Propuesta de sistema de Control de Acceso a Internet para los centros integrales de FP de la CAV.
ObjetivosModelizar
un sistema de protección antivirus y de Control de Acceso a
Internet de las aulas de un centro patra la navegación web y la
descarga de
ficheros.
La arquitectura que se propone es un ordenador en la red interna o en la DMZ de los centros educativos, o altenativamente una máquina virtual por la que pase todo en tráfico a proteger.
Protección del tráfico HTTP y FTP
El tráfico HTTP con servidoreas de la DMZ, de Internet o de la intranet de educación, pasa por el antivirus. El tráfico hacia servidores situados dentro de la escuela, no.
Control de acceso a Internet
Este sistema, solo necesita de un servidor web para soportar la funcionalidad de un sistema de control de acceso a Internet. Se requiere que las máquinas cliente tengas IPs fijas y se agrupen en grupos de, a poder ser, potencias de 2 (8, 16, 32) máquinas.
Necesidades de hardware
Probablemente, la configuración mínima sea un PC con Pentium III a 1GHz y 512MB de RAM. Hoy en día no es fácil encontrar una máquina con dichar características. Un sistema que funciona bien es una máquina virtual de 8GB con Ubuntu 10.04 Server instalado y una RAM asignada de 1GB.
Discusiones - ProblemasProxy transparente vs. no transparente?
Aunque el proxy transparente evita al administrador la tarea de configurar los navegadores de múltiples usuarios, hay varias pegas para utilizar esta tácnica. El navegador no sabe que tiene un proxy delante. Así, al no ser consciente de la existencia del proxy, no utiliza la cabecera Proxy-Authorization. Del mismo modo, versiones antiguas de IE no envían la cabecera Cache-control : no-cache al refrescar las páginas. No se pueden utilizar las comprobaciones de identidad de RFC1413. Tampoco funciona lel filtrado de IPs para prevenir el IP spoofing (RFC2267).
En mi opinión es mejor configurar el proxy con políticas de grupo en dominios Windows. En el caso de Firefox, si hay perfiles móviles, cada usuario sólo tiene que configurarlo una sola vez. En caso de no disponer de dominio, también se puede recurrir a la configuarción automática con WPAD.
Proxy FTP
La falta de feedback de la progresión de descarga hace que los usuarios se incomoden y abandonen la descarga, aunque ésta está siendo realizada. Esto hace que no sea utilizable con ficheros grandes.
SoftwareEn la tabla se lista el software necesario.
Software (2010.11.05) | ||
Sistema operativo | Linux | Debian 5.0 Squeeze Kernel: 2.6.32-4 |
Lenguajes de scripting | PHP5 |
5.3.2-2 |
Servidor Web | Apache2 | 2.2.16-3 |
Base de datos | MySQL | 5.0.51a-24 |
Antivirus | ClamAV | 0.97.2+dfsg-1 |
Proxy HTTP y control de acceso a internet (IAK) | Squid HAVP |
2.7-STABLE9-2.1 0.91 |
Información del sistema | PHP SysInfo | 3.0.4 |
Instalación
Instalador automáticoSe ha realizado un instalador automático. Propiamente, es un configurador del sistema con interface web, y un clic en un boton establece la configuración seleccionada. Inicialmente se ejecuta un script que realiza la instalación de los paquetes necesarios. Esto hace que la reconfiguración del sistema sea más rápida, pues los parámetros se guardan en un fichero y se utilizan la próxima vez. De este modo, sólamente hay que introducir los cambios deseados.
Tienes una demo del Control de Acceso a Internet en:
http://www1.iurreta-institutua.net/iak/iak.php
Animo!
Por hacer- Cargar las figuras de cabedera y pie de la página web de control del acceso a Internet IAK, a través del configurador LHIAK.
- Seleccionar en el configurador LHIAK si las aulas deben ser cerradas automáticamente.
- Seleccionar a través del configurador LHIAK qué rangos IP deben tener siempre el acceso permitido.
AutorAlfredo Barrainkua Zallo, Iurreta GLHB Institutuko IKT Arduraduna
Kritikak, hobekuntzak aldaketa proposamenak edota galderak, hurrengo posta helbidera bidali:
alfredobz@iurreta-institutua.net