Implementacin firewall Plataforma Ubuntu 9.4

Dansguardian

PorJassen Castillo Ren Gonzales Juan Suazo

SEGURIDAD REDES E INFORMATICA

ACI 914 - 271

Profesor: Miguel Sanhueza Olave

Introduccin

En el presente informe daremos un acercamiento al mundo de los firewall, ms precisamente con el programa Dansguardian el cual utilizaremos en la plataforma Ubuntu 9.4.Este programa nos permite denegar pginas en base a su nombre u/o ip, de fcil uso ya que su manejo solo se limita a texto plano, el cual puede ser modificado sin mayores reparos, todo esto explicado a continuacin, desde su instalacin hasta su uso y configuracin.

Implementacin Filtro de Contenidos

La idea principal de este filtro de contenidos es: Distribuir en forma controlada el flujo de Internet al interior de la organizacin Definir una ruta nica para navegar Permitir el filtrado de contenidos al interior de la organizacin Implementar una alternativa de bajo costo a esta necesidadIndependiente de la distribucin Linux a utilizar, se requiere instalar los siguientesSoftware:

Squid [Proxy + Proxy Transparente] Dansguardian [Filtro de Contenidos] ClamAv [Antivirus]

Para lograr una distribucin ms ordenada, recomendamos que los equipos que estarn Tras el filtro, dispongan de direccionamiento IP fijo, o en su defecto, servicio DHCP asociando IPs a direcciones MAC conocidas. Esta recomendacin es para lograr un orden al Momento de filtrar/excluir equipos, obteniendo una administracin ms simplificada.Para dar inicio a este informe, se recomienda que se determine una maquinaExclusiva para este fin, de preferencia con tarjeta de red de buena congestin, a modo de optimizar el trfico. No es necesario tener 2 tarjetas, se puede trabajar perfectamente con una.Primero, debemos asignar una IP fija a nuestro filtro, Esto debido a que no podemos cambiar la ip del mismo durante su funcionamiento, puesto que la configuracin de las estaciones se vera directamente afectada. Para nuestro ejemplo usaremos la red base 10.20.21.0/24 con la IP 10.20.21.38 para nuestro filtro.

Etapa 01 Configurando Squid

Squid es el software encargado de trabajar como proxy de la Red. En general laConfiguracin de squid es relativamente simple. Debemos editar el archivo deConfiguracin /etc/squid/squid.conf . En este archivo se encuentra la configuracin general del proxy. Para configurar, agregar o editar las lneas a lo siguiente:

acl labcomp src 10.20.21.0/24http_access allow labcompicp_access allow labcomphttp_port 10.20.21.38:3129 transparentcache_mem 2100 MBcache_dir ufs /var/spool/squid 2500 64 256maximum_object_size 51200 KB

Posterior a eso, de preferencia en una consola, ejecutamos squid -D, para crear la cache para su primer uso.Luego probamos el funcionamiento del proxy, asignando en algn equipo cualquiera, en las opciones del navegador la direccin IP del filtro 10.20.21.38 y el puerto asignado en squid, en este caso 3129. podemos revisar el trfico a travs del filtro al revisar el archivo de registro:

/var/log/squid/access.log

Si todo esta OK, continuamos con el filtro de contenidos.

Etapa 02 Configurando Dansguardian + ClamAV

Dansguardian es el software encargado de filtrar contenidos de internet (su instalacin se debe hacer en modo de sper usuario en una terminal aptitude install dansguardian ) Uno de los aspectos ms complejos puesto que los filtros trabajan en base a criterios fijos. ClamAv es el software de Antivirus. Este software en conjunto son una herramienta ideal al interior de cualquier organizacin.La configuracin de Dansguardian recae en un archivo plano, ubicado en /etc/dansguardian/dansguardian.conf. Fundamentalmente debemos cambiar lossiguientes datos:

reportinglevel = 3language = 'spanish'loglevel = 3logfileformat = 3filterip = 192.168.100.2filterport = 3128proxyip = 192.168.100.2proxyport = 3129contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'

Posterior a ello iniciamos el servicio. Ante cualquier modificacin, se deber siempre reiniciar el servicio.Lo ms importante de Dansguardian es que trabaja con listas planas, sea, textodirecto. En la carpeta /etc/dansguardian/lists/ se encuentran todas las polticas queutilizara dansguardian. A modo de ejemplo el archivo bannedsitelist [lista de sitiosdenegados] encontraremos una lista de sitios bloqueados, con la opcin, al final del archivo de importar listas pre-establecidas.A modo de ejemplo, en el mismo archivo si agregamos directamente la lneayoutube.com, bloqueara el sitio en cuestin. Si por otra parte descomentamos [quitamos el signo #] a la lnea

#.Include

bloqueara todo lo incluido en dicho archivo blacklists/adult/domains.Dichas listas pueden ser obtenidas en sitios de internet creadas para este uso.Finalmente, para probar el filtro de contenidos, debemos asignar en algn equipocualquiera, en las opciones del navegador la direccin IP del filtro 10.20.21.38 y el puerto asignado en dansguardian, en este caso 3128. podemos revisar el trfico a travs del filtro al revisar el archivo de registro:/var/log/dansguardian/access.logEs importante, que cada vez que se agreguen o retiren dominios o sitios abloquear, se deber reiniciar el servicio dansguardianAnexo 01 Evitar Saltar el Filtro

Se recomienda agregar las siguientes lneas como polticas fijas del firewall local, a modo de evitar que algn usuario se salte nuestro filtro de contenidos(todo esto en la terminal):

iptables -A INPUT -m tcp -p tcp -i eth0 ! -s 192.168.100.2 --dport 3129 -j DROP

iptables -t nat -A PREROUTING -m tcp -p tcp -i eth0 -s 192.168.100.0/24 dport 80-j

REDIRECT --to-port 3128

Conclusiones Dansguardian nos pareci un programa muy til a la hora de bloqueos simples de pginas web, sin ser un programa muy robusto, es de gran ayuda ya que, por su fcil uso, hace ms dinmica la seguridad para organizaciones pequeas. Otro punto a favor es que su uso es totalmente libre lo cual lo hace una gran opcin a la hora de querer implementarse como firewall y abaratar costos, lo cual es una gran ventaja en estos das.