[U-co] restringir páginas web en empresa
JHONATAN CANO FURAGARO
jhonatan.cano.f en gmail.com
Lun Mar 21 17:37:10 UTC 2011
2011/3/21 Carlos Alberto Fajardo Porras <carlos.fajardo en gmail.com>
> 2011/3/20 Daniel Rodriguez Rodriguez <danielrodriguezrodriguez en gmail.com>
>
> > 2011/3/20 JHONATAN CANO FURAGARO <jhonatan.cano.f en gmail.com>
> >
> > > Buen día,
> > >
> > > El objetivo de la presente es plantearle el siguiente problema para ver
> > > como
> > > se podría solucionar usan herramientas libres.
> > > En la empresa donde trabajo actualmente está buscando la forma de
> > bloquear
> > > algunas páginas web para que los empleados no hagan mal uso del intenet
> > en
> > > horas laborales ( en hora de almuerzo se piensa quitar las
> restricciones
> > a
> > > algunas páginas).
> > > En la empresa se tiene lo siguiente:
> > > -Una troncal SIP
> > > -Servicio LAN to LAN
> > > -Internet con la misma empresa que prorciona la LAN to LAN.
> > >
> > > El servicio de LAN to LAN la usamos para registrarnos en el dominio de
> > otra
> > > empresa y poder descargar el correo usando Outlook, antes saliamos a
> > > internet por la LAN to LAN donde la otra empresa tenía restringida una
> > > serie
> > > de páginas (ya que ellos tenían un proxy - eso creo), pero ahora como
> se
> > > tiene un servicio de internet y no usamos la LAN to LAN para internet
> > estan
> > > todas las páginas habilitadas.
> > >
> > > Para poder salir a internet y tambien registrarnos al Dominio de la
> otra
> > > empresa, cada uno de los PC tienen dos direcciones IP, donde "la
> puerta
> > de
> > > enlace predeterminada" de la IP principal apunta a el router (
> > >
> > >
> >
> http://www.speedguide.net/routers/linksys-wrt51ab-dual-band-wireless-ab-broadband-745
> > > ),
> > > la otra IP se usa cuando nos registramos al dominio con el usuario.
> > >
> > >
> > > Un amigo, que es técnico en sistemas y amante a buscar soluciones en
> > > entorno
> > > windows me dice que se debe usar dos tarjetas de red y comprar la
> > licencia
> > > de un programa para relizar esta tarea, pero me gustaría saber que
> > > soluciones hay libres en este tema?,y en cuanto a las dos tarjetas me
> > > imagino que de todos modos se debe tener.
> > >
> > > Espero haberme dado a entener bien mi problema.
> > >
> > > Muchas gracias a todos por sus comentarios y aportes a mi duda.
> > >
> > >
> > >
> > >
> > > --
> > > JHONATAN CANO FURAGARO
> > > Ingeniero Forestal
> > > Universidad Nacional de Colombia
> > > Celular 300 430 45 46
> > > --
> > > Al escribir recuerde observar la etiqueta (normas) de esta lista:
> > > http://ur1.ca/0uf7
> > > Para cambiar su inscripción, vaya a "Cambio de opciones" en
> > > http://ur1.ca/0uf9
> > >
> >
> > Hola Jhonatan,
> >
> > Puedes comenzar instalando squid sobre linux http://www.squid-cache.org/
> ,
> > lo
> > de las 2 tarjetas es para que por una tengas la interfaz LAN y por la
> otra
> > conectes el router que te de salida a internet, con squid puedes crear
> ACL
> > restringir sitios web por URL, dominio, por direcciones ip, direcciones
> MAC
> > e incluso reglas según la hora.
> >
> >
> >
> > --
> > Daniel Rodriguez
> > Webmaster
> > www.hotfixed.net
> > movil: 3164282708
> > twitter: @dvirus
> > --
> > Al escribir recuerde observar la etiqueta (normas) de esta lista:
> > http://ur1.ca/0uf7
> > Para cambiar su inscripción, vaya a "Cambio de opciones" en
> > http://ur1.ca/0uf9
> >
>
>
>
> Hola Jhonatan,
>
> Solo para complementar un poco la respuesta de Daniel, efectivamente en tu
> red debes instalar un equipo con mas tarjetas de red. En el entorno que
> describes yo recomiendo 3. De esa forma asignas una interfaz de red a cada
> zona, y ya que estamos hablando de zonas hay que decirlo con nombre propio:
> el equipo que vas a montar para la interconexión de tus redes tiene la
> función de firewall.
>
> En ese orden de ideas, tienes 3 zonas para interconectar: la LAN, la WAN
> (internet) y a la red remota vamos a llamarla rLAN.
>
> El equipo que vas a montar en principio va hacer funciones de
> Firewall/Router/Proxy, lo que vamos a garantizar es la interconexión de
> esas
> zonas y que controles el tráfico entre esas zonas, no solo el tráfico http,
> todo el tráfico; no creo que te agrade la idea que desde la red remota o
> desde internet puedan acceder a los servicios e información de tu LAN.
>
> Desde ahora te advierto, en el diseño de la solución para el problema
> planteado hay muchas decisiones que tomar.
>
> 1. Esta solución la podemos tener con un firewall appliance (cisco,
> watchguard, etc) en general con Hardware o con Software. Sabemos que la
> primera es costosa, robusta y no muy versatil, además se sobreentiende que
> optamos por software, de lo contrario no estarías preguntando en esta lista
> :)
>
> 2. Si es software puede ser GNU/Linux u otro Sistema Operativo, ya te
> ofrecieron una solución en Microsoft pero también hay opciones con FREEBSD
> y
> muchas mas. Una vez más, como estamos aca, sabemos que estas pensando en
> GNU/Linux y concretamente en UBUNTU. Advertencia: hay otras distros de
> propósito específico para hacer lo que estamos pensando, te dan todo
> preconfigurado, con interfaz gráfica unificada, etc... ENDIAN Firewall
> seria
> una excelente opción, pero como estamos en esta lista y queremos aprehender
> podemos intentar hacer una instalación mínima de ubuntu e ir agregando
> servicios hasta obtener lo que queremos. Este seria el plan de trabajo:
>
>
> Definir el direccionamiento de red para tus tres tarjetas con el fin de que
> nuestra máquina se encargue del enrutamiento de paquetes.
>
> Instalar Ubuntu Server: si la máquina tiene procesador de 64 bits
> aprovéchalo.
>
> Instalar software para gestionar el filtrado de paquetes (el firewall) te
> recomiendo Shorewall
>
> Instalar software para brindar la navegación, aca el proxy será squid.
>
> Instalar un reporteador de navegación, por que vas a querer saber a donde
> navega todo el mundo, esto es muy util para mostrar gestion a la gerencia,
> y
> para detectar tráfico anómalo, etc..
>
> Gestionar el contenido de la navegación, esto puede hacerse con ACL (listas
> de control de acceso), en Squid tal como lo planteaba Daniel ó con Software
> para este propósito: DansGuardian ó SquidGuard.
>
>
> Vamos a dejar el tema ahi para que lo pienses, si optas por Ubuntu serán
> como de tres dias a una semana de cacharreo, pruebas y errores, pero vas a
> aprehender un montón y puedes contar con mi apoyo por este medio. Si optas
> por Endian podrias resolver el tema en un dia, pero ... no aprenderas
> tanto.
>
>
> Ánimo que el reto esta interesante, por cierto, olvidé aclarar que el
> equipo
> que uses para este próposito deberia ser dedicado, es decir: solo va a
> trabajar en este rol, no debería ser una estacíon de trabajo en la que se
> hagan otras actividades y debes tener claro que la solución como tal hasta
> ahora implica que el equipo se convierte en un punto unico de falla, debes
> planear y documentar una contingencia para el servicio, eso si quieres ser
> un buen SysAdmin.
>
> Cordialmente,
>
> --
> Carlos Fajardo
> Linux User: #217273
> Ubuntu User: #6606
> Seguridad de la Información
> Administrador de Sistemas
> --
> Al escribir recuerde observar la etiqueta (normas) de esta lista:
> http://ur1.ca/0uf7
> Para cambiar su inscripción, vaya a "Cambio de opciones" en
> http://ur1.ca/0uf9
>
Buen día Carlos Fajardo,
Muchas gracias por tu extendida respuesta, la verdad me has brindado un
norte mucho más de lo que pensaba y me deja muy contento en contar con la
ayuda de personas como tu, pues bien, la idea es logicamente usar un
computador dedicado como lo planteas y ya con la aclaración que haces
entonces usaremos tres tarjetas de red.
En la oficina tienen un computador Pentium IV con 2 GB de RAM, con 40 GB de
DD (esto se va ampliar) pero por ahora para hacer las pruebas empezaremos
con las 40.
Voy a descargar Ubuntu server 10.04 y la instalaré sin escritorio o me
recomiendas con GNOME o KDE?
Muchas gracias por su colaboración.
--
JHONATAN CANO FURAGARO
Ingeniero Forestal
Universidad Nacional de Colombia
Celular 300 430 45 46
Más información sobre la lista de distribución Ubuntu-co