En esta Ultima parte veremos:
- Como configurar nuestro firewall para que filtre el acceso a sitios web, con esto podremos evitar que nuestros clientes ingresen, por ejemplo, a paginas con contenido sexual, drogas, armas, redes sociales, chat, correo, juegos, publicidad y muchos más.
- También aprenderemos a configurar usuarios para que utilicen un nombre de usuario y contraseña para acceder a internet, muy útil en entornos de red pequeños y medianos.
Instalación de Filtro de URL
En la parte II del tutorial (Link) aprendimos como instalar un addon en IPCop, los addons nos permiten aumentar las funcionalidades del firewall, específicamente vimos la configuración de advproxy o proxy avanzado, un Proxy actua como intermediario entre nuestras estaciones de trabajo e Internet, con advproxy aprendimos a definir: los horarios de acceso a internet de nuestros clientes, el ancho de banda que utilizaran, el tamaño de los archivos que descargan, el tipo de archivos que despliega su navegador e incluso el navegador permitido para internet, entre otras funciones.
Ahora veremos como configurar Urlfilter con IPCop este addon tiene la capacidad de bloquear los dominios no deseados, las direcciones URL e incluso archivos.
Lo primero que necesitamos hacer es instalar este addon en el firewall IPCop, ubicamos el archivo ipcop-urlfilter-1.9.3.tar.gz dentro de la carpeta Addons del link que les recomende que rescargaran (Link Descarga) o lo pueden descargar desde la pagina oficial http://www.urlfilter.net, recordemos que en los tutoriales anteriores asignamos la dirección IP 192.168.197.1 a la interfaz Green del firewall IPCop y tenemos un PC-Administrador con la dirección IP 192.168.197.2 en el segmento Green, lo siguiente lo efectuaremos desde la PC-Administrador:
Tal y como lo hicimos cuando instalamos el addon avdproxy necesitaremos algunas herramientas que nos facilitaran este proceso (también se encuentran dentro del Link de Descargas):
Iniciamos WinSCP e ingresamos los datos del firewall, en Host Name la IP 192.168.197.1, el puerto que utiliza IPCop por defecto es 222, en User name colocamos root y la contraseña para este usuario, luego hacemos click en Login:
Ubicamos en el lado izquierdo la carpeta donde tenemos el archivo ipcop-urlfilter-1.9.3.tar.gz en la PC-Administrador y del lado derecho (archivos del firewall) ubicaremos la carpeta tmp:
Ahora copiamos el archivo desde la PC-Administrador hacia el firewall, esto lo hacemos únicamente arrastrando el archivo del lado izquierdo al derecho, nos pedirá la confirmación de la acción lo que haremos dando click en Copy con esto ya tenemos copiado el archivo:
Ahora para instalarlo abrimos la herramienta Putty, donde introducimos los datos del firewall para conectarnos a el remotamente:
Nos logueamos con el usuario root y su contraseña:
Escribimos el comando cd .. para cambiar le directorio y el comando ls para enlistarlo, ingresamos a la carpeta tmp con el comando cd tmp donde vemos que esta el archivo que copiamos con WinSCP:
Descomprimimos el archivo con el comando tar -xzf ipcop-urlfilter-1.9.3.tar.gz para luego ingresar a la carpeta creada con la descompresión con cd ipcop-urlfilter y lo instalamos con el comando ./install :
La instalación se realizara de forma automática:
(Como lo notaron la instalación de cualquier Addon es muy similar, en la segunda parte del tutorial de IPCop).
Ahora en el administrador web de IPCop actualizamos la página y vamos a Servicios - Advanced Proxy:
Notaremos que dentro de las opciones de Advanced Proxy ahora tenemos una nueva opción llamada Filtro de URL, habilitaremos esta opción para que nuestro proxy pueda utilizarlo, y damos click en Guardar y reiniciar:
Ahora veamos las opciones que nos ofrece Urlfilter, para esto abrimos la pestaña Filtro de URL en Servicios:
Antes de continuar revisemos algunos conceptos que necesitaremos para nuestras configuraciones, Una lista negra o blacklist es una lista de dominios y URL's que serán bloqueados por algún filtro, esto constituye lo más importante para un filtrado URL, existen varias distribuciones de blacklist, algunas comerciales, otras gratis o una combinación de ambas, entre las más destacadas están:
http://squidguard.mesd.k12.or.us/blacklists.tgz, están disponibles gratuitamente.
http://www.shallalist.de/, Es libre para uso privado o no comercial, pero cuenta con un costo comercial para recibir actualizaciones automáticas.
http://spamlinks.net/filter-bl.htm cuenta con listas por países y divididas por amenazas, útil cuando queremos evitar el spam.
http://urlblacklist.com/?sec=download Listas comerciales con mas de 2.000.000 de entradas y actualizado regularmente.
El addon UrlFilter o Filtro URL posee una lista negra que si bien es útil queda de cierta forma corta para un filtrado optimo, por lo que instalaremos una nueva lista negra descargada de http://urlblacklist.com (el archivo esta en la descarga del tutorial), claro que podrían descargar una mas actualizada para instalar:
Para instalar esta lista buscamos la pestaña de Filtro de URL en Servicios y buscamos las opciones en Mantenimiento del filtro URL y damos click en Examinar... de Actualización de la lista negra, direccionamos el archivo bigblacklist.tar.gz
Una vez encontrado clic en abrir
Luego click en Subida de lista negra
Actualizamos el Administrador web y ahora tenemos más categorías para filtrar:
Para terminar damos click en guardar que esta un poco mas abajo:
Ahora bloquearemos algunas categorías, prestemos atención a la categoría social_networks, con esto restringimos el acceso a paginas como facebook o twitter damos click en guardar y reiniciar:
Ahora al abrir la página www.facebook.com nos despliega la pantalla de acceso denegado:
Ahora revisemos algunas opciones que podemos utilizar; por ejemplo Las opciones en Lista negra personalizada, aquí podemos ingresar dominios o URL's que talvez no estén dentro de las categorías o que simplemente consideremos bloquear, para ejemplo bloquearemos el dominio yahoo.com, no olvidemos que al "bloquear el dominio" cualquier pagina que contenga todo o parte del mismo estará bloqueada, noten que debemos marcar la opción Habilitar lista negra personalizada:
Abrimos, por ejemplo, una página de answers.yahoo, como se ve, el resultado será la pantalla de acceso denegado:
Otra opción que probablemente necesitemos es para levantar las restricciones para determinadas direcciones IP, en este caso la IP 192.168.197.2 no tendrá las restricciones, también podemos habilitar la restricción por tiempo y la cuota de usuarios:
Las opciones de Configuración de la página de bloqueo son para personalizar la pantallas que aparecen en el cliente cada vez que el filtro URL realiza un bloqueo, aquí marcaremos Mostrar URL en la pagina de bloqueo para que muestre al cliente que URL fue bloqueada, también cambiaremos los mensajes para que se muestren en español, también podemos colocar un fondo de pantalla que por ahora no utilizaremos:
En configuración avanzada, habilitaremos el log para tener un registro de los suceso, además marcaremos la opción Bloquear sitios accedidos por su dirección IP, esto es muy importante porque si no esta marcado se podrán acceder al algunos dominios a través de sus direcciones IP:
Finalmente aplicamos los cambios dando clic en Guardar y reiniciar, y el resultado será:
Es lo que veremos por ahora respecto al filtrado URL con IPCop.
Ahora para finalizar estos tutoriales veremos los métodos de autenticación de usuarios, para esto nos loqueamos al firewall a través del Administrador Web y vamos aServicios - Advanced Proxy, y vemos los tipos de autenticación que nos ofrece:
Advanced Proxy cuenta con 5 tipos de autenticación:
Local: En este método de autenticación los usuarios deben autenticarse para acceder a sitios web introduciendo un nombre de usuario y una contraseña válidos.
Identd: El protocolo ident permite averiguar el nombre de usuario y el propietario de cualquier servicio corriendo dentro de una conexión TCP, por lo general se utiliza en IRC (Internet Relay Chat) para obtener la información de quien esta conectado.
LDAP: En este método de autenticación los usuarios tendrán que autenticarse para acceder a sitios web introduciendo un nombre de usuario y una contraseña válidos. Las credenciales se verifican en un servidor externo usando el Lightweight Directory Access Protocol (LDAP). La autenticación LDAP será útil si ya tiene un servicio de directorio en la red y no quiere mantener cuentas de usuario y contraseñas para el acceso web.
Windows: En este método los usuarios tendrán que autenticarse para acceder a sitios web. Las credenciales se verifican en un servidor externo que actúa como un controlador de dominio, este puede ser Windows server (con Active Directory) o Samba corriendo como controlador de dominio.
RADIUS: En este método los usuarios tendrán que autenticarse para acceder a sitios web. Las credenciales se verifican en un servidor externo RADIUS.
Aprenderemos solo como configurar la autenticación local, que es el más utilizado en redes pequeñas y medianas. Lo primero que debemos tomar en cuenta es que si configuramos algún tipo de autenticación no podemos realizarlo cuando nuestro proxy esta en modo transparente esto porque el cliente ahora si conocerá la existencia del proxy, lo que no ocurría en modo transparente.
Verificamos que la opción Transparente en Green este deshabilitada:
Luego habilitamos Local en Tipo de autenticación y presionamos Guardar:
Ahora veremos las Opciones generales de autenticación (estas opciones son para todos los tipos de autenticación excepto identd), el número de procesos de autenticación se refiere al proceso de escuchar las solicitudes, esto lo realiza en segundo plano, el valor predeterminado es 5 y se debe aumentar si la autenticación tarda mucho.
El TTL para la cache de autenticación es la duración, en minutos, de las credenciales de tiempo que se almacenan en caché para cada sesión. Si este tiempo expira, el usuario tiene que volver a introducir las credenciales para esta sesión. El valor predeterminado es de 60 minutos, el mínimo será de 1 minuto.
Podemos limitar el nímero de direcciones IP origen que puedan estar conectados, por ahora dejaremos el campo vacio, el TTL para la cache de usuario/IP se refiere al tiempo que en la cache durará la relación entre cada nombre de usuario y la dirección IP que utilice para autenticarse, dejaremos el valor predeterminado que es 0 (deshabilitado).
Por defecto se pedirá autenticación a todas las direcciones IP incluyendo las que se encuentren en el grupo sin restricciones, recordemos que en el tutorial anterior asignamos la dirección IP 192.168.197.2 a este grupo por ser la del administrador de red, para que nuestro administrador no necesite autenticarse desmarcaremos la opciónPedir autentificación para direcciones de origen sin restricciones:
El mensaje del dialogo de autentificación es el que aparecerá en el cuadro de dialogo de autenticación, por defecto es "IPCop Advanced Proxy Server", pero lo cambiaremos a "Administrador de Red". Los dominios sin autentificación son lo que podrán ser accedidos sin autenticación desde cualquier dirección IP, estos pueden ser: dominios y subdominios (*.google.com), solo hosts (www.google.com), direcciones IP (74.125.39.103) o URL's (www.google.com/images), podemos ingresarlos en cualquier orden. Para este caso permitiré que el acceso al dominio desarrollandosoftware.comse realice sin autenticación.
Nota: En algunos casos necesitamos que nuestros clientes o sus aplicaciones accedan a sitios sin autenticarse, por ejemplo para actualizar el antivirus, o actualizaciones de algunos programas, por ejemplo para que los clientes accedan a Windows Update tenemos que agregar a la lista de dominios sin autenticación lo siguiente:
*.download.microsoft.com
*.windowsupdate.com
windowsupdate.microsoft.com
En las opciones Autentificación local de usuarios dejaremos la longitud mínima de la contraseña en 6, la opción Saltarse la redirección para los miembros de grupo Extended, se refiere a que lo miembros de este grupo pasaran las redirecciones configuradas, por ejemplo al instalar el addon urlfilter evitamos que los clientes ingresen a determinados contenidos web (violencia, sexo, drogas, etc.) pero si marcamos esta opción, para un cliente Extended esta restricción no será valida:
A continuación presionamos el botón Administración de usuarios para abrir el administrador de usuarios locales.
En esta interfaz podemos crear, modificar y eliminar cuentas de usuario.Podemos seleccionar entre tres diferentes grupos:
Standard. Son todos los usuarios por defecto, todas las restricciones dadas se aplican a este grupo.
Extended. Usaremos este grupo para usuarios sin restricciones, los miembros de este grupo pasaran sobre cualquier restricción de tiempo o filtrado.
Disabled. Los miembros de este grupo están bloqueados, podemos utilizar este grupo para deshabilitar cuentas temporalmente sin perder las contraseñas.
Ahora crearemos un usuario llamado Carlos en el grupo Standard, también le asignamos una contraseña, y damos click en Crear usuario:
Ya tenemos el usuario creado, hacemos click en Ir a la página principal y presionamos Guardar y reiniciar para que la configuración tenga efecto.
Ahora probemos en un cliente, la configuracián realizada.
Configuramos el navegador (mozilla firefox en este caso) para navegar a través de un proxy, para esto vamos a Herramientas - Opciones:
En la pestaña Red presionamos el botón Configuración:
Marcamos Configuración manual del proxy, agregamos la dirección IP del firewall, el puerto 800 y presionamos Aceptar:
Luego reiniciamos el navegador y nos solicitara el nombre de usuario y contraseña para poder navegar, ingresamos los datos del usuario creado:
Con lo que podemos navegar sin problemas, esta autenticación se terminara si cerramos el navegador:
Reiniciemos el navegador para ver el comportamiento del proxy al abrir un dominio dentro de la lista sin autentificación, como se ve efectivamente el navegador despliega el sitio pero no continua apareciendo el cuadro de dialogo de registro, esto sucede porque el sitio accede a otros dominio, por ejemplo la asociación al servidor de facebook, si presionamos en cancelar se podrá navegar en el sitio pero no se mostraran las asociaciones a dominios que no estén en la lista sin autentificación:
Cuando se creo un usuario para la autenticación local, fue el administrador el que ingreso la contraseña del cliente, si bien esto podría ser valido, también el cliente tiene la opción de cambiar su contraseña, para esto (en la PC cliente) escribimos en el navegador:
http://192.168.197.1:81/cgi-bin/chpasswd.cgi
Recordemos que 192.168.197.1 es la dirección IP que configuramos en el firewall IPCop, nos aparecerá la siguiente pantalla:
Para finalizar estos tutoriales daremos algunos datos que pueden ser importantes: Si necesitamos cambiar algún dato de la configuración (direcciones IP, tarjetas de red, etc.) lo podemos hacer escribiendo setup en la consola de IPCop, a la que podemos acceder directamente o remotamente con Putty:
Ahora podremos cambiar la configuración del firewall:
Es muy aconsejable realizar el backup del firewall periódicamente por si el hardware falle o se presente alguna eventualidad, esto lo realizamos en la interfaz Respaldar en el menú Sistema
Si necesitan más información aquí les dejo unos links muy útiles:
http://www.ipcops.com/faq/ipcop_faq.html#x1-100001.1.5 (preguntas frecuente de IPCop, sitio en ingles)
http://www.squidguard.org/blacklists.html (blacklist actualizadas)
http://www.urlfilter.net/(pagina oficial de urlfilter)
Mis Agradecimientos a la pagina: http://www.desarrollandosoftware.com , ya que de ella saque este tutorial para mostrárselo a ustedes.
No hay comentarios:
Publicar un comentario