[U-co] restringir páginas web en empresa
JHONATAN CANO FURAGARO
jhonatan.cano.f en gmail.com
Lun Mar 21 23:50:48 UTC 2011
2011/3/21 Carlos Fajardo <carlos.fajardo en gmail.com>
> On 03/21/2011 02:40 PM, JHONATAN CANO FURAGARO wrote:
> > 2011/3/21 Carlos Fajardo <carlos.fajardo en gmail.com>
> >
> >>
> >> On 03/21/2011 02:05 PM, JHONATAN CANO FURAGARO wrote:
> >>> Hola Jhonatan,
> >>>
> >>> Descarga Ubuntu Server 10.10, por defecto viene sin modo gráfico, claro
> >>> que lo puedes instalar con un apt-get, pero no lo vas a necesitar, es
> >>> muy raro que en un server este activo el modo gráfico, consume
> recursos.
> >>>
> >>> La instalación, configuración y gestión puede hacerse totalmente desde
> >>> la linea de comandos, al final podemos agregar una interfaz web para la
> >>> administración
> >>> ___________________________________
> >>>
> >>>
> >>> Muchas gracais por tu respuesta,
> >>>
> >>> Ya está finalizando la descarga, y mañana en la ofician empiezo a
> >> realizar
> >>> la instalación en la oficina y empezaré a configurar las tarjetas de
> red
> >> y
> >>> despues instalar cada uno de los aplicativos que mencionas.
> >>> Cual interfaz web me recomiendas para la administración? (me estoy
> >>> adelantando mucho, pero la curiosidad es grande)
> >>>
> >>>
> >>> Saludos.
> >> Hola Jhonatan,
> >>
> >> Preparemos la configuración de red.
> >>
> >> Cual es la red de tu LAN? 192.168.1.0/24 ?
> >> Eso nos permitirá definir una ip para el firewall
> >>
> >> Cual es la red remota ?
> >> Cual es el gateway que te permite comunicarte con la red remota?
> >> dirección IP?
> >> Esto nos permitirá definir la ruta para la red remota
> >>
> >> Cual es el gateway que te saca a internet?
> >> ese va a ser el gateway por defecto de tu red
> >>
> >> Físicamente las cosas seran asi:
> >>
> >> La tarjeta de red de la zona WAN irá al router de internet
> >> La tarjeta de red de la zona rLAN irá al router que te lleva a la red
> >> remota
> >> La tarjeta de red que queda ira al switch de tu LAN.
> >>
> >> y con respecto a lo gráfico, si bien no me gusta mucho... webmin tiene
> >> modulos para todo lo que necesitamos:
> >>
> >> Firewall: shorewall
> >> Proxy: squid
> >> reporteador de trafico: sarg
> >> Control de contenido: squidguard
> >>
> >> Cordialmente,
> >>
> >> --
> >> Carlos Fajardo
> >> Linux User: #217273
> >> Ubuntu User: #6606
> >> Seguridad de la Información
> >> Administrador de Sistemas
> >>
> >>
> >> --
> >> Al escribir recuerde observar la etiqueta (normas) de esta lista:
> >> http://ur1.ca/0uf7
> >> Para cambiar su inscripción, vaya a "Cambio de opciones" en
> >> http://ur1.ca/0uf9
> >>
> >
> > Hola Carlos,
> >
> > Hombre, va enserio que me vas a dar una mano, pero por lo pronto no tengo
> > toda la información disponible en mi casa, pero mañana a primero ahora
> que
> > llegue te brindo la información, por cierto, documentaré todo lo que
> haga
> > para futuros usuarios que estén interesado en implementar un servidor de
> > éste tipo (es un comprimiso con Carlos y la Comunidad).
> >
> > Para empezar cuando estoy instalando Ubuntu Server, da la opción de
> instalar
> > una series de programas como: DNS Server, LAMP Server, Mail Server,
> OpenSSH
> > Server, PostgreSQL Databse Print Server, Samba File Server, Tomcat Java
> > Server, Virtual Machine Host...se que debemos tener instalado Apache y me
> > imagino que tambien una base de datos, que tenga PHP entre otras cosas,
> es
> > preferible instalar desde aquí LAMP Server? o lo hago por separado?
> >
> > Se que por ejemplo para openssl se instala así: *aptitude install
> > openssl-server* pero no se que tan tedioso sea instalar de forma
> > individual Apache, MySQL y PHP, por eso es mi pregunta de arriba.
> >
> >
> >
> > Muchas gracias.
> >
> >
> Hola Jhonatan,
>
> Un par de premisas:
>
> 1. En una instalación, tomando en cuenta consideraciones de seguridad,
> optamos por instalaciones mínimas y vamos instalando solo lo que
> necesitamos. De esa forma tenemos control de que los servicios y
> paquetes que tiene nuestro servidor, optimizamos recursos de storage y
> de memoria. Es tristemente frecuente encontrar instalaciones, incluso en
> entornos corporativos, donde al no saber que dependencias se puedan
> necesitar el implementador instaló todo lo que le ofrecía la
> distribución. Estas instalaciones entrañan problemas de desempeño,
> conflictos de software, hay servicios no gestionados, y son un escenario
> con vulnerabilidades sobre las que puede construirse un perfil de riesgo
> para el entorno al que pertenezcan.
>
> 2. En literatura tradicional sobre firewalls, Linux Firewalls de Robert
> L. Ziegler por ejemplo, se plantea como criterio de diseño la disyuntiva
> de: Permitirlo todo y denegar lo que no se desea Vs. Denegarlo todo y
> solo habilitar acceso a lo que se desea. A la luz de Buenas Prácticas
> debe considerarse el principio de acceso mínimo
> (http://en.wikipedia.org/wiki/Least_privilege) también conocido como
> "necesidad de conocer" (http://en.wikipedia.org/wiki/Need_to_know). Asi
> que frente a esa disyuntiva vamos a preferir denegar todo acceso y
> habilitar de forma controlada los accesos que deseemos.
>
> Efectivamente la instalación de Ubuntu Server incluye la interfaz
> tasksel, un selector de tareas para el gestor de paquetes. Sirve para
> automatizar tareas de instalación de servicios, también esta disponible
> en ubuntu Desktop desde repositorios (apt-get install tasksel) y como
> bien lo dices es la mejor manera de instalar un LAMP por ejm. pero al
> llegar ahí nos vamos a limitar a escoger el OpenSSH Server y nada mas
> por ahora :).
>
> Y me parece muy positivo el compromiso, entre todos podemos hacer un
> HowTo para este tipo de configuraciones. Bienvenidos los aportes.
>
> Cordialmente,
>
> --
> Carlos Fajardo
> Linux User: #217273
> Ubuntu User: #6606
> Seguridad de la Información
> Administrador de Sistemas
>
>
>
>
> --
> Al escribir recuerde observar la etiqueta (normas) de esta lista:
> http://ur1.ca/0uf7
> Para cambiar su inscripción, vaya a "Cambio de opciones" en
> http://ur1.ca/0uf9
>
Buenas noches Carlos,
Muchas gracias por los tips, muchas veces hago eso, instalo más de lo que se
necesita... y no tenía en cuenta las premisas mencionadas "Permitirlo todo y
denegar lo que no se desea Vs. Denegarlo todo y solo habilitar acceso a lo
que se desea" pues de esta forma se tendrá control de todo lo que se
instala.
De todos modos ya he probado la forma de instalar Apache2, MySQL y PHP de
forma independiente y todo funciona bien... de forma adicional instalé
phpmyadmin y tambien funciona. Por otro lado he visto en algunos videos de
youtube el comando tasksel para instalar *lamp-server*.
Sobre la marcha me irás diciendo que instalar, en cuanto a tu sugerencia de
instalar openssh-server lo instalé usando *aptitude install
openssh-server*y probe putty para acceder al servidor de prueba que
tengo en VirtualBOX.
Muchas gracias Carlos.
--
JHONATAN CANO FURAGARO
Ingeniero Forestal
Universidad Nacional de Colombia
Celular 300 430 45 46
Más información sobre la lista de distribución Ubuntu-co