lunes, 6 de agosto de 2007

Controlar la navegacion, CensorNet

En esta entrada voy a tratar de explicar que es CensorNet, como funciona, y los enormes beneficios que entrega a los administradores de red y en general a la compañía o institución que lo implemente.

CensorNet, es una herramienta basada en linux al igual que varias de las aplicaciones que mencioné en la entrada anterior, pero no se asusten, por que si aun no han entrado al mundo linux, se sorprenderán de lo facil que resulta instalar y administrar este appliance (appliance: "software dedicado en una maquina dedicada") el cual pueden descargar de aquí .

En pocas palabras y en castellano, Censornet es una especie de servidor de control de navegación, que lo pueden especificar como servidor proxy para los usuarios y a medida que ellos navegan ustedes puede administrar y controlar lo que ellos estan viendo y accediendo en internet, bloquear y permitir accesos a sitios y descarga de tipos de archivos y generar estadisticas para descubrir como se esta moviendo el siempre escaso recurso del ancho banda de la institución que esta detrás. Adicionalmente se pueden utilizar perfiles para los usuarios con lo que puedes discriminar ciertos puestos o usuarios respecto de las reglas de navegación que se han configurado asi como restringir el ancho de banda del mismo.

Una vez que ya tengan su copia del archivo .iso de CensorNet quemenlo a un cd. El único requisito que se necesita para que todo funcione como corresponde es tener un equipo (cpu) disponible para ser sacrificado de por vida a la noble misión de controlar el acceso a internet en la institución que lo necesite. El equipo no requiere ser un servidor ni mucho menos, un tarrito antiguo bastará (eso si... con 2 tarjetas de red), si pueden conectar el teclado a una tetera probablemente tambien funcione (yo tengo un hervidor corriendo windows :-o (despues se los muestro) ).

-Partamos, Inicien el flamante equipo con el cd recien grabado.

-En pantalla de Bienvenida le damos (OK)

-El contrato (Yes - I understand and accept)

-Indicar tu ubicación geografica (Yes - I understand and accept)

-Información Geografica (p.e.: CL, Santiago)(OK)

-Te indica que encontró el disco duro y que lo formateará, acuerdense que le dije que tenian que sacrificarlo de por vida, si no estan seguros mejor seleccionen NO, sino sigan adelante (YES)

-Te da una segunda oportunidad, si esta seguro (Yes - Format it)

-Ahora dejenlo trabajar tranquilo unos 20-40 minutos (tal vez un poco más, todo depende del tarro que usemos) y vayan por un cafe o un bebida (a mi me traen una coca zero please).

-ya se tomaron el café?... listo ahora saquen el cd y presionen reboot

-una vez reiniciado quedará en el prompt (censornet login:) escriban "root" y como clave "root"

-ahora ya iniciado como administrador, escriban "setup" y denle "ok" al mensaje de bienvenida

-Se desplegará un menu con 11 opciones, ahora vamos a configurarlo.

-Lo primero es identificar nuestro esquema de trabajo, aqui existen 2 grandes formas, la primera es autenticar (validar) a los usuarios de forma local, es decir, crear la lista de usuarios que podrán navegar en el mismo servidor (uno por uno) y la segunda forma es utilizar algun dominio NT o Active directory para recuperar la lista de usuarios. Mientras deciden cual van a utilizar, configuremos algunas cositas importantes.

-Menu 2 Network Configuration
2.1 Install Network Card Drivers
Seleccionen automatic, esto buscará e instalará los drivers adecuados para las tarjetas, cuando termine, presionen OK

2.2 Set Router/Bridge Mode
Si no estan seguros, dejenlo tal cual (router por defecto)

2.3 IP Address Settings
Aqui aparecen 2 interfaces eth0 y eth1 que son las tarjetas de red instaladas, seleccionemos la privada (eth0) y escribamos la dirección IP que le vamos a asignar al servidor para que se pueda "ver" desde dentro de nuestra red (p.e. 192.168.0.254) y la mascara de red correspondiente a nuestra red (p.e. 255.255.255.0) y presionen (OK)

Entramos de nuevo al menu IP Address Settings y seleccionamos la eth1, repetimos la operación y le asignamos un dirección IP externa, esta es la interfaz que se conectará a internet. (Puede ser una IP Publica si tienen o una direccion interna tambien lo importante es que tenga acceso a internet) escriban la mascara y presionen OK (ahora una vez identificada las tarjetas conecten 2 cables de red al equipo, el primero a la eth0 conectado a la red interna, y el segundo a la eth1, conectado a la red publica.)

2.4 DNS & Gateway Settings
Acá escribiremos los datos del DNS y la puerta de enlace que ocupará el equipo para conectarse a internet. (Si tienen direcciones publicas escriban los datos que le entrego el ISP, de lo contrario, si tienen una ADSL comun y corriente, esos datos los encontrarán escribiendo IPConfig/all en la linea de comandos de su PC (no el server) -Inicio/Ejecutar/cmd/enter- )

2.5 Change hostname
El equipo por omision se llama "censornet", pueden ponerle el nombre necesiten


- Al presionar Exit el servidor se podría tardar unos segundos en volver al menú por que esta cambiando la configuración de la tarjetas

Menu 3 DHCP Service configuration
Si necesitan un servidor DHCP configurenlo, sino dejenlo tal cual

Menu 4 User & Workstation Discovery
Ahora ya deben haber decidido como van a validar sus usuarios para la navegación. Si lo harán con una lista Interna o con un dominio (NT o Active Directory)

4.1 Set Workstation identificacion method
Acá definiremos como vamos a "ver" los equipos en la pantalla de administración mas adelante, yo recomiendo usar "Layer-2 MAC Address" debido a que si nuestra red tiene un DHCP entremedio la identificación por IP no servirá de mucho. Pero en fin si alguien quiere usar IP adelante, no hay problema

4.2 Proble LAN for Windows Workstations
En este paso podemos intentar recoletar los equipos de nuestra red de forma automatica, es una buena herramienta que nos ahorrará tiempo si la red tiene muchos equipos, selecciona OK y el sistema hará una busqueda de todos los equipos encendidos en la red y registrará sus MAC o sus IP según lo que hayan decidido en el paso anterior. (primero asegurate de que todos los equipos estan encendidos)

4.3 Analyse local DHCP leases file for workstation
Pueden importar los equipos desde el servidor DHCP actual a este si definieron este servidor como DHCP tambien, Sino dejenlo tal cual

4.4 Port scan all registered workstations for VNC services
Esto es interesante puesto que pueden revisar y registrar automaticamente los equipos que tengan servicio VNC registrado. (VNC es un protocolo para controlar remotamente una maquina pueden bajar el programa gratuitamente desde aqui e instalarlo en los equipos de los usuarios antes de realizar este paso, asi podrán "ver" literalmente la pantalla del usuario desde la consola de administración)

4.5 Retrieve User-list from a Windows NT4 Domain Controller
Si decidieron usar un dominio NT para validar los usuarios, adelante

4.6 Retrieve User-list from a Windows Active Directory
Si tienen Win2000 / 2003 como servidor de red, probablemente deban usar esta opcion.

- Si no aplica la opcion 4.5 / 4.6 es decir decidieron utilizar una lista interna de usuarios, entonces solamente omitan estas opciones, luego en la consola se pueden crear de forma simple.

-Menu 5 User Authentication Configuracion
Acá simplemente elijan el esquema que decidieron en el paso anterior, esto es: Dominio NT / Active Directory / Lista Interna

- El resto de las opciones del menú deberían quedar tal cual a menos que sepan de que se trata, pero las opciones que ya estan configuradas son suficientes para operar normalmente y sin inconvenientes, bueno... a excepción del menu 9 Change Passwords que debería revisar y actualizar una vez que terminen de configurar (o cuando lo estimen necesario)

- Ahora presionen Quit y estaremos en condiciones de acceder a la interfaz que utilizarán a diario para la administración. abran un browser (recomiendo Firefox o I.E.6 por que el internet explorer 7 no funciona muy bien con esta página) y escriban la direccion interna del servidor (la misma que anotaron para la eth0) por ejemplo http://192.169.0.254

-Veran una pagina con nuestro amigo TUX vistiendo el logo de CensorNet. y abajo una lista con los servicios que se estan ejecutando en este momento (deberian estar todos OK) mas el system status.

-En la parte superior esta el menú con el cual administraremos, bloquearemos, permitiremos, revisaremos, reportearemos y otros terminos finalizados en "remos" (lol) a nuestros queridos y nunca bien ponderados usuarios (pobres de ellos)

-Lo primero es lo primero. Revisemos si nuestros usuarios y equipos aparecen en las listas.
Entonces iremos a Users/Manage Users (si ocuparon NT o A.D.) deberian aparecer los usuarios sino en la misma pantalla hay una opcion que dice "add a new user" donde los agregaremos en el caso de que no esten o hayamos elejido hacer con una lista interna

-Se fijaran que al crear el usuario aparte del nombre y del grupo deben especificar un perfil, aqui escogeremos el que sea pertinente, por ejemplo para un usuario comun escogeremos "filtered" para el dueño de la empresa escogeremos "unfiltered" y para el jefe "denied" (jejeje) todo depende de como quieran tratar a los usuarios

-Al agregarlo les mostrará un mensaje que indica que deben asignarle derechos de acceso (de lo contrario no funcionará)

-Entonces ahora una vez creado el usuario nos iremos a Users/Access Control en donde le damos el perfil de acceso adecuado y/o lo podemos suspender y/o restringir el ancho de banda

- Ahora iremos por los equipos entonces Workstation/Manage Workstations Donde el esquema es el mismo que el usuario pero en vez de nombres de usuario, ocuparemos MAC address o direcciones IP según hayan escogido.

-Estariamos Casi listos con esto, ahora lo unico que tienen que hacer el usar este servidor como servidor proxy en su navegador favorito (internet explorer cualquier versión, mozilla, firefox, opera, etc) y cuando el usuario abrá la primera pagina le pedira autenticación ahi deberá escribir su nombre de usuario y contraseña (si esta validando con NT o A.D. entonces su clave de red, y si es lista interna con la clave asignada al momento de haberlo creado)

-Obviamente, es recomendable 100% bloquear la navegación directa a través de la puerta de enlace original de lo contrario el usuario podría seguir navegando igualmente si no se configura el proxy.

-El resto de las opciones de la consola deberán explorarlas o consultarlas en el manual si tienen dudas, pero en general son muy intuitivas, por ejemplo en los reportes hay una opcion que permite quien esta navengando en este minuto (o en un rango de tiempo), o ver las estadisticas por mes con ranking de los TOP. Tambien pueden agregar terminos bloqueados y/o sitios o URLs, y obviamente "proteger" (walled garden, o sitios permitidos) ciertos sitios.

-Otra de las cosas interesantes es que pueden bloquear la descarga de archivos "filetype filter", y ahi bloquear cualquier cosa que sea .exe .mpg .mp3, etc. (deberán desbloquear los .doc y .xls por que vienen bloqueados de fabrica, asi se evitan un problema con los pobres usuarios)

Eso es estimados, con esta pequeña guía espero haberlos ayudado a configurar esta excelente herramienta, y si persisten las dudas dejen su inquetud y la responderé lo antes posible.

1 comentario:

Alberto dijo...

Hola exelente tutorial, me gustaria saber si esta aplicacion me permite bloquear todas las paginas y solo permitir el acceso a las que yo desee permitir el acceso, es decir algo como establecer una lista blanca para la navegacion.

por otra parte quisiera saber si voy a tener lios de puertos y cosas asi pues la verdad soy bastante tonto en este campo en el cual me declaro ignorante