[U-co] restringir páginas web en empresa

[Carlos Fajardo]

On 03/21/2011 11:08 AM, Edwar J. Guzmán wrote:
> Utiliza Squid Guar, es una solucion Open Source y muy buena se adaptara a
> tus necesidades.
>
> El 20 de marzo de 2011 11:50, JHONATAN CANO FURAGARO <
> jhonatan.cano.f en gmail.com> escribió:
>
>> Buen día,
>>
>> El objetivo de la presente es plantearle el siguiente problema para ver
>> como
>> se podría solucionar usan herramientas libres.
>> En la empresa  donde trabajo actualmente está buscando la forma de bloquear
>> algunas páginas web para que los empleados no hagan mal uso del intenet en
>> horas laborales ( en hora de almuerzo se piensa quitar las restricciones a
>> algunas páginas).
>> En la empresa se tiene lo siguiente:
>> -Una troncal SIP
>> -Servicio LAN to LAN
>> -Internet con la misma empresa que prorciona la LAN to LAN.
>>
>> El servicio de LAN to LAN la usamos para registrarnos en el dominio de otra
>> empresa y poder descargar el correo usando Outlook, antes saliamos a
>> internet por la LAN to LAN donde la otra empresa tenía restringida una
>> serie
>> de páginas (ya que ellos tenían un proxy -  eso creo), pero ahora como se
>> tiene un servicio de internet y no usamos la LAN to LAN para internet estan
>> todas las páginas habilitadas.
>>
>> Para poder salir a internet y tambien registrarnos al Dominio de la otra
>> empresa, cada uno de los PC tienen dos direcciones IP, donde  "la puerta de
>> enlace predeterminada" de la IP principal apunta a el router (
>>
>> http://www.speedguide.net/routers/linksys-wrt51ab-dual-band-wireless-ab-broadband-745
>> ),
>> la otra IP se usa cuando nos registramos al dominio con el usuario.
>>
>>
>> Un amigo, que es técnico en sistemas y amante a buscar soluciones en
>> entorno
>> windows me dice que se debe usar dos tarjetas de red y comprar la licencia
>> de un programa para relizar esta tarea, pero me gustaría saber que
>> soluciones hay libres en este tema?,y en cuanto a las dos tarjetas me
>> imagino que de todos modos se debe tener.
>>
>> Espero haberme dado a entener bien mi problema.
>>
>> Muchas gracias a todos por sus comentarios y aportes a mi duda.
>>
>>
>>
>>
>> --
>> JHONATAN CANO FURAGARO
>> Ingeniero Forestal
>> Universidad Nacional de Colombia
>> Celular 300 430 45 46
>> --
>> Al escribir recuerde observar la etiqueta (normas) de esta lista:
>> http://ur1.ca/0uf7
>> Para cambiar su inscripción, vaya a "Cambio de opciones" en
>> http://ur1.ca/0uf9
>>
>
>
Noto con preocupación que mis respuestas no llegan a la lista...

Quisiera verificar, ya que di una respuesta amplia para este hilo:


Hola Jhonatan,

Solo para complementar un poco la respuesta de Daniel, efectivamente en
tu red debes instalar un equipo con mas tarjetas de red. En el entorno
que describes yo recomiendo 3. De esa forma asignas una interfaz de red
a cada zona, y ya que estamos hablando de zonas hay que decirlo con
nombre propio: el equipo que vas a montar para la interconexión de tus
redes tiene la función de firewall.

En ese orden de ideas, tienes 3 zonas para interconectar: la LAN, la WAN
(internet) y a la red remota vamos a llamarla rLAN.

El equipo que vas a montar en principio va hacer funciones de
Firewall/Router/Proxy, lo que vamos a garantizar es la interconexión de
esas zonas y que controles el tráfico entre esas zonas, no solo el
tráfico http, todo el tráfico; no creo que te agrade la idea que desde
la red remota o desde internet puedan acceder a los servicios e
información de tu LAN.

Desde ahora te advierto, en el diseño de la solución para el problema
planteado hay muchas decisiones que tomar.

1. Esta solución la podemos tener con un firewall appliance (cisco,
watchguard, etc) en general con Hardware o con Software. Sabemos que la
primera es costosa, robusta y no muy versatil, además se sobreentiende
que optamos por software, de lo contrario no estarías preguntando en
esta lista :)

2. Si es software puede ser GNU/Linux u otro Sistema Operativo, ya te
ofrecieron una solución en Microsoft pero también hay opciones con
FREEBSD y muchas mas. Una vez más, como estamos aca, sabemos que estas
pensando en GNU/Linux y concretamente en UBUNTU. Advertencia: hay otras
distros de propósito específico para hacer lo que estamos pensando, te
dan todo preconfigurado, con interfaz gráfica unificada, etc... ENDIAN
Firewall seria una excelente opción, pero como estamos en esta lista y
queremos aprehender podemos intentar hacer una instalación mínima de
ubuntu e ir agregando servicios hasta obtener lo que queremos. Este
seria el plan de trabajo:


Definir el direccionamiento de red para tus tres tarjetas con el fin de
que nuestra máquina se encargue del enrutamiento de paquetes.

Instalar Ubuntu Server: si la máquina tiene procesador de 64 bits
aprovéchalo.

Instalar software para gestionar el filtrado de paquetes (el firewall)
te recomiendo Shorewall

Instalar software para brindar la navegación, aca el proxy será squid.

Instalar un reporteador de navegación, por que vas a querer saber a
donde navega todo el mundo, esto es muy util para mostrar gestion a la
gerencia, y para detectar tráfico anómalo, etc..

Gestionar el contenido de la navegación, esto puede hacerse con ACL
(listas de control de acceso), en Squid tal como lo planteaba Daniel ó
con Software para este propósito: DansGuardian ó SquidGuard.


Vamos a dejar el tema ahi para que lo pienses, si optas por Ubuntu serán
como de tres dias a una semana de cacharreo, pruebas y errores, pero vas
a aprehender un  montón y puedes contar con mi apoyo por este medio. Si
optas por Endian podrias resolver el tema en un dia, pero ... no
aprenderas tanto.


Ánimo que el reto esta interesante, por cierto, olvidé aclarar que el
equipo que uses para este próposito deberia ser dedicado, es decir: solo
va a trabajar en este rol, no debería ser una estacíon de trabajo en la
que se hagan otras actividades y debes tener claro que la solución como
tal hasta ahora implica que el equipo se convierte en un punto unico de
falla, debes planear y documentar una contingencia para el servicio, eso
si quieres ser un buen SysAdmin.

Cordialmente,

-- 
Carlos Fajardo 
Linux User: #217273
Ubuntu User: #6606
Seguridad de la Información
Administrador de Sistemas