Etiquetas

pfSense - SQUID PROXY

 

Introducción

En esta práctica se abordará la configuración e implementación de Squid Proxy Transparente en un entorno basado en pfSense, con el objetivo de interceptar y gestionar el tráfico web (HTTP/HTTPS) de manera controlada. Se realizará un enfoque práctico para entender tanto los aspectos técnicos de configuración como los conceptos teóricos subyacentes, como el funcionamiento del Man-in-the-Middle (MITM) en el tráfico HTTPS y el manejo de certificados para garantizar la seguridad de la red.

Objetivos de la práctica:

  1. Crear y gestionar certificados de autoridad (CA):

    • Configurar un CA raíz (autofirmado) que actúe como la base de confianza.
    • Generar un CA intermedio firmado por el CA raíz como medida de seguridad adicional, siguiendo buenas prácticas en jerarquías de certificados.

  2. Configurar Squid Proxy Transparente en pfSense:

    • Implementar Squid como proxy transparente para interceptar el tráfico HTTP/HTTPS de la red.
    • Configurar Squid para realizar inspección SSL (SSL Bump) y permitir la supervisión del tráfico cifrado.
    • Instalar el certificado generado en los navegadores de los clientes Windows para evitar errores de seguridad y establecer confianza.

  3. Configurar diferentes modos de interceptación HTTPS:

    • Iniciar con splice all, donde el proxy permite el tráfico cifrado sin inspección directa, con el fin de analizar cómo se realiza el handshake entre el cliente y el servidor.
    • Configurar bump otherwise, donde el proxy toma el control del handshake para inspeccionar y filtrar el contenido del tráfico HTTPS.

  4. Realizar pruebas de filtrado y monitoreo:

    • Verificar el funcionamiento de Squid en cada modo (splice y bump).
    • Bloquear sitios web específicos y comprobar cómo el proxy gestiona estas restricciones.
    • Analizar el proceso de conexión HTTPS en ambos casos (con y sin descifrado).

Importancia de la práctica:

La implementación de un proxy transparente con capacidad de SSL Bump es una herramienta fundamental para la administración de redes, ya que permite:

  • Optimizar el tráfico mediante el uso de caché y control de ancho de banda.
  • Garantizar un mayor nivel de seguridad al interceptar conexiones potencialmente maliciosas.
  • Aplicar políticas de acceso a sitios web, mejorando la productividad y evitando el acceso a contenido inapropiado.

Metodología:

  1. Configuración de certificados:

    • Crear un CA raíz y un CA intermedio en pfSense.
    • Configurar Squid para utilizar estos certificados en el proceso de inspección HTTPS.
    • Instalar el certificado en el navegador de los clientes.

  2. Configuración inicial de Squid Proxy Transparente:

    • Habilitar el proxy transparente para gestionar el tráfico HTTP y HTTPS.
    • Configurar el modo splice all para analizar cómo Squid actúa como intermediario pasivo.

  3. Avanzar al modo bump otherwise:

    • Realizar la configuración para que Squid intercepte y descifre el tráfico HTTPS no permitido explícitamente.
    • Configurar reglas de filtrado para bloquear sitios web específicos.

  4. Pruebas y análisis:

    • Comprobar cómo se gestiona el tráfico en cada modo.
    • Analizar los registros generados por Squid para entender los flujos de conexión y validación de certificados.
    • Verificar el bloqueo de sitios web configurados en el modo bump otherwise.

Resultados esperados:

Al finalizar la práctica, se espera que el proxy:

  • Intercepte y registre el tráfico HTTP y HTTPS.
  • Permita o deniegue el acceso a sitios web según las reglas configuradas.
  • Realice correctamente el descifrado y filtrado de conexiones HTTPS en el modo bump otherwise.

Esta práctica ofrece una experiencia integral en el uso de Squid Proxy Transparente como herramienta de monitoreo, control y seguridad en redes, con énfasis en el manejo de tráfico cifrado mediante SSL Bump.

Squid Proxy Transparente en pfSense

Squid Proxy es un servidor proxy y caché de contenido ampliamente utilizado para gestionar y optimizar el tráfico web en redes locales. En pfSense, Squid puede configurarse como un proxy transparente, lo que significa que intercepta y procesa el tráfico web sin necesidad de configurar manualmente los navegadores o dispositivos de los usuarios de la red.

1. ¿Qué es un Proxy Transparente?

Un proxy transparente es un proxy que intercepta y redirige automáticamente el tráfico HTTP/HTTPS de los dispositivos de la red hacia el servidor proxy sin requerir configuración manual en los clientes (navegadores o sistemas operativos). En un entorno con proxy transparente:

  • El proxy se posiciona entre los usuarios (clientes) y los servidores web externos.
  • Los clientes no necesitan saber que existe un proxy, ya que no requieren configuración adicional.
  • El administrador puede controlar, monitorear, filtrar y optimizar el tráfico web de la red.

En el caso de pfSense, Squid se configura como un servicio adicional que actúa como proxy transparente.

2. ¿Cómo funciona Squid Proxy Transparente en pfSense?

En pfSense, el proxy transparente opera interceptando el tráfico web que pasa a través del firewall y redirigiéndolo al servicio Squid. Esto se logra mediante el uso de reglas en el firewall de pfSense, que garantizan que todo el tráfico HTTP/HTTPS sea procesado por Squid.

El flujo básico de funcionamiento es el siguiente:

  1. Interceptación del tráfico:
    Todo el tráfico web (HTTP y opcionalmente HTTPS) generado por los dispositivos de la red pasa por pfSense. Una regla de redireccionamiento en el firewall reenvía ese tráfico al servicio Squid.

  2. Procesamiento en Squid:
    Squid puede realizar varias tareas:

    • Caché de contenido: Almacena en caché objetos web como páginas HTML, imágenes y otros recursos, reduciendo el tiempo de carga para los usuarios y el ancho de banda utilizado.
    • Filtrado de contenido: Puede bloquear sitios web no deseados, restringir el acceso a contenido inapropiado o gestionar el acceso según horarios.
    • Control de ancho de banda: Squid puede limitar la cantidad de ancho de banda utilizada por ciertos tipos de tráfico o usuarios.

  3. Entrega del contenido:

    • Si Squid tiene una copia en caché del recurso solicitado, lo sirve directamente al cliente.
    • Si no está en caché, Squid recupera el contenido del servidor web externo, lo almacena si está configurado para ello, y luego lo entrega al cliente.

  4. Registro y monitoreo:
    Squid genera registros detallados del tráfico web, permitiendo al administrador analizar el uso de la red.

3. Características de Squid Proxy Transparente

A. Interceptación de HTTP y HTTPS

  • HTTP: Squid intercepta tráfico HTTP de manera sencilla, ya que este tipo de tráfico no está cifrado.
  • HTTPS: Para interceptar tráfico HTTPS, se requiere configurar Squid con la funcionalidad de SSL Bump, que descifra el tráfico HTTPS. Esto implica la creación de un Certificado de Autoridad (CA) y su instalación en los dispositivos clientes.

B. Caché de contenido

  • Reduce la carga en el ancho de banda al almacenar copias locales de recursos web comunes.
  • Mejora la velocidad de acceso a sitios visitados con frecuencia.

C. Control de acceso

  • Permite establecer políticas que controlan qué usuarios o dispositivos pueden acceder a ciertos recursos web.

D. Filtrado de contenido

  • Puede bloquear categorías completas de sitios web (e.g., contenido adulto, redes sociales, descargas, etc.) usando listas de control como las proporcionadas por SquidGuard.

E. Monitoreo y auditoría

  • Squid registra cada solicitud web, permitiendo el análisis detallado del uso de internet por parte de los usuarios.

4. Ventajas de Squid Proxy Transparente en pfSense

A. Configuración simplificada para los usuarios

  • No requiere cambios en los navegadores ni en los dispositivos de los usuarios.
  • Todo el tráfico se intercepta automáticamente mediante reglas del firewall.

B. Mejora del rendimiento

  • El uso de caché reduce el tiempo de carga de las páginas y disminuye el consumo de ancho de banda.
  • Optimiza la experiencia del usuario en redes con recursos limitados.

C. Gestión centralizada

  • Los administradores pueden controlar, filtrar y monitorear el tráfico de toda la red desde un único punto.

D. Seguridad

  • Permite inspeccionar y filtrar tráfico HTTPS, asegurando que los usuarios no accedan a sitios maliciosos o inseguros (cuando se configura con SSL Bump).
  • Bloquea contenido inapropiado o no autorizado.

5. Limitaciones del Proxy Transparente

  1. Interceptación de HTTPS:

    • Requiere instalar un Certificado de Autoridad (CA) en los dispositivos clientes para evitar errores de seguridad en los navegadores.
    • Puede generar problemas de compatibilidad con ciertos dispositivos o aplicaciones que no permiten proxies o certificados personalizados (e.g., aplicaciones móviles).

  2. Caché de contenido dinámico:

    • Squid funciona mejor con contenido estático. Las páginas dinámicas (como las de redes sociales o servicios de streaming) no siempre se benefician del caché.

  3. Privacidad:

    • La interceptación HTTPS puede considerarse una invasión de la privacidad si no se gestiona adecuadamente.

  4. Complejidad de configuración:

    • La configuración de Squid Proxy Transparente, especialmente para HTTPS, puede ser complicada y requiere conocimientos técnicos avanzados.

6. Pasos para Configurar Squid Proxy Transparente en pfSense

A. Instalación de Squid

  1. Acceder al panel de pfSense y navegar a System > Package Manager > Available Packages.
  2. Buscar e instalar el paquete Squid.

B. Configuración básica

  1. Ir a Services > Squid Proxy Server y habilitar el proxy.
  2. Configurar los parámetros básicos, como:
    • Puerto de escucha (por defecto, 3128 para HTTP y 3129 para HTTPS).
    • Interfaz en la que operará Squid (usualmente la LAN).

C. Habilitar el modo transparente

  1. Activar la opción Transparent HTTP Proxy.
  2. Si se desea interceptar tráfico HTTPS, habilitar SSL Man-in-the-Middle Filtering y configurar un Certificado de Autoridad (CA).

D. Configurar reglas del firewall

  1. Crear una regla en Firewall > NAT > Port Forward que redirija el tráfico HTTP/HTTPS hacia el puerto de Squid.

E. Ajustes avanzados

  1. Configurar listas de control de acceso (ACL) para bloquear o permitir sitios específicos.
  2. Integrar herramientas como SquidGuard para mejorar el filtrado de contenido.

7. Escenarios de uso comunes

  • Centros educativos: Bloquear contenido inapropiado mientras se optimiza el uso del ancho de banda.
  • Empresas: Monitorear y controlar el acceso a internet de los empleados.
  • Cafeterías o redes públicas: Limitar el acceso a contenido no deseado y evitar la sobrecarga de ancho de banda.

Squid Proxy Transparente en pfSense es una herramienta poderosa para gestionar y optimizar el tráfico web de una red. Su capacidad de operar en modo transparente simplifica la administración, mientras que su flexibilidad y escalabilidad lo hacen adecuado para una amplia variedad de entornos. Sin embargo, la interceptación HTTPS requiere una configuración cuidadosa para equilibrar privacidad, seguridad y funcionalidad.

CERTIFICADO RAÍZ

Un certificado raíz es el certificado principal de una jerarquía de confianza en una infraestructura de clave pública (PKI, por sus siglas en inglés). Este certificado es emitido y firmado por sí mismo (autofirmado) y actúa como la autoridad máxima de confianza.

Su función principal es validar otros certificados (intermedios o finales) mediante la firma digital, garantizando su autenticidad. Los navegadores y sistemas operativos confían en los certificados raíz preinstalados, lo que les permite verificar automáticamente la validez de los certificados emitidos por ellos o por sus CA intermedios.

1. Descripción del proceso

En la configuración presentada, se crean dos certificados de autoridad (CA): un CA raíz autofirmado (CA_Proxy) y un CA intermedio (CA_Firma_Proxy), que es firmado por el CA raíz. Esta jerarquía permite gestionar de forma más segura y organizada la emisión de certificados.

2. Propósito de un CA intermedio

El objetivo de tener un CA intermedio es establecer una capa adicional de seguridad y control en la infraestructura de certificados. Esto se logra delegando la tarea de emitir certificados operativos al CA intermedio, mientras se protege la clave privada del CA raíz.

Razones para usar un CA intermedio:

  1. Seguridad:
    El CA raíz actúa como la base de confianza y debe mantenerse protegido. Si se utiliza directamente para emitir certificados operativos y se compromete, toda la infraestructura de confianza se vería afectada. Usar un CA intermedio minimiza esta exposición.

  2. Delegación:
    Un CA intermedio permite delegar la emisión de certificados sin comprometer la clave del CA raíz. Esto es útil en entornos donde se requiere flexibilidad para manejar diferentes servicios.

  3. Escalabilidad:
    Se pueden crear múltiples CA intermedios para distintos propósitos (por ejemplo, uno para el proxy, otro para VPNs) y gestionar cada uno de forma independiente.

3. Proceso técnico

Creación del CA raíz (autofirmado):

El CA raíz (CA_Proxy) es el certificado principal de la infraestructura. Este es autofirmado, lo que significa que no depende de ninguna entidad superior para su validación. Este CA sirve como la autoridad máxima de confianza en el sistema.

Creación del CA intermedio:

El CA intermedio (CA_Firma_Proxy) se genera y firma utilizando el CA raíz (CA_Proxy). Este CA es utilizado para emitir los certificados operativos, como los que requiere Squid para interceptar conexiones HTTPS.

4. Aplicación en Squid

En la configuración de Squid como proxy transparente, se requiere un certificado para realizar la interceptación de conexiones HTTPS. Este proceso, conocido como SSL Bump, necesita que Squid genere certificados temporales para cada sitio HTTPS que se visite.

En este caso:

  • El CA intermedio firma los certificados temporales que Squid presenta a los clientes.
  • El CA raíz se utiliza para validar la autoridad del CA intermedio.

5. Beneficios de esta configuración

  1. Mayor seguridad del CA raíz:
    Al utilizar un CA intermedio, el CA raíz no firma directamente los certificados operativos. Esto reduce el riesgo de compromiso, ya que el CA raíz puede mantenerse en un entorno seguro.

  2. Facilidad para revocar certificados:
    Si se necesita revocar todos los certificados emitidos por el CA intermedio, se puede hacer sin afectar al CA raíz. Esto es útil para realizar cambios sin comprometer toda la infraestructura.

  3. Organización y escalabilidad:
    Permite una estructura más organizada y escalable, especialmente en entornos donde se requieren certificados para distintos servicios.

6. ¿Es obligatorio utilizar un CA intermedio?

No siempre es necesario. En configuraciones simples, es posible usar solo el CA raíz para firmar directamente los certificados operativos. Sin embargo, utilizar un CA intermedio agrega una capa de seguridad y flexibilidad que puede ser ventajosa en redes más grandes o complejas.

7. Resumen del flujo de certificados

  1. CA raíz (autofirmado):

    • Es el certificado principal y fuente de confianza.
    • Firma al CA intermedio.

  2. CA intermedio:

    • Firma los certificados operativos.

  3. Certificados operativos:

    • Utilizados por Squid para interceptar conexiones HTTPS.

Esta estructura permite mantener una gestión segura y escalable de los certificados, asegurando la integridad de la infraestructura de confianza.

SSL BUMP

En Squid Proxy, cuando se configura para interceptar conexiones HTTPS (conocido como SSL Bump), existen varias opciones para manejar el tráfico cifrado. Entre ellas, las configuraciones splice all y bump otherwise son comunes. A continuación se explica qué significa cada una y cómo afectan al manejo del tráfico HTTPS.

1. ¿Qué es "Splice All"?

La opción splice all indica a Squid que no intercepte ni modifique el tráfico HTTPS, sino que lo deje pasar directamente sin tocarlo. En este modo:

  • Squid simplemente analiza el encabezado del tráfico HTTPS durante el proceso de negociación SSL/TLS (Client Hello).
  • Después de este análisis inicial, Squid permite que el cliente y el servidor establezcan la conexión cifrada directamente (passthrough).
  • El contenido del tráfico HTTPS no es accesible ni visible para Squid.

Casos de uso de splice all:

  • Cuando solo se necesita registrar información básica, como dominios (SNI - Server Name Indication), pero no se requiere inspeccionar o filtrar el contenido del tráfico.
  • En entornos donde no es posible o no se desea instalar certificados de autoridad en los dispositivos clientes.
  • Para garantizar que el tráfico cifrado no se vea alterado por razones de privacidad o compatibilidad.

2. ¿Qué es "Bump Otherwise"?

La opción bump otherwise es parte de una configuración más avanzada que permite a Squid aplicar diferentes acciones según las reglas definidas. En este contexto, "bump" significa interceptar y descifrar el tráfico HTTPS para inspeccionarlo. Con esta configuración:

  • Squid intenta emparejar el tráfico HTTPS con una lista de excepciones (como dominios permitidos o políticas específicas).
  • Si el tráfico no coincide con las excepciones, Squid lo "bump", es decir, lo intercepta y descifra.

Funcionamiento típico de bump otherwise:

  1. Primero, Squid verifica si una conexión HTTPS coincide con reglas específicas (por ejemplo, si el dominio está en una lista blanca o negra).
  2. Si la conexión coincide con una regla que permite pasar el tráfico sin inspección (por ejemplo, para un dominio confiable como un banco), se usa splice y el tráfico no se descifra.
  3. Si no coincide con ninguna regla, se usa bump, interceptando y descifrando el tráfico para inspección y filtrado.

Casos de uso de bump otherwise:

  • Implementación de políticas de seguridad avanzadas, donde ciertos dominios o categorías se permiten sin inspección (ejemplo: sitios de bancos o de salud), pero el resto del tráfico se inspecciona para filtrar contenido o aplicar restricciones.
  • Escenarios donde se requiere controlar estrictamente qué tráfico HTTPS puede pasar sin supervisión.

3. Comparación entre "Splice All" y "Bump Otherwise"

  • Splice All: Deja pasar el tráfico HTTPS sin modificarlo, útil para registros básicos o cuando no se desea inspeccionar el tráfico.
  • Bump Otherwise: Intercepta y descifra el tráfico que no coincide con las excepciones definidas, proporcionando más control pero requiriendo un certificado CA confiable instalado en los clientes.

Ambas configuraciones tienen su lugar dependiendo de las necesidades de privacidad, control y seguridad del entorno de red.

MITM

En el contexto de pfSense y la funcionalidad SSL Bump de Squid Proxy, el término MITM (Man-in-the-Middle) hace referencia a una técnica en la que el proxy se posiciona entre los clientes (usuarios de la red) y los servidores web externos para interceptar, analizar y potencialmente modificar el tráfico que pasa a través de él.

MITM en SSL Bump

Cuando se configura SSL Bump en pfSense, Squid actúa como un intermediario entre el cliente y el servidor en las conexiones HTTPS. Esto implica que el proxy intercepta y descifra el tráfico cifrado de una conexión SSL/TLS, permitiendo inspeccionar su contenido. A continuación, se reestablecen dos conexiones:

  1. Conexión cliente-proxy: El cliente establece una conexión segura con Squid, que presenta un certificado generado dinámicamente por el Certificado de Autoridad (CA) configurado en pfSense.
  2. Conexión proxy-servidor: Squid establece otra conexión segura con el servidor web original para recuperar el contenido.

El proxy "engaña" al cliente para que crea que está hablando directamente con el servidor final, pero en realidad está comunicándose con el proxy.

Funcionamiento del MITM en SSL Bump

  1. Interceptación inicial del tráfico HTTPS:
    Squid intercepta la solicitud HTTPS del cliente durante el handshake TLS, leyendo el SNI (Server Name Indication), que contiene el nombre del dominio que el cliente desea alcanzar.

  2. Generación del certificado en tiempo real:
    Squid genera un certificado "falso" para el dominio solicitado, firmado por el CA configurado en pfSense. El cliente acepta este certificado como válido si confía en el CA.

  3. Descifrado del tráfico:
    Squid descifra el contenido de la conexión HTTPS, permitiendo inspeccionar, filtrar o registrar el tráfico.

  4. Reestablecimiento del cifrado:
    Squid cifra de nuevo la conexión utilizando un certificado válido entre el proxy y el servidor final. Esto garantiza que el servidor nunca sabe que el tráfico fue inspeccionado.

Ventajas del MITM en SSL Bump

  • Monitoreo y control: Permite inspeccionar el tráfico HTTPS para bloquear contenido inapropiado, restringir el acceso a sitios web o analizar el tráfico en busca de amenazas.
  • Seguridad: Ayuda a detectar sitios web maliciosos que podrían poner en riesgo a los usuarios.
  • Cumplimiento: En entornos corporativos o educativos, facilita la implementación de políticas de acceso y monitoreo de la red.

Desafíos del MITM en SSL Bump

  1. Privacidad: La interceptación de tráfico HTTPS puede considerarse intrusiva, ya que descifra información confidencial como contraseñas o datos sensibles.
  2. Compatibilidad: Algunos dispositivos o aplicaciones no confían en certificados personalizados, lo que puede generar errores o impedir su funcionamiento.
  3. Complejidad: Requiere la instalación y distribución del CA en los dispositivos de la red para evitar advertencias de seguridad.

MITM en SSL Bump en pfSense permite que Squid Proxy intercepte, inspeccione y controle el tráfico HTTPS, actuando como intermediario entre el cliente y el servidor. Aunque es una técnica poderosa para la administración de redes, debe usarse de manera ética y con un enfoque en la seguridad y el cumplimiento normativo.

La estructura de red empleada para este proyecto es la siguiente.





Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares