1.Qu es DansGuardian.

La herramienta DansGuardian es cdigo abierto, est desarrollada en C++ y permite una configuracin flexible adaptndose a las necesidades del usuario. Al instalar el paquete la configuracin por defecto ya limita las visitas a pginas prohibidas para menores, pero dispone de gran cantidad de archivos de configuracin para llevar a cabo un ajuste del servicio mas personalizado. El mecanismo es el siguiente: los clientes mediante sus navegadores web hacen peticiones de pginas que son recibidas por DansGuardian y slo son redireccionadas al servidor proxy SQUID aquellas que superan la fase de filtrado. En realidad DansGuardian se ejecuta como un demonio independiente del proxy, acepta peticiones en el puerto 8080 y las redirecciona al proxy SQUID, que escucha en el puerto 3128. Por lo tanto, cuando una peticin entra por el puerto 8080, DansGuardian la filtra y la pasa al Proxy SQUID por el puerto 3128. Es importante, en consecuencia, que ningn otro servicio est utilizando el puerto 8080. Si el resultado del filtrado (dependiendo de los filtros configurados) es una denegacin de acceso a una determinada pgina web se muestra al usuario el mensaje correspondiente al 'Acceso Denegado'. Si DansGuardian est en la mquina que hace de cortafuegos y se configura un proxy transparente en SQUID, habr que redireccionar todo el trfico de la LAN hacia el puerto 80 al puerto 8080, donde DansGuardian escucha. Es decir, se capturan todas las peticiones que se hagan a un servidor http (peticin de pginas web) y se envan a DansGuardian (8080) para que se encargue del filtrado. iptables -t nat A PREROUTING -i eth0 -p tcp --dport 3128 j REDIRECT --to-port 8080 En el caso de acceder a pginas seguras que utilizan el protocolo https (puerto 443) tambin debern ser redirigidas.

2.Instalar clamav Instalamos en primer lugar el antivirus clamav. sudo apt-get install clamavdaemon clamavfreshclam 3.Instalar DansGuardian

sudo apt-get install dansguardian 4.Configurando DansGuardian El archivo de configuracin es /etc/dansguardian/dansguardian.conf Pasos para la configuracin: Establecer la lnea que contiene la directiva #UNCONFIGURED como un comentario. Para ello aadir al principio de la lnea el carcter '#'. Si no lo hacemos as, DansGuardian pensar que no nos hemos molestado en configurarlo. #UNCONFIGURED - Please remove this line after configuration En la seccin 'Network Settings' comprobar que estn las lneas siguientes: filterip = <ip donde escucha dansguardian> filterport = 8080 proxyip = 127.0.0.1 proxyport = 3128 Modificar el idioma por defecto. Para ello sustituir el ingls por 'spanish' y dejar las lneas como sigue: languagedir = '/etc/dansguardian/languages' # language to use from languagedir. language = 'spanish' Para que DansGuardian se sincronice con el antivirus Clamav, debemos descomentar la siguiente lnea:

#contentscanner = '/etc/dansguardian/contentscanners/clamav.conf' Salir de gedit salvando los cambios y reiniciar el servicio dansguardian ejecutando la orden: $sudo /etc/init.d/dansguardian restart 5.Cuidado con los descuidos Tal y como lo hemos dejado, alguien que sencillamente no ataque al puerto 8080 no pasar por el filtro de DansGuardian. Debemos por tanto forzar a que el trfico http sea redirigido al puerto

8080. iptables t nat A PREROUTING i eth0 p tcp - dport 3128 j REDIRECT - toport 8080 iptables t nat A PREROUTING i eth0 p tcp dport 80 j REDIRECT --toport 8080 Para qu sirve la primera regla? Y la segunda? Si estamos redireccionando, necesitaremos definir squid como transparente. 6.Ficheros de filtros en DansGuardian Archivos de filtros en /etc/dansguardian/ Archivo Descripcin bannedphraselist contiene una lista de frases prohibidas. Las frases deben estar entre <>. Por defecto incluye una lista ejemplo en ingls. Las frases pueden contener espacios. Se puede tambin utilizar combinaciones de frases, que si se encuentran en una pgina, sern bloqueadas. Archivos de filtros en /etc/dansguardian/ bannedmimetypelist contiene una lista de tipos MIME prohibidos. Si una URL devuelve un tipo MIME incluido en la lista, quedar bloqueada. Por defecto se incluyen algunos ejemplos de tipos MIME que sern bloqueados. bannedextensionlist contiene una lista de extensiones de archivos no permitidas. Si una URL termina con alguna extensin contenida en esta lista, ser bloqueada. Por defecto se incluye un archivo ejemplo que muestra como denegar extensiones. bannedregexpurllist contiene una lista de expresiones regulares3 que si se cumplen sobre la URL sta ser bloqueada. bannedsitelist contiene una lista de sitios prohibidos. Si se indica un nombre de dominio todo l ser bloqueado. Si se quiere slo bloquear partes de un sitio hay que utilizar el archivo bannedurllist. Tambin se pueden bloquear los sitios indicados exeptuando los dados en el archivo exceptionsitelist. Existe la posibilidad de descargarse listas negras tanto de sitios como de URLs y situarlas en los archivos correspondientes. Estn disponibles en http://dansguardian.org/?page=extras. bannedurllist permite bloquear partes especficas de un sitio web.

bannedsitelist bloquea todo el sitio web y sta slo bloquea una parte. banneduserlist lista de los nombres de usuario que estarn bloqueados. Archivos de excepciones en /etc/dansguardian/ Archivo Descripcin exceptionsitelist contiene una lista de los nombres de dominio que no sern filtrados Es importante tener en cuenta que el nombre de dominio no debe incluir http:// o www. exceptioniplist contiene una lista de las direcciones IP de los clientes a los que se permite el acceso sin restricciones. este sera el caso de la direccin IP del administrator. exceptionuserlist lista de los nombres de usuarios que no sern filtrados en el caso de utilizar control de acceso por usuario. Requiere autenticacin bsica o "ident". exceptionphraselist lista de las frases que, si aparecen en una pgina web, pasar el filtro. 7. Definir grupos Puede que queramos definir ciertas reglas de filtrado dependiendo del usuario. Para ello seguiremos los siguientes pasos (en nuestro ejemplo usaremos dos grupos, aunque todo esto es generalizable hasta 99 grupos, lo que es imposible de mantener). Primero vamos a crear dos directorios, uno para cada grupo, a saber: /etc/dansguardian/f1 /etc/dansguardian/f2 Dentro de cada uno de estos directorios, pondremos las reglas de filtrado especficas para cada grupo: cp -r /etc/dansguardian/lists /etc/dansguardian/f1 cp r /etc/dansguardian/lists /etc/dansguardian/f2 Ahora, para no aligerar un poco el directorio /etc/dansguardian, vamos a meter los directorios f1 y f2 en /etc/dansguarian/lists. mv /etc/dansguardian/f1 /etc/dansguardian/lists/ mv /etc/dansguaridian/f2 /etc/dansguardia/lists/

Tambin vamos a crear los ficheros de configuracin de cada grupo. Inicialmente ya existe dansguardianf1.conf (para el grupo 1, por defecto). A partir de este vamos a crear el segundo. cp /etc/dansguardian/dansguardianf1.conf /etc/dansguardian/dansguardianf2.conf Debemos modificar el contenido de dansguardianf1.conf y dansguardianf2.conf, para que importen las reglas desde /etc/dansguardian/lists/f1 y /etc/dansguardian/lists/f2 respectivamente. Podemos hacer esto utilizando gedit. Ahora, vamos a modificar el fichero dansguardian.conf para lo siguiente: 1. Que dansguardian sepa que hay dos grupos. 2. Para poder establecer una equivalencia entre ciertas ips y cada uno de los grupos. Modificamos las siguientes lneas en /etc/dansguardian/dansguardian.conf filtergroups=2 authplugin = '/etc/dansguardian/authplugins/ip.conf' # descomentar esta lnea. Ahora solo queda asociar cada ip a cada grupo. Esto podemos hacerlo en el fichero que se indica en /etc/dansguardian/authplugins/ip.conf, es decir en /etc/dansguardian/lists/authplugins/ipgroups. All escribiremos algo como lo siguiente: 172.16.0.51=filter1 172.16.0.52=filter2 Hecho esto, reiniciamos DansGuardian, y debera diferenciar entre los dos grupos. Para comprobarlo, aadiremos en las reglas de cada grupo, un sitio diferente. Por ejemplo, aadir en /etc/dansguardian/lists/f1/bannedsitelist la siguiente lnea sitio1.com Ahora aadiremos la siguiente lnea en /etc/dansguardian/lists/f2/bannedsitelist: sitio2.com Reiniciamos Dansguardian, y a hacer pruebas.

IPCOP

Que es IPCop?
IPCop es un proyecto GNU/GPL. Se trata de un firewall basado en Linux que nos brinda una interesante gama de posibilidades a la hora de conectar una red local a Internet. La ltima versin al momento de escribir estas lneas es la 1.4.18. Su interfase de usuario es totalmente web (aunque permite tambin acceso por SSH) y esta disponible en 32 idiomas.

Requiere de un hardware dedicado y permite gestionar el acceso a Internet, la seguridad y la interaccin de hasta cuatro redes distintas que, en la jerga del IPCop, se denominan GREEN, BLUE, ORANGE y RED. Las mismas tienen las siguientes caractersticas: GREEN: Esta es la interfase de red de nuestra LAN o red de rea local. Aqu es donde conectaremos todos nuestros equipos que necesiten mayor proteccin, como servidores que no tengan que tener presencia en Internet y puestos de trabajo. Los dispositivos que se encuentren conectados a esta interfase tendrn acceso irrestricto a las interfases RED, BLUE y ORANGE, o sea que podrn salir a Internet (y conectarse a los equipos que se encuentren en cualquiera de estas otras tres redes) por cualquier puerto, pero a su vez los equipos de la interfase RED (equipos en Internet) no pueden iniciar conexiones a ningn equipo que se encuentre en las interfases GREEN, BLUE y ORANGE. En otras palabras, estarn protegidos del exterior, en el sentido que no son accesibles desde Internet. BLUE: Es la interfase que se asigna normalmente para conectar un access point de modo que se puedan conectar dispositivos inalmbricos. De todas maneras sirve para conectar cualquier otra red que se necesite sea esta inalmbrica o no. Los dispositivos que se encuentren en esta red, no podrn iniciar una conexin a los dispositivos que se encuentren en la interfase GREEN, pero salvo esta excepcin, contarn con el mismo nivel de acceso y proteccin que cuentan los dispositivos conectados a la interfase GREEN. No es necesario activar esta interfase en una instalacin de IPCop si no se cuenta con ms de una red, o no se va a utilizar un router

inalmbrico(*). ORANGE: Esta es la interfase que se utilizar para montar una DMZ o zona desmilitarizada. Principalmente se utiliza para montar servidores web, de correo, de ftp, etc. que deban tener presencia en Internet; o sea que sean accesibles desde Internet, pero que en el caso que se produzca alguna intrusin a algn equipo de esta red, eso no comprometa la seguridad de nuestra red interna (GREEN). Los equipos que formen parte de la red ORANGE no podrn iniciar conexiones a ninguno de los dispositivos que se encuentren en las interfases GREEN y BLUE. No es necesario activar esta interfase en una instalacin de IPCop si no se piensa utilizar una DMZ. RED: Es la interfase de red que nos conectar directamente a nuestro proveedor de Internet. Puede ser una conexin ADSL, cablemodem, una lnea dedicada o hasta inclusive un modem telefnico comn. Obviamente que por razones de ancho de banda esta ltima opcin es desaconsejable, pero es perfectamente factible tenerla configurada para una contingencia en la cual nuestro proveedor de Internet tenga inconvenientes para brindarnos nuestro vnculo habitual, pero si este operativo el acceso dialup. Cualquier instalacin de IPCop contar con esta interfase habilitada. (Soporta tanto dispositivos ethernet como USB) Como aclaracin cabe destacar que los equipos que estn en la misma red, ya sea esta GREEN, BLUE u ORANGE, tienen la posialbilidad de iniciar conexiones entre ellos. (*) En el caso de contar con un router wifi, si bien es conveniente, no es obligatorio que este conectado a la interfase blue, ya que se podr conectar sin problemas a la interfase GREEN.

Las caractersticas antes mencionadas de cada interfase son las polticas de seguridad que IPCop implementa por defecto, pero existe la posibilidad de realizar modificaciones a estas polticas para adaptarlas a las necesidades que tengamos mediante las opciones de Port Forwarding y DMZ Pinholes. Estas cuatro posibles redes no son ms que cuatro placas de red en la misma PC. No es necesario utilizar las cuatro, sino que se puede configurar de diferentes maneras dependiendo de las necesidades que tengamos. En la interfase RED estar conectado nuestro router o modem de acceso a Internet (ADSL, cablemodem, etc.), y en las otras tres interfases puede montarse un switch si hace falta conectar ms de un equipo en alguna de ellas. Funcionalidades IPCop brinda una amplia gama de funcionalidades que van ms all de las que ofrecen algunos firewalls comerciales. Sin pretender explicar cada una de ellas y solo a modo de numeracin,

tenemos: Acceso seguro por SSL a la interfase d e administracin web DHCP cliente / servidor DNS dinmico Lista de hosts seteable desde la interfase web HTTP / FTP proxy (squid) IDS (snort) en todas las interfases Log local o remoto NTP cliente / servidor servidor SSH (PSK o con password) Traffic shaping (en la interfase RED) Statefull Firewall Mdulos nat helper para h323, irc, mms, pptp, proto-gre, quake3 Port forwarding (redireccionamiento de puertos) DMZ pin holes Activar o desactivar ping en todas las interfases VPN (IPSEC) Grficos de monitoreo de CPU, RAM, swap, HD, trfico de RED, etc. Hardware Soportado Las caractersticas generales en cuanto al hardware soportado son las siguientes: Arquitecturas: i386 y Alpha (PPC y Sparc estn planeadas para versiones futuras) Memoria: de 12MB a 4GBDiscos: IDE, SCSI y SATA, soporta configuraciones con RAID. Tambin soporta dispositivos flash. Placas de red: ISA/PCI (las soportadas por el kernel de Linux 2.4) CPU: Disponibilidad de kernel SMP para CPUs multicore Dndole nuevas funciones a IPCop: Los Addons Dndole nuevas funciones a IPCop: Los Addons Existen varios desarrolladores (sin vinculacin con el equipo de desarrollo de IPCop) que han desarrollado paquetes con funcionalidad adicional, que se denominan addons, Estos permiten una amplia gama de funcionalidades no incluidas originalmente en el producto. De la gran variedad de addons disponibles vamos a ver a modo de ejemplo las siguientes: Copfilter: Se trata de un excelente addon que en trminos generales podemos decir que permite integrar a IPCop funciones de antivirus y antispam. Para ello se vale de paquetes de software antivirus como ClamAV (se le puede agregar tambin F-Prot y AVG), y SpamAssasin para el caso del antispam. Integra tambin numeros.

Zerina: Si bien IPCop nos permite trabajar con una VPN por medio de IPSEC, este excelente addon nos da la posibilidad de agregar adems OpenVPN. De esta manera es posible tener un excelente y robusto entorno de trabajo remoto accediendo por cualquiera de estas dos alternativas de VPNs, que permiten que trabajemos en cualquiera de los equipos internos de nuestra red tal como si estuviramos dentro de nuestra red GREEN, pero trabajando tanto desde la red BLUE como la RED.

Addon Server: Finalmente este addon es en realidad un servidor de addons que permite instalar en forma simple y desde la interfase de administracin web una variada lista de addons de diverso tipo para controlar el acceso desde la red GREEN hacia las oras tres, control horario de acceso a Internet, control de trfico de cada red, mayor nivel de filtrado del trfico, y un largo etctera.

Actualizaciones: Otro punto importante es la facilidad de actualizacin que nos brinda, por la cual el propio IPCop nos avisar en la pantalla principal de su interfase web, si hay actualizaciones disponibles,las cuales bastar con descargar a una PC y luego hacer el correspondiente upload de la misma para que se instale.

Cabe destacar que debido a que los addons no estn oficialmente soportados, no es inusual que una actualizacin haga desaparecer algn Addon o algn punto de men del mismo, por lo que debemos prestar especial atencin a las actualizaciones si es que hemos instalado algn addon a nuestro IPCop.

Instalacin. Respecto al hardware necesario para su instalacin, se podra decir que corre en casi cualquier equipo que hoy tengamos disponible, ya que un Pentium con 32MB de RAM y unos cuantos cientos de MB en disco son ms que suficientes para correr IPCop sin problemas.(En realidad tambin puede correr con un hardware inferior). De todas formas si queremos instalar algn addon, sera mejor que utilicemos hardware ms moderno, cuanto ms potente mejor sobre todo para que pueda correr sin problemas un addon como Copfilter que consume bastantes recursos de memoria y CPU. No vamos a ver en detalle el proceso de instalacin ya que esta claramente explicada en las instrucciones que se brindan en la documentacin de IPCop, pero a modo de introduccin el proceso es bsicamente el siguiente: Luego de bootear con el CD de instalacin, deberemos seleccionar un lenguaje, elegir el medio de instalacin que utilizaremos (por.ej. CD) y seleccionar los drivers de las placas de red que obviamente ya deberemos tener instaladas en el equipo antes de comenzar. Para esto tenemos la opcin de probe que intentar seleccionar el driver adecuado para nuestras placas de red. Luego deberemos ingresar los datos de nuestra red GREEN (direccin IP y mscara de red). Despus de esto, IPCop dar formato al disco rgido y se instalar. Finalizado este paso, nos pedir que reiniciemos el equipo para luego proceder a hacer el setup inicial, donde deberemos seleccionar tipo de teclado, zona horaria, el nombre de host y el del dominio. Luego deberemos elegir la configuracin de la red, esto implica elegir (en base a las placas de red que ya tengamos instaladas) la combinacin de GREEN, BLUE, ORANGE y RED que necesitemos. Configuraremos entonces las redes faltantes (recordemos que ya hemos configurado la GREEN) comenzando por la RED, donde seleccionaremos el tipo de conexin a Internet que tenemos.(esttico, DHCP, PPPoE o PPTP) y algunos detalles ms que dependen del mismo. Ahora nos solicitar el password inicial para el usuario admin., que es el usuario que utilizaremos para administrar el IPCop por medio de la interfase web, y tambin la clave del usuario root que usaremos si nos conectamos por ssh. Luego deberemos reiniciar nuevamente y ya estaremos en condiciones de acceder desde un navegador web desde cualquier PC de la red GREEN. Solo tenemos que colocar la direccin IP que

le hayamos asignado (la IP que le asignamos a la red GREEN) en la barra de direcciones del navegador, y a partir de ah solo tendremos que configurar nuestra conexin a Internet y voila!, ya estar listo para funcionar. Cuando intentemos esto ltimo, primero solicitar que nos identifiquemos, por lo que deberemos acceder con el usuario admin y su correspondiente clave a la opcin Dialup del men Network. Conclusion IPCop es una excelente opcin para brindar un muy buen nivel de seguridad y flexibilidad para instalaciones SOHO (Small Office Home Office). Existen algunas otras opciones, algunas con caractersticas ms avanzadas, pero para las necesidades ms frecuentes de una instalacin chica o mediana, IPCop resulta una de las propuestas ms acertadas.