Configura Ubuntu, Proxmox, Zabbix & NethServer para entornos de Oficina
Menu

Activar Filtración del Servicio de Internet

3/18/2017

0 Comments

 
Picture
Última actualización:  4 de Febrero 2019.
Regresar
Picture

​Después de aplicar la configuración descrita en el artículo anterior "Control de Acceso a Estaciones de Trabajo", el Firewall de Nethserver restringe el tráfico de datos" en la "Red Privada" a las "Estaciones de Trabajo o Dispositivos", que no estén "Reservados/Activos" en el servicio DHCP.
​
Entonces el siguiente paso es activar la "Filtración del Servicio de Internet".


1.-  Instalación de Módulos "Web Filter" & "Web Proxy".

Picture
Gráfica 002  --  Instalación de Módulos "Web Filter" & "Web Proxy".

2.-  Configuración básica Módulo "Web Proxy".

Picture
Gráfica 003  --  Activar Servicio del módulo "Web Proxy"

Descripción Gráfica 003:
​
  • En lineas generales...  El módulo "Web Proxy" brinda el servicio de "Gestión de Solicitudes de Contenido Web" en nuestra "Red Privada (green)", permitiendo aplicar "Restricciones" según las políticas de nuestra Organización/Empresa sobre el uso de Internet.​

  • Configuración del Módulo "Web Proxy":
    ​
    • Enable Proxy:  Activa el servicio del módulo "Web Proxy".​

    • Mode for green zones and trusted networks:   Seleccione "Transparent with SSL",  Con esto indicamos que todo el tráfico HTTP & HTTPS en la "Red Privada (green) y Otras Redes de Confianza" pasen a través de servicio "Web Proxy".
      ​
      • Nethserver otorga un certificado que encapsula a los demás certificados de los sitios HTTPS.
      • ​Es importante comentar que el modo "Transparent With SSL" no requiere configuración en las estaciones.​

    • Mode for blue zones and trusted networks:  Seleccione "Transparent with SSL" ​si tiene activo la "Red privada Blue".

    • Block HTTP and HTTPS Ports:   Obliga al tráfico HTTP y HTTPS pasar por el servicio del módulo "Web Proxy".   Si el "Sitio Web" HTTPS en gestión esta en la lista de sitios restringidos, el servicio "Web Proxy" reemplaza el certificado con un dato nulo.
      ​
      • ​Con este método podemos asegurar el bloqueo de sitios como https://www.facebook.com y https://www.youtube.com entre otros.
        ​
      • ​NOTA:  La mayoría de soluciones de tipo "Firewall & Proxy" tienen inconvenientes para bloquear este tipo de sitios, mientras Nethserver lo hace fácil con solo bloquear el grupo de "Social Nethwork" y "Audio y Video".


        ​
3.-  Configurar el servicio "Cache" del Módulo "Web Proxy".
Picture
Gráfica 004 - Web Proxy / Cache

Descripción Gráfica 004:
​
  • Enable disk cache:  En resumen, esta opción activa un repositorio de datos donde almacena la información de los "Sitios Web" visitados por los usuarios.   Cuando se carga por primera vez un "Sitio Web", se transfiere el contenido del website al solicitante y se guarda copia de la información ejemplo:  Texto, Videos, Imágenes entre otros.  Si otro usuario consulta el mismo "Sitio Web", el servicio "Web Proxy" le da la información que tiene almacenado en el repositorio, evitando así saturar el enlace de Internet y proporciona más rápido la información.
    ​
  • Min object size (in kB):   Se deja el valor cero para indicar que no existe mínimo.

  • Disk cache size (in MB):   Espacio disponible para el repositorio "Cache de Internet".  En este ejemplo se le asigna 80gb de espacio (81,920)  <-- notación decimal que equivale a los 80gb base-2.

  • Max object size (in kB):   El tamaño máximo de los archivos a guardas.  En este ejemplo se le indica que guarde archivos no mayors a 1.5gb (1572864) <-- notación decimal que equivale a los 1.5gb base-2.


  • Le recomendamos utilizar la siguiente calculadora para proporcionar valores base-2 precisos:​
    • http://converter.elliotbeken.com/

​

4.-  Configuración de Módulo "Web Content Filter".

  • El módulo "Web Content Filter", permite controlar la "Navegación Web" y "Restringir" aquellos "Sitios Web" que no sean de interés para la Empresa/Organización, permitiendo establecer:

    • Horario de acceso al Servicio de Internet.
    • Restricción de "Sitios Web" de contenido pornográfico, ilegales, entre otros.
    • Además permite efectuar un revisión a los "Sitios Web" en busca de Virus.​
4.1-  Activar módulo "Web Content Filter".
Picture
Gráfica 005  --  Activar módulo "Web Content Filter".
  • Enable filter:  Activa el módulo "Web Content Filter" como servicio.

  • Enable expression matching on URL:  En términos simples, esta opción restringe el uso de "Sitios Web" donde su dirección y parámetros lleven palabras que estén restringidas en las reglas, por ejemplo pornografía, sexo, entre otros. 
    En la Documentación oficial de Nethserver se sugiere no utilizarlo, sin embargo en este laboratorio lo vamos a activar.

  • List of blocked file extension:  Define "Restricciones" para las descargas de Archivos, indicando el tipo de extensión a limitar.
    ​
  • A continuación vemos las opciones "Global blacklist y Global whitelist", los cuales le permiten definir una control más sencillo y generalizado para toda su "Red Privada (green)".

    • Global blacklist:  Generar una "Lista Negra" de "Sitios Web" a ser "Restringidos".
      ​
    • Global whitelist:  Genera una "Lista Blanca" de "Sitios Web" a ser "Permitidos".

    • NOTA:  Si utiliza "Global Lists" y "Categories", "Global Lists" se sobreponen y tiene mayor prioridad en la gestiones del módulo "Web Content Filter".
Picture
Gráfica 006  --  Actualizar Blacklists.
  • BlackList:   Listado de categorías de "Sitios de Internet".  Se recomienda seleccionar de uno en uno, y ejecutar "Save and Download", para llenar la lista de categorías, lo cual nos servirá en el inicio de la configuración de filtros.
    ​
  • NOTA:  Nethserver actualiza durante las noches el listado de "Categorías".


    ​
Picture
Gráfica 007  --  Activar Antivirus.
  • Permite revisar el contenido de los "Sitios Web" en buscar de Virus y variantes.
​Finalizada esta configuración se recomienda:

  • Conectar una estación a la "Red Privada (green)".
  • Revisar en el servicio DHCP si la estación tiene IP reservada.
  • Utilizar un Navegador Web y tratar de ingresar a diferentes Sitios Web.

​Si la navegación marcha bien, significa que la configuración se aplicó correctamente.
​
​
5.-  Desactivar el Acceso a Internet en el Módulo "Web Content Filter".
Importante...
​
  • En el proceso de instalación del módulo "Web Content Filter" por definición se establece al Servicios de Internet "Sin Restricciones", para las "Estaciones de Trabajo y Dispositivos" de la "Red Privada (green)".
  • Asumiendo qué uno de los objetivos de implantar Nethserver es brindar control, vamos a cambiar el modo de acceso "SIN Restricciones" del "Servicio de Internet" al modo "Restringido", para todas las "Estaciones de Trabajo y Dispositivos" de la "Red Privada (green)".
    ​
    • NOTA:  Después de "Restringir el Acceso al Servicio de Internet", lo que sigue es dar acceso basado en "Reglas" definidas por nuestra Organización/Empresa.
5.1-  Restringir acceso al "Servicio de Internet" en el Módulo "Web Content Filter".
​
Picture
Gráfica 008  --  Editar en "Filter -> Default".
Picture
Gráfica 009  --  Restringir acceso al Servicio Internet.
  • Aplique los cambios sugeridos en pantalla, más adelante se explica en detalle cada parámetro.
​Finalizada esta configuración se recomienda:

  • Conectar una estación a la "Red privada (Green)".
  • Revisar en DHCP si la estación tiene IP reservada.
  • Utilizar un Navegador Web y tratar de ingresar a diferentes Sitios Web.

​Si el acceso a Internet NO responde o resuelve errores de Certificado, significa que los cambios se aplicaron de forma correcta.
Picture

6.-  Crear la Estructura de Objeto para Filtración


  • Para explicar en detalle como funciona la filtración del "Servicio de Internet", vamos a mostrar el esquema de una pequeña empresa:  COSYSCO.NETWORK.
​
Picture
Gráfica 010  --  Esquema COSYSCO.NETWORK


Descripción Gráfica 010:

  • En este esquema la empresa COSYSCO.NETWORK cuenta con 3 grupos claves:​
    ​
    • Staff-users:   Grupo de estaciones del staff de programadores, diseñadores y recepción.
      • El acceso a Internet es "Restringido".
    • Staff-managers:   Grupo de estaciones de Gerencia.
      • El acceso a Internet es "Sin Restricciones".
    • Servers:   Como su nombre lo indica es el grupo de servidores.
      • El acceso a Internet es "Restringido".
        ​
  • ​NOTA:  Existe la opción de utilizar los usuarios para regular el Servicio de Internet, utilizando un "Directorio de Usuarios (Active Directory)", sin embargo en este artículo nos vamos a centrar en "Estaciones de trabajo".
6.1-  Crear Estación de Trabajo "Ficticia" para Configuraciones.
​
Picture
Gráfica 011  --  Creación de Host Ficticio.
  • Para crear grupos en "Host groups" es necesario asignar por lo menos una "Estación de Trabajo" para cada grupo.
  • Para hacer fácil la construcción de la "Estructura de Objetos" que representará el esquema de la empresa COSYSCO.NETWORK, se sugiere la creación de una estación "Ficticia" en el listado de "Hosts", lo cual nos permitirá trabajar sin preocuparnos por el momentos de las "Estaciones de Trabajo".
Picture
Gráfica 012  --  Datos de Host Ficticio.
  • Se recomienda asigna una IP Estática que esté fuera del Rango Dinámico del servicio DHCP, así como también fuera del Rango Estático de Servidores.  Por esta razón le asignamos la IP 10.10.10.51 y  en este ejemplo le damos el nombre "Toggle".
6.2-  Creación de Grupos de Estaciones de Trabajo "Host Groups".
​
Picture
Gráfica 013  --  Creación de "Host Groups".

​Descripción Gráfica 013:​
​
  • En "Firewall Object -> Host Groups" se crean grupos que identifican una o más IP's reservadas en el servicio DHCP, y que corresponde a las "Estaciones de Trabajo o Dispositivos" de nuestros usuarios además de Servidores.  Para su fácil identificación en el ejemplo de la empresa COSYSCO.NETWORK los objetos son nombrados por su procedencia y naturaleza, ejemplo:

    • fo = Firewall Object
    • host-group = Host Groups

    • Entonces nuestros objetos serán descritos de la siguiente forma:
      ​
      • fo-host-group-managers = Grupo de estaciones Staff-managers.
      • fo-host-group-users= Grupo de estaciones Staff-users.
      • fo-host-group-servers = Grupo de Servidores en la "Red privada (Green)".
      • fo-host-group-denied =  Grupo de IP's de estaciones que necesitemos Restringir.
        ​
  • Es importante comentar que toda vez se crea la estructura rara vez se modifica, entonces es conveniente que los objetos sean fácil de identificar por su procedencia y naturaleza para así deducir su función.  Esto hará mucho más fácil la administración de los permisos en Nethserver.
​
Tomando en cuenta los conceptos sugeridos, procedemos a configurar...
​
Picture
Gráfica 014  --  Creación de Host Group,
  • En Firewall Objects -> Host Groups, damos Clic en "CREATE NEW", a continuación completamos:
    ​
  • ​​Name:   Nombre del objeto.
  • Description:   Descripción del objeto.

    NOTA:  Para crear un grupo en "Host groups" es necesario asignar por lo menos una "Estación de Trabajo", por esta razón se creó anteriormente un "Host" "Ficticio" a la cual llamamos "Toggle".
Picture
Gráfica 015  --  Finalizado Creación Host Groups.
  • En la Gráfica se logra apreciar como debe de quedar el listado "Host Groups" siguiendo el esquema de la empresa COSYSCO.NETWORK.
7.-  Creación de Filtros en Módulo "Web Content Filter".
Picture
​Gráfica 009 - Filtros de COSYSCO.NETWORK
​
Descripción Gráfica 019.​
​
  • "Estructura de Objetos" que representará el esquema de la empresa COSYSCO.NETWORK.
​
7.1-  Creación de Filtros.
Picture
Gráfica 020  --  Creación de Filtros "Filters".
​
Descripción Gráfica 020.

  • En "Web content filter -> Filters" se crean los "Objetos Filtros" que describen el tipo de contenido que se Permiten o Restringen para el "Servicio de Internet".  Para su fácil identificación en el ejemplo de la empresa COSYSCO.NETWORK los objetos son nombrados por su procedencia y naturaleza, ejemplo:

    • wcf = Web content filter
    • filter = Objeto de tipo filtro

    • Entonces nuestros objetos serán descritos de la siguiente forma:
      ​
      • Default = Filtro default que se crea en la instalación del módulo "Web Content Filter".
      • wcf-filter-managers = Objeto Filtro para estaciones Staff-managers.
      • wcf-filter-users= Objeto Filtro para estaciones Staff-Users.
      • wcf-filter-servers = Objeto Filtro para Servidores en la "Red privada (green)".
      • wcf-filter-denied =  Objeto Filtro para estaciones que necesitemos restringir por completo.​
        ​
  • Es importante comentar que toda vez se crea la estructura rara vez se modifica, entonces es conveniente que los objetos sean fácil de identificar por su procedencia y naturaleza para así deducir su función.  Esto hará mucho más fácil la administración de los permisos en Nethserver.

Tomando en cuenta los conceptos sugeridos, procedemos a configurar...
​​
Picture
Gráfica 021  --  Creación de Objetos
​Web Content Filter.
  • ​Block access to web sites using ip address:  Restringe el acceso a "Sitios Web" a través de su IP.​
  • Enable global blacklist:  Predisponer al objeto para aceptar "Sitios Web" enumerados en "Global blacklist".
  • Enable global whitelist:  Predisponer al objeto para aceptar "Sitios Web" enumerados en "Global whitelist"
  • Block file extensions:  Predisponer al objeto para restringir el acceso a "Archivos" definidos por su tipo de extensión.

  • Mode:

    • Block all, allow selected content:  Restringe el acceso a todos los "Sitios Web" a excepción de las "Categorías" que se seleccionen.
      ​
    • Allow all, block selected content:  Permite todo los "Sitios Web" a excepción de las "Categorias" que seleccione para su Restricción.​
Picture
Gráfica 022  --  Finalizado Creación de Filtros "Filters".
  • En la Gráfica se logra apreciar como debe de quedar el listado "Filters" siguiendo el esquema de la empresa COSYSCO.NETWORK.
  • En relación a los permisos según el esquema de la empresa COSYSCO.NETWORK:

  • Staff-users:  wcf-filter-users.
    • El acceso al "Servicio de Internet" es restringido, por lo cual se sugiere utilizar en su "Filter":
      • Block all, allow selected content.
        Luego indique las "Categorías" permitidas.
      • Más adelante puede ir ajustando los permisos, según los requerimientos de los Usuarios y lo que autorice la Empresa.

  • Staff-managers:  wcf-filter-managers.
    • El acceso al "servicio de Internet" es "Sin Restricciones", por lo cual se sugiere utilizar en su "Filter":
      • "Allow all, block selected content".
        ​
  • Servers:  wcf-filter-servers.
    • El acceso al "Servicio de Internet" es restringido, por lo cual se sugiere utilizar en su "Filter":
      • Block all, allow selected content.
        Luego indique las "Categorías" permitidas.
      • Más adelante puede ir ajustando los permisos, según los requerimientos de los Servidores y lo que autorice la Empresa.

8.-  Activar Filtros/Reglas al "Servicio de Internet" ...

Picture
Gráfica 016  --  Escenario Empresa COSYSCO.NETWORK
​
Descripción Gráfica 0​16.
​
  • Para explicar en detalle la configuraciones realizadas y su finalidad, describiremos el escenario actual de la empresa COSYSCO.NETWORK (según la gráfica) y lo qué se desea alcanzar:

    1. Los "Estaciones de Trabajo" de los usuarios en la "Red Privada (green)", se comunican hacia los Servidores, Dispositivos y entre de ellas, generando un tráfico normal en una "Red Privada (green)".
      ​
      Parte del tráfico son las "Peticiones" al "Servicio de Internet" generadas por los "Exploradores Web" de las "Estaciones de Trabajo".

    2. El módulo "Web Proxy", realiza su trabajo capturando todas las "peticiones" al "Servicio de Internet" y para este momento, "Restringe" el acceso, esto debido a la anterior configuración realizada en el paso "5.-  Desactivar el Acceso a Internet en el Módulo 'Web Content Filter'".

    3. Para "Gestionar" el acceso al "Servicio de Internet", el módulo "Web Proxy" recibe las "Peticiones" y paso siguiente evalúa:
  • Who:  Quién efectúa la solicitud.
  • What (Filter):  Qué Filtro le corresponde al solicitante.
    When:  Qué horario esta permitido al solicitante.
  • Para este punto, observamos que hace falta definir la configuración descrita en el paso tres donde se entrelazan los "Objetos", para que sean interpretados y ejecutados por el módulo "Web Proxy", y así otorgar acceso al "Servicio de Internet".  Esto se alcanza al crear "Profiles" en el módulo "Web Content Filter".
8.1-  Creación de "Profiles" en módulo "Web Content Filter".
Picture
Gráfica 017  --  "Profiles" donde vamos a integrar todos los "Criterios".

​Descripción Gráfica ​017.

  • Es acá donde se hace la "Magia" y se activan los "Filters/Reglas" a través de "Profiles".
  • Los "Profiles" son a su vez "Objetos" que entrelazan los "Objetos" creados en "Firewall Object" y "Web Content Filter".
  • Para su fácil identificación en el ejemplo de la empresa COSYSCO.NETWORK los objetos son nombrados por su procedencia y naturaleza, ejemplo:​

    • wcf = Web content filter.
    • profile = Objeto que entrelaza elementos de los módulos "Firewall Object" y "Web Content Filter".

    • Entonces nuestros objetos serán descritos de la siguiente forma:
      ​
      • Default = Ojbeto Profile default que se crea en la instalación de Nethserver.
      • wcf-profile-managers = Objeto Profile Managers.
      • wcf-profile-users= Objeto Profile Users.
      • wcf-profile-servers = Objeto Profile Servers.
      • wcf-profile-denied =  Objeto Profile denied.

Tomando en cuenta los conceptos vistos, procedemos a configurar...
​
Picture
Gráfica 018  --  Creación de "Profile" Parte 1
  • Name:  Nombre del Objeto "Profile".
  • Description:  Descripción del Objeto "Profile".

  • Who:  "A Quién" asignar el "Profile". 

    ​Esta opción permite seleccionar "Estaciones de Trabajo", Rangos de IP's, Usuarios de Active Directory entre otros.

    En este ejemplo vamos a seleccionar el grupo de "Estaciones de Trabajo" del Staff-Manager, representado por:

    • Objeto:  fo-host-group-managers
      • Procedencia "Firewall Object",
      • Naturaleza "Host Group",
Picture
Gráfica 019  --  Creación de "Profile" Parte 2
  • What:  Qué "Filter" asignar a "Who".

    ​Nos muestra el listado de "Filters" disponibles, los cuales creamos como "Objetos" en "Web Content Filter".

    En este caso seleccionamos el "Filtro" creado para el Staff-Manager, representado por:

    • Objeto:  wcf-filter-managers
      • Procedencia "Web Content Filter".
      • Naturaleza "Filters".
  • Es importante recordar que un "Filter" es en otras palabras "Reglas" establecidas por nuestra Empresa/Organización.
Picture
Gráfica 020  --  Creación de "Profile" Parte 3
  • When:  Horario de acceso.
    En este caso no tenemos horarios definidos por esa razón seleccionamos "Always".
Picture
Gráfica 021  --  Finalizado Creación de "Profiles".
  • En la Gráfica se logra apreciar como debe de quedar el listado "Profiles" siguiendo el esquema de la empresa COSYSCO.NETWORK.

  • En este ejemplo podemos observar lo fácil que es identificar los grupos de "Estaciones de Trabajo" y "Filters", esto gracias a qué cada Objeto cuenta con un nombre que describe su procedencia y naturaleza.

9.-  Dar acceso a las "Estaciones de Trabajo y Servidores"


  • Hemos llegado al final de esta configuración y a partir de este punto todo será mucho más fácil.
  • Después de establecer esta políticas en el módulo "Web Proxy",  el siguiente paso es conectar las "Estaciones de Trabajo" y "Servidores" a la "Red Privada (green)", después:
Picture
Gráfica 022  --  Activar IP de nuevas "Estaciones de Trabajo".
  • Para las nuevas "Estaciones de Trabajo" o "Servidores", es necesario Activar su IP en el módulo "DHCP", dando así acceso a la "Red Privada (green)".​
Picture
Gráfica 023  --  Asignar nuevas "Estaciones de Trabajo" en grupos del "Firewall Object".
Las nuevas "Estaciones de Trabajo" o "Servidores", deben de ser agregados en los Grupos de "Firewall Object", colocando dicha instancias en el grupo que le corresponda.

Finalizado Filtración servicio Internet, siguiente modulo:

​​
  • Nethserver Controlador Primario de Dominio (PDC).  Completar Servidor Nethserver con el módulo "Samba Active Directory", para que tome el papel de PDC y provea a la "Red Privada (green)" un Dominio con un "Directorio Híbirdo de Usuarios".
    Última Actualización:  6/Febrero0/2019.

​
Regresar
Picture
0 Comments
    Editor:
    Juan Estuardo Hernandez
    Consultor Software Libre,
    Organización y Métodos.
    Acumular información es sólo el primer paso hacia la sabiduría. Pero compartir información es el primer paso hacia la comunidad.
    Henry Louis Gates, Jr.
    Condiciones de uso:

    El contenido del website 911-ubuntu y este artículo en particular, es “Libre” y puede ser consultado por quien lo desee.

    Por favor “No haga copias de nuestros artículos”.   Si desea compartirlo puede referir nuestras publicaciones como un enlace (Link), así las personas interesadas obtendrá nuestras últimas actualizaciones.

    Como todo en la vida, nada es perfecto, así que si observas algún error o  desea mejorar el contenido de estos artículos, puede enviarnos un mensaje el cual será bienvenido.  (Formulario al pie de página).


    Gracias por continuar consultando 911-Ubuntu para Entorno de Oficina y Redes Corporativas.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NoDerivatives 4.0 International License
Powered by Create your own unique website with customizable templates.
  • Principal
  • Ubuntu Oficina
  • Servidores
    • nethserver
    • Proxmox
    • Zabbix
    • fengoffice
    • ubuntu-server >
      • Control remoto
  • Links
  • Principal
  • Ubuntu Oficina
  • Servidores
    • nethserver
    • Proxmox
    • Zabbix
    • fengoffice
    • ubuntu-server >
      • Control remoto
  • Links