Lanbide Heziketarako Perimetroko Antibirusa eta Internet Atzipen Kontrola


 

Versiones:
    1.0 (2006.11.05)
    1.1 (2006.12.08)
    1.2 (2007.01.05)
    2.0 (2007.02.01)
    2.1 (2007.09.01)
    2.2 (2008.04.12)


Introducción

Propuesta de Antivirus perimetral para los centros integrales de FP de la CAV.

Objetivos

Modelizar un sistema de protección antivirus y antiespam de perímetro, para proteger el tráfico de correo electrónico, la navegación web y la descarga de ficheros. Además se ofrecen las funcionalidades adicionales de estadísticas de virus / spam, y un sistema de control de acceso a Internet.

Arquitectura

La arquitectura que se propone es un ordenador en la DMZ de los centros educativos, por el que pase todo en tráfico a proteger.

Necesidades de hardware

Probablemente, la configuración mínima sea un PC con Pentium III a 1GHz y 512MB de RAM. Si se desean estadísticas, es preferible un disco duro rápido y más memoria RAM. Para el proxy, si se desea la funcionalidad de caché, se requiere un disco duro rápido. Puede ser que estas especificaciones no sean suficientes si tenemos muchos mensajes de correo y mucho tráfico HTTP.

Discusiones - Problemas

Proxy transparente vs. no transparente? 

Aunque el proxy transparente evita al administrador la tarea de configurar los navegadores de múltiples usuarios, hay varias pegas para utilizar esta tácnica. El navegador no sabe que tiene un proxy delante. Así, al no ser consciente de la existencia del proxy, no utiliza la cabecera Proxy-Authorization.  Del mismo modo, versiones antiguas de IE no envían la cabecera Cache-control : no-cache al refrescar las páginas. No se pueden utilizar las comprobaciones de identidad de RFC1413. Tampoco funciona lel filtrado de IPs para prevenir el IP spoofing (RFC2267).

En mi opinión es mejor configurar el proxy con  políticas de grupo en dominios Windows. En el caso de Firefox, si hay perfiles móviles, cada usuario sólo tiene que configurarlo una sola vez. En caso de no disponer de dominio, también se puede recurrir a la configuarción automática con WPAD.

Proxy FTP

La falta de feedback de la progresión de descarga hace que los usuarios se incomoden y abandonen la descarga, aunque ésta está siendo realizada. Esto hace que no sea utilizable con ficheros grandes.

Funcionalidad e instalaciones
0. Funcionalidad y software
1. Instalación básica
2. Instalando Postfix
3. Instalando ClamAV MailScanner y SpamAssassin
4. Recogiendo correo del exterior: Fetchmail
5. El proxy POP3: pop3.proxy + ClamAV
6. Instalación del software estadístico
7. El proxy HTTP: HAVP + ClamAV
8. Control de acceso a Internet

Instalador automático

Se ha realizado un instalador automático. Propiamente, es un configurador del sistema con interface web, y unos scripts que aplican la configuración seleccionada. Además hay un script que realiza la instalación de los paquetes necesarios. Esto hace que la reconfiguración del sistema sea más rápida, pues los parámetros se guardan en un fichero y se utilizan la próxima vez. De este modo, sólamente hay que introducir los cambios deseados.

En la siguiente página tenemos la descripción del proceso:

Proceso de instalación

Teneis una demo del configurador en:

http://www1.iurreta-institutua.net/lhpaiak/index.html

También del Control de Acceso a Internet

http://www1.iurreta-institutua.net/lhpaiak/iakdemo/iak.php

Animo!

Por hacer

- Realizar un log único para el antivirus.

- Enviar los logs de pop3.proxy a MySQL, para verlos con MailWatch (muy difícil)

Autor

Alfredo Barrainkua Zallo, Iurreta Institutuko Sare administraria

Kritikak, hobekuntzak aldaketa proposamenak edota galderak, hurrengo posta helbidera:

alfredobz@iurreta-institutua.net