filtrado de contenidos puede causar falsos positivos y falsos negativos - aquí puede lista de dominios que siempre debe ser bloqueado o permitido, independientemente de los resultados del análisis del filtro de contenido.
- google.com está bloqueado, lo que significa que todos los subdominios de google.com están bloqueadas, así
- maps.google.com es la lista blanca para que pueda acceder a él
- maps.google.com no funciona como debería, ya que trata de obtener datos de otros servidores de Google
- usted tendrá que poner en lista blanca estos dominios (por ejemplo, mt0.google.com ), así
- Fuente
- Aquí se puede elegir las fuentes a las que se aplica esta regla.Esto puede ser
, una zona , una lista de red / IP o MAC direcciones (una dirección por línea). - Destino
- Aquí usted puede escoger los destinos a los que se aplica esta regla.Esto puede ser
, una zona , una lista de red / IP direcciones (una dirección por línea) o una lista de dominios (un dominio por línea). - Autenticación
- Aquí se puede elegir a la que los usuarios autenticados esta regla se debe aplicar.Esto puede elegir si desea crear un grupo con sede o un usuario en función de reglas.Uno o varios usuarios / grupos, a los que se aplica la directiva, puede ser seleccionado
- Restricción de tiempo
- Especificar si la regla tiene efecto en días específicos y / o un período de tiempo.
- Useragents
- En esta lista puede elegir clientes permitidos y los navegadores.
- Tipos MIME
- Si los tipos mime de los archivos entrantes deben ser bloqueadas añadir a esta lista (uno por línea).Tipos MIME sólo puede ser bloqueado y no se permite (lista blanca), por lo tanto, esta opción sólo está disponible en Denegar las políticas de acceso.Esto le permite bloquear los archivos que no correspondan a la política de la empresa (por ejemplo, archivos multimedia).
- La política de acceso
- Especifique si desea que la regla para permitir el acceso a la web o de negarlo.
- Filtro de perfil
- Elija Análisis antivirus sólo para crear una regla que sólo en busca de virus, elija filtro de contenido sólo para crear una regla que analiza el contenido de las páginas web y los filtros de acuerdo a la configuración del perfil de contenido filtro que haya elegido.Si usted elige libre sin controles se llevarán a cabo.
- Política de estado
- Especifique si la regla está activada o desactivada.Reglas de movilidad reducida no se aplicará.
- Posición
- Especificar dónde ubicar la nueva regla.Los números más pequeños tienen mayor prioridad.
-Creamos 2 usuarios.
Ahora Crearemos un grupo
guardamos
FILTRO DE CONTENIDO
Ahora crearemos el filtro de contenido
Filtro Endian UTM Contenido (DansGuardian) utiliza tres técnicas de filtrado que puede ser definido por el perfil de filtro.
El primero se llama PICS (Plataforma para la Selección de Contenidos de Internet).Es una especificación creada por W3C que utiliza los metadatos para las páginas web para ayudar a la etiqueta de control parental.El segundo se basa en un sistema de ponderación frase avanzada, analiza el texto de las páginas web y calcula un puntaje para cada página.El último método utiliza una lista negra de URLs clasificadas enorme y dominios.Todas las direcciones URL solicitadas se buscan en esta lista y sólo se sirven si no se encuentran.
La pantalla se divide en una sección de configuración general y una sección donde se encuentra la política de filtrado específico elegido.
El análisis de frases requiere mucho más poder de cómputo que otras tecnologías (PICS y la lista negra URL).Si desea desactivar esta técnica de filtrado puede marcar todas las categorías de lo permitido en la sección de filtro de contenido.
Cuando las listas blancas de un dominio asegúrese siempre de la lista blanca todos los ámbitos necesarios para que el sitio funcione así.Un ejemplo:
Haga clic en Guardar para guardar la configuración de un perfil de filtrado de contenido.
A continuación, puede editar o borrar cada regla de la lista, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior).
Ahora crearemos Las Politicas de acceso.
La política de acceso se aplica a cada cliente que va a través del proxy, independientemente de su autenticación.Las reglas de acceso de política basada en el tiempo las políticas de acceso basadas en el origen, destino, autenticación, useragents, tipos mime y filtrado de antivirus / contenido.
Usted puede ver sus propias reglas en la lista de reglas.Cualquier regla puede especificar si el acceso a Internet está bloqueado o permitido, en este último caso se puede activar y seleccionar un tipo de filtro.Para agregar una nueva regla simplemente haga clic en Crear una regla y la siguiente configuración se puede realizar:
Desde la versión 2.3 del dispositivo UTM Endian es posible crear varios perfiles ContentFilter con otro filtro y antivirus.Dado que esta versión también se puede poner en lista blanca por ejemplo, un dominio sólo para un determinado usuario / fuente mediante la creación de una regla de política de acceso.
A continuación, puede cambiar la prioridad, editar, activar / desactivar o borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior).
Ya teniendo configurado todo guardamos y aplicamos los cambios.
Vamos a hacer pruebas.
Con el usuario david perteneciente al grupo Usuario.
Nos dara acceso a internet.
Si digitamos palabras no permitidas como pornografía y juegos no nos dejara ingresar.Fin
Espero les sirva
Sin quiere hacer otro tipo de configuracion sobre el endian visiten este link
Hola!!!! oye ojala me pudieras ayudar! no puedo rutear puertos y tampoco me deja entrar al AD... agradeceria mucho que pudieras ayudarme...
ResponderEliminarhola me puedes ayudar con la reglas de enrutamiento porfavor
ResponderEliminarHola!
ResponderEliminarTengo un tema, me trae las listas de palabras solo en ingles, como hago para que las listas me baje en ingles y castellano?
Muchas gracias!
Excelente, muy bien explicado, alguien me podria explicar por que un firewall montado en endian se puede bloquear de manera constante, tiene un equipo core i7 con 8 en ram nuevo, en este caso hablamos de 400 usuarios conectados .... gracias puede ser esta la razon, demasiados usuarios_?
ResponderEliminar