lunes, 3 de diciembre de 2007

Bloquear messenger


Cuando empezamos a planificar una administración de sistemas sobre un determinado escenario, normalmente cuando hablamos con el boss de esa empresa suele haber una serie de parámetros que les gusta tener controlados.

Es normal ya que suelen ser una incubadora de virus, la cual solo nos puede dar problemas. Por lo menos desde el punto de vista informático, yo no me planteo si este usuario va a usar Internet para ver periódicos, descargase fotos o va a ser una herramienta de trabajo mas. Me imagino que aquí como en todo habrá opiniones para todos los gusto.

Una forma y creo que acertada de ver a los usuarios y sobre todo a muchos de ellos, es como una pasarela entre el mal y el bien. Quizás por su inocencia, por su confianza al click rápido, o por que han sido poseídos por el dios del malware, hay que intentar , que el acceso a todos este tipo de peligros que circula por la red, por lo menos no los tengan accesibles a primera vista.

Esta claro que si quieren, encontraran la manera de descargarse música, chatear o todo lo que se les ocurra. Siempre hay maneras, creo que eso no tiene discusión. Pero vamos a poner un candado en vez de dejar la puerta abierta.

Una herramienta gratuita, que creo que nos ayuda mucho a todo este tipo de tareas es smoothwall. Ya vimos en su día como realizar la instalación de este firewall sobre vmware en las siguientes entradas:

Instalacion de smoothwall I

Instalacion de smoothwall II
Instalacion de smoothwall III
Instalacion de smoothwall IV

Un aspecto que siempre pensé, que le hacia cogear a este firewall, era el control que tenia del trafico saliente. Tenias que recurrir a mods, para añadir estas funciones, y no siempre la estabilidad del sistema era la deseada.

Con la aparición de la nueva y esperadísima versión 3.0 codename:Polar este pequeño hueco de seguridad fue rellenado con excelentes resultados.
Nos da la posibilidad entre otras muchas cosas de filtrar tanto el trafico entrante como el trafico saliente de una manera sencilla y efectiva.

Y para muestra, un botón. Vamos a situarnos en el siguiente caso
Escenario
Tenemos nuestra red, con distintos usuarios que simplemente se dedican a la ofimática. Todos tienen configurado su respectiva conexión a Internet a través de nuestro firewall - puerta de enlace.

Problema
Nuestro centro de trabajo se ha convertido en un cibercafé. Los usuarios se han convertido en adictos al messenger. Es mas, han instalado todos los pluggins y mejores emoticones de la red. Incluso hay uno que ha batido en 3 contactos el récord de añadidos en el messenger. Otro presume de poder llevar 25 conversaciones a la vez y no perder el hilo de ninguna de ellas.
Ni que decir como se ha visto afectado el rendimiento de nuestra red.

Solución
Nos ponemos manos a la obra y nos armamos de valor para cortar este trafico.
Por supuesto lo primero de todo es realizar la instalación y poner en funcionamiento nuestro smoothwall 3.0 (la instalación es igual que la versión 2.0 explicado en los link de arriba)

- Una vez instalado nos logueamos en la maquina a través del interface de texto como root.
- Ejecutamos el comando setup, y accedemos al interface de configuracion
Una de las novedades que vamos a ver en esta versión es la opción "Default security level"
Aquí vamos a poder configurar de una manera rápida y sencilla distintos niveles de seguridad de nuestro firewall


Accedemos a esta opción y veremos que nos da la posibilidad de elegir 3 modos de seguridad

Open: Todo el trafico esta permitido en nuestro escenario. Sin excepciones
Half-Open: Esta permitido los servicios mas comunes de acceso como trafico web, ftp, pop3,smtp... pero esta filtrado protocolos potencialmente peligrosos (p2p,msn...)
Closed: Pues la misma palabra lo dice, todo cerrado, aquí no navega ni dios.



Una vez seleccionado estas opciones, y reiniciemos el sistema, los cambios ya estarán aplicados. Podemos comprobarlo si nos logueamos en la consola web.
Esto lo haremos de la siguiente manera:
A través del navegador debemos de introducir la dirección que le asignamos a nuestro firewall a través de una conexión segura y mediante el puerto 441
https://xxx.xxx.xxx.xxx:441

Si nos situamos en la opción networking y dentro de esta seleccionamos la opción outgoning, podremos ver, las reglas que nos ha creado el nivel de seguridad seleccionado.



Desde este interface podremos personalizar nuestras reglas, y a adecuarlas a las necesidades de nuestro escenario.
Por defecto trae una serie de preconfiguraciones que podremos añadir a golpe de click. Como es en este caso las relacionadas con el messenger.


Entre otras opciones podremos crear incluso excepciones de uso, por si queremos que algún usuario, si que disponga de estos servicios.

Ahora solamente una vez protegida vuestra red, tenéis que lidiar con los usuarios enfadados por no poder dar rienda suelta a sus necesidades de chateo.

Saludos

19 comentarios:

jorgeiba dijo...

Me encantan tus articulos y tus tutoriales, te agradezco mucho la información que publicas es de mucho interés para mi, ojala pudieras publicar mas acerca de smoothwall y sus usos.

Saludos desde México!!!

David dijo...

Jorgeiba: Gracias por el comentario, es un placer que te parezca interesante la información que aquí publico. Poco a poco iré haciendo mas entradas sobre smoothwall que la verdad sea dicha, creo que es un producto sumamente interesante. Saludos

PalMax dijo...

Excelente aporte...

Estoy tratando de instalar el smoothwall en mi vmware workstation, pero no me reconoce el disco duro... y el raid de mi pc esta deshabilitado.... Voy a actualizar el vmware a ver que pasa.

Gracias. Una ultima cosa.... tambien puedo bloquear youtube, myspace, etc???

David dijo...

Palmax: Respecto a lo del disco duro, no tiene nada que ver el tipo de disco que tiene tu maquina física, ya que los discos que maneja vmware son virtuales. La versión de smoothwall 2.0 no soporta discos scsi en cambio smoothwall 3 si tiene soporte para discos scsi. Con la versión 2 deberás de crearlos de tipo IDE.
Respecto a lo de bloquear contenidos, existen otras distros basadas en smoothwall para hacer estas funciones. Una de ellas es ipcop. Si hay mas gente interesada puedo hacer una entrada al respecto. Ya me diréis.
Saludos

Anónimo dijo...

Hola David, un artículo estupendo, tengo una duda, esto es aplicable a las versiones de Windows VISTA?...(o a alguna versión específica?..), muchas gracias!...
Saludos desde España.
Eduardo

David dijo...

Hola Eduardo:
Este escenario es aplicable a cualquier sistema operativo que usen los usuarios finales. Lo importante es bloquear el puerto/protocolo que usan estas aplicaciones para comunicarse. Y son los mismos en vista, xp /w2k/linux,,,etc.
Saludos.

Jesus Serrano dijo...

Te felicito, Me gusta mucho tu Blog.

Buena información y lo mejor expones el problema y la solución.

Buena información esta, La pondré en cuenta en el próximo trabajo ( Ciber-Café)
Haber como funciona.

En particular esta utilidad no la conocía.

Cabe recalcar que hay métodos de burlarlo (Creo)

Ejemplo; Entrar al Messenger vía WEB :S

Supongo que lo de P2P cambiando el puerto :D

Saludos

PD-Sigue Adelante :D

David dijo...

Hola Jesús: Muchas gracias por el comentario, ayuda mucho a seguir con esto, comentarios como este. Así que gracias de nuevo. Respecto a lo que me comentas, si que es cierto. Si quieren al final van a poder entrar por algún otro sitio, pero siempre sera mejor por lo menos poner un candado que dejar las puertas abiertas.
De todas formas te comentare, que con este sistema si que he tenido muy buenos resultados. Pruebalo y ya me comentaras tus experiencias.
Saludos

DARSCo dijo...

Hola David,

Ví tu blog y me pareció muy interesante ya que yo administro una pequeña red, así qeu decidí bajar los programas e instalarlos pero el VMware me pide conectarlo a un servidor y aún no doy con este, me podrías orientar?

David dijo...

Hola Darsco:
Lo que te esta pidiendo vmware, es conectarte sobre tu propia maquina, ya que es ahí donde instala los servicios. Te lo pide ya que a través de la consola de vmware, te podrías conectar por ejemplo a otro server vmware de tu red.
Es decir, si has instalado correctamente vmware server, y han arrancado todos los servicios. Tienes que conectar contra tu localhost.
Si tienes problemas dímelo, y profundizamos un poco mas en el tema
Saludos.

DARSCo dijo...

Hola david, oye otra consulta, mira ese problema que te había comentado ya lo solucioné cambiando la version del VMware, solo que cuando quiero arrancar la VM me dice que VMware no tiene instaladas las herramientas, esto a que se debe?

David dijo...

Darsco: Lo que te esta pidiendo es la instalación de las vmware tools. Estoy preparando una entrada para profundizar un poco sobre este tema y las ventajas que nos dan.
Saludos

Gustavo Santacruz dijo...

Hola David, muy buenas tus ayudas con todo este tema, pero tengo un problema, es que a pesar de todos los bloqueos que pongo para el messenger en el SmoothWall, la conexión se sigue realizando. Agradezco tu experiencia al respecto. Felicitaciones por tu blog.

Gustavo Santacruz dijo...

Respecto al problema que comenté, encontré que si NO activo la parte de DNS no navegan los equipos en la red y si lo activo, también entra messenger aunque esté sin habilitar en OUTGOING, gracias por cualquier ayuda que me puedan dar.

DARSCo dijo...

Hola David, sabes me interesa mucho la entrada que pueda hacer sobre las VMware Tools para poder terminar con la instalación del Firewall, por lo que te agradecería si me avisas cuando este publicada dicha entrada.

Anónimo dijo...

Hola David, Antes que nada te agradezco que compartas tus conocimientos con la comunidad, te comento que ya instalé el SW y funciona, el problema es que no he podido bloquear el messenger, ya probé con bloqueado con excepciones y tambien permitido con excepciones quitando y agregando la regla del mensajero pero siempre me conecta, ojalá me pudieras ayudar.

Saludos.

Anónimo dijo...

Para bloquear la basua de Redes Ociales:

http://www.taringa.net/posts/ebooks-tutoriales/3716751/bloquear-messengers-IMs-y-Redes-Ociales.html

Gonzalo dijo...

Que tal, es muy util tu publicacion aunque no lo he instalado es justamente lo que necesito, veo que la interfaz es muy similar a un software tambien de distribucion libre que se llama # IPCOP # la intefaz es igual, lo debes conoces? No sabes si se puede instalar como modulo?

rodrigo andres dijo...

hola necesito info sobre la zona de red wifi ,,,,,,,,,,,,,,,


como entran los pc por wifi a la red

no lo e provado odabia ya que tengo como 20 usuarios por wifi

pero si pongo el sw ,,,,

los pc ,,, detectarian la red inalambrica se conectan a la red inalambrica ,, ok ,, y despues que pasa ,,,,,