Lanbide Heziketarako Perimetroko Antibirusa eta Internet Atzipen Kontrola


 

Bertsioak: / Versiónes:
    1.0 (2006.11.05)
    1.1 (2006.12.08)
    1.2 (2007.01.05)
    2.0 (2007.02.01)

Sarrera / Introducción

EU-EAEko Lanbide heziketako zentru integralentzako perimetroko antibirus sistema baten proposamena.

ES-Propuesta de Antivirus perimetral para los centros integrales de FP de la CAV.

Helburuak / Objetivos

EU-Eskoletako posta, web eta ftp trafikoa babesteko perimetroko antibirus eta antiespam sistema baten modelizazioa. Honez gain, postaren estatistikak eta internet atzipen kontrola ere aukeran izango ditu.

ES-Modelizar un sistema de protección antivirus y antiespam de perímetro, para proteger el tráfico de correo electrónico, la navegación web y la descarga de ficheros. Además se ofrecen las funcionalidades adicionales de estadísticas de virus / spam, y un sistema de control de acceso a Internet.

Arkitektura / Arquitectura

EU-Proposaturiko arkitektura: DMZtan egongo den ordenagailu batek izango du antibirus sistema, eta bertatik pasatuko da trafiko guztia

ES-La arquitectura que se propone es un ordenador en la DMZ de los centros educativos, por el que pase todo en tráfico a proteger.


Funtzionalitatea eta Instalazioak / Funcionalidad e instalaciones
1. Funtzionalitatea eta softwarea / Funcionalidad y software
2. Oinarrizko instalazioa / Instalación básica
3. Posta, antibirusa, antiespama eta fetchmail instalazioa / Instalación del correo, antivirus, antiespam y fetchmail
4. POP3, HTTP eta FTP proxy instalazioa / Instalación de proxys POP3, HTTP y FTP
5. Estatistika softwarearen instalazioa / Instalación del software estadístico
6. Internet atzipen kontrola / Control de acceso a Internet

Hardware beharrizenak / Necesidades de hardware

EU-Segur aski, gutxienengo ordenagailua, GHz1-eko Pentium III-a  eta 512MB RAMduna izango da. Dena den, estatistikak nahi badira, hobe da disko gogor azkarra eta RAM memoria gehiago. Proxy-ak katxea badu, disko trinko azkarra ezin bestekoa da. Posta mezu asko baditugu eta HTTP trafio handia, ezaugarri honek ez dira nahikoak izango agian.

ES-Probablemente, la configuración mínima sea un PC con Pentium III a 1GHz y 512MB de RAM. Si se desean estadísticas, es preferible un disco duro rápido y más memoria RAM. Para el proxy, si se desea la funcionalidad de caché, se requiere un disco duro rápido. Puede ser que estas especificaciones no sean suficientes si tenemos muchos mensajes de correo y mucho tráfico HTTP.

Eztabaidak - Arazoak / Discusiones - Problemas

Proxy transparentea edo ez transparentea / Proxy transparente vs. no transparente?

EU-Proxy transparenteak administratzailearen lana errazten du zeren erabiltzaileen nabigatzaileen konfigurazioa ez dago aldatu beharrik. Baina, zenbait arazo daude teknika hau erabiltzeko. Nabigatzaileak ez daki proxy batekin hitz egiten ari dela. Hori dela eta, ez du erabiltzen Proxy-Authorization goiburua. Era berean, IE nabigatzailearen bertsio zaharrak ez dute Cache-control : no-cache goiburua orriak eguneratzerakoan. Ezin daitezke erabili RFC1413 identitate egiaztetzeak. Ez du funtzionatzen IP spoofing-a ezgaitzeko erabiltzen den IP filtraketa (RFC2267).

ES-Aunque el proxy transparente evita al administrador la tarea de configurar los navegadores de múltiples usuarios, hay varias pegas para utilizar esta tácnica. El navegador no sabe que tiene un proxy delante. Así, al no ser consciente de la existencia del proxy, no utiliza la cabecera Proxy-Authorization.  Del mismo modo, versiones antiguas de IE no envían la cabecera Cache-control : no-cache al refrescar las páginas. No se pueden utilizar las comprobaciones de identidad de RFC1413. Tampoco funciona lel filtrado de IPs para prevenir el IP spoofing (RFC2267).

EU-Nire iritsiz, hobe da proxy-a konfiguratu Windows domeinuko talde politikak erabiliaz. Firefox-en kasuan, profil mugikorrak baditugu, erabiltzaile bakoitzak soilik konfiguratui behar du behin bere nabigatzailea. Domeinurik ez badugu, WPAD erabil dezakegu IE automatikoki konfiguratzeko.

ES-En mi opinión es mejor configurar el proxy con  políticas de grupo en dominios Windows. En el caso de Firefox, si hay perfiles móviles, cada usuario sólo tiene que configurarlo una sola vez. En caso de no disponer de dominio, también se puede recurrir a la configuarción automática con WPAD.

FTP proxy-a / Proxy FTP

EU-FTP proxy-aren arazoa, feedback eza da. Hau da: erabiltzailearentzat ez da ezer gertatzen ari. Fitxategi guztia jeisten du proxy-ak, gero aztertzen da birusen kontra, eta azkenik, erabiltzaileari pasatzen zaio. Poertaera hionek, erabiltzailea nazkatzen du. Fitxategi luzeentzat ez da erabilgarria.

ES-La falta de feedback de la progresión de descarga hace que los usuarios se incomoden y abandonen la descarga, aunque ésta está siendo realizada. Esto hace que no sea utilizable con ficheros grandes.

Instaladore erdiautomatikoa / Instalador semiautomático

EU-Instalatzaile erdiautomatiko bat egin da. Egia esan, ez da instalatzailea, baizik eta instalazioaren konfiguratzaile bat, web orri bezala. Gero, script batzuek aplikatzen dute aukeraturiko konfigurazioa. Honez gain, shell script batek, beharrezkoak diren paketeak instalatzen ditu. Honela, sistemaren berkonfigurazioa oso azkarra da. Aukeraturiko parametroak fitxategi batean gordetzen dira, eta horrela, soilik sartu behar ditugu aldatu nahi ditugun parametroak.

ES Se ha realizado un instalador semiautomático. Propiamente, es un configurador del sistema con interface web, y unos scripts que aplican la configuración seleccionada. Además hay un script que realiza la instalación de los paquetes necesatrios. Esto hace que la reconfiguración del sistema sea más rápida, pues los parámetros se guardan en un fichero y se utilizan la próxima vez. De este modo, sólamente hay que introducir los cambios deseados.

EU- Orri hontan daukagu prozesu osoa:

ES- En la siguiente página tenemos la descripción del proceso:

Instalazio prozesua / Proceso de instalación

EU- Hemen duzue konfiguratzailearen demoa:

ES-Teneis una demo del configurador en:

http://www1.iurreta-institutua.net/lhpaiak/lhpaiaki/index.html

Animo!

Tailer Ostean / Tras el taller

EUTailerraren ostean aldatu behar diren gauzak:

- Debian-en errepositorio zerrenda fitxategi hauetan:

        /etc/apt/sources.list
        /var/www/sources.list.sarge

- Makinaren izena, domeinua, IPa, DNS zerbitzariak, NTP zerbitzaria eta atebide lehentsia. Hona hemen begiratu behar diren fitxategiak:

        /etc/hostname
        /etc/hosts
        /etc/network/interfaces
        /etc/ntp.conf

        /etc/default/ntpdate
        /etc/resolv.conf

- Apacheren kontrol fitxategi hauek

        /var/apache2/conf.d/ehpa
        /var/apache2/conf.d/iak

- Berregikaritu konfiguradorea. Aldaketak egin, eta berriz egikaritu instalatzaileak

ES- Cosas a cambiar tras el Taller:

- La lista de repositorios de Debian en:

        /etc/apt/sources.list
        /var/www/sources.list.sarge

- La dirección IP, el nombre, dominio, gateway y los servidores DNS y NTP. He aquí los ficheros a verificar:

        /etc/hostname
        /etc/hosts
        /etc/network/interfaces
        /etc/ntp.conf
        /etc/default/ntpdate
        /etc/resolv.conf

- Las IPS en los ficheros de control de Apache:

        /var/apache2/conf.d/ehpa
        /var/apache2/conf.d/iak

- Volver a ejecutar el configurador. Realizar los cambhios, y ejecutar los instaladores.


Egiteke / Por hacer

EU-

- Instaladore automatiko bat

- Log berezi bat antibirus guztiarentzat

- pop3.proxy-ren log-ak MySQL-ra sartu MailWatch-ek ikusteko (oso zaila)

- IAK orrialdea, egoerarekin ager dadila.

ES-

- Realizar un instalador automático.

- Un log único para el antivirus.

- Enviar los logs de pop3.proxy a MySQL, para verlos con MailWatch (muy difícil)

- Que la página del IAK muestre su estado.

Egilea / Autor

Alfredo Barrainkua Zallo, Iurreta Institutuko Sare administraria

Kritikak, hobekuntzak aldaketa proposamenak edota galderak, hurrengo posta helbidera:

alfredobz@iurreta-institutua.net