jueves, 10 de noviembre de 2011

Appliance Untangle (Proxy)

En el siguiente tutorial se mostrara la configuración de proxy en un appliance (Untangle).
Si desea saber la documentación sobre proxy en Untangle visite este link

 Configuracion

1- Descargar Web Filter Lite
2-ingresamos a la configuracion

Web Filter Lite filtra el tráfico Web a la red y puede bloquear el contenido inapropiado y el comportamiento del usuario del monitor. Web Filter Lite utiliza una variedad de técnicas para determinar lo que es inapropiado, tales como:
  • Categoría de base de datos
  • Sitios bloqueados específicamente
  • Tipos MIME
  • Tipos de archivo
  • Sitios específicamente Pasado
  • Los usuarios específicamente Pasado
Web Filter Lite informes ilustran el tipo de actividad en la web en la red, desde una visión global de todo el camino a un host o usuario específico.

Categorías

Categoría de bloqueo se debe a la base de datos mantenido por la comunidad que forma parte del sistema de desenredar. La base de datos se descarga y se inicia cuando el sistema se crea y se actualiza cada 6 horas.
Si bloque es examinado ningún sitio y las direcciones URL en esa categoría se bloqueará y se marca como una violación. Si sólo la bandera está activada (pero no bloquear) la visita será marcado como una violación, pero aún permite el paso. Marcar una visita como una violación no tiene ningún efecto visible para el usuario, pero hace que la búsqueda y el seguimiento de conductas no deseadas en los informes más fácil.
Nota : Si desea mejorar el producto global de nombres de dominio que contribuyen o URLs que usted siente debe ser bloqueado por la categorización, echa un vistazo a la Web Filter Lite Herramienta de envío .

Páginas de bloqueo de IP únicos huéspedes

Cuando esta opción está activada, los usuarios introducir la dirección IP en vez de nombre de dominio podrá ver una página de bloqueo.

Bypass de usuario

Algunas organizaciones pueden desear permitir a ciertos usuarios a pasar por alto la Web Filter Lite. Esta opción está disponible en "Bypass del usuario."
Si la derivación del usuario se ajusta a ninguno ningún usuario se le permitirá pasar por alto la página de bloqueo. Si la derivación de usuario se establece temporal usuarios podrán pasar por alto la página de bloqueo. Si la derivación del usuario está en permanente y globalcontinuación, los usuarios podrán pasar por alto la página de bloqueo y los sitios de bypass se añadirá a la lista de pasar global permanente.
Bypass de usuario es mejor cuando se combina con el Administrador de la política para que sólo determinados usuarios se les permite pasar por alto.
Para configurar el desvío de usuario:
  1. Desde Web Filter Lite, haga clic en el bloque de las listas de tabulación.
  2. Bajo Bypass usuario elige Ninguno, temporal, o permanente y global .
  3. Haga clic en el Guardar botón.

A continuación se especifica la categoría que bloque las redes sociales, pornografía. etc

Sitios bloqueados

Para bloquear un sitio web específico:
  1. Desde Web Filter Lite, haga clic en la listas de bloqueo y la pestaña Editar sitios botón.
    1. En la tabla, haga clic en el botón Añadir (+) situado a la izquierda de la tabla.
    2. En la nueva entrada, agregue la dirección URL que desea bloquear.
    3. Haga clic en Hecho
  2. Haga clic en el Guardar botón para guardar las entradas que acaba de agregar o Aplicar para guardar y continuar añadiendo nuevas entradas.
  3. Haga clic en el Aceptar botón
Consejo: Si quieres desbloquear temporalmente este sitio web después, anule la selección de bloque casilla de verificación.



El bloqueo de los tipos de archivos

Para bloquear contenidos por tipo de archivo:
  1. Desde Web Filter Lite, haga clic en la listas de bloqueo y la pestaña Tipos de archivo Editar botón.
  2. En la tabla, realice una de las siguientes:
    • Si el tipo de archivo que desea bloquear ya aparece en la tabla, seleccione el bloque o registro de casilla de verificación o ambas cosas.
    • Si desea bloquear un tipo de archivo que no está en la lista, haga clic en el botón de añadir (+) a la izquierda de la tabla, a continuación, especificar el tipo de archivo que desea bloquear.
  3. Haga clic en el Guardar botón, y luego Aceptar .
En este caso sera que bloque archivo .exe al momento de descargar.


El bloqueo de los tipos MIME

Para bloquear por tipo MIME:
  1. Desde Web Filter Lite, haga clic en la listas de bloqueo y la pestaña Editar tipos MIME botón.
  2. En la tabla, realice una de las siguientes:
    • Si el tipo MIME que desea bloquear aparece en la tabla, seleccione el bloque de casilla de verificación de ese tipo MIME.
    • Si es necesario agregar un nuevo tipo MIME, haga clic en el botón Añadir (+) situado a la izquierda de la tabla, y en la nueva entrada, agregar el tipo MIME que desea bloquear.
  3. Haga clic en el Guardar botón, y luego Aceptar .


LISTAS PERMITIDAS
Listas de pasar se utilizan para pasar el contenido que de otra forma habría sido bloqueado. Esto puede ser útil para "desbloquear" los sitios que usted no desea bloquear o permitir ciertos privilegios de los usuarios especiales.

Sitios pasado

Si su organización considera que un sitio web específico para ser útil y que el sitio o URL no debe ser bloqueado, independientemente de su clasificación, se puede añadir a los sitios Aprobada la lista.
Para pasar una dirección URL específica bloqueada por una categoría:
  1. Desde Web Filter Lite, haga clic en el paso de las listas de tabulación y la edición Pasado Sitios botón.
  2. En la tabla, realice una de las siguientes:
    • Si la dirección URL que desee pasar aparece en la tabla, seleccione el paso casilla de verificación de la URL.
    • Si es necesario agregar una nueva dirección URL, haga clic en Agregar (+) situado a la izquierda de la mesa, y en la nueva entrada, agregue la dirección URL que desea pasar.
  3. Haga clic en el Guardar botón, y luego Aceptar .
Para pasar una dirección URL específica bloqueada por una dirección definida por el usuario:
  1. Desde Web Filter Lite, haga clic en la listas de bloqueo y la pestaña Editar Pasado Sitios botón.
  2. En la tabla, localizar una dirección URL existente que desee pasar, y claro el bloque de casilla de verificación, o simplemente eliminar la fila.
  3. Haga clic en el Guardar botón, y luego Aceptar .



Clientes pasado

Si sólo tiene unos pocos usuarios que hay que evitar por completo los controles Web Filter Lite, considere el uso de listas de pasar. Si estos usuarios simplemente necesitan una web diferente Filtro política Lite usted debe instalar un estante separado utilizando Policy Manager .
Antes de empezar: Puede ser útil para asignar el usuario una dirección IP estática. Si el servidor de desenredar es el router, vaya a la asignación de equipos de la red las direcciones IP estáticas .
Para pasar a los usuarios específicos:
  1. Desde Web Filter Lite, haga clic en el paso de las listas de tabulación y la edición Aprobada cliente IPs botón.
  2. En la tabla, seleccione el complemento (+) botón. Aparece una nueva fila.
  3. En la dirección IP / rango de cuadro de texto, especifique la dirección IP del ordenador y la máscara de subred de usuario que desea estar exentos del filtro web.
  4. Haga clic en la actualización de botón, y luego Guardar .


Pruebas 

A continuación se muestra filtro de URL
A continuación se muestra filtro por Extensiones. 

A continuacion se muestra filtro por tipo MIME (aplicación en PDF)

A continuación se muestra filtro por categoría (pornografía).

A continuación se muestra Que permita la pagina softonic.com  y ademas deje descargar la extensiones .EXE
Fin

Túnel VPN (punto a punto) en GNS3

En el siguiente publicación configuraremos un túnel VPN con GNS3, mostrare la siguiente topología en el software  emulador GNS3. Con el software de administración gráfica para los routers cisco SDM.

LAN1(vboxnet0) =192.168.3.0/24
LAN2(vboxnet1)=192.168.20.0/24
WAN=10.0.0.0/24 

Instalación de SMZ

En el router cisco ingresamos los siguientes comandos.
###aquí crearemos un usuario con nivel de privilegios 15 con su contraseña.
router(config)#username david privilege 15 password david

###aquí habilitaremos el servidor http y https y se creara un certificado.
router(config)#ip http server
router(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

###ahora permitiremos el ingreso vial SSH y telnet para finalizar.
router(config)#ip http authentication local
router(config)#line vty 0 4
router(config-line)#login local 
router(config-line)#transport input telnet ssh

Configuramos el cliente donde se instalara el SDM.

Ahora configuramos el preferencias 
Donde aquí se le asigna una dirección dentro de rango IP de la Fastethernet f0/0.

Instalamos el SDM.


 








Ingresamos a SDM 

Ahora Crearemos el túnel VPN 

Para configurar el túnel VPN vamos a la pestaña"configurar, VPN, VPN sitio a sitio, Iniciar la tarea seleccionada"

elegimos el modo de configuración del túnel VPN, en este caso lo haremos por pasos, para que nos muestre todos los parámetros posibles.

Ingresamos la interfaz que sera configurada como el primer extremo del tunel VPN, el tipo de direccionamiento y la ip del otro entremo del tunel con el tipo de autenticación que usara el tunel.


Especificamos el algoritmo de cifrado, el hash y el tipo de autenticación.


siguiente.

Especificamos el trafico a proteger en este caso vamos a crear una regla ACL para que proteger todo el trafico que se produzca LAN1 > LAN2   y LAN2 > LAN1.


Aceptar

Siguiente 

Verificamos que la información ingresada sea la correcta y finalizamos la configuración del túnel.
Este procedimiento se debe repetir en  los dos router con su información especifica, además cuando tenga configurado los 2 router. se recomienda probar el tunel VPN para verificar su correcto funcionamiento.

Luego finalizamos la configuración.

Probamos el Túnel.
y el de segundo router.

Para probar el funcionamiento en tiempo real de tunel, debemos enviar trafico desde un extremo de la red al otro (enviaremos un  ping a un equipo de red LAN) 

Vamos a hacer clic sobre el enlace serial entre los routers y seleccionamos capture; como este es una VPN tipo túnel, debemos elegir el protocolo PPP.

A iniciar el Wireshark. la captura muestra a momento de mandar el ping. el protocolo del tunel VPN sera ESP (encapsulation Security Payload.)

Nota.

La VPN punto a punto se utiliza para conectar sedes remotas con la sede central de la organización. Así hace un túnel seguro para que la comunicación sea dedicada entre las sedes. El servidor VPN posee un vinculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el tunel VPN.

Untangle (Open-VPN) ( VPN road warrior)

 INTRODUCCIÓN

VPN

Una red privada virtual ( VPN ) es un método de red de la computadora  por lo general el uso de Internet público - que permite a los usuarios compartir información privada entre ubicaciones remotas, o entre un lugar remoto y la red de un negocio en casa. Una VPN puede proporcionar información sobre el transporte seguro de autenticación de usuarios y encriptación de datos para evitar que personas no autorizadas de la lectura de la información transmitida.  El VPN puede ser utilizada para enviar cualquier tipo de tráfico de la red de forma segura. 
Las VPN son frecuente mente utilizados por los trabajadores a distancia o las empresas con oficinas remotas para compartir datos privados y recursos de red. VPNs también permiten a los usuarios evitar las restricciones regionales de Internet, tales como firewalls, y filtrado web, por "efecto túnel" la conexión de red a una región diferente.

OPENVPN

Open-VPN es un software de código libre y abierto que implementa la aplicación de red privada virtual (VPN) para la creación de técnicas de seguridad de punto a punto o conexiones de sitio a sitio en las configuraciones de ruta o un puente e instalaciones de acceso remoto. Se utiliza un protocolo de seguridad personalizado que utiliza SSL / TLS para el intercambio de claves. Es capaz de atravesar los traductores de direcciones de red (NAT) y firewalls . Fue escrito por James Yonan y se publica bajo la GNU General Public License (GPL).
Open-VPN permite pares para autenticar entre sí mediante una clave secreta compartida previamente , certificados , o nombre de usuario / contraseña . Cuando se utiliza en una configuración de múltiples clientes-servidor, permite que el servidor para liberar un certificado de autenticación para cada cliente, utilizando la firma y el certificado de la autoridad . Utiliza elOpenSSL cifrado biblioteca extensiva, así como la SSLv3/TLSv1 protocolo , y contiene muchas de seguridad y funciones de control.

Ventajas y Desventajas de VPN

Ventajas OpenVPN provee seguridad, estabilidad y comprobados mecanismos de cifrado sin sufrir la complejidad de otras soluciones VPN como las de IPsec.
Además ofrece ventajas que van más allá que cualquier otra solución como ser:
-Posibilidad de implementar dos modos básicos, en capa 2 o capa 3, con lo que se logran túneles capaces de enviar información en otros protocolos no-IP como IPX o broadcast (NETBIOS).
-Protección de los usuarios remotos. Una vez que OpenVPN ha establecido un túnel el firewall de la organización protegerá el laptop remoto aun cuando no es un equipo de la red local. Por otra parte, solo un puerto de red podrá ser abierto hacia la red local por el remoto asegurando protección en ambos sentidos.
-Conexiones OpenVPN pueden ser realizadas a través de casi cualquier firewall. Si se posee acceso a Internet y se puede acceder a sitios HTTPS, entonces un túnel OpenVPN debería funcionar sin ningún problema.
-Soporte para proxy. Funciona a través de proxy y puede ser configurado para ejecutar como un servicio TCP o UDP y además como servidor (simplemente esperando conexiones entrantes) o como cliente (iniciando conexiones).
-Solo un puerto en el firewall debe ser abierto para permitir conexiones, dado que desde OpenVPN 2.0 se permiten múltiples conexiones en el mismo puerto TCP o UDP.
-Las interfaces virtuales (tun0, tun1, etc.) permiten la implementación de reglas de firewall muy específicas.
-Todos los conceptos de reglas, restricciones, reenvío y NAT10 pueden ser usados en túneles OpenVPN.
-Alta flexibilidad y posibilidades de extensión mediante scripting. OpenVPN ofrece numerosos puntos para ejecutar scripts individuales durante su arranque.
-Soporte transparente para IPs dinámicas. Se elimina la necesidad de usar direcciones IP estáticas en ambos lados del túnel.
-Ningún problema con NAT. Tanto los clientes como el servidor pueden estar en la red usando solamente IPs privadas.
-Instalación sencilla en cualquier plataforma. Tanto la instalación como su uso son increíblemente simples.
-Diseño modular. Se basa en un excelente diseño modular con un alto grado de simplicidad tanto en seguridad como red.
Desventajas
-No tiene compatibilidad con IPsec que justamente es el estándar actual para soluciones VPN
-Falta de masa crítica.
-Todavía existe poca gente que conoce como usar OpenVPN.
-Al día de hoy sólo se puede conectar a otras computadoras. Pero esto está cambiando, dado que ya existen compañías desarrollando dispositivos con clientes OpenVPN integrados.

Comparación entre OPEN-VPN e IPsec VPN


En el siguiente manual se va a realiza el túnel VPN (Servidor cliente).

Instalación de Untangle

Estando en el Untangle vamos a a descargar el OPENVPN.
Lo descargamos
Después  arrancamos el servicio e ingresamos a su configuración.
Para mayor información visita este link

Estando aquí vamos a configurar el la asistencia en modo servidor VPN.

Para configurar UNTANGLE como servidor VPN:
Nota: Si ya ha configurado su untangle como cliente VPN, usted tendrá que quitar el módulo OpenVPN del bastidor y luego instalar el módulo de nuevo para reiniciar OpenVPN a su estado inicial y obtener el asistente de configuración de la VPN.
1.Haga clic en Configuración y haga clic en Configurar como servidor VPN .
2-Haga clic en " Siguiente después de leer la advertencia.
3-En el siguiente paso es generar un certificado para asegurar la comunicación VPN.
1.Escriba el nombre de la organización o empresa
2.Seleccione el País
3.Introduzca una abreviatura de dos letras para el estado o región.
4.Ingresa una ciudad
Pulse ' Siguiente
4.El siguiente paso tiene los rangos de IP que se exportará a la clientes de VPN remotos y sitios de permitir el acceso a los rangos de IP. Por defecto, la red interna de la Desenrede se añade. Si hay otros rangos de IP que son manejados por el Desenrede como las direcciones de zona de despeje, se pueden añadir en este momento haciendo clic en el Agregar botón.
5.Presione Close como la configuración para el modo de servidor se ha completado.

Con el servidor VPN desenredar el modo de servidor configurado, continúe con los pasos siguientes para agregar clientes de VPN y los sitios que se conectará con el servidor VPN.

Crear VPN Client

Mediante la adición de los clientes, estos recursos remotos tendrán acceso a los recursos detrás del servidor VPN desenredar.
  1. Haga clic en el Clientes ficha.
  2. Haga clic en el Agregar botón debajo de los clientes VPN .
    1. Escriba un nombre de cliente. Escriba un nombre descriptivo para identificar al usuario. Por ejemplo, podría utilizar el nombre del usuario de la computadora.
    2. En el conjunto de direcciones en la lista desplegable, seleccione el conjunto de direcciones a las que desea asignar al usuario. Generalmente se usa el grupo predeterminado que se crea automáticamente durante el asistente de servidor VPN.
    3. Haga clic en Hecho .
  3. Haga clic en ' Aplicar para guardar el nuevo cliente de VPN.

En grupo Se puede agregar en la opciones de Avanzado.
así queda.
Si tiene firewall habilitado (default deny). se debe agregar una regla que permita el ingreso de ese puerto.
Así queda la regla para los Cliente VPN

Distribuir el Cliente VPN clave

Para los clientes de VPN, especificar la dirección del correo electrónico del usuario y haga clic en el botón Enviar correo electrónico. Los correos electrónicos del servidor desenredar el usuario VPN un enlace para descargar el cliente clave y OpenVPN como la mostrada en la descarga de cliente clave y OpenVPN. Para mayor seguridad, se puede descargar la clave directamente desde el cliente al que desea dar acceso, o en una llave USB de otro cliente remoto.
Haga clic en el cliente Distribuir.
Especifique la dirección de correo electrónico del usuario y haga clic en el botón Enviar correo electrónico. Los correos electrónicos del servidor desenredar el usuario VPN un enlace para descargar el cliente clave y OpenVPN como la mostrada en la descarga de cliente clave y OpenVPN. Para mayor seguridad, se puede descargar la clave directamente desde el cliente al que desea dar acceso, o en una llave USB de otro cliente remoto.
Descargamos en cliente y los certificados.
 Acá se ven la CA y el certificado para el cliente.
Ahora ejecutaremos el Software OpenVPN cliente.
 NEXT
 Servicio adicionales.
 Ruta donde quedara guardada


 A continuación abrimos la interfaz del  OpenVPN.
 Nos conectamos 
 Miramos la dirección ajorada por el rango.
 Como prueba realizamos un ping a una dirección dentro de mi LAN.
 Acá vemos el archivo de configuración  Vemos la ruta de los certificados y la ip remota a la que se conecta.
Fin