viernes, 31 de mayo de 2019

COMPRUEBA TU APRENDIZAJE CAPITULO 11


COMPRUEBA TU APRENDIZAJE


      I.        Configurar los clientes de una red local para utilizar un sistema de enrutamiento.


1.    Utiliza la orden de Windows ROUTE PRINT para identificar todas las rutas IP de un nodo a una red TCP/IP. Observa cual es el destino de la ruta por defecto. Identifica las redes IP de las redes y sus máscaras.


Ahora repite el mismo procedimiento en otras estaciones de la misma red y establece comparaciones entre los resultados obtenidos en cada estación, razonándolas.


AMBAS REDES TIENEN COMO RUTA POR DEFECTO LA IP 192.168.1.1, LA CUAL CORRESPONDE A NUESTRO ROUTER GATEWAY.

2.    ¿Cuáles de las siguientes afirmaciones son verdaderas?
a) La distancia telemática al destino se mide con un parámetro que se denomina coste de la ruta.
Falso

b) RIPv1 está limitado a 15 saltos, sin embargo la versión RIPv2 supera esta limitación.
Verdadero

c) OSPF siempre envía el paquete por la ruta más corta según el número de saltos.
Verdadero

d) EIGRP es un protocolo de enrutamiento híbrido.
Verdadero


    II.        Gestionar un proxy web.

3.    Ayudándote de internet, responde:
a) ¿Cómo se de configurar un cliente para que pueda utilizar un proxy transparente?

INSTALACIÓN DE SQUID3

El software que usaremos como Proxy será el archiconocido SQUID-CACHE. Actualmente se encuentra en la versión 3 y lo tenemos disponible en los repositorios oficiales GNU/Linux Debian. Instalaremos el programa con el siguiente comando:
apt-get -y update && apt-get -y install squid3
 

CONFIGURACIÓN DE SQUID MODO TRANSPARENTE

Lo primero será realizar un backup de nuestro fichero de configuración de Squid por si lo necesitamos restaurar. Para hacer el backup simplemente lo copiamos:
cp /etc/squid3/squid.conf /etc/squid3/squid.conf.backup
Vamos a configurar nuestro Proxy con las siguientes políticas:
·         Puerto Squid: http_port 3128 transparent
·         Memoria asignada: cache_mem 64 MB
·         Directorio de storage: cache_dir aufs /var/spool/squid3 500 16 256
·         Declaramos nuestra red local: acl mired src 172.27.1.0/24
·         Declaramos nuestro localhost: acl localhost src 127.0.0.1/32
·         Prohibimos ciertas palabras: acl def_prohibidas url_regex "/etc/squid3/bloqueos/prohibidas"
·         Permitimos accesos desde mired y bloqueamos palabras: http_access allow mired !def_prohibidas
·         Permitimos accesos desde localhost: http_access allow localhost
·         Proxy Squid Transparente
Denegamos todo lo que no se haya permitido previamente: http_access deny all

Para que nos funcione el HTTPs será necesario añadir estas 2 líneas al fichero de squid.conf:
acl https port 443

http_access allow https
Hay que tener en cuenta que nuestro equipo cuenta con 2 interfaces de red: eth0 192.168.1.10/24 (Internet) y eth1 172.27.1.1/24 (LAN).
Proxy Squid Transparente

Direcciones IP de las interfaces del Proxy
En el fichero de "prohibidas" se irán poniendo las palabras que serán bloqueadas por el proxy. Cada palabra en una línea. (pej: sex, porn, fake, casino..)
Ahora lo único que tenemos que hacer es reiniciar/arrancar squid:
/etc/init.d/squid3 restart

CONFIGURACIÓN DE IPTABLES EN EL PROXY

Activamos el IP FORWARDING en el servidor y hacemos que todo lo que salga desde la LAN hacia el exterior por el puerto 80 y 443 lo reenvie al 3218 de localhost para cachear. En este punto radica la "Magia" del proxy transparente donde los usuarios no deberán tocar nada en sus navegadores para navegar a través del Proxy Web. Esto es transparente para el usuario y no necesita hacer configuraciones especiales en su equipo:
root@lpr: echo 1 > /proc/sys/net/ipv4/ip_forward

root@lpr: iptables -t nat -A PREROUTING -p tcp -s 172.27.1.0/24 --dport 80 -j REDIRECT --to-port 3128

root@lpr: iptables -t nat -A PREROUTING -p tcp -s 172.27.1.0/24 --dport 443 -j REDIRECT --to-port 3128

root@lpr: iptables -t nat -A POSTROUTING -s 172.27.1.0/24 -d 0.0.0.0/24 -o eth0 -j MASQUERADE

CONFIGURACIÓN DE LOS CLIENTES



Proxy Squid Transparente

En los equipos clientes, la ventana de usar Squid en Modo Transparente es que no debemos configurar la dirección de nuestro proxy, ya que esto se hará de forma automática y de forma transparente en el Proxy gracias a IPTables:




b) ¿Para que utilizan los proveedores de Internet los proxies transparentes?
Son transparentes en los términos que su dirección IP está expuesto, no es transparente en los términos que usted no sabe que lo está utilizando. Combina un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del usuario. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP)

c) ¿Sabrías averiguar si tu proveedor de Internet te proporcionar el servicio de acceso a través de un proxy transparente?

Si hay páginas que pueden darnos esos datos, por ejemplo:
·         http://www.whatismyproxy.com/
·         IP2Proxy
·         Proxy Detector by IP-Check.Net
·         Whoer

4.    Si resumimos los datos planteados en el Caso Práctico 1, tenemos que un cliente de red tiene dirección IP 192.168.1.20/24 y su puerta por defecto es 192.168.1.254. El usuario presentado en ese cliente necesita navegar, pero 192.168.1.254 no tiene un proxy transparente y, por tanto, necesita configurar un servidor web proxy. La red tiene dos servidores proxy, uno para el protocolo ftp en la dirección 192.168.120.55 por el puerto 8008 y otro proxy para el resto de los protocolos en la dirección 192.168.1.101 en el puerto 8080.

a) Si habilitamos en 192.168.1.254 un proxy transparente de tipo web (sólo http), ¿cómo sería la ficha de configuración del navegador?

Cuando el auditor quiere acceder a una página web mediante el protocolo HTTP, la configuración de su navegador le indica que debe recurrir al servidor web proxy 192.168.1.254 por el puerto 8080 y debido a que están en la misma red no se necesita realizar ningún enrutamiento adicional.

b) Ahora en 192.168.201.254 habilitamos también la transparencia para el protocolo Https, ¿cómo habría que configurar el proxy?

Se configura de modo que cuando se desee entrar a lugares seguros con el protocolo HTTPS  puerto 443, se direccionara hacia ese proxy transparente sin necesidad de afectar el proxy de puerto 8080.
c) En el caso a), ¿qué puertos tendría que poner a la escucha el servidor proxy transparente en 192.168.1.254?
HTTP 8080
HTTPS 443 (SI LO DESEAN)

   III.        Diseñar y configurar un sistema de protección para la red local


5.    Imaginemos un nodo de la red local que no necesita conectarse a Internet más que para navegar por la web

a) Si no puede acceder a un servidor proxy, ¿debe tener configurada al menos la puerta por defecto para poder navegar por la web?
Si debe contener su Gateway configurado con acceso a los DNS.
b) ¿Y si tiene acceso a un servidor proxy que está en la red de área local?
De igual manera el proxy local debe tener comunicación con el proxy público para poder navegar.

c) ¿Y si tiene acceso a un servidor proxy que está en otra red?
El inconveniente es que para poder realizar eso tiene que tener configurada una VPN y de esta manera saltar la red local, verificando si no se tienen problemas con el Firewall, si es posible a menos que este lo permita.

No hay comentarios.:

Publicar un comentario