Regional Distrito Capital Centro de Gestión de Mercados, Logística y Tecnologías de la Información
GESTION DE REDES DE DATOS
Teleinformática
2019
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
Control del Documento
Nombre
Cargo
Erik Tellez Autores
Juan Carlos Bolivar
Aprendices
EriKa Otalvaro Aprobación
Instructor William Sanabria
Dependencia
Firma
Gestión de Redes de Datos
Fecha
28/03/2019
Utilización de software
NOMBRE DE LA ACTIVIDAD: Creación Manual de procedimientos
OBJETIVO GENERAL: ................................................................................................................... 3 OBJETIVOS ESPECÍFICOS: ......................................................................................................... 3 ELEMENTOS Y/O MATERIALES UTILIZADOS:....................................................................... 3 PROCEDIMIENTO: .......................................................................................................................... 3 PROXY ....................................................................................................................................... 3
1.
1.1 1.2 2.
PROXY WEB .................................................................................................................... 4 PROBLEMAS DE PROXY.................................................................................................. 4
FIREWALL: ............................................................................................................................... 7
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
OBJETIVO GENERAL: Realizar manual de procedimientos sobre manejo de firewall y proxy dentro de un servidor para saber responder ante alguna irregularidad o falla del sistema
OBJETIVOS ESPECÍFICOS:
Conocer normas y procedimientos para realización de un manual de procedimientos Aprender a realizar un manual de procedimientos para poderlo aplicar en cualquier tipo de procesos
ELEMENTOS Y/O MATERIALES UTILIZADOS: Internet PC portátil Programas ofimáticos Máquinas virtuales en VirtualBox Software OpenManager
PROCEDIMIENTO: Presentacion: En el presente documento se incluye un manual de procedimientos de los procesos implicados en el manejo y segumiento de un proxy y firewall en un Windows Server
1. PROXY Un servidor proxy es un equipo dedicado o un sistema de software que se ejecuta en un equipo de cómputo que actúa como intermediario entre un dispositivo de punto final, como una computadora, y otro servidor del cual un usuario o cliente solicita un servicio. El servidor proxy puede existir en la misma máquina que un servidor de firewall o puede estar en un servidor independiente, que reenvía las solicitudes a través del firewall. El proxy permite ofrecer diversas funcionalidades: control de acceso, registro del tráfico, restricción a determinados tipos de tráfico, mejora de rendimiento, anonimato de la comunicación, caché web, etc. Dependiendo del contexto, la intermediación que realiza el
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
proxy puede ser considerada por los usuarios, administradores o proveedores como legítima o delictiva y su uso es frecuentemente discutido.
El más popular es el servidor proxy de web. Interviene en la navegación por la web, con distintos fines: seguridad, rendimiento, anonimato, etc. Existen proxys específicos para otros protocolos, como el proxy de FTP. El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre ordenadores. Los servidores proxy funcionan en la capa de aplicación (capa 7) del modelo OSI 1.1 PROXY WEB
Este surge a partir de la necesidad de conectar una red local a Internet a través de un equipo que comparte la conexión con las demás máquinas. Así, el proxy web es un servicio que actúa como intermediario entre un dispositivo y los servicios de Internet. En el momento en que la dirección de un sitio se escribe en el navegador, la solicitud se envía al proxy, que entonces realiza esta solicitud al servidor en el que se aloja el sitio, devolviendo al cliente el resultado. El proxy web es un dispositivo que suele estar más cerca de nuestro ordenador que el servidor al que estamos accediendo. Este suele tener lo que denominamos una caché, con una copia de las páginas web que se van visitando. Entonces, si varias personas que acceden a Internet a través del mismo proxy acceden al primer sitio web, el proxy la primera vez accede físicamente al servidor destino, solicita la página y la guarda en la caché, además de enviarla al usuario que la ha solicitado. En sucesivos accesos a la misma información por distintos usuarios, el proxy sólo comprueba si la página solicitada se encuentra en la caché y no ha sido modificada desde la última solicitud. En ese caso, en lugar de solicitar de nuevo la página al servidor, envía al usuario la copia que tiene en la caché. Esto mejora el rendimiento o velocidad de la conexión a Internet de los equipos que están detrás del proxy.
1.2 PROBLEMAS Y SOLUCIONES EN SERVIDOR PROXY 1.3
MANUAL DE PROCEDIMIENTOS
El servidor proxy se ha iniciado, pero no se puede acceder a los recursos de aplicación a través de los puntos finales para el servidor proxy.
Compruebe que los puntos finales del servidor proxy estén entre los alias del host del host virtual que están asociados a la aplicación.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
El servidor proxy direcciona a otro grupo principal.
Verifique que existan los puentes del grupo principal entre los grupos principales de la célula y que se han reiniciado los procesos que se han elegido para ser puentes. Si hay un cortafuego entre el grupo principal, verifique que los puertos correctos estén abiertos para el tráfico del puente de grupo principal.
El servidor proxy no puede direccionar las solicitudes a otra célula.
Revise los valores del puente de grupo principal. Si en cualquier servidor se anota cronológicamente el mensaje de error HMGR0149E, generalmente en un servidor que actúa como puente del grupo principal, entonces es necesario modificar los valores de seguridad de la célula para permitir las comunicaciones.
Se ha recibido un error HTTP 404 (Archivo no encontrado) del servidor proxy.
Considere efectuar las siguientes acciones: o
Actualice el host virtual. Asegúrese de que la aplicación de destino y la regla de direccionamiento se han asignado a un host virtual que incluye los puertos de escucha del servidor proxy (valor predeterminado: HTTP 80, HTTPS 443). Añada los puertos de escucha del servidor proxy a la aplicación, o el host virtual de reglas de direccionamiento o utilice el host virtual proxy host. Habilite el direccionamiento de proxy. Asegúrese de que está habilitado el direccionamiento de proxy para el módulo web de la aplicación. El direccionamiento del proxy está habilitado de manera predeterminada; por lo tanto, si no se modifican las propiedades del proxy, descarte esta solución. De lo contrario, consulte aplicaciones para obtener instrucciones sobre cómo modificar las propiedades del proxy. Pruebe la solicitud directa. Asegúrese de que la aplicación de destino está instalada realizando una solicitud directamente al servidor de aplicaciones. Si no se recibe una respuesta, el problema está relacionado con el servidor de aplicaciones y no con el servidor proxy. Verifíquelo pasando por el servidor proxy cuando recibe una respuesta directamente del servidor de aplicaciones.
o
o
No se pueden realizar solicitudes SSL (Secure Sockets Layer) para la aplicación o la regla de direccionamiento.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
Asegúrese de que el host virtual de la aplicación o la regla de direccionamiento incluye un alias de host para el puerto SSL de servidor proxy (valor predeterminado: 443).
¿Cómo puedo habilitar la carga de activación/desactivación de SSL? La carga de activación/desactivación de SSL de denomina protocolo de transporte en la consola administrativa y el protocolo de transporte es una propiedad de módulo web. Consulte Personalización del direccionamiento a aplicaciones para ver cómo configurar las propiedades del módulo web. No existe ninguna propiedad de protocolo de transporte ni carga de activación/desactivación de SSL para las reglas de direccionamiento porque el protocolo de transporte es inherente al clúster de servidores genérico que se especifica en la regla de direccionamiento.
¿Qué paquetes puedo habilitar al rastrear el servidor proxy? No todos los paquetes siguientes son necesarios para cada rastreo, pero si no está seguro, utilícelos todos:
o o o o o o o o o o o
*=info WebSphere Proxy=all GenericBNF=all HAManager=all HTTPChannel=all TCPChannel=all WLM*=all DCS=all ChannelFrameworkService=all com.ibm.ws.dwlm.*=all com.ibm.ws.odc.*=all
Aparecen imágenes incompletas, o las peticiones de archivos de ayuda devuelven a una página que indica que la página no se ha encontrado.
1. Compruebe el permiso de los archivos. El permiso predeterminado en UNIX es 644, que proporciona al propietario autorización de lectura y grabación y a los demás usuarios les proporciona autorización de sólo lectura. Deberá establecer los permisos de archivo en 644, el valor predeterminado. 2. Compruebe la anotación de errores del servidor Web y verifique que la ubicación del archivo es correcta. Si el archivo no está en la ubicación correcta, considere agregar un alias al archivo de configuración del servidor Web. Por ejemplo, en el
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
servidor Web, el directorio de tivoli/tsm/swap/ está en /www/tivoli/tsm/swap/. Para corregir el problema, puede agregar la línea siguiente al archivo httpd.conf: Alias /StorageFiles "/www/StorageFiles" 2. FIREWALL Un firewall (llamado también “cortafuego”), es un sistema que permite proteger a una computadora o una red de computadoras de las intrusiones que provienen de una tercera red (expresamente de Internet). El firewall es un sistema que permite filtrar los paquetes de datos que andan por la red. Se trata de un “puente” que filtra, el tráfico entre la red interna y externa. Un firewall puede ser un programa (software) o un equipo (hardware) que actúa como intermediario entre la red local y una o varias redes externas. Un firewall funciona como una barrera entre internet u otras redes públicas y nuestra computadora. Todo el tipo de tráfico que no esté en la lista permitida por el firewall, no entra ni sale de la computadora. Para ello, un sistema de firewall contiene un conjunto de reglas predefinidas que permiten: Autorizar una conexión (Allow) Bloquear una conexión (Deny) Redireccionar un pedido de conexión sin avisar al emisor (Drop). El conjunto de estas reglas permite instalar un método de filtración dependiente de la política de seguridad adoptada por la organización
Falta de registro de salidas
Registro de salidas de los dispositivos de seguridad significa que te alerta si estas bajo ataque. También puede utilizar los registros para investigar la violación. Por último, puede revisar los registros para ayudar a desarrollar mejores soluciones de gestión de riesgo.
La función de un firewall es, por defecto, restringir.
Lo correcto es bloquear todo el tráfico, e ir habilitando servicios de forma individual, según nuestras políticas.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
Los errores más frecuentes que cometemos al configurar el Firewall.
1. Reglas demasiado genéricas: el primero de ellos, acabamos de indicarlo hace un momento. La definición de reglas muy genéricas o generales, que permiten servicios que antes de tener firewall no estaban habilitados.
2. Falta de definición de los objetos: Quien es cada usuario o PC y cuales son servicios incluidos en la red, los usuarios podemos incluirnos manualmente en el propio dispositivo, aunque siempre será más cómodo enlazarlo con el servidor de autenticación ACTIVE DIRECTORY. Pudiendo establecer políticas según un usuario o un grupo para acceder a las aplicaciones Internet y mensajería Email.
Instalación y configuración de servicios.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
En un servidor Windows 2012 R2 se instalará el paquete del servidor proxy.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
Se instala el Software OpenManager para el monitoreo, y se crea un usuario y una Clave.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
Se instala el siguiente paquete para el funcionamiento correcto de OpenManager, este paquete se instala según las indicaciones del instructor.
En esta opción de configuraciones encontramos las opciones de distintas reglas de firewall, ya se configura según la necesidad de la organización.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
Sobre regla de entrada o salida según el tipo de requerimiento, click derecho y la opción de regla nueva, donde configuramos según nuestra necesidad, si la necesitamos para algún tipo de programa, puerto, predeterminada o personalizada. Hay distintas opciones para sacar el mejor provecho a esta herramienta de seguridad.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
En este caso vamos a crear una regla nueva por puerto que son las más utilizadas y en ejemplo tomamos el puerto 80 http.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
Escogemos la opción de permitir el acceso o de denegar el servicio, según las necesidades de la organización.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
La aplicamos depende estas opciones, según lo requerido.
Le asignamos un nombre para identificarla fácilmente y finalizar ahora reiniciamos o actualizamos el servicio de firewall para comprobar que haya quedado bien.
Erick Tellez Regional Distrito Capital Centro de Gestión de Mercados, Logística y Sistema de Gestión de la Calidad
Tecnologías de la Información GESTION DE REDES DE DATOS
CONCLUCIONES Como administradores de redes se puede aprovechar al máximo las diferentes opciones de configuraciones que tienen diferentes tipos de servicios, en este caso que conocimos algunas funcionalidades que nos prestan los servidores Proxy y Firewall, donde podemos aplicar ciertas configuraciones o reglas para proteger o restringir servicios o denegaciones de servicio o inclusive en negar el acceso a Internet. Todas estas opciones son muy benéficas a la organización según sus necesidades, pero en algunos casos estas configuraciones mal realizadas no pueden sacar canas o darnos muchos problemas difíciles de detectar, es donde debemos aplicar un manual de procedimientos para llevar a cabo una pronta solución a la organización y usuarios de que se pueda seguir disfrutando de las bondades de la tecnología.