[U-co] restringir páginas web en empresa

Carlos Fajardo carlos.fajardo en gmail.com
Lun Mar 21 22:46:35 UTC 2011 

On 03/21/2011 02:40 PM, JHONATAN CANO FURAGARO wrote:
> 2011/3/21 Carlos Fajardo <carlos.fajardo en gmail.com>
>
>>
>> On 03/21/2011 02:05 PM, JHONATAN CANO FURAGARO wrote:
>>> Hola Jhonatan,
>>>
>>> Descarga Ubuntu Server 10.10, por defecto viene sin modo gráfico, claro
>>> que lo puedes instalar con un apt-get, pero no lo vas a necesitar, es
>>> muy raro que en un server este activo el modo gráfico, consume recursos.
>>>
>>> La instalación, configuración y gestión puede hacerse totalmente desde
>>> la linea de comandos, al final podemos agregar una interfaz web para la
>>> administración
>>> ___________________________________
>>>
>>>
>>> Muchas gracais por tu respuesta,
>>>
>>> Ya está finalizando la descarga, y mañana en la ofician empiezo a
>> realizar
>>> la instalación en la oficina y empezaré a configurar las tarjetas de red
>> y
>>> despues instalar cada uno de los aplicativos que mencionas.
>>> Cual interfaz web me recomiendas para la administración? (me estoy
>>> adelantando mucho, pero la curiosidad es grande)
>>>
>>>
>>> Saludos.
>> Hola Jhonatan,
>>
>> Preparemos la configuración de red.
>>
>> Cual es la red de tu LAN? 192.168.1.0/24 ?
>> Eso nos permitirá definir una ip para el firewall
>>
>> Cual es la red remota ?
>> Cual es el gateway que te permite comunicarte con la red remota?
>> dirección IP?
>> Esto nos permitirá definir la ruta para la red remota
>>
>> Cual es el gateway que te saca a internet?
>> ese va a ser el gateway por defecto de tu red
>>
>> Físicamente las cosas seran asi:
>>
>> La tarjeta de red de la zona WAN irá al router de internet
>> La tarjeta de red de la zona rLAN irá al router que te lleva a la red
>> remota
>> La tarjeta de red que queda ira al switch de tu LAN.
>>
>> y con respecto a lo gráfico, si bien no me gusta mucho... webmin tiene
>> modulos para todo lo que necesitamos:
>>
>> Firewall: shorewall
>> Proxy: squid
>> reporteador de trafico: sarg
>> Control de contenido: squidguard
>>
>> Cordialmente,
>>
>> --
>> Carlos Fajardo
>> Linux User: #217273
>> Ubuntu User: #6606
>> Seguridad de la Información
>> Administrador de Sistemas
>>
>>
>> --
>> Al escribir recuerde observar la etiqueta (normas) de esta lista:
>> http://ur1.ca/0uf7
>> Para cambiar su inscripción, vaya a "Cambio de opciones" en
>> http://ur1.ca/0uf9
>>
>
> Hola Carlos,
>
> Hombre, va enserio que me vas a dar una mano, pero por lo pronto no tengo
> toda la información disponible en mi casa, pero mañana a primero ahora que
> llegue te brindo la información, por cierto,  documentaré todo lo que haga
> para futuros usuarios que estén interesado en implementar un servidor de
> éste tipo (es un comprimiso con Carlos y la Comunidad).
>
> Para empezar cuando estoy instalando Ubuntu Server, da la opción de instalar
> una series de programas como: DNS Server, LAMP Server, Mail Server, OpenSSH
> Server, PostgreSQL Databse Print Server, Samba File Server, Tomcat Java
> Server, Virtual Machine Host...se que debemos tener instalado Apache y me
> imagino que tambien una base de datos, que tenga PHP entre otras cosas, es
> preferible instalar desde aquí LAMP Server? o lo hago por separado?
>
> Se que por ejemplo para openssl se instala así: *aptitude install
> openssl-server*     pero no se que tan tedioso sea instalar de forma
> individual Apache, MySQL y PHP, por eso es mi pregunta de arriba.
>
>
>
> Muchas gracias.
>
>
Hola Jhonatan,

Un par de premisas:

1. En una instalación, tomando en cuenta consideraciones de seguridad,
optamos por instalaciones mínimas y vamos instalando solo lo que
necesitamos. De esa forma tenemos control de que los servicios y
paquetes que tiene nuestro servidor, optimizamos recursos de storage y
de memoria. Es tristemente frecuente encontrar instalaciones, incluso en
entornos corporativos, donde al no saber que dependencias se puedan
necesitar el implementador instaló todo lo que le ofrecía la
distribución. Estas instalaciones entrañan problemas de desempeño,
conflictos de software, hay servicios no gestionados, y son un escenario
con vulnerabilidades sobre las que puede construirse un perfil de riesgo
para el entorno al que pertenezcan.

2. En literatura tradicional sobre firewalls, Linux Firewalls de Robert
L. Ziegler por ejemplo, se plantea como criterio de diseño la disyuntiva
de: Permitirlo todo y denegar lo que no se desea Vs. Denegarlo todo y
solo habilitar acceso a lo que se desea.  A la luz de Buenas Prácticas
debe considerarse el principio de acceso mínimo
(http://en.wikipedia.org/wiki/Least_privilege) también conocido como
"necesidad de conocer" (http://en.wikipedia.org/wiki/Need_to_know). Asi
que frente a esa disyuntiva vamos a preferir denegar todo acceso y
habilitar de forma controlada los accesos que deseemos.

Efectivamente la instalación de Ubuntu Server incluye la interfaz
tasksel, un selector de tareas para el gestor de paquetes. Sirve para
automatizar tareas de instalación de servicios, también esta disponible
en ubuntu Desktop desde repositorios (apt-get install tasksel) y como
bien lo dices es la mejor manera de instalar un LAMP por ejm. pero al
llegar ahí nos vamos a limitar a escoger el OpenSSH Server y nada mas
por ahora :).

Y me parece muy positivo el compromiso, entre todos podemos hacer un
HowTo para este tipo de configuraciones. Bienvenidos los aportes.

Cordialmente,

--
Carlos Fajardo
Linux User: #217273
Ubuntu User: #6606
Seguridad de la Información
Administrador de Sistemas

Más información sobre la lista de distribución Ubuntu-co