Implementación de un Servidor/Firewall GNU/Linux en un entorno escolar (página 3)

Para configurar el Proxy, modificamos el espacio deseado para el caché, que puede ser desde los 100 MB hasta los 500 GB. Entre más espacio disponible menos páginas se tendrán que cargar de Internet. Continuamos con el tamaño máximo que tendrá cada objeto en el caché, puede ser una imagen, una página Web u otro tipo de archivo o contenido, es recomendable tener un tamaño razonable, algo así como 5 o 10 MB, archivos con tamaños mayores pasarán a través del Squid pero no serán guardados en la memoria caché. La siguiente opción da la posibilidad de escoger que tamaño máximo puede tener una descarga de Internet. Esto puede ser útil para evitar la descarga de grandes archivos como películas o imágenes de CD (archivos *.iso, *.bin, *.nrg, *.img y *.mdf). Para hacer efectivos los cambios realizados pulsamos el botón de Update.

Ahora configuramos el modo en que el Proxy actuará en la red. Si se escoge el modo transparente (Transparent Mode) el Proxy interceptará todo el tráfico Web que fluya por la red. En este modo no es necesario configurar los navegadores para que naveguen a través del Squid, pero dado la naturaleza del protocolo, páginas de Web seguras (HTTPS) no pasarán a través del Proxy. Es recomendable desactivar este modo, así la red, y por ende la navegación en Internet, será un poco más segura, además de obtener otros beneficios adicionales como autenticación de usuario (sólo si se habilita ese modo). De forma similar funciona el módulo de control de contenido (Content Filter), el cual si está activado (Enabled), filtra el tráfico que pasa por el Squid buscando contenido no permitido o peligroso y bloqueando su acceso a y desde la red. Por el momento es mejor desactivar (Disabled) esta opción hasta que el módulo de control de contenido esté correctamente configurado.

Para filtrar banners de publicidad y ventanas emergentes (Banner and Pop-up Filter) se activa la opción por Enabled.

La ultima opción de esta sección se puede ignorar, aunque es útil para conocer y restringir el acceso a diferentes usuarios, en una red de más de 100 usuarios se complica mucho el uso del modo de User Authentication; adicionalmente el ClarkConnect 4.2 Community solo permite tener hasta 10 usuarios registrados en el servidor sin cargo adicional, para aumentar esta cantidad se requiere pagar 20 USD48 por cada usuario adicional que se quiera agregar. Se presiona Update y continuamos.

• Este valor puede variar con el paso del tiempo.

Si presionamos en Go se borrara todo el caché del Squid que esté guardado actualmente en el disco duro, es recomendable realizarlo una vez cada semana para limpiar el disco duro.

La sección de Web Site Bypass permite a los dominios o direcciones de IP seleccionadas, atravesar el Proxy sin pasar por el filtro o alguna otra medida que realice el Squid. Esto puede ser útil si algún tipo de servicio o dispositivo en la red no puede acceder a contenido en Internet al existir un Proxy en medio. Para hacer esto se escribe un apodo o nombre para describir la regla, en la siguiente casilla se escribe el dominio o el rango y finalmente se presiona Add.

Después de finalizar la configuración del Proxy, procedemos a configurar el navegador y programas adicionales que necesiten entrar a Internet (a través de un Proxy). Si se escogió el modo transparente, el navegador no necesita configuración para navegar sin problemas en Internet. De lo contrario, se debe configurar el navegador de preferencia.

• PASOS PARA CONFIGURAR MS INTERNET EXPLORER®

Los pasos descritos a continuación muestran como configurar el Internet Explorer® de Microsoft, si se conoce como realizar esta sencilla operación, se puede saltar este apartado.

• Dar clic en Herramientas en el menú

• Seleccionar Opciones de Internet

• Clic en la pestaña Conexiones

• En la parte inferior dar clic en Propiedades de LAN

[Imagen 82]


En la sección del Servidor Proxy, se da clic en el checkbox para modificar la dirección del servidor gateway, en este caso el ClarkConnect (192.168.1.254), seguido del puerto al cual se dirigen las conexiones. Por defecto, el puerto 3128 es el designado si no se activó el filtro de contenido, de lo contrario el puerto seria 8080.

[Imagen 83]



• 
  

  PASOS PARA CONFIGURAR MOZILLA FIREFOX®

• Dar clic en Herramientas en el menú

• Seleccionar Preferencias

• Clic en Avanzado

• Seleccionar la pestaña Red

• Hacer clic en Configuración…

[Imagen 84]













[Imagen 90]


Dar clic en el checkbox Configuración manual del Proxy, se escribe la dirección de IP del ClarkConnect (192.168.1.254), seguido del puerto al cual se dirigen las conexiones. Por defecto el puerto 3128 es el designado si no se activó el filtro de contenido, de lo contrario el puerto seria 8080.

• REGISTRAR EL SERVIDOR

Ahora, el paso siguiente es registrase en la página oficial de ClarkConnect www.clarkconnect.com .

[Imagen 91]


¿Por qué registrarse? Al registrarse se accede a una interfaz Web para administrar un sinnúmero de servidores diferentes, además de permitir al servidor descargar sus actualizaciones de software necesarias para el buen funcionamiento. Otro servicio que se obtiene es el de poder asignarle al servidor una dirección, con un subdominio propio y un dominio de la compañía ClarkConnect; por ejemplo:

ccsrv1.ppointclark.net [Imagen 92]


[Imagen 93]




Luego de ingresar a la página y de obtener la cuenta, volvemos al servidor y nos dirigimos ahora a la sección Services>Register>Register System. Escribimos el nombre de usuario y la contraseña que usamos en la página de ClarkConnect. Esto nos lleva a una sección donde escogemos I am adding a new system to my account. A continuación escribimos el nombre del servidor, por ejemplo: ccsrv1 , que significa:

ClarkConnect SeRVidor 1 [Imagen 95]


[Imagen 96]




A continuación aceptamos la licencia, es recomendable leerla para tener una idea de nuestros derechos con respecto al software que acabamos de instalar. (Adjunto al texto se tiene una copia de las licencias que tiene el ClarkConnect.) [Imagen 98]


Y lo registramos. Transcurridos poco más de 30 segundos, presionamos continuar y nos lleva a una nueva página que nos muestra a qué servicios podemos acceder, y qué requisitos de información sobre nuestro equipo tenemos.


[Imagen 100]


El único servicio que podemos usar de forma gratuita es el de DNS dinámico, esto nos facilita ubicar nuestro servidor en Internet evitando aprenderse la IP pública de éste siempre que cambie. Un ejemplo sería lo siguiente: Esta dirección apunta a nuestro servidor y cada vez que la ingresamos en un navegador podemos conectarnos remotamente al servidor (esto sólo se puede si se especifica hacerlo, mas información en los apartados siguientes). Esta dirección es otra forma de escribir la dirección de IP pública del servidor y que es más fácil de aprender.

200.111.80.222 –> ccsrv1.pointclark.net Si revisamos en la página de ClarkConnect, podemos ver de ahora en adelante a nuestro servidor, con su respectiva dirección de IP pública, en la sección de Systems.

[Imagen 101]


[Imagen 102]



• 
  

  ACTUALIZAR E INSTALAR SOFTWARE ; ADMINISTRACIÓN REMOTA

Luego de registrar el sistema, necesitamos actualizar el software del servidor. Para hacerlo nos dirigimos a Services>Recomended Updates. Esto nos lleva a una sección que es recomendable revisar constantemente.

[Imagen 103]


La página nos muestra dos secciones cada una con listas, la primera con las actualizaciones que podemos realizar y la otra con el historial de las mismas. Para instalar debemos simplemente escoger qué software por medio de las casillas y presionar >>Go. Y continuamos siguiendo los mensajes que aparecen en pantalla. Después de unos minutos, de descargar e instalar el software, volvemos a la pantalla inicial de Recomended Updates para asegurarnos que todo haya quedado bien instalado.

[Imagen 104]


Luego de realizar la actualización del software, pasamos a las actualizaciones críticas. Estas, como su nombre lo indica, son críticas porque son correcciones a fallas de seguridad o parches para el software ya instalado. Los pasos para agregar estos parches y correcciones son iguales que los descritos anteriormente.

[Imagen 105]


Finalmente una parte importante y que posibilita expandir las capacidades y posibilidades de el servidor: la instalación de módulos de software. Estos mismos módulos son los que podíamos escoger durante la instalación. Varios de los módulos pueden servir para un mismo servicio pero manejar diferentes tareas, por ejemplo: podemos tener nuestro propio servidor de correo electrónico, instalando los módulos Mail – SMTP (protocolo de envió), Mail – IMAP/POP (protocolos para recoger el correo) y Mailer module (el programa para mandar el correo) .

Lo que describí arriba es uno de los dos métodos para actualizar e instalar software en un servidor ClarkConnect. El segundo requiere estar frente al servidor (con teclado y pantalla). Para ello realizamos los siguientes pasos:

Cuando el servidor es encendido y carga completamente nos muestra un fondo negro con una ventana roja preguntando por la contraseña del superusuario o root,

• Abrir consola: presionamos Alt + F2 (se puede tener hasta 5 consolas presionando de la tecla F2 a la F6).

• Ingresamos el nombre del superusuario: root

• Escribimos su contraseña.

• Y nos encontramos con: [root@ClarkConnect ~]#. Esto significa que el intérprete de órdenes o shell esta esperando nuestros comandos para ejecutarlos.

• Escribimos apt­get update ; este comando actualiza las bases de datos de software. (Apt-get es un eficiente programa para el manejo de paquetes de software y conviene aprender a usarlo, para esto basta con ejecutar man apt­get lo cual nos mostrará un resumen del programa y sus funciones para poder usarlo). Apt-get se conectará a Internet, más específicamente a los servidores de clarkconnect.com, donde sincroniza las fuentes de software con las descargadas.

• Ahora ejecutar apt­get upgrade ; como lo indica el comando lo que se hace es instalar las versiones más nuevas de todo el software instalado en el equipo. Es posible que en esta etapa apt-get pregunte si desea instalar el software seleccionado, se presiona 'Y' seguido de la tecla Enter y continuamos con la instalación. Todo este proceso es automático, la interacción con el usuario es mínima.

En este momento si finalizó correctamente la instalación del software aparece nuevamente la shell pidiéndonos un nuevo comando para introducir. El siguiente paso es opcional, pero es recomendable ejecutarlo periódicamente.

• En el intérprete de órdenes escribimos apt­get dist­upgrade y realiza pasos similares al punto 6. Con este comando le decimos al apt-get que busque el software disponible y lo actualice de forma inteligente a una versión mas nueva. Este paso se realiza para pasar de la versión del ClarkConnect 4.2 a las 4.3 por ejemplo.

Para salir de la consola basta con escribir exit o presionar Ctrl + D .

Existe una forma para conectarse remotamente al Servidor/Firewall desde cualquier computador en la red y usar una consola como si se estuviera presente, este método se considera poco seguro, dado que se deja un puerto abierto en el servidor todo el tiempo. Aun así las ventajas que traen son varias y consideramos que podemos correr el riesgo.

SSH (Secure Shell) es el nombre de un protocolo y del programa que lo implementa. SSH sirve para conectarse remotamente a máquinas en una red y permite manejar y manipular la máquina mediante una consola. Adicionalmente, posee la ventaja de entablar una conexión de forma segura y cifrada, así que toda la información que se envíe desde los dos nodos se encuentra protegida.

Para habilitar este servicio en una cuenta de usuario, se ingresa a una consola como superusuario.

Creamos un nuevo usuario, con este accederemos al equipo, por razones de seguridad no usaremos el root o superusuario, pero si algunos trucos para tener sus privilegios sin vulnerar mucho al servidor. Ejecutamos en la consola como root (sólo como superusuario podemos crear, eliminar o modificar usuarios).

• [root@ClarkConnect ~]# useradd [nombre_de_usuario]

Con este comando creamos un nuevo usuario .

• [root@ClarkConnect ~]#passwd [nombre_de_usuario] Aquí indicamos que le queremos modificar la contraseña al usuario especificado. Leer nuevamente el apartado 4.5.1, la sección donde se muestra cómo crear la contraseña de root. Se recomienda tener una palabra clave diferente para esta cuenta, pero que aun así las dos contraseñas sean seguras. Basta recordar, en lo posible evitar escribir las contraseñas en lugares de fácil acceso como un cuaderno. En lo preferible no escribir nunca las contraseñas.

• [root@ClarkConnect ~]#usermod ­s /bin/bash [nombre_de_usuario]

Este comando permite que el usuario pueda entrar a la máquina remotamente por medio de SSH.

Como mencioné anteriormente se puede ingresar remotamente al servidor por medio del protocolo SSH. Existen dos alternativas, una para cada SO. En Windows necesitamos del programa llamado PuTTY, lo podemos descargar desde www.putty.org o en su versión portable que no necesita instalación en:

http://portableapps.com/apps/Internet/putty_portable El ejecutarlo nos muestra una ventana donde introducimos la IP o Dirección del host, el servidor ClarkConnect, presionamos conectar y una consola se abre preguntando por el usuario y la contraseña. Escribimos el usuario que creamos anteriormente y su respectiva contraseña. Ahora con este nuevo usuario podemos ingresar remotamente al servidor y si necesitamos realizar tareas administrativas, para cambiar al usuario root ejecutamos: su ­ Al presionar Enter preguntará por la contraseña del superusuario. Si realizamos todo bien, nos encontraremos ahora con los máximos privilegios para realizar las tareas administrativas. Otra forma de obtener privilegios root sin ingresar a una sesión de superusuario es ejecutar los comandos que requieran permisos de root de esta forma: sudo [comando_a_ejecutar_con_sus_opciones] Ejemplo: sudo ifconfig eth1 Estos comandos mostrarán la información de la interfaz de red eth1.

El comando sudo es un comando que nos permite ejecutar los comandos siguientes a él con permisos de root, pero sólo si conocemos la contraseña de lo contrario no se podrá.

Desde una terminal con GNU/Linux para ingresar al servidor remotamente ejecutamos en consola el siguiente comando: ssh ­p 22 [nombre_de_usuario]@[dirección_del_servidor] Ejemplo: ssh ­p 22 rsh@192.168.0.254 . Lo que este comando hace es ejecutar el comando ssh conectándose al servidor con la IP 192.168.0.254 (aquí la IP puede variar, puede ser tanto una dirección numérica como un nombre de dominio clarkconnect.lan) a través del puerto 22 como el usuario rsh.

• CONFIGURACIÓN DEL FIREWALL

Llegamos a una de las secciones mas importantes en todo este trabajo escrito. Aquí examinaremos, configuraremos y probaremos las opciones que nos brinda el Firewall del ClarkConnect. Para este momento ya debemos saber que es y para que sirve un Firewall, si este no es el caso por favor leer las secciones 3.1 y 3.2.

• OUTGOING (SALIDA)

Desde el Webconfig nos dirigimos a Network ­­> Outgoing. En esta sección se podrán bloquear o permitir ciertos tipos de tráfico que salen de la red, como por ejemplo programas de mensajería instantánea (MSN Messenger), descargas ilegales de musica por medio de programas P2P y mucho mas.

[Imagen net1]


Para seleccionar una de las dos opciones (bloquear o permitir) se seleccionada el modo de bloqueo (Block Mode). Las dos opciones presentes son muy útiles dependiendo del uso que se le dará al servidor. Por defecto el modo para bloquear todo el tráfico de salida se encuentra activado (Block all outgoing traffic), lo que se hace para evadir este modo es especificar los distintos servicios, protocolos, destinos y puertos a los que se les permitirá salir. De forma opuesta funciona el otro modo de bloqueo (Allow all outgoing traffic), este permite todo el tráfico de salida a excepción de los servicios, protocolos, destinos o puertos que se especifiquen. Para nuestro caso, implementar el Firewall en un entorno escolar, escogemos Block all outgoing traffic, de esta forma se podrá impedir el acceso a Internet de todo el software que no exista en la lista blanca que vamos a crear a continuación.

En medio de la página se muestran los puertos de destino que han de ser bloqueados o permisos según sea al caso. Las esferas rojas o verdes muestran el estado de la regla, roja para deshabilitada y verde para activada. Seguido se muestra el nombre de la regla, este puede ser cualquier texto alfanumérico, lo aconsejable es describir de una forma corta, sencilla y entendible que función tiene la regla. Continuando se ve el nombre original del servicio, el protocolo que emplea TCP (para conexiones en las cuales se transmiten datos, garantizando que estos se entreguen correctamente en el destino) y UDP (para la transmisión de datos sin realizar conexiones con el destino); el puerto por el cual se bloquea o se permite el flujo de datos de salida. Las dos opciones finales permiten borrar (Delete) la regla, habilitarla (Enable) o deshabilitarla (Disable) según sea el caso. Esta información es la que hay que tener en cuenta cuando se tengan problemas para llegar a Internet con algún programa o servicio.

En la sección Add añadimos las reglas que se necesiten. Tiene dos principios sencillos:

• Especificar un servicio, nombre del la regla y puerto o rango de puertos;

• Añadir una regla según la lista del menú desplegable.

La ultima sección Destination Domains funciona de forma similar solo que en este caso se escribe el dominio o dirección de IP que se desee añadir. En Standard Services se puede seleccionar de la lista un objeto, este describe un servicio para bloquear o permitir; pero si el servicio, programa o protocolo no existe en la lista, se usa el formato siguiente, donde se especifica un nombre o sobrenombre, el protocolo de transmisión (TCP/UDP son los principales, los otros son para conexiones VPN) y finalmente el puerto o un rango de puertos.

Seleccionado el modo Block all outgoing traffic se añaden los siguientes servicios necesarios para navegar cómodamente y que se desean que salgan a Internet:

• HTTP y HTTPS – Navegar por la páginas de Internet (Internet Explorer, Mozilla Firefox)

• IMAP e IMAPS – Protocolo para la transmisión de correo (MS Outlook, Thunderbird)

• POP3 y POP3S — Protocolo para la transmisión de correo (MS Outlook, Thunderbird)

• SMTP — Protocolo para la transmisión de correo (MS Outlook, Thunderbird)

Servicios opcionales y/o útiles:

• FTP – Protocolo para la transferencia de archivos

• PassiveFTP — Protocolo para la transferencia de archivos

• ICQ/AIM – Servicio de mensajería instantánea (ICQ)

• MSN — Servicio de mensajería instantánea (MSN Messenger)

• NTP – Servicio para sincronizar por internet los relojes de los computadores

• 
  

  INCOMING (ENTRADA)

[Imagen net2]


En esta sección del Firewall se especifican que servicios, puertos, protocolos y dominios que pueden ingresar al servidor o la LAN sin ser bloqueados por el Firewall. Esta sección es útil por ejemplo: si se tiene un servidor Web y se desea que sea visitado desde el Internet.

Esta sección funciona de forma muy similar a la anterior Outgoing. Se tiene una lista de las reglas, las cuales están habilitadas o deshabilitadas; y un formato para añadir nuevas. De igual forma se borran y se agregan los servicios, protocolos y puertos según sea la necesidad.

Aunque el servidor se encuentra recién instalado, se ve que ya existe una regla llamada Webservice. Esta permite el ingreso de conexiones TCP por el puerto 1875 el cual es usado por los servidores de pointclark.net para conocer el estado de nuestro servidor ademas de otra información útil para la administración remota del servidor como: la dirección de IP Publica, el nombre y el estado del servidor entre otros. Si se contratan servicios (como control de ancho de banda, monitor de seguridad, etc; sección Register System) de Point Clark Networks estos usarán este servicio para conectarse a Internet. Para mayor información remitirse a: http://www.ClarkConnect.com/info/suva.php Lista de los servicios para agregar a las reglas de Incoming:

• Webservice – Control del servidor desde pointclark.net

• SSH – Secure Shell para administración remota

• Webconfig – Interfaz Web para administración remota

Estos servicios habilitados nos permitirán administrar el servidor ClarkConnect desde cualquier lugar del mundo con acceso a Internet. Por cuestiones de seguridad evitar conectarse con el servidor desde un lugar publico como un café Internet o similar; al servidor solo se debe acceder con un computador del cual se sabe que es seguro. Evitar en su mayor parte usar el superusuario o root para evitar posibles infiltraciones por robo de contraseñas.

Si se desea tener un servidor de correo (mail server) o un servidor Web, se deben abrir los puertos a través de los servicios de la lista, ejemplo:

• HTTP y HTTPS – Protocolos de transferencia de hipertexto (Servidor Web)

• IMAP e IMAPS – Protocolos para transferencia de correo (Servidor Correo)

• POP3 y POP3S – Protocolos para transferencia de correo (Servidor Correo)

• SSH – Protocolo para transferencia de correo (Servidor Correo)

• Webmail – Acceso a la interfaz Web para el correo remoto

Si se desea permitir el acceso a la red local a una dirección de IP o un dominio específicos se debe escribir en la ultima sección para así permitir el ingreso.

[Imagen net3]


El reenvío de puertos se usa para conectarse a una máquina dentro de una LAN cuando se encuentra en Internet. Ejemplo: se esta en la casa y se desea revisar una máquina dentro de una LAN, normalmente acceder a esa máquina es difícil si el Firewall que la protege no tiene configurado una regla de reenvío de puertos. Sabemos que la máquina corre un servicio de SSH por el puerto 2222, como el servidor ClarkConnect ya usa el puerto 22 se debe especificar uno nuevo; se configura una regla en el Firewall para que cada vez de reciba una petición de conexión al puerto 2222 reenvíe esa petición a la máquina a la cual deseamos conectarnos. Es simple en realidad. Y se puede aplicar para casi cualquier protocolo y tipo de conexión que se necesite. Y no solo para acceder a la red local desde Internet sino también a la inversa, conectarse desde la LAN a otra máquina en Internet.

Igual que en las secciones anteriores (Outgoing e Incoming) funciona la administración de las reglas de reenvío de puertos (port forwarding).

Si se desea añadir un servicio esta vez es necesario especificar un nombre para la regla, es de mucha ayuda especificar un nombre que explique a que máquina redirige que servicio o puerto, ejemplo:

SSH_maq1 TCP 2222 ­­> 2222 192.168.1.10 Esta regla llamada SSH_maq1, que significa servicio de SSH en la máquina 1, redirige el intento de conexión por el puerto 2222 a la máquina con IP 192.168.1.10 .

De la misma forma que se crearon reglas personalizadas en los apartados anteriores se realiza en esta sección.

En este momento no es necesario la creación de ninguna regla para el reenvío de puertos, así que podemos continuar con el siguiente apartado.

[Imagen net4]


En esta sección del Firewall se bloquea el uso del software P2P (Peer-to- Peer), por el cual se comparten archivos, los cuales pueden contener contenido protegido por derechos de autor o cualquier otro tipo de contenido que pueda peligroso para un menor de edad, como pornografía u otro tipo de contenido violento.

Desde la interfaz Web, escogeremos un nombre para la regla de bloqueo, seguido de una dirección de IP, si este espacio de deja en blanco se bloquearán todas las redes a las cuales tiene acceso el Firewall, finalmente se escoge el protocolo P2P o el nombre del programa.

Esta sección funciona de forma similar a la anteriores en cuanto a añadir, habilitar o borrar reglas (de bloqueo).

• 
  

  ADVANCED — CREAR REGLAS AVANZADAS

Esta sección es una herramienta que se puede usar para crear reglas mas especiales para el Firewall. Como por ejemplo: permitir la conexión para administrar remotamente el servidor por medio del Webconfig pero solo para una única dirección de IP.

Al ingresar a esta sección vemos la lista de reglas que se han creado, si el servidor es una instalación fresca (nueva) esta sección estará vacía.

Para agregar una nueva regla se selecciona el tipo:

• Incoming Allow, Permitir de llegada

• Incoming Block, Bloquear de llegada

• Outgoing Block, Bloquear de salida

• Port Forward, Reenvío de puertos

Terminado esto se presiona Add y llegamos a una ventana donde podemos crear la nueva regla. Todas las ventanas son iguales, lo único que cambia entre ellas es el tipo de regla escogido anteriormente.

Se le da un nombre a la regla, se selecciona un grupo, si no existe se puede crear escribiéndolo en el espacio en blanco, en el apartado siguiente (5.3.6.7) se tratarán mas a fondo los grupos de reglas. Se selecciona el protocolo (AH, ESP, GRE, IP TCP ó UDP), los dos últimos son los protocolos mas comunes para las tareas de este servidor, los otros se refieren a protocolos de telefonía IP o para VPN. A continuación se puede especificar una dirección fuente de IP o MAC (Source Adress), esta es la dirección de donde proviene la petición, por ejemplo: la dirección IP de la única máquina local que puede acceder al servidor por medio de SSH. Si no se especifica serán todas las direcciones de la red. Seguido se el puerto o el rango de puertos (Source Port) que se requiere. De la misma forma funcionan las direcciones y los destinatarios (Destination Adress/Port). Finalmente se presiona Add para crear la regla o Cancel para borrarla y crear una nueva.

• 
  

  FIREWALL GROUP MANAGER (ADMINISTRADOR DE GRUPOS)

[Imagen net5]


El administrador de grupos es una utilidad que permite organizar todas las reglas del Firewall de forma que sea fácil apreciar a que grupo pertenecen. Las reglas que no pertenezcan a un grupo especifico se muestran al inicio de la página, conforme se baja se muestran los grupos creados que albergan a las otras reglas. Para cambiar una regla se presiona en Edit, para habilitarla o deshabilitarla se presiona el botón correspondiente. Para saber si una regla se encuentra activada o desactivada se debe mirar el color de la esfera a la izquierda del nombre de la regla. Si se presiona editar nos lleva a una ventana donde podemos ver como se encuentra la regla configurada, a su vez podemos cambiar el nombre (nickname) y asociarla a un grupo existente por medio de la lista desplegable, si el grupo no existe se crea uno nuevo escribiendo el nombre en la casilla vacía junto a la lista.

El administrador de grupos posibilita desactivar, activar o borrar un conjunto de reglas facilitándole la labor al administrador de la red. Para esto es necesario bajar al final de la página, allí se muestra los nombres de los grupos existentes creados por el usuario y junto a los nombres las acciones que se pueden realizar.

En este momento el Servidor/Firewall se debe de encontrar completamente funcional es recomendable realizar un backup de la configuración actual, para ello se recomienda saltar a la sección 5.3.11.2 y luego continuar con la lectura.

• 
  

  USER ACCOUNT MANAGER (ADMINISTRADOR DE CUENTAS DE USUARIO)

La sección Account Manger del Webconfig nos permite agregar, borrar y administrar las cuentas de usuarios en el servidor, además de agrupar estas cuentas, nos permite darle permisos especiales de administración a usuarios específicos, facilitando así el manejo del Firewall.

• 
  

  USUARIOS

Desde esta interfaz podemos crear, modificar y borrar las cuentas de usuario presentes en el servidor; la cuenta de root es la única que no aparece en esta sección por obvias razones.


Adicionalmente esta sección nos muestra el estado del licenciamiento del ClarkConnect. Al ser una versión gratuita solo se pueden crear 10 cuentas de usuario que pueden usar correo electrónico en el servidor, las cuentas adicionales para este fin tienen que ser compradas a pointclark.net a 20 USD cada una; el resto de cuentas que no usen correo no tienen restricciones.

[Imagen acc2]


Para crear una nueva cuenta se presiona en el botón Continue el cual nos lleva a una nueva ventana donde especificamos los datos del nuevo usuario como: nombre de usuario, nombre real, apellido y contraseña, además de esto se puede especificar por cada usuario que tipos de servicios puede usar (Proxy, Servidor de Correo, FTP, etcétera) y a que grupo o grupos pertenece; finalizado esto se hace clic en Add para crear la nueva cuenta o Cancel para no hacerlo.


Una vez la cuenta esta creada vemos que la ventana borra el contenido que introdujimos anteriormente y nos permite crear una nueva cuenta o regresar a la sección principal donde en User Information (información de usuario) vemos tres características principales: nombre de usuario, nombre y apellidos y los servicios que puede usar; para cada cuenta existen dos botones que permiten editar o borrar la cuenta según sea el caso.

• 
  

  USER PROFILE

En esta pequeña sección cualquier usuario puede ingresar al Firewall, por: https://192.168.1.254:81 , ingresar su nombre de usuario y contraseña; al hacer esto accede a esta sección que le da la posibilidad de cambiar la contraseña actual por una nueva escogida por él.

Todos los usuarios tienen acceso a esta sección del Webconfig, es recomendable cambiar las contraseñas de acceso por lo menos una vez al mes.

• 
  

  GRUPOS

Como se comentó anteriormente en esta sección del Account Manager se pueden crear, borrar y administrar los grupos creados para mejorar el manejo de una gran cantidad de usuarios.

Al ingresar a la página se aprecia el Group Manger, esta sección los grupos que existen, además de una descripción y las acciones que se pueden realizar.


Para crear un grupo se escribe el nombre de este en la sección inferior junto con una descripción para facilitar la administración, al presionar Add nos lleva a una nueva ventana donde podemos seleccionar, por medio de checkboxes, los usuarios que van a pertenecer al grupo recién creado. (GNU/Linux permite asociar un usuario a múltiples grupos de trabajo, para así garantizar un correcto manejo de los permisos de seguridad). Al presionar Update volvemos a la página principal de Group donde ahora aparece el nuevo grupo.


Para añadir nuevos usuarios a un grupo existente revisar nuevamente el apartado anterior, 5.3.7.1.

• 
  

  ADMINISTRADOR

Esta sección del Account Manager permite añadir, eliminar y gestionar los administradores del sistema. Esto puede ser útil si se desea que otros usuarios tengas ciertos derechos para manejar el Webconfig, ver reportes del sistema y solucionar problemas sin estar siempre consultando con el administrador de la red.


Para añadir un usuario a la lista de los administradores del sistema se selecciona el usuario de la lista desplegable y se presiona Add. Esto nos lleva a una página donde podemos seleccionar a que páginas, servicios u opciones específicos tiene el nuevo administrador. Por ejemplo: puede ser útil darle permisos para revisar algunos reportes y gestionar las cuentas de usuario, además de permitirle modificar el Proxy y/o filtro de contenido. Al terminar de seleccionar las páginas permitidas se presiona Update para aceptar los cambios realizados o Cancel para terminar sin realizar ningún cambio en las opciones.

[Imagen acc7]




Terminados todos los cambios el usuario podrá inmediatamente hacer uso de sus nuevos permisos como (pseudo-)administrador del sistema.

5.3.8 CONTENT FILTER (FILTRADO DE CONTENIDO)

Hemos llegado a la segunda parte clave de este trabajo escrito, el filtro de contenido que bloqueará páginas Web inapropiadas para los usuarios, además, puede ser útil para ser usado para bloquear páginas de Webmail como lo son hotmail.com o gmail.com, las cuales pueden interferir con las actividades normales que se realizan en una institución educativa.

Pero esto no es solo su función, el Dansguardian (el nombre del software) ayuda a mejorar la seguridad de la red impidiendo que cierto tipo de contenido peligroso ingrese a la red local.

En conclusión este filtro garantiza que la institución pueda realizar su función principal que es educar, y garantizando un contenido apropiado tanto para alumnos con empleados y profesores se generará un excelente ambiente de estudio y de trabajo.

El filtro de contenido usa una variedad de métodos que garantizan que se desempeñe de la mejor manera posible. Algunos usuarios podrán incluso encontrar formas de saltarlo, para evitar ello lo configuramos de una forma razonable y "segura".

A continuación se describe cómo y con que métodos se filtra el contenido:

• Extensión/MIME:

Banned File Extensions; esta herramienta es útil limitando las extensiones de archivo seleccionadas, garantizando así pocas probabilidades que usuarios ejecuten código peligroso arbitrariamente en máquinas de la red local. Para prohibir una extensión se seleccionan con el checkbox y se presiona a continuación Update; si la extensión buscada no aparece en la lista se puede añadir fácilmente a través del campo de texto (Custom File Extension).

Banned MIME49 Types; de forma similar trabaja esta herramienta impidiendo que el contenido seleccionado no pueda ser visualizado, ya que a veces este puede ser usado para explotar vulnerabilidades del software en los navegadores o bien en el SO.

• Site List:

Banned Site List; también llamada lista negra, se agregan las páginas Web, dominios o direcciones de IP por las cuales no se puede navegar.

Exception Site List; lista blanca, estos son los sitios por los cuales se esta permitido navegar a pesar de su contenido.

Grey Site List; lista gris, aquí se listan las páginas por las cuales se puede navegar pero no se puede descargar o subir contenido. (Ejemplo: se puede ingresar a youtube.com y navegar por sus páginas, pero no se podrán visualizar los videos de la página).



• (Multipurpose Internet Mail Extensions), Extensiones de Correo de Internet.

• Phrase Lists; aquí se especifica que tipo de contenido se desea bloquear. Como mínimo se recomiendo usar el bloqueo de Proxys, para que los usuarios no puedan saltarse el Dansguardian.

• Blacklist; las casillas permiten seleccionar que tipo de contenido se desea bloquear, el filtro entonces buscará que páginas Web entran dentro de las categorías seleccionadas y las bloquea.

• Banned User/Exempt IP List; esta herramienta se puede usar tanto para bloquear como para permitir que las direcciones de IP especificadas naveguen en Internet; adicionalmente se pueden organizar las direcciones en grupos para facilitar así el manejo.










[Imagen soft6]



5.3.8.1 CONFIGURACIÓN DEL CONTROL DE CONTENIDO

[Imagen soft7]


Para mejorar el control del contenido se pueden crear grupos de usuarios, con lo cual se puede personalizar el filtro. Para crear un grupo se selecciona del menú desplegable Select Filter Group la opción Add Filter Group. Esto nos lleva a una página donde escribimos el nombre del nuevo grupo, posteriormente volvemos a la sección anterior pero ahora se puede configurar por separado un grupo especifico de usuarios. Crear un grupo para filtrar no es obligatorio ni necesario, es únicamente una utilidad de la cual se puede sacar provecho, si no queremos crear un grupo específico de usuarios el grupo Default sera el predeterminado para aplicar las reglas de filtrado.

Filter Mode nos permite escoger que acción deseamos realizar cuando el tráfico pasa por el Proxy: Prohibirlo (Banned), filtrarlo (Filtered) y no filtrarlo (Unfiltered). Escogemos filtrarlo y pasamos al siguiente menú Virus Scanner, esta opción solo funcionará si se tiene instalado el módulo de antivirus.

La función del Deep URL Analysis consume mucha memoria RAM, en máquinas con pocos recursos se recomienda desactivar esta función y en su reemplazo mejorar y extender las entradas de la lista negra.

La opción para bloquear las descargas (Block Downloads) que pasan por filtro puede ser útil, pero es muy restrictiva, ese recomienda usar la opción del Web Proxy para esa función, apartado 5.3.3.

Para configurar la sensibilidad con que el filtro de contenido funcionará se selecciona una de las seis opciones. De esta sensibilidad dependerá cuantas páginas y que tipo de contenido será bloqueado. Se recomienda inicialmente Medium para así ajustar las preferencias a las necesidades propias.

El nivel de reporte (Reporting Level) indica que tipo de aviso se le mostrará al usuario cuando una página que desea acceder sea bloqueada. Short Report es suficiente para mostrarle al usuario que pretende visitar contenido indebido; existe la opción de crear una plantilla de una página para mostrar un mensaje personalizado (Custom Report), pero ese tema no será tratado en este trabajo.

Una forma común de saltarse los filtros de contenido es reemplazando el dominio del sitio Web por su dirección de IP; al activar Block IP Domains todas las peticiones realizadas a la dirección de IP serán bloqueadas, a menos que se especifique lo contrario en la lista blanca (Exception List).

Blanket Block es la opción mas restrictiva de todas, si se activa, se bloquearán todas las páginas Web que se intenten visitar a excepción de las especificadas en la lista blanca; puede ser útil en lugares públicos como bibliotecas.

Es normal ver algunos sitios Web rotos, desordenados o que no se pueden ver parcialmente, esto se debe a que el filtro de contenido puede bloquear secciones de las páginas Web si considera que su contenido es indebido o peligroso.

Configurar el Dansguardian puede demorar varios días o semanas, se puede seleccionar una configuración inicial, pero es posible que haya que acomodarla mejor a las necesidades de la institución y a los problemas que hayan tenido los usuarios. Esta es una herramienta que es necesario actualizar constantemente.

• 
  

  REPORTES

La sección Reports del Webconfig nos brindará información actualizada y en tiempo del del estado del sistema, sus configuraciones y servicios adicionales.

Es recomendable visitar constantemente esta sección, para revisar, comparar datos y encontrar posibles problemas con el sistema. De hecho cada vez que iniciamos sesión como root en el Webconfig nos lleva al Dashboard, el cual funciona como un tablero donde se muestra información actual y relevante del sistema.

• DASHBOARD (TABLERO)

El Dashboard nos permite echarle al sistema un vistazo rápido de su estado actual, como lo es, la dirección de IP pública y privada, la configuración del idioma, el número de usuarios registrados en el sistema, y si se tiene instalado el módulo de de prevención de intrusos se mostrarán los últimos eventos ocurridos.

[Imagen rep1]



• CURRENT STATUS (ESTADO ACTUAL DEL SISTEMA)

Como su nombre lo dice, por medio de pequeños pero intuitivos y sencillos reportes, nos muestra el estado actual del sistema.

[Imagen rep2]


La página es divida es secciones cada una con información diferente:

• System Vital, información vital del sistema.

• Network Usage, uso de las interfaces de red.

• Hardware Information, muestra los dispositivos de

hardware que existen en el sistema

• Memory Usage, muestra el consumo de memoria divido secciones. Es conveniente revisar esta sección constantemente.

• Mounted Filesystems, información sobre los sistemas de archivos montados en el servidor.

• STATISTICS (ESTADÍSTICAS)

[Imagen rep3]


Información histórica del rendimiento del sistema por medio de gráficas, las cuales muestran a su vez la información: Máxima, Promedio y Actual (Maximum, Average, Current).

[Imagen rep4]


Se usan datos de diferentes periodos para generar las gráficas, para así estudiar de una forma sencilla y comprensible el estado y el comportamiento del sistema en los periodos:

• 
  

  TIPOS DE ESTADÍSTICAS

• Load, la carga del sistema es una medida promedio de cómo funciona el conjunto del todo que conforma al sistema en un periodo de tiempo; se da por entendido que la carga del sistema es el uso que se le da al procesador (CPU), pero este es solo uno de los factores, el exceso de escritura en el disco duro, muchos procesos cargados en memoria, todo esto y más en conjunto es la carga del sistema. Esto nos sirve para conocer en que tiempos del día, por ejemplo, el servidor tiene una carga fuerte o si él trabaja en exceso y se necesita buscar una solución para evitar el desgaste prematuro del hardware.

En las gráficas se muestran dos líneas, la verde se usa para indicar el promedio en un periodo de cinco minutos; la línea azul muestra el promedio en un periodo de quince minutos.

Daily Graph (5 Minute Average); (Diario, promedio cinco minutos).

Weekly Graph (30 Minute Average); (Semanal, promedio de treinta minutos).

Monthly Graph (2 Hour Average); (Mensual, promedio de dos horas).

Yearly Graph (1 Day Average); (Anual, promedio de un día).

"Una carga sostenida por encima de 200 en la tabla indica una sobrecarga del sistema (picos ocasionales por encima de este número son normales)50".

• Open Conections, se muestran gráficamente las conexiones abiertas existentes o las que ya se cerraron. Estas gráficas pueden ser de utilidad para conocer si se ha sufrido de un DoS51 o se tiene un servicio o un programa que abre constantemente muchas conexiones al Internet.

Se muestran cuatro gráficas cada una para cuatro periodos de tiempo diferentes, diario, semanal, mensual y anual. Cada gráfica calcula un punto máximo, uno promedio y uno actual.

• Processes, muestra el número de procesos corriendo en el sistema. Útil para saber a que horas del día corren mas procesos en el servidor.

Son cuatro gráficas las cuales muestran en cuatro periodos de tiempo los procesos corriendo en el servidor, la línea verde muestra el promedio total del número de procesos; la línea azul muestra el promedio actual de procesos para comparar con la línea verde y el histórico.



• Cita de: http://www.ClarkConnect.com/docs/Reports_­_Statistics

• DoS (Ataque de denegación de Servicio, Denial of Service)

• Swap Memory, el uso de la memoria de intercambio muestra la relación directa del uso de la memoria RAM en el servidor; a mayor uso y consumo de la memoria RAM aumenta la necesidad de usar la memoria de intercambio. Esto no es bueno, si ve un uso constante de la swap, y esta consume constantemente cientos de Megabytes, es recomendable mejorar la memoria RAM aumentando su capacidad y desactivar procesos y servicios innecesarios en el servidor.

La línea verde de las gráficas muestra la cantidad de memoria de intercambio disponible; la línea azul indica la cantidad de memoria de intercambio usada, a esta línea es a la que es necesario vigilar constantemente, si aumenta mas del 75% del total es necesario tomar las medidas arriba mencionadas.

Los servicios de filtrado de contenido y detección de intrusos son dos de los que mas memoria y recursos en un sistema usan.

Nota: "En un sistema Linux, la memoria RAM inutilizada es usada para optimizar el acceso al sistema de archivos. No debe ser sorpresa encontrar el uso de la memoria RAM en un 95% o superior52".

• Uptime, muestra el tiempo que lleva el servidor funcionando



• Cita de: http://www.ClarkConnect.com/docs/Reports_­_Statistics

desde que fue reiniciado o apagado la última vez. Con estas gráficas se puede estimar el tiempo que el servidor lleva en funcionamiento; cuando fue apagado, ya sea por mantenimiento, rutina o un accidente; y calcular el costo de la energía consumida por el servidor.

Las gráficas muestran dos líneas; la línea verde representa el tiempo total desde el inicio del sistema y la línea azul el tiempo que el servidor lleva desocupado.

• Interfaces de red (para cada una eth0, eth1), muestra las estadísticas de cada interfaz de red existente en el servidor, muestra los datos del tráfico de red de entrada/salida (incoming/outgoing) en kB/s. Estos datos nos muestran a que horas del día se consume un mayor ancho de banda, de igual forma puede ayudar a detectar DoS, o descargas de contenido ilegal.

Las gráficas de los cuatro periodos muestran las estadísticas diarias, semanales, mensuales y anuales. La línea verde muestra el tráfico de red entrante y la línea azul muestra el tráfico saliente de cada interfaz.

Comparar y estudiar las datos provenientes de todas las gráficas puede ser de utilidad para conocer el estado actual y pasado del sistema y poder predecir el comportamiento del servidor en el futuro; además de la posibilidad de detectar posibles problemas antes que una falla mayor ocurra.

• LOGS (REGISTROS)

En esta página se pueden ver y revisar detalladamente los registros (logs) del sistema; la mayoría de los servicios y algunos procesos graban en un archivo de registro (Log file) los sucesos ocurridos, estos pueden ser de cualquier tipo, información básica del funcionamiento, errores, conexiones nuevas, usuarios que se conectan al servidor, etcétera. Esta es una herramienta muy poderosa, pero difícil de manejar, requiere practica y saber lo que se busca. Todo buen administrador de un sistema dedica una parte de su tiempo a revisar estos registros en busca de anomalías, errores y situaciones sospechosas, que puedan comprometer al sistema. Junto con las gráficas estos archivos maximizan la visión del estado del sistema permitiendo ver como cada componente, servicio o proceso se comporta en diferentes situaciones presentes en el día a día de un servidor.

[Imagen rep5]


Para visualizar un registro se debe seleccionar del menú desplegable, a continuación si se desea buscar algo en especial, como por ejemplo un error, o lo concerniente al superusuario root, se debe de escribir en Filter reemplazando lo existente. Para obtener mas información se selecciona Show Full Line y finalmente se presiona Display para visualizar el archivo de registro.

Si por alguna necesidad se necesita realizar una copia (de seguridad) de estos logs la mayoría se encuentran en el directorio: /var/log/ .

• WEB PROXY REPORT

En esta página se muestran todas las conexiones, eventos y estadísticas del Proxy y el filtro de contenido, ademas de eso se puede visualizar el ancho de banda usado, la dirección de IP de la cual proviene la petición, los sitios web visitados y la fecha de los accesos a Internet.

[Imagen rep6]


La página de los reportes se divide en dos secciones, una para seleccionar el reporte que se desea ver y la otra el reporte seleccionado que a su vez puede dar opciones adicionales para visualizar las estadísticas.

• Overview, vista general de las estadísticas, para el reporte/resumen diario (Daily Summary) muestra una gráfica de los últimos treinta días y las peticiones (Hits) a páginas de Internet realizadas para cada día de este periodo, en la parte inferior se muestran los mismos datos en texto plano para una mejor comparación. Los informes mensuales, que se pueden ver seleccionando del menú desplegable la opción Monthly Summary, se manejan de igual forma que los anteriores.

• User/IP Summary, genera un reporte mostrando que direcciones de IP realizaron peticiones para navegar a través del Proxy. Si se selecciona la opción de usuario (Username) se puede ver que usuarios realizaron cuantas peticiones. La opción Hostname permite ver el nombre de las máquinas que realizan las peticiones de páginas web. Los reportes se pueden organizar por periodos.

• Domain Summary, muestra en una gráfica los dominios mas visitados según las veces que se han accedido y cuanto caché ha sido usado para realizar esta acción. Se puede escoger un periodo de tiempo y una cantidad de resultados para generar una gráfica según lo deseado.

• INTRUSION DETECTION (DETECCIÓN DE INTRUSOS)

Si se instaló o se desea instalar el módulo de detección e intrusión de intrusos se debe seguir con los dos capítulos siguientes, de lo contrario se recomienda saltar al apartado 3.9.10.

[Imagen net7]


En la página de los reportes del Snort, el programa que detecta potenciales intrusos en la red, se puede ver la información necesaria para estudiar y analizar el tráfico potencialmente peligroso y hostil que entra a la red.

[Imagen rep8]


No es sorpresa que diariamente exista algún tipo de ataque, en realidad es inusual y raro que no suceda ninguno a lo largo del día, el tráfico hostil es pan de cada día en Internet y es una de las razones de porque los Firewalls son necesarios.

[Imagen rep9]


Inicialmente se muestra un reporte general de los últimos eventos en el mes actual. Para una mayor profundidad se puede aumentar el número de resultados que se mostrarán modificando el Top Results to Display.

[Imagen rep10]


El reporte inicial se divide en ocho secciones:

• Alertas (Alerts), aquí se muestran las últimas alertas generadas por el Snort, una gráfica muestra el nombre de la alerta que generalmente dice el tipo de evento ocurrido y el número de alertas generadas para cada evento.

• Clasificaciones (Classifications), agrupa los eventos en diferentes clasificaciones para así entender mejor lo sucedido.

• Fecha (Date), despliega en una gráfica el número eventos

ocurridos para cada día del mes actual.

• Atacantes (Attackers), muestra las direcciones de IP de donde provienen los últimos ataques, también muestra el número de ataques realizados por cada IP.

• Víctimas (Victims), una gráfica donde se exponen las direcciones de IP víctimas de ataques y el número de estos para cada IP.

• Prioridad (Priority), es el nivel por el cuál se clasifican los ataques; el nivel 1 (uno) es la prioridad mas alta, por ende un ataque mas peligroso, el nivel 3 (tres) es el de mas baja prioridad. La gráfica de torta usa estadísticas para mostrar los datos.

• Protocolo (Protocol) más usado para realizar los intentos de

ataque contra el servidor. Se usan estadísticas para mostrar los resultados.

• Puerto destino (Destination Port) al cual llegan los ataques realizados por los atacantes, los resultados se muestran en base a estadísticas.

Para conocer más acerca de alguno de los resultados, dado que un evento es sospechoso o por otras razones, se puede seleccionar del menú desplegable Report Name la sección a revisar mas detalladamente, escoger un periodo para el reporte, generalmente por meses, luego una fecha si así se desea y finalmente el número de reportes a mostrar; se muestra el reporte presionando Generate.

"En definitiva, pese a todas las facilidades y automatizaciones y como casi todas las herramientas de seguridad, es un apoyo que no puede sustituir la tarea del responsable de seguridad que es quien debe analizar toda la información de forma minuciosa y continuada53".

Para configurar este módulo nos dirigimos a la pestaña Network y luego a Intrusion Detection. Desde allí podemos establecer el estado (Running, Stop) y seleccionar que políticas de detección deseamos implementar. El proceso es simple, se selecciona una regla y se presiona Update para hacer efectivo el cambio.

El módulo usa mucha memoria RAM para realizar su función, si se detecta que el sistema es lento y/o consume mucha memoria es recomendable detener este módulo.

Todos los días se crean nuevos vectores de ataque, y mantener una base de datos de estos métodos de ataque es responsabilidad del administrador de la red, en www.snort.org se encuentra mas información al respecto; se recomienda inscribirse en la página para descargar la lista de reglas actualizadas para mantener el servidor al día y seguro ante muchos ataques. El ClarkConnect brinda la posibilidad de actualizar automáticamente actualizaciones para el Snort, pero para ello se requiere pagar una mensualidad.



• Cita de: http://euitio178.cccu.uniovi.es/wiki/index.php/Snort

• INTRUSION PREVENTION (PREVENCIÓN DE INTRUSOS)

En esta página se muestran los reportes generados por el módulo para la prevención de intrusos que se encarga de bloquear atacantes y sospechosos que intentan vulnerar el sistema.

[Imagen rep11]


Se puede apreciar una lista llamada Active Block List, la cual muestra seis informaciones importantes referentes a direcciones de IP que han sido bloqueadas (debido a tráfico inapropiado o peligroso):

• ID, es un identificador que se asocia al evento ocurrido, el cuál puede ser usado como hipertexto para obtener información mas detallada del suceso.

• Blocked IP, esta es la dirección de IP bloqueada de donde se originó el ataque.

• Date, la fecha del evento ocurrido.

• Time, la hora.

• Time Remaining, este es el tiempo restante (para llegar a 0) para que la dirección de IP sea desbloqueada. Normalmente el bloqueo dura veinticuatro horas.

Al ingresar a la sección de configuración de este módulo, por Network<Intrusion Prevention, se tiene otra breve vista de las últimas direcciones de IP bloqueadas, solo que desde aquí si el caso lo amerita, podemos desbloquear la dirección de IP presionando Exempt List; así la IP se guardará permanentemente en una lista blanca. Esto puede ser útil por ejemplo, si una dirección de IP necesita conectarse a nuestro servidor constantemente y para ello usa métodos que pueden resultar sospechosos. También es posible ingresar manualmente una IP a la lista blanca.

Si se desea borrar una dirección de IP de la lista sospechosa se presiona

Delete y para borrar completamente esta lista se debe presionar en

Reset.

• SYSTEM SETTINGS (SISTEMA)

En esta sección del Webconfig podemos configurar y administrar de una forma sencilla el servidor.

• 
  

  FECHA

[Imagen sys1]


La herramienta para la configuración de hora y fecha nos permite modificar la Zona Horaria para establecer una hora mas acorde con nuestra localización. Si se activa Automatic Synchronize, el servidor sincronizará su hora y fecha con respecto a servidores NTP54 en Internet. Esto permitirá mantener una hora casi perfecta.

• 
  

  LENGUAJE

[Imagen sys2]





• Network Time Protocol, protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través de Internet.

Aquí se puede cambiar el lenguaje por defecto que se usa en el Webconfig. Se recomienda seleccionar Ingles, ya que aun no existen traducciones completas al español.

• 
  

  SERVICIOS (Running Services)

[Imagen sys3]


Esta página muestra en una excelente forma que servicios, procesos y demonios (Daemons) están corriendo y cuales se encuentran detenidos. El color verde simboliza que el proceso esta activado y el rojo lo contrario.

Si se quiere modificar el estado de un servicio (Standard Services) se debe presionar Configure y desde allí iniciarlo o detenerlo. Para los servicios del sistema o demonios (Core Services) desde esta misma página se puede modificar su estado.

Es conveniente revisar constantemente esta página para conocer el estado de los servicios y demonios.

Si se desea que el servicio se inicie cuando el sistema se inicia y no manualmente, la opción Automatic debe aparecer para dicho servicio, de lo contrario hay que modificarlo con los pasos arriba descritos.

Desde una consola con permisos de root también es posible controlar los servicios y demonios. Para hacer esto iniciamos sesión como root en una consola, bien sea local o remotamente, y escribimos:

/etc/init.d/[nombre_del_servicio] [opción]

Ejemplo: /etc/init.d/squid restart Para saber como se llama un servicio o demonio podemos averiguarlo leyendo el enlace del Webconfig que lo configura:

https://192.168.1.254:81/admin/squid.php O podemos ejecutar este comando el cual nos mostrara cuales son los servicios existentes en el servidor:

ls /etc/init.d/ Existen cuatro opciones importantes para manejar estos servicios:

• start, inicia un servicio o demonio detenido.

• stop, detiene el servicio especificado.

• restart, reiniciar un servicio, primero lo detiene y luego lo inicia, es lo mismo que escribir stop y luego start.

• status, muestra el estado del servicio, si se encuentra activo y corriendo o si esta detenido.

• SETUP

[Imagen sys4]


Esta sección es usado para procedimientos durante la instalación y una actualización del sistema. Si se desea se pueden escribir los datos de la organización como dominio del servidor, nombre de la organización, ciudad, y demás.

• 
  

  WEBCONFIG

[Imagen sys5]


Aquí se puede cambiar el aspecto visual del Webconfig para que se acomode a los gustos del administrador de la red, incluso si se desea se puede crear una plantilla propia, en este enlace explican como hacerlo:

http://www.ClarkConnect.com/developer/resources/webconfigskins.php

• 
  

  SYSTEM TOOLS

En esta sección se reúnen algunas herramientas para la administración de los módulos y del sistema.

• 
  

  ACTUALIZACIONES DEL ANTIVIRUS

[Imagen sys6]


Desde aquí se modifica el módulo de actualización del antivirus; se especifica con que periodicidad se debe actualizar automáticamente la base de datos del antivirus, cada hora, cada dos horas, dos veces al día o diariamente.

También se muestra información sobre los últimos cambios realizados a la base de firmas de virus y que otros módulos usan el antivirus, como el filtro de contenido o el servidor de correo.

• 
  

  COPIA DE SEGURIDAD/RESTAURACIÓN

[Imagen sys7]


Esta es una herramienta muy interesante porque permite realizar una copia de seguridad (Backup) de todos los archivos de configuración para una posterior restauración. Brinda adicionalmente la opción de almacenar esta copia en una sistema externo, por ejemplo otra máquina, un CD-ROM, un disco duro extraíble, en Internet, etc; brindando así mas redundancia a la copia de seguridad.

Si por alguna razón se necesita reinstalar el servidor, para volver al estado previo antes de la reinstalación y/o del daño ocurrido, solo basta con restaurar los archivos de configuración de la copia de seguridad.

Los archivos que son copiados y almacenados son únicamente archivos de configuración como los nombres de usuario y sus contraseñas, la configuración de la red, la configuración del Firewall y la configuración de algunos módulos de software como el filtro de contenido o el Proxy.

Para realizar un Backup presionamos el botón Backup and Download Now, y después de un momento podremos descargar el archivo tar.gz, el cual contiene los archivos empaquetados y comprimidos. La extensión tar.gz es una extensión de archivo que se usa para empaquetar y comprimir una carpeta o muchos archivos dentro de un solo archivo fácil de transportar. Es una extensión muy común en el mundo Linux y tiene soporte en cualquier distribución; adicionalmente existen programas Windows® y MAC OS® para extraer los archivos.

Para restaurar un Backup podemos realizar dos procedimientos:

• A través de Examinar. . . : buscamos el archivo tar.gz

que deseamos restaurar y presionamos Upload.

• Conforme se van creando las copias de seguridad, una lista las muestra en orden cronológico, se pueden realizar las dos acciones que los botones indican, descargar nuevamente el Backup o restaurarlo según sea el caso.

• 
  

  ENCRYPTED FILE SYSTEM

[Imagen sys8]


Herramienta de seguridad que permite crear un volumen cifrado para proteger la información que se encuentra dentro, de acceso no autorizado o de robo. Esto le brinda mayor seguridad a la información sensible cuando no se encuentra en el servidor, por ejemplo cuando es transportada.

La protección solo se brinda a volúmenes que no se encuentran montados en el sistema, así cuando el servidor se encuentra encendido y funcionando esta seguridad basada en el cifrado no es aplicada.

Pasos para crear un nuevo volumen:

• Escoger un nombre para el volumen.

• El punto de montaje es el lugar donde se montará el volumen, por defecto se ubica en /mnt/dmcrypt/ [nombre_volumen], pero aun así se puede cambiar el lugar como por ejemplo: /root/Backup, siendo Backup el nombre del volumen.

• Aquí se escoge en cual disco o unidad se desea crear el

volumen.

• Se especifica el tamaño el volumen nuevo.

• Finalmente de escribe la contraseña con la cual se protegerá el volumen.

¡Si por alguna razón se olvida la contraseña es imposible rescatar los datos que contenía el volumen!

[Imagen sys9]


Esta es la ultima herramienta de esta sección, nos da la posibilidad de apagar (Shutdown) o reiniciar (Restart) el sistema desde el Webconfig.

Para realizar alguna de las dos acciones se escoge Shutdown o Restart del menú desplegable y se presiona Update, después el sistema preguntará si queremos realizar la acción seleccionada, presionamos en Continue y el servidor aceptará nuestra orden, y en cuestión de unos minutos finalizará.

Estas mismas acciones se pueden realizar desde una consola con permisos de root, para apagar se ejecuta: halt y para reiniciar: reboot.

• 
  

  CONFIGURACIONES ADICIONALES

En este momento el Servidor/Firewall debe estar corriendo y funcionando, ya se ha visto como se configuran las diferentes herramientas y módulos de software, se manejan las secciones de reportes para conocer del funcionamiento del ClarkConnect; ahora continuamos con otros módulos los cuales no son necesarios pero si interesantes y útiles para explorar.

Aunque esta sección no es de lectura obligada se recomienda leerla.

Este módulo en la sección de Network Settings nos permite configurar los alias para los Hosts en la configuración del servidor DNS. Esto ayuda a nombrar a un Host, el cual puede ser cualquier máquina, un servidor, un ruteador, una impresora o un dispositivo que se conecte a la red, con un alias el cual puede "reemplazar" la dirección de IP de este. Por ejemplo: el Firewall posee la IP 192.168.1.254 , pero a veces aprenderse este número no es sencillo, por eso el alias clarkconnect.lan es equivalente, si queremos acceder al servidor, podemos emplear cualquiera de los dos métodos y no hay problema.

[Imagen net6]


Para esto, el ClarkConnect funciona como un servidor DNS, el cual guarda en el archivo /etc/hosts/ una lista donde por cada dirección de IP se asocia uno o varios alias que representan a esa dirección. Incluso si la máquina que realiza la petición pertenece al mismo dominio, en este caso > .lan < puede acceder a la máquina omitiendo ese fragmente de la dirección, ejemplo:

ping 192.168.22.80 ping clarkconnect.lan ping ClarkConnect Estos tres comandos y sus direcciones realizan lo mismo.

Para crear un nuevo alias, se ingresa a la sección Hosts and DNS Server en Network. En la página se ve una lista con tres datos importantes y los botones para realizar las acciones. Primero se la dirección de IP del Host, seguido el nombre del Host (Hosts Name) que se emplea para identificarla y finalmente el o los alias que se pueden usar en reemplazo de la dirección de IP. Para cada Host se pueden emplear diferentes alias.

[Imagen net7]


En la sección inferior se encuentran dos cuadros de texto, en el primero se ingresa la dirección de IP del Host y en el segundo el nombre del Host que se le va a dar, ejemplo:

192.168.1.250 router1.lan

• 
  

  NETWORK TOOLS

Este módulo cuenta con tres herramientas para monitorizar y diagnosticar la red, en tres aspectos: información en tiempo real de las conexiones actuales; información sobre la ruta de las paquetes de red y estadísticas sobre los protocolos de red.

[Imagen net8]



• Connection Monitor, herramienta que muestra información en tiempo real de las conexiones que pasan a través del Firewall. Puede ser útil para identificar conexiones abiertas creadas por Malware, aplicaciones P2P o para saber que causa problemas en la red. Se muestran siete columnas, cada una contiene datos de cada conexión existente:

• El protocolo de la conexión; TCP/UDP.

• El tiempo restante para que la conexión expire.

• La fuente de donde proviene la conexión, una dirección de IP que identifica al Host por medio de cinco colores: rojo, Internet; naranja, la IP pública del servidor; amarillo, DMZ; verde, red local; negro, interfaz local o loopback (usado comúnmente por servicios y demonios).

• El destino, dirección de IP a cual es dirigida la conexión, el mismo código de colores descrito anteriormente es usado aquí.

• El estado: establecido, cerrado, escuchando, (Established, Close, Listening).

• Puerto usado por la conexiones, el primero indica de donde provienen y el segundo a donde se dirige.

• Servicio asociado a la conexión, si es conocido.

Al presionar en Update se puede actualizar la información aquí mostrada, si se escribe un número reemplazando al cero >0<, este es el número de segundos que pasan antes de actualizar automáticamente la página.

• Routing Table, la tabla de "enrutamiento" que representa el camino que debe seguir un paquete para llegar a la red de destino. Se muestran ocho columnas, pero para nuestro caso solo cinco son necesarias; para que un paquete llegue a la red de destino (columna 1) con una máscara de red (columna 3), debe pasar por la puerta de enlace o gateway (columna 2) usando el adaptador de red (columna 8). La columna 5 muestra el número de saltos que debe realizar el paquete al pasar por los nodos, usualmente "ruteadores", para llegar a su destino.

• Protocol Statistics, muestra información técnica sobre los protocolos usados en la red, como: ICMP, TCP y UDP.

• ACCESS CONTROL (CONTROL DE ACCESO)

El control de acceso puede ser usado para permitir o denegar el acceso a Internet, para navegar a través del Proxy, a ciertas horas del día o días de las semana, a un grupo de usuarios. Su configuración es sencilla y puede ayudar a mejorar la política institucional en cuestión para la navegación en Internet. Puede ser usado de igual forma para mejorar la seguridad de la red e impedir que otros usuarios naveguen a través del Proxy en horarios no aprobados.

[Imagen soft8]



CAPÍTULO 6

Comandos de administración del servidor

En este nuevo capítulo vamos a ver trucos y comandos enfocados y estructurados en diferentes aspectos para simplificar el trabajo de administrar un servidor GNU/Linux y así maximizar el uso del tiempo.

Se recomienda ejecutar en la consola el comando man seguido del nombre del comando (man [nombre_comando]), para conocer el manual y la información referente al segundo. Esta es una gran fuente de información para comenzar a conocer el sistema y a los comandos. No todos poseen un manual pero la gran mayoría lo tienen, si se desea conocer con mayor profundidad o con otro punto de vista se puede buscar en internet.

• 
  

  MONITOREO REMOTO DE SERVIDORES

Realizar un monitoreo periódico a un Servidor, y más si es un Firewall, es una de las responsabilidades que el administrador de la red tiene, y debe hacerlo continuamente para garantizar que la máquina trabaje apropiadamente y no hayan huecos de seguridad u otras fallas que puedan impedir el correcto funcionamiento. Al ser una máquina que se encuentra entre dos redes, siendo una de ellas el internet, el Firewall es un objetivo constante de muchas amenazas, saber que sucede y estar atento es importante para garantizar protección a toda la red. El monitoreo se realiza con el objetivo de obtener información en tiempo real para diagnosticar al Servidor y buscar posibles o futuros problemas. Como administrador se debe saber que ocurre a cada instante en el Servidor, como el porcentaje de recursos (memoria, procesador, disco duro) gastados, o el tráfico de la red.

El monitoreo se centra en cuatro aspectos importantes: el procesador, la memoria, el disco duro y el estado de la red.

Nota: Como se explicó anteriormente (apartado 5.3.5) podemos acceder al ClarkConnect por medio del protocolo SSH y evitar estar presentes físicamente en el Firewall al momento de realizar el monitoreo.

A continuación se listan los comandos a ejecutar:

• hostname, se utiliza para mostrar o establecer el nombre actual del sistema. Con este comando nos aseguramos que estemos en la máquina correcta al realizar el monitoreo.

• date, informa de la hora local del sistema. Se usa para verificar la fecha y mantener los logs con la hora correcta. Un atacante podría cambiar la fecha y así engañar al administrador con respecto a la verdadera hora del suceso.

Partes: 1, 2, 3, 4