Lanbide Heziketarako Perimetroko Antibirusa eta Internet Atzipen Kontrola


 

Versiones:
    4.0.0. (2010-11-05) / basada en la versión 3.0.0 (2010.03.15) de Lhpaiak


Introducción

Propuesta de sistema de Control de Acceso a Internet para los centros integrales de FP de la CAV.

Objetivos

Modelizar un sistema de protección antivirus y de Control de Acceso a Internet de las aulas de un centro patra la navegación web y la descarga de ficheros.

Arquitectura

La arquitectura que se propone es un ordenador en la red interna o en la DMZ de los centros educativos, o altenativamente una máquina virtual por la que pase todo en tráfico a proteger.

Protección del tráfico HTTP y FTP

El tráfico HTTP con servidoreas de la DMZ, de Internet o de la intranet de educación, pasa por el antivirus. El tráfico hacia servidores situados dentro de la escuela, no.

Control de acceso a Internet

Este sistema, solo necesita de un servidor web para soportar la funcionalidad de un sistema de control de acceso a Internet. Se requiere que las máquinas cliente tengas IPs fijas y se agrupen en grupos de, a poder ser, potencias de 2 (8, 16, 32) máquinas.

Necesidades de hardware

Probablemente, la configuración mínima sea un PC con Pentium III a 1GHz y 512MB de RAM. Hoy en día no es fácil encontrar una máquina con dichar características. Un sistema que funciona bien es una máquina virtual de 8GB con Ubuntu 10.04 Server instalado y una RAM asignada de 1GB.

Discusiones - Problemas

Proxy transparente vs. no transparente? 

Aunque el proxy transparente evita al administrador la tarea de configurar los navegadores de múltiples usuarios, hay varias pegas para utilizar esta tácnica. El navegador no sabe que tiene un proxy delante. Así, al no ser consciente de la existencia del proxy, no utiliza la cabecera Proxy-Authorization.  Del mismo modo, versiones antiguas de IE no envían la cabecera Cache-control : no-cache al refrescar las páginas. No se pueden utilizar las comprobaciones de identidad de RFC1413. Tampoco funciona lel filtrado de IPs para prevenir el IP spoofing (RFC2267).

En mi opinión es mejor configurar el proxy con  políticas de grupo en dominios Windows. En el caso de Firefox, si hay perfiles móviles, cada usuario sólo tiene que configurarlo una sola vez. En caso de no disponer de dominio, también se puede recurrir a la configuarción automática con WPAD.

Proxy FTP

La falta de feedback de la progresión de descarga hace que los usuarios se incomoden y abandonen la descarga, aunque ésta está siendo realizada. Esto hace que no sea utilizable con ficheros grandes.

Software

En la tabla se lista el software necesario.

Software (2010.11.05)
Sistema operativo Linux Debian 5.0 Squeeze
Kernel: 2.6.32-4
Lenguajes de scripting PHP5
5.3.2-2
Servidor Web Apache2 2.2.16-3
Base de datos MySQL 5.0.51a-24
Antivirus ClamAV 0.97.2+dfsg-1
Proxy HTTP y control de acceso a internet (IAK) Squid
HAVP
2.7-STABLE9-2.1
0.91
Información del sistema PHP SysInfo 3.0.4

Instalación

1. Instalación básica

2. Control de acceso a Internet

3. Configurando los navegadores

4. Antivirus en la navegación por Internet

Instalador automático

Se ha realizado un instalador automático. Propiamente, es un configurador del sistema con interface web, y un clic en un boton establece la configuración seleccionada. Inicialmente se ejecuta un script que realiza la instalación de los paquetes necesarios. Esto hace que la reconfiguración del sistema sea más rápida, pues los parámetros se guardan en un fichero y se utilizan la próxima vez. De este modo, sólamente hay que introducir los cambios deseados.


Tienes una demo del Control de Acceso a Internet en:

http://www1.iurreta-institutua.net/iak/iak.php

Animo!

Por hacer

- Cargar las figuras de cabedera y pie de la página web de control del acceso a Internet IAK, a través del configurador LHIAK.

- Seleccionar en el configurador LHIAK si las aulas deben ser cerradas automáticamente.

- Seleccionar a través del configurador LHIAK qué rangos IP deben tener siempre el acceso permitido.

Autor

Alfredo Barrainkua Zallo, Iurreta GLHB Institutuko IKT Arduraduna

Kritikak, hobekuntzak aldaketa proposamenak edota galderak, hurrengo posta helbidera bidali:

alfredobz@iurreta-institutua.net