[U-co] restringir páginas web en empresa
Carlos Alberto Fajardo Porras
carlos.fajardo en gmail.com
Lun Mar 21 14:47:45 UTC 2011
2011/3/20 Daniel Rodriguez Rodriguez <danielrodriguezrodriguez en gmail.com>
> 2011/3/20 JHONATAN CANO FURAGARO <jhonatan.cano.f en gmail.com>
>
> > Buen día,
> >
> > El objetivo de la presente es plantearle el siguiente problema para ver
> > como
> > se podría solucionar usan herramientas libres.
> > En la empresa donde trabajo actualmente está buscando la forma de
> bloquear
> > algunas páginas web para que los empleados no hagan mal uso del intenet
> en
> > horas laborales ( en hora de almuerzo se piensa quitar las restricciones
> a
> > algunas páginas).
> > En la empresa se tiene lo siguiente:
> > -Una troncal SIP
> > -Servicio LAN to LAN
> > -Internet con la misma empresa que prorciona la LAN to LAN.
> >
> > El servicio de LAN to LAN la usamos para registrarnos en el dominio de
> otra
> > empresa y poder descargar el correo usando Outlook, antes saliamos a
> > internet por la LAN to LAN donde la otra empresa tenía restringida una
> > serie
> > de páginas (ya que ellos tenían un proxy - eso creo), pero ahora como se
> > tiene un servicio de internet y no usamos la LAN to LAN para internet
> estan
> > todas las páginas habilitadas.
> >
> > Para poder salir a internet y tambien registrarnos al Dominio de la otra
> > empresa, cada uno de los PC tienen dos direcciones IP, donde "la puerta
> de
> > enlace predeterminada" de la IP principal apunta a el router (
> >
> >
> http://www.speedguide.net/routers/linksys-wrt51ab-dual-band-wireless-ab-broadband-745
> > ),
> > la otra IP se usa cuando nos registramos al dominio con el usuario.
> >
> >
> > Un amigo, que es técnico en sistemas y amante a buscar soluciones en
> > entorno
> > windows me dice que se debe usar dos tarjetas de red y comprar la
> licencia
> > de un programa para relizar esta tarea, pero me gustaría saber que
> > soluciones hay libres en este tema?,y en cuanto a las dos tarjetas me
> > imagino que de todos modos se debe tener.
> >
> > Espero haberme dado a entener bien mi problema.
> >
> > Muchas gracias a todos por sus comentarios y aportes a mi duda.
> >
> >
> >
> >
> > --
> > JHONATAN CANO FURAGARO
> > Ingeniero Forestal
> > Universidad Nacional de Colombia
> > Celular 300 430 45 46
> > --
> > Al escribir recuerde observar la etiqueta (normas) de esta lista:
> > http://ur1.ca/0uf7
> > Para cambiar su inscripción, vaya a "Cambio de opciones" en
> > http://ur1.ca/0uf9
> >
>
> Hola Jhonatan,
>
> Puedes comenzar instalando squid sobre linux http://www.squid-cache.org/,
> lo
> de las 2 tarjetas es para que por una tengas la interfaz LAN y por la otra
> conectes el router que te de salida a internet, con squid puedes crear ACL
> restringir sitios web por URL, dominio, por direcciones ip, direcciones MAC
> e incluso reglas según la hora.
>
>
>
> --
> Daniel Rodriguez
> Webmaster
> www.hotfixed.net
> movil: 3164282708
> twitter: @dvirus
> --
> Al escribir recuerde observar la etiqueta (normas) de esta lista:
> http://ur1.ca/0uf7
> Para cambiar su inscripción, vaya a "Cambio de opciones" en
> http://ur1.ca/0uf9
>
Hola Jhonatan,
Solo para complementar un poco la respuesta de Daniel, efectivamente en tu
red debes instalar un equipo con mas tarjetas de red. En el entorno que
describes yo recomiendo 3. De esa forma asignas una interfaz de red a cada
zona, y ya que estamos hablando de zonas hay que decirlo con nombre propio:
el equipo que vas a montar para la interconexión de tus redes tiene la
función de firewall.
En ese orden de ideas, tienes 3 zonas para interconectar: la LAN, la WAN
(internet) y a la red remota vamos a llamarla rLAN.
El equipo que vas a montar en principio va hacer funciones de
Firewall/Router/Proxy, lo que vamos a garantizar es la interconexión de esas
zonas y que controles el tráfico entre esas zonas, no solo el tráfico http,
todo el tráfico; no creo que te agrade la idea que desde la red remota o
desde internet puedan acceder a los servicios e información de tu LAN.
Desde ahora te advierto, en el diseño de la solución para el problema
planteado hay muchas decisiones que tomar.
1. Esta solución la podemos tener con un firewall appliance (cisco,
watchguard, etc) en general con Hardware o con Software. Sabemos que la
primera es costosa, robusta y no muy versatil, además se sobreentiende que
optamos por software, de lo contrario no estarías preguntando en esta lista
:)
2. Si es software puede ser GNU/Linux u otro Sistema Operativo, ya te
ofrecieron una solución en Microsoft pero también hay opciones con FREEBSD y
muchas mas. Una vez más, como estamos aca, sabemos que estas pensando en
GNU/Linux y concretamente en UBUNTU. Advertencia: hay otras distros de
propósito específico para hacer lo que estamos pensando, te dan todo
preconfigurado, con interfaz gráfica unificada, etc... ENDIAN Firewall seria
una excelente opción, pero como estamos en esta lista y queremos aprehender
podemos intentar hacer una instalación mínima de ubuntu e ir agregando
servicios hasta obtener lo que queremos. Este seria el plan de trabajo:
Definir el direccionamiento de red para tus tres tarjetas con el fin de que
nuestra máquina se encargue del enrutamiento de paquetes.
Instalar Ubuntu Server: si la máquina tiene procesador de 64 bits
aprovéchalo.
Instalar software para gestionar el filtrado de paquetes (el firewall) te
recomiendo Shorewall
Instalar software para brindar la navegación, aca el proxy será squid.
Instalar un reporteador de navegación, por que vas a querer saber a donde
navega todo el mundo, esto es muy util para mostrar gestion a la gerencia, y
para detectar tráfico anómalo, etc..
Gestionar el contenido de la navegación, esto puede hacerse con ACL (listas
de control de acceso), en Squid tal como lo planteaba Daniel ó con Software
para este propósito: DansGuardian ó SquidGuard.
Vamos a dejar el tema ahi para que lo pienses, si optas por Ubuntu serán
como de tres dias a una semana de cacharreo, pruebas y errores, pero vas a
aprehender un montón y puedes contar con mi apoyo por este medio. Si optas
por Endian podrias resolver el tema en un dia, pero ... no aprenderas tanto.
Ánimo que el reto esta interesante, por cierto, olvidé aclarar que el equipo
que uses para este próposito deberia ser dedicado, es decir: solo va a
trabajar en este rol, no debería ser una estacíon de trabajo en la que se
hagan otras actividades y debes tener claro que la solución como tal hasta
ahora implica que el equipo se convierte en un punto unico de falla, debes
planear y documentar una contingencia para el servicio, eso si quieres ser
un buen SysAdmin.
Cordialmente,
--
Carlos Fajardo
Linux User: #217273
Ubuntu User: #6606
Seguridad de la Información
Administrador de Sistemas
Más información sobre la lista de distribución Ubuntu-co