PDF de programación - Control de acceso a Internet

Elkarnet

Control de Acceso a Internet

Versión: 2.0

Autor:
Alfredo Barrainkua Zallo

Fecha:
2006.eko Urtarrilak 19

Licencia:

CreativeCommons - ShareAlike
Resumen de licencia: English Castellano

Elkarnet

Índice de Contenidos
1. Configuración del cortafuegos........................................................................................... 4
2. Instalaciones de Software...................................................................................................4
3. La configuración básica de Squid...................................................................................... 5
4. Los acl de Squid................................................................................................................. 6
5. Script CGI.......................................................................................................................... 9
6. Configuración de Apache.................................................................................................11
7. Página web....................................................................................................................... 13
8. Servidor web como root................................................................................................... 15
9. Configuración automatica................................................................................................ 15
10. Configurción de los clientes...........................................................................................16
10.1.Microsoft Internet Explorer a mano....................................................................... 16
10.2.Microsoft Internet Explorer, con un controlador de dominio..................................16
10.3.Por medio de Firefox...............................................................................................19
10.4.Microsoft Internet Explorer y Firefox, con un fichero de configuración................ 19
10.5.Microsoft Internet Explorer y Firefox, buscando el archivo de configuración
automáticamente .............................................................................................................21
11. ClamAV antibirusa.........................................................................................................22
12. Diferencias entre las distribuciones de Linux................................................................ 26
13. Por Hacer........................................................................................................................26
14. Referencias.....................................................................................................................26
15. Autor...............................................................................................................................26

Elkarnet
Internet Atzipen Kontrola / Control de Acceso a Internet

Introducción

Nuestras aulas están llenas de ordenadores. Muchas de estas aulas contienen más de una
docena de ordenadores. El hecho de que estos ordenadores estén conectados
continuamente a Internet conlleva una serie de problemas, spyware, virus.. Además en
algunas asignaturas, para el trabajo de clase, la conexión a Internet es totalmente
necesaria; en otras en cambio, no es tan importante. Todo esto nos muestra la necesidad de
tener un control de acceso. Hay muchas formas de hacer este control de acceso. La más
normal suele ser cortar la conexión exterior en el cortafuegos. Esta solución supone un
problema. El cortafuegos no puede ser manipulado por cualquiera. Necesitamos otro
método diferente que sea mas flexible y por medio del cual cualquier profesor pueda
conectar una clase a Internet para ver paginas web y para poder utilizar el protocolo FTP,
y todo ello de una forma sencilla. Esto es lo que intentaremos hacer.

Como podemos ver en el dibujo utilizaremos el proxy squid para controlar el acceso. Por
medio de reglas de este proxy, concederemos o denegaremos el acceso. Para cambiar las
reglas utilizaremos un script CGI. Haremos este script en bash. Para controlar el script
utilizaremos una pagina web. El acceso a esta web será solamente posible desde los
ordenadores de los profesores y solo podrán acceder a ella los profesores habilitados para
ello.. Para entrar será necesario el nombre de usuario y una clave. Además de esto, al
mediodía y por la tarde todas las aulas volverán a su configuración por defecto por medio
del programa cron. Incluso intentaremos configurar los navegadores automáticamente.
Instalaremos el proxy en el cortafuegos. Squid hará pasar todos los documentos recibidos
con los protocolos HTTP y FTP a través del antivirus ClamAV.

A modo de ejemplo pondremos las siguientes condiciones. En nuestra escuela contamos
con 8 aulas para los alumnos. Disponemos de 4 subredes. Los IPs de los ordenadores han
de ser fijos ya que el acceso se permite o se deniega en base a el IP del cliente. Los IP fijos
se pueden adjudicar manualmente o por medio del DHCP. Cada aula dispondrá de 16
direcciones . La dirección del instructor para esa subred será 172.16.1.1.El dominio será
nire-eskola.net .

Las instalaciones de prueba se han hecho utilizando SUSE 9.0 y 9.2 professional pero a

26tik, 3. Orrialdea / Página 3 de 26

Elkarnet
Internet Atzipen Kontrola / Control de Acceso a Internet

aparte de la instalación de software, supongo que la configuración y el funcionamiento
serán similares a las de cualquier distribución de Linux.

Todo tipo de consejos para mejorar el sistema serán bienvenidos!

Subredes

Profesores
Alumnos
Direccion
Servidores

Subredes escolares

Grupos IP

172.16.0.0/24
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24

Direcciones de las aulas del alumnado
Aulas

Grupos IP

172.16.1.17 -> 172.16.1.32
172.16.1.33 -> 172.16.1.48
172.16.1.49 -> 172.16.1.64
172.16.1.65 -> 172.16.1.80
172.16.1.81 -> 172.16.1.96
172.16.1.97 -> 172.16.1.112
172.16.1.113 -> 172.16.1.128
172.16.1.129 -> 172.16.1.144

Aula-01
Aula-02
Aula-03
Aula-04
Aula-05
Aula-06
Aula-07
Aula-08

1. Configuración del cortafuegos

Habíamos dicho que íbamos a instalar el proxy en el cortafuegos, por lo tanto debemos
dejar que los paquetes entren en la maquina. Para hacer eso deberemos cambiar la política
de reglas del cortafuegos.

En la sección Policy del cortafuegos pondremos:

Destination

Service

Action

Source
Profesores
Alumnos
Dirección
Servidores

Firewall

Squid (3128)

Accept

2. Instalaciones de Software

Los paquetes que deben ser instalados son squid y apache2 Instalaremos además el
módulo php de apache, pues se necesita para procesar la página de aviso de birus.

Para instalar squid (en SUSE):

#yast --install squid

26tik, 4. Orrialdea / Página 4 de 26

Elkarnet
Internet Atzipen Kontrola / Control de Acceso a Internet

SUSE instala y crea los directorios cache. Si tienes otra distribución de Linux deberás
crear manualmente los directorios cache (puede tardar unos minutos). Para eso se utiliza la
siguiente orden:

#squid -z

Y para iniciar squid al arrancar la máquina:

#ln -s ../squid /etc/init.d/rc3.d/S16squid
#ln -s ../squid /etc/init.d/rc3.d/K05squid
#ln -s ../squid /etc/init.d/rc5.d/S16squid
#ln -s ../squid /etc/init.d/rc5.d/K05squid

Para instalar apache y mod_apache (en SUSE):

#yast -–install apache2-prefork apache2-mod_php4

Si no se instalan automaticamente lo vínculos para iniciar:

#ln -s ../apache2 /etc/init.d/rc3.d/S17apache2
#ln -s ../apache2 /etc/init.d/rc3.d/K04apache2
#ln -s ../apache2 /etc/init.d/rc5.d/S17apache2
#ln -s ../apache2 /etc/init.d/rc5.d/K04apache2

De otro modo:

#chkconfig apache2 on

3. La configuración básica de Squid

En SUSE Linux, squid viene completamente configurado. El archivo de configuración es
/etc/squid/squid.conf. Si quieres experimentar aquí tienes algunos parametros que se
pueden cambiar:

cache_mem 64 MB
maximum_object_size 8192 KB
maximum_object_size_in_memory 32 KB
ipcache_size 4096
fqdncache_size 4096

Conviene cambiar los siguientes:

26tik, 5. Orrialdea / Página 5 de 26

Elkarnet
Internet Atzipen Kontrola / Control de Acceso a Internet

ftp-user [email protected]
cache_mgr [email protected]

Le diremos en que puerto ha de esperar (aquí pondremos las subredes internas de la
escuela). Esto es importante ya que de esta forma el squid no hará caso de las peticiones
hechas desde fuera de la red (aunque esto no ocurrirá si el cortafuegos está correctamente
configurado).

http_port 172.16.0.1:3128
http_port 172.16.1.1:3128
http_port 172.16.2.1:3128
http_port 172.16.3.1:3128

Probaremos ahora si hemos cometido algún error. Para ello disponemos de una orden para
examinar la configuración del archivo.:

#squid -k parse

Si todo ha ido bien podemos probar el proxy. Al instalar el proxy en el archivo de
configuración, SUSE dará permiso a todas las maquinas de nuestra red. Si no es ese tu
caso, dale permiso manualmente o sigue hacia delante porque más adelante veremos cómo
se cambian los permisos. Para probar, desde un ordenador de los alumnos, cambia las
preferencias del navegador web y dile al ordenador que tiene el proxy en el puerto 3128
del IP del cortafuegos. Buena suerte!

4. Los acl de Squid

Los acl (Access Control Lists) se utilizan para controlar quién puede usar el squid y quién
no. Utilizaremos este sistema para controlar el acceso a Internet. Squid evalúa los acl en
el orden determinado.

Todos conocemos los problemas que en los navegadores web (léase MS IE) ocasionan los
suplementos que muchas veces se instalan sin saber. Teniendo esto en cuenta, pondremos
tres tipos de acl en nuestro proxy. En primer lugar pondremos las direcciones que no se
deben cachear. Por ejemplo los periódicos y la información meteorológica. Seguidamente
pondremos las hojas web institucionales. Podemos dirigirnos a esos lugares con cualquier
navegador. Luego, denegaremos el acceso a los navegadores que no hayan sido puestos
por nosotros y por ultimo permitiremos o prohibiremos l