[U-co] restringir páginas web en empresa
Carlos Fajardo
carlos.fajardo en gmail.com
Lun Mar 21 18:59:50 UTC 2011
On 03/21/2011 12:37 PM, JHONATAN CANO FURAGARO wrote:
> 2011/3/21 Carlos Alberto Fajardo Porras <carlos.fajardo en gmail.com>
>
>> 2011/3/20 Daniel Rodriguez Rodriguez <danielrodriguezrodriguez en gmail.com>
>>
>>> 2011/3/20 JHONATAN CANO FURAGARO <jhonatan.cano.f en gmail.com>
>>>
>>>> Buen día,
>>>>
>>>> El objetivo de la presente es plantearle el siguiente problema para ver
>>>> como
>>>> se podría solucionar usan herramientas libres.
>>>> En la empresa donde trabajo actualmente está buscando la forma de
>>> bloquear
>>>> algunas páginas web para que los empleados no hagan mal uso del intenet
>>> en
>>>> horas laborales ( en hora de almuerzo se piensa quitar las
>> restricciones
>>> a
>>>> algunas páginas).
>>>> En la empresa se tiene lo siguiente:
>>>> -Una troncal SIP
>>>> -Servicio LAN to LAN
>>>> -Internet con la misma empresa que prorciona la LAN to LAN.
>>>>
>>>> El servicio de LAN to LAN la usamos para registrarnos en el dominio de
>>> otra
>>>> empresa y poder descargar el correo usando Outlook, antes saliamos a
>>>> internet por la LAN to LAN donde la otra empresa tenía restringida una
>>>> serie
>>>> de páginas (ya que ellos tenían un proxy - eso creo), pero ahora como
>> se
>>>> tiene un servicio de internet y no usamos la LAN to LAN para internet
>>> estan
>>>> todas las páginas habilitadas.
>>>>
>>>> Para poder salir a internet y tambien registrarnos al Dominio de la
>> otra
>>>> empresa, cada uno de los PC tienen dos direcciones IP, donde "la
>> puerta
>>> de
>>>> enlace predeterminada" de la IP principal apunta a el router (
>>>>
>>>>
>> http://www.speedguide.net/routers/linksys-wrt51ab-dual-band-wireless-ab-broadband-745
>>>> ),
>>>> la otra IP se usa cuando nos registramos al dominio con el usuario.
>>>>
>>>>
>>>> Un amigo, que es técnico en sistemas y amante a buscar soluciones en
>>>> entorno
>>>> windows me dice que se debe usar dos tarjetas de red y comprar la
>>> licencia
>>>> de un programa para relizar esta tarea, pero me gustaría saber que
>>>> soluciones hay libres en este tema?,y en cuanto a las dos tarjetas me
>>>> imagino que de todos modos se debe tener.
>>>>
>>>> Espero haberme dado a entener bien mi problema.
>>>>
>>>> Muchas gracias a todos por sus comentarios y aportes a mi duda.
>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> JHONATAN CANO FURAGARO
>>>> Ingeniero Forestal
>>>> Universidad Nacional de Colombia
>>>> Celular 300 430 45 46
>>>> --
>>>> Al escribir recuerde observar la etiqueta (normas) de esta lista:
>>>> http://ur1.ca/0uf7
>>>> Para cambiar su inscripción, vaya a "Cambio de opciones" en
>>>> http://ur1.ca/0uf9
>>>>
>>> Hola Jhonatan,
>>>
>>> Puedes comenzar instalando squid sobre linux http://www.squid-cache.org/
>> ,
>>> lo
>>> de las 2 tarjetas es para que por una tengas la interfaz LAN y por la
>> otra
>>> conectes el router que te de salida a internet, con squid puedes crear
>> ACL
>>> restringir sitios web por URL, dominio, por direcciones ip, direcciones
>> MAC
>>> e incluso reglas según la hora.
>>>
>>>
>>>
>>> --
>>> Daniel Rodriguez
>>> Webmaster
>>> www.hotfixed.net
>>> movil: 3164282708
>>> twitter: @dvirus
>>> --
>>> Al escribir recuerde observar la etiqueta (normas) de esta lista:
>>> http://ur1.ca/0uf7
>>> Para cambiar su inscripción, vaya a "Cambio de opciones" en
>>> http://ur1.ca/0uf9
>>>
>>
>>
>> Hola Jhonatan,
>>
>> Solo para complementar un poco la respuesta de Daniel, efectivamente en tu
>> red debes instalar un equipo con mas tarjetas de red. En el entorno que
>> describes yo recomiendo 3. De esa forma asignas una interfaz de red a cada
>> zona, y ya que estamos hablando de zonas hay que decirlo con nombre propio:
>> el equipo que vas a montar para la interconexión de tus redes tiene la
>> función de firewall.
>>
>> En ese orden de ideas, tienes 3 zonas para interconectar: la LAN, la WAN
>> (internet) y a la red remota vamos a llamarla rLAN.
>>
>> El equipo que vas a montar en principio va hacer funciones de
>> Firewall/Router/Proxy, lo que vamos a garantizar es la interconexión de
>> esas
>> zonas y que controles el tráfico entre esas zonas, no solo el tráfico http,
>> todo el tráfico; no creo que te agrade la idea que desde la red remota o
>> desde internet puedan acceder a los servicios e información de tu LAN.
>>
>> Desde ahora te advierto, en el diseño de la solución para el problema
>> planteado hay muchas decisiones que tomar.
>>
>> 1. Esta solución la podemos tener con un firewall appliance (cisco,
>> watchguard, etc) en general con Hardware o con Software. Sabemos que la
>> primera es costosa, robusta y no muy versatil, además se sobreentiende que
>> optamos por software, de lo contrario no estarías preguntando en esta lista
>> :)
>>
>> 2. Si es software puede ser GNU/Linux u otro Sistema Operativo, ya te
>> ofrecieron una solución en Microsoft pero también hay opciones con FREEBSD
>> y
>> muchas mas. Una vez más, como estamos aca, sabemos que estas pensando en
>> GNU/Linux y concretamente en UBUNTU. Advertencia: hay otras distros de
>> propósito específico para hacer lo que estamos pensando, te dan todo
>> preconfigurado, con interfaz gráfica unificada, etc... ENDIAN Firewall
>> seria
>> una excelente opción, pero como estamos en esta lista y queremos aprehender
>> podemos intentar hacer una instalación mínima de ubuntu e ir agregando
>> servicios hasta obtener lo que queremos. Este seria el plan de trabajo:
>>
>>
>> Definir el direccionamiento de red para tus tres tarjetas con el fin de que
>> nuestra máquina se encargue del enrutamiento de paquetes.
>>
>> Instalar Ubuntu Server: si la máquina tiene procesador de 64 bits
>> aprovéchalo.
>>
>> Instalar software para gestionar el filtrado de paquetes (el firewall) te
>> recomiendo Shorewall
>>
>> Instalar software para brindar la navegación, aca el proxy será squid.
>>
>> Instalar un reporteador de navegación, por que vas a querer saber a donde
>> navega todo el mundo, esto es muy util para mostrar gestion a la gerencia,
>> y
>> para detectar tráfico anómalo, etc..
>>
>> Gestionar el contenido de la navegación, esto puede hacerse con ACL (listas
>> de control de acceso), en Squid tal como lo planteaba Daniel ó con Software
>> para este propósito: DansGuardian ó SquidGuard.
>>
>>
>> Vamos a dejar el tema ahi para que lo pienses, si optas por Ubuntu serán
>> como de tres dias a una semana de cacharreo, pruebas y errores, pero vas a
>> aprehender un montón y puedes contar con mi apoyo por este medio. Si optas
>> por Endian podrias resolver el tema en un dia, pero ... no aprenderas
>> tanto.
>>
>>
>> Ánimo que el reto esta interesante, por cierto, olvidé aclarar que el
>> equipo
>> que uses para este próposito deberia ser dedicado, es decir: solo va a
>> trabajar en este rol, no debería ser una estacíon de trabajo en la que se
>> hagan otras actividades y debes tener claro que la solución como tal hasta
>> ahora implica que el equipo se convierte en un punto unico de falla, debes
>> planear y documentar una contingencia para el servicio, eso si quieres ser
>> un buen SysAdmin.
>>
>> Cordialmente,
>>
>> --
>> Carlos Fajardo
>> Linux User: #217273
>> Ubuntu User: #6606
>> Seguridad de la Información
>> Administrador de Sistemas
>> --
>> Al escribir recuerde observar la etiqueta (normas) de esta lista:
>> http://ur1.ca/0uf7
>> Para cambiar su inscripción, vaya a "Cambio de opciones" en
>> http://ur1.ca/0uf9
>>
> Buen día Carlos Fajardo,
>
> Muchas gracias por tu extendida respuesta, la verdad me has brindado un
> norte mucho más de lo que pensaba y me deja muy contento en contar con la
> ayuda de personas como tu, pues bien, la idea es logicamente usar un
> computador dedicado como lo planteas y ya con la aclaración que haces
> entonces usaremos tres tarjetas de red.
>
> En la oficina tienen un computador Pentium IV con 2 GB de RAM, con 40 GB de
> DD (esto se va ampliar) pero por ahora para hacer las pruebas empezaremos
> con las 40.
>
> Voy a descargar Ubuntu server 10.04 y la instalaré sin escritorio o me
> recomiendas con GNOME o KDE?
>
>
> Muchas gracias por su colaboración.
>
Hola Jhonatan,
Descarga Ubuntu Server 10.10, por defecto viene sin modo gráfico, claro
que lo puedes instalar con un apt-get, pero no lo vas a necesitar, es
muy raro que en un server este activo el modo gráfico, consume recursos.
La instalación, configuración y gestión puede hacerse totalmente desde
la linea de comandos, al final podemos agregar una interfaz web para la
administración.
Cordialmente,
--
Carlos Fajardo
Linux User: #217273
Ubuntu User: #6606
Seguridad de la Información
Administrador de Sistemas
Más información sobre la lista de distribución Ubuntu-co