Manual completo Instalacion de Zentyal Firewall 5 parte

---

Zentyal Gateway

En este capítulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway. Zentyal puede hacer la red más fiable y segura, gestionar el ancho de banda y definir políticas de conexiones y contenidos.

Hay un apartado centrado en el funcionamiento del módulo de cortafuegos, el cual nos permite definir reglas para gestionar el tráfico entrante y saliente tanto del servidor como de la red interna. Para ayudar en la configuración del cortafuegos, existen dos módulos que facilitan la gestión de objetos y servicios de red.

A la hora de acceder a Internet podemos balancear la carga entre varias conexiones y definir diferentes reglas para usar una u otra según el tráfico. Además, también se verá como garantizar la calidad del servicio, configurando que tráfico tiene prioridad frente a otro o incluso limitar la velocidad en algún caso, como podría ser el P2P.

Mediante RADIUS podremos autenticar a los usuarios en la red y finalmente, se ofrece una introducción al servicio de proxy HTTP. Este servicio permite acelerar el acceso a Internet, almacenando una caché de navegación y establecer diferentes políticas de filtrado de contenidos.

Abstracciones de red de alto nivel en Zentyal
Objetos de red

Los Objetos de red son una manera de representar un elemento de la red o a un conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestión de la configuración de la red, pudiendo dotar de un nombre fácilmente reconocible al elemento o al conjunto y aplicar la misma configuración a todos ellos.

Por ejemplo, podemos dar un nombre reconocible a una dirección IP o a un grupo de ellas. En lugar de definir la misma regla en el cortafuegos para cada una de las direcciones IP, simplemente bastaría con definirla para el objeto de red que contiene las direcciones.


Gestión de los Objetos de red con Zentyal

Para empezar a trabajar con los objetos en Zentyal, accederemos la seccіón Objetos, allí podremos ver una lista inicialmente vacía, con el nombre de cada uno de los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear, editar y borrar objetos que serán usados más tarde por otros módulos.


Cada uno de estos objetos se compondrá de una serie de miembros que podremos modificar en cualquier momento. Los miembros tendrán al menos los siguientes valores: Nombre, Dirección IP y Máscara de red. La Dirección MAC es opcional y lógicamente sólo se podrá utilizar para miembros que representen una única máquina y se aplicará en aquellos contextos que la dirección MAC sea accesible.



Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener cuidado al usarlos en el resto de módulos para obtener la configuración deseada y no tener problemas.

Servicios de red

Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP, etc) y puertos usados por una aplicación. La utilidad de los servicios es similar a la de los objetos: si con los objetos se puede hacer referencia a un conjunto de direcciones IP usando un nombre significativo, podemos así mismo identificar un conjunto de puertos por el nombre de la aplicación que los usa.



Pongamos como ejemplo la navegación web. El puerto más habitual es el de HTTP, 80/TCP. Pero además también tenemos que contar con el de HTTPS 443/TCP y el alternativo 8080/TCP. De nuevo, no tenemos que aplicar una regla que afecte a la navegación web a cada uno de los puertos, sino al al servicio que la representa que contiene estos tres puertos. Otro ejemplo puede ser la compartición de ficheros en redes Windows, donde el servidor escucha en los puertos 137/TCP, 138/TCP, 139/TCP y 445/TCP.

Gestión de los Servicios de red con Zentyal

Para trabajar con los servicios en Zentyal se debe ir al menú Servicios donde se listan los servicios existentes creados por cada uno de los módulos que se hayan instalado y los que hayamos podidos definir adicionalmente. Para cada servicio podemos ver su Nombre, Descripción y un indicador de si es Interno o no. Un servicio es Interno si los puertos configurados para dicho servicio se están usando en el mismo servidor. Además cada servicio tendrá una serie de miembros, cada uno de estos miembros tendrá los valores: Protocolo, Puerto origen y Puerto destino. En todos estos campos podemos introducir el valor Cualquiera, por ejemplo para especificar servicios en los que sea indiferente el puerto origen o un Rango de puertos.

El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. También existe un valor TCP/UDP para evitar tener que añadir dos veces un mismo puerto que se use en ambos protocolos, como en el caso de DNS.


Cortafuegos
Introducción al sistema de cortafuegos

Zentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter [2] que proporciona funcionalidades de filtrado, marcado de tráfico y de redirección de conexiones.
[2] http://www.netfilter.org/

Configuración de un cortafuegos con Zentyal

El modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima seguridad posible en su configuración predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras añadir un nuevo servicio.

Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna y el router conectado a Internet. La interfaz de red que conecta la máquina con el router debe marcarse como Externo en Red -> Interfaces de red para permitir al cortafuegos establecer unas políticas de filtrado más estrictas para las conexiones procedentes de fuera.



La política para las interfaces externas es denegar todo intento de nueva conexión a Zentyal mientras que para las interfaces internas se deniegan todos los intentos de conexión excepto los que se realizan a servicios definidos por los módulos instalados. Los módulos añaden reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. Una excepción a esta norma son las conexiones al servidor LDAP, que añaden la regla pero configurada para denegar las conexiones por motivos de seguridad. La configuración predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir toda clase de conexiones.


La definición de las políticas del cortafuegos se hace desde Cortafuegos ‣ Filtrado de paquetes.

Se pueden definir reglas en 5 diferentes secciones según el flujo de tráfico sobre el que serán aplicadas:

* Tráfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desde la red local).
* Tráfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a todo Internet o determinadas direcciones a unas direcciones internas o restringir la comunicaciones entre las subredes internas).
* Tráfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP desde el propio servidor).
* Tráfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba mensajes de Internet).
* Tráfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor interno desde Internet).

Hay que tener en cuenta que los dos últimos tipos de reglas pueden crear un compromiso en la seguridad de Zentyal y la red, por lo que deben utilizarse con sumo cuidado.



Zentyal provee una forma sencilla de definir las reglas que conforman la política de un cortafuegos. La definición de estas reglas usa los conceptos de alto nivel introducidos anteriormente: los Servicios de red para especificar a qué protocolos y puertos se aplican las reglas y los Objetos de red para especificar sobre qué direcciones IP de origen o de destino se aplican.


Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Dirección IP o un Objeto en el caso que queramos especificar más de una dirección IP o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a priori; será siempre Zentyal tanto el Destino en Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal como el Origen en Tráfico de Zentyal a redes externas.

Además cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son útiles para reglas de tráfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son útiles para reglas de tráfico entrante a servicios internos o tráfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genéricos que son muy útiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.

El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones:

* Aceptar la conexión.
* Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexión.
* Registrar la conexión como un evento y seguir evaluando el resto de reglas. De esta manera, a través de Registros -> Consulta registros -> Cortafuegos podemos ver sobre qué conexiones se están produciendo.

Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final, una vez que una regla acepta una conexión, no se sigue evaluando el resto. Una regla genérica al principio puede hacer que otra regla más específica posterior no sea evaluada, es por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opción de aplicar un no lógico a la evaluación de la regla con Inversa para la definición de políticas más avanzadas.



Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la conexión y luego la regla que acepta la conexión. Si estas dos reglas están en el orden inverso, no se registrará nada ya que la regla anterior ya acepta la conexión. Igualmente si queremos restringir la salida a Internet, primero explícitamente denegaremos los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden daría acceso a todos los sitios a todo el mundo.

Por omisión, la decisión es siempre denegar las conexiones y tendremos que explícitamente añadir reglas que las permitan. Hay una serie de reglas que se añaden automáticamente durante la instalación para definir una primera versión de la política del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Tráfico de Zentyal a redes externas) y también se permiten todas las conexiones desde las redes internas hacia las externas (en Tráfico entre redes internas y de redes internas a Internet. Además cada módulo instalado añade una serie de reglas en las secciones Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegándola desde las redes externas. Esto ya se hace implícitamente, pero facilita la gestión del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que cambiar el parámetro Decisión y no es necesario crear una regla nueva. Destacar que estas reglas solamente son añadidas durante el proceso de instalación de un módulo por primera vez y no son modificadas automáticamente en el futuro.

Finalmente, existe un campo opcional Descripción para comentar el objetivo de la regla dentro de la política global del cortafuegos.

Redirección de puertos con Zentyal

Las redirecciones de puertos de destino se configuran en Cortafuegos ‣ Redirecciones de puertos.

Para configurar una redirección hay que establecer la Interfaz donde se recibe el tráfico sobre el que se va a hacer la traducción, el Destino original (que puede ser el servidor Zentyal, una dirección IP o un objeto), el Puerto de destino original (que puede ser Cualquiera, un Puerto determinado o un Rango de puertos), el Protocolo y el Origen (que también puede ser Cualquiera, una Dirección IP o un Objeto). Además estableceremos la dirección IP de Destino y finalmente, el Puerto donde la máquina destino recibirá las peticiones, que puede ser el mismo que el original o no. Existe también un campo opcional de Descripción para aclarar el propósito de la regla.




Encaminamiento
Introducción al encaminamiento o routing

Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante la herramiente iproute2 [1].
[1] http://www.policyrouting.org/iproute2.doc.html

Configuración del encaminamiento con Zentyal
Puerta de enlace

La puerta de enlace o gateway es el router por omisión para las conexiones cuyo destino no está en la red local. Es decir, si el sistema no tiene definidas rutas estáticas o si ninguna de éstas coincide con una transmisión a realizar, ésta se hará a través de la puerta de enlace.

Para configurar una puerta de enlace en Zentyal se utiliza Red ‣ Puertas de enlace, que tiene los siguientes parámetros configurables.


Habilitado:
Indica si realmente esta puerta de enlace es efectiva o está desactivada.
Nombre:
Nombre por el que identificaremos a la puerta de enlace.
Dirección IP:
Dirección IP de la puerta de enlace. Esta dirección debe ser directamente accesible desde la máquina que contiene Zentyal, es decir, sin otros enrutamientos intermedios.
Interfaz:
Interfaz de red conectada a la puerta de enlace. Los paquetes que se envíen a la puerta de enlace se enviarán a través de esta interfaz.
Peso
Cuanto mayor sea el peso, más paquetes se enviarán por esa puerta de enlace si activamos el balanceo de tráfico.
Predeterminado
Si esta opción está activada, esta será la puerta de enlace por defecto.

Si se tienen interfaces configuradas como DHCP o PPPoE [2] no se pueden añadir puertas de enlace explícitamente para ellas, dado que ya son gestionadas automáticamente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.



Además Zentyal puede necesitar utilizar un proxy para acceder a Internet, por ejemplo para las actualizaciones de software y del antivirus, o para la redirección del propio proxy HTTP.

Para configurar este proxy externo iremos a Red ‣ Puertas de enlace, allí podremos indicar la dirección del Servidor proxy así como el Puerto del proxy. También podremos especificar un Usuario y Contraseña en caso de que el proxy requiera autenticación.
[2] http://es.wikipedia.org/wiki/PPPoE

Tabla de rutas estáticas

Si queremos hacer que todo el tráfico dirigido a una red pase por una puerta de enlace determinada, tendremos que añadir una ruta estática. Esto puede servirnos, por ejemplo, para interconectar dos redes locales a través de sus puertas de enlace predeterminadas.

Para realizar la configuración manual de una ruta estática se utiliza Red ‣ Rutas estáticas.


Estas rutas podrían ser sobreescritas si se utiliza el protocolo DHCP.

Configuración del balanceo con Zentyal

Como se ha comentado anteriormente, una misma máquina puede tener varias puertas de enlace predeterminadas, lo que conduce a una situación especial en la que hay que tener en cuenta nuevos parámetros en la configuración de un servidor Zentyal.


Las reglas de encaminamiento para múltiples puertas de enlace, conocidas también como reglas multigateway permiten que una red pueda usar varias conexiones a Internet de una manera transparente. Esto es muy útil para organizaciones que requieran más ancho de banda que el que ofrece una única conexión ADSL o que no puedan permitirse interrupciones en su acceso a Internet, una situación cada vez más común.

El balanceo de tráfico reparte de manera equitativa las conexiones salientes hacia Internet, permitiendo utilizar la totalidad del ancho de banda disponible. La forma más simple de configuración es establecer diferentes pesos para cada puerta de enlace, de manera que si las conexiones de las que se dispone tienen diferentes capacidades podemos hacer un uso óptimo de ellas.



Además, Zentyal se puede configurar para hacer que determinado tipo de tráfico se envíe siempre por un router específico en caso de ser necesario. Ejemplos comunes son enviar siempre el correo electrónico o todo el tráfico de una determinada subred por un determinado router.

Las reglas multigateway y el balanceo de tráfico se establecen en la sección Red ‣ Balanceo de tráfico. En esta sección podemos añadir reglas para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de la Interfaz de entrada, el Origen (puede ser una Dirección IP, un Objeto, el propio servidor Zentyal o Cualquiera), el Destino (una Dirección IP o un Objeto), el Servicio al que se quiere asociar esta regla y por cual de los Gateway queremos direccionar el tipo de tráfico especificado.

Configuración de la tolerancia a fallos con Zentyal

Si se está balanceando tráfico entre dos o más puertas de enlace, se recomienda habilitar la característica de tolerancia a fallos. Supóngase que se está balanceando el tráfico entre dos routers y uno de ellos sufre un fallo. Si no se ha activado esta característica, una parte del tráfico seguiría intentando salir por el router fuera de servicio, causando problemas de conectividad a los usuarios de la red.

En la configuración del failover se pueden definir conjuntos de pruebas para cada puerta de enlace que revisen si está operativa o si por el contrario está sufriendo algún problema y debe dejar de utilizarse como salida a Internet. Estas pruebas pueden ser un ping a la puerta de enlace, a una máquina externa, una resolución de DNS o una petición HTTP. También se puede definir cuántas pruebas se quieren realizar así como el porcentaje de aceptación exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje de aceptación, la puerta de enlace asociada a ella será desactivada. Las pruebas se siguen ejecutando, así que cuando estas se ejecuten satisfactoriamente, la puerta de enlace volverá a ser activada de nuevo.

Deshabilitar una puerta de enlace sin conexión tiene como consecuencia que todo el tráfico salga por el resto de puertas de enlace que siguen habilitadas, se deshabilitan las reglas multigateway asociadas a esa puerta de enlace y también se consolidan las reglas de calidad de servicio. De esta forma, los usuarios de la red no deberían sufrir problemas con su conexión a Internet. Una vez que Zentyal detecta que la puerta de enlace caída está completamente operativa se restaura el comportamiento normal de balanceo de tráfico, reglas multigateway y calidad de servicio.

El failover está implementado como un evento de Zentyal. Para usarlo, primero se necesita tener el módulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.


Para configurar las opciones y pruebas del failover se debe acudir al menú Red ‣ WAN Failover. Se puede especificar el periodo del evento modificando el valor de la opción Tiempo entre revisiones. Para añadir una regla simplemente hay que pulsar la opción Añadir nueva y aparecerá un formulario con los siguientes campos:

Habilitado:
Indica si la regla va a ser aplicada o no durante la comprobación de conectividad de los routers. Se pueden añadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las necesidades, sin tener que borrarlas y añadirlas de nuevo.
Gateway:
Se selecciona la puerta de enlace de la lista de previamente configuradas.
Tipo de prueba:

Puede tomar uno de los siguientes valores:

Ping a puerta de enlace:
Envía un paquete de control desde el servidor Zentyal a su puerta de enlace y espera una respuesta de esta, de este modo comprueba que existe conectividad entre ambas máquinas y que la puerta de enlace está activa. No comprueba que la puerta de enlace tenga conexión con Internet.
Ping a máquina:
Como en el tipo anterior, esta prueba envía un paquete de control y espera una respuesta, solo que esta vez se envía a una máquina externa a la red, por lo que ya no sólo se comprueba que se puede conectar con la puerta de enlace, si no que también se comprueba si esta tiene conexión con Internet.
Resolución DNS:
Intenta obtener la dirección IP para el nombre de máquina especificado, lo que requiere que, como en el caso anterior, exista conectividad entre el servidor y la puerta de enlace y de esta a Internet, pero además, que los servidores de DNS sigan siendo accesibles.
Petición HTTP:
Esta prueba sería la más completa, ya que intenta descargar el contenido del sitio web especificado, lo que requiere que todos los requisitos de las pruebas anteriores se satisfagan.

Máquina:
El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping a puerta de enlace.
Número de pruebas:
Número de veces que se repite la prueba.
Ratio de éxito requerido:
Indica que proporción de intentos satisfactorios es necesaria para considerar correcta la prueba.

Con la configuración predeterminada, si alguna de estas reglas se activa, deshabilitando una puerta de enlace, el evento queda registrado solamente en el fichero de registro /var/log/ebox/ebox.log. Si deseamos recibir notificaciones por otras vías, podemos configurar un emisor de eventos para ello como se detalla en el capítulo Eventos y alertas o bien adquirir la Subscripción Profesional de Zentyal [3] que incluye el envío automático de alertas.

Calidad de servicio
Configuración de la calidad de servicio con Zentyal

Zentyal es capaz de realizar moldeado de tráfico en el tráfico que atraviesa el servidor, permitiendo aplicar una tasa garantizada, limitada y una prioridad a determinados tipos de conexiones de datos a través del menú Moldeado de tráfico ‣ Reglas.

Para poder realizar moldeado de tráfico es necesario disponer de al menos una interfaz interna y una interfaz externa. También debe existir al menos una puerta de enlace. Además, desde Moldeado de tráfico ‣ Tasas de Interfaz debemos configurar las tasas de subida y bajada de las interfaces externas con el ancho de banda que soporten las puertas de enlace conectadas a cada una de ellas. Las reglas de moldeado son específicas para cada interfaz y pueden asignarse a las interfaces externas con ancho de banda asignado y a todas las interfaces internas.

Si se moldea la interfaz externa, entonces se estará limitando el tráfico de salida de Zentyal hacia Internet. En cambio, si se moldea la interfaz interna, entonces se estará limitando la salida de Zentyal hacia sus redes internas. El límite máximo de tasa de salida y entrada viene dado por la configuración en Moldeado de tráfico ‣ Tasas de Interfaz. Como se puede esperar, no se puede moldear el tráfico entrante en sí, debido a que el tráfico proveniente de la red no es predecible y controlable de casi ninguna forma. Existen técnicas específicas a diversos protocolos para tratar de controlar el tráfico entrante a Zentyal, como por ejemplo, TCP con el ajuste artificial del tamaño de ventana de flujo de la conexión TCP o controlando la tasa de confirmaciones (ACK) devueltas al emisor.

Para cada interfaz se pueden añadir reglas para dar Prioridad (0: máxima prioridad, 7: mínima prioridad), Tasa garantizada o Tasa limitada. Esas reglas se aplicarán al tráfico determinado por el Servicio, Origen y Destino de la conexión.


Opcionalmente puede instalarse el componente Layer-7 Filter (Filtro de capa 7) que permite el moldeado de tráfico en base a un análisis más complejo de los paquetes centrado en identificar los protocolos de alto nivel por su contenido y no solo por su puerto. Como veremos si lo instalamos, podremos utilizar este filtro seleccionando Servicio basado en aplicación o Grupo de servicios basados en aplicación como Servicio.

Podemos editar los grupos de servicios o crear nuevos desde Moldeado de tráfico ‣ Protocolos de aplicación.

Las reglas que utilizan este tipo de filtrado son más eficaces que las que simplemente comprueban el puerto, ya que puede haber servidores sirviendo desde puertos no habituales que pasarían inadvertidos si no se analizara su tráfico. Por otro lado, y como es de esperar, este análisis también suele conllevar una mucho mayor carga de procesamiento en el servidor Zentyal.


Servicio de autenticación de red (RADIUS)
Introducción a RADIUS

Zentyal integra el servidor FreeRADIUS [2], el servidor RADIUS más extendido en entornos Linux.
[2] http://freeradius.org/

Configuración de un servidor RADIUS con Zentyal

Para configurar el servidor RADIUS en Zentyal, primero comprobaremos en Estado del Módulo si Usuarios y Grupos está habilitado, ya que RADIUS depende de él. Podremos crear un grupo de usuarios desde el menú Usuarios y Grupos ‣ Grupos y añadir usuarios al sistema desde el menú Usuarios y Grupos‣ Usuarios. Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen a éste. Las opciones de configuración de los usuarios y grupos se explican con detalle en el capítulo de Servicio de directorio (LDAP).

Una vez dispongamos de usuarios y grupos en nuestro sistema, habilitaremos el módulo en Estado del Módulo marcando la casilla RADIUS.


Para configurar el servicio, accederemos a RADIUS en el menú izquierdo. Allí podremos definir si Todos los usuarios o sólamente los usuarios que pertenecen a uno de los grupos existentes podrán acceder al servicio.

Todos los dispositivos NAS que vayan a enviar solicitudes de autenticación a Zentyal deben ser especificados en Clientes RADIUS. Para cada uno podemos definir:

Habilitado:
Indicando si el NAS está habilitado o no.
Cliente:
El nombre para este cliente, como podría ser el nombre de la máquina.
Dirección IP:
La dirección IP o el rango de direcciones IP desde las que se permite enviar peticiones al servidor RADIUS.
Contraseña compartida:
Contraseña para autenticar y cifrar las comunicaciones entre el servidor RADIUS y el NAS. Esta contraseña deberá ser conocida por ambas partes.


Servicio de Proxy HTTP
Introducción al servicio de Proxy HTTP

Zentyal utiliza Squid [1] para proxy HTTP junto a Dansguardian [2] para el control de contenidos.
[1] http://www.squid-cache.org/
[2] http://www.dansguardian.org/

Configuración del Proxy HTTP con Zentyal

Para configurar el proxy HTTP iremos a Proxy HTTP ‣ General. Podremos definir si el proxy funciona en modo Proxy Transparente para forzar la política establecida o si por el contrario requerirá configuración manual. En este último caso, en Puerto estableceremos dónde escuchará el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos típicos son el 8000 y el 8080. El proxy de Zentyal únicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una dirección interna en la configuración del navegador.

El tamaño de la caché define el espacio en disco máximo usado para almacenar temporalmente contenidos web. Se establece en Tamaño de caché y corresponde a cada administrador decidir cuál es el tamaño óptimo teniendo en cuenta las características del servidor y el tráfico esperado.

Además también estableceremos aquí la Política predeterminada para el acceso al contenido web HTTP a través del proxy. Esta política determina si se puede acceder o no a la web y si se aplica el filtro de contenidos. Puede configurarse de las siguientes maneras:

Permitir todo:
Con esta política se permite a los usuarios navegar sin ningún tipo de restricciones pero todavía disfrutando de las ventajas de la caché, ahorro de tráfico y mayor velocidad.
Denegar todo:
Esta política deniega totalmente el acceso a la web. Aunque a primera vista podría parecer poco útil ya que el mismo efecto se podría conseguir con una regla de cortafuegos, sin embargo podemos establecer posteriormente políticas particulares para objetos, usuarios o grupos, pudiendo usar esta política para denegar en principio y luego aceptar explícitamente en determinadas condiciones.
Filtrar:
Esta política permite a los usuarios navegar pero activa el filtrado de contenidos que puede denegar el acceso web según el contenido solicitado por los usuarios.
Autorizar y filtrar, permitir todo o denegar todo:
Estas políticas son versiones de las políticas anteriores que incluyen autorización. La autorización se explicará en la sección Configuración Avanzada para el proxy HTTP.



Es posible indicar que dominios no serán almacenados en caché. Por ejemplo, si tenemos servidores web locales no se acelerará su acceso usando la caché y se desperdiciaría memoria que podría ser usada por elementos de servidores remotos. Si un dominio está exento de la caché, cuando se reciba una petición con destino a dicho dominio se ignorará la caché y se devolverán directamente los datos recibidos desde el servidor sin almacenarlos. Estos dominios se definen en Excepciones a la caché.

Tras establecer la política global, podemos definir políticas particulares para Objetos de red en Proxy HTTP ‣ Política de objetos. Podremos elegir cualquiera de las seis políticas para cada objeto; cuando se acceda al proxy desde cualquier miembro del objeto esta política tendrá preferencia sobre la política global. Una dirección de red puede estar contenida en varios objetos distintos por lo que es posible ordenar los objetos para reflejar la prioridad. Se aplicará la política del objeto de mayor prioridad que contenga la dirección de red. Además existe la posibilidad de definir un rango horario fuera del cual no se permitirá acceso al objeto de red aunque esta opción sólo es compatible con políticas de permitir o denegar y no con políticas de filtrado de contenidos.


Limitación de las descargas con Zentyal

Otra de las características configurables en Zentyal es limitar el ancho de banda de las descargas usando objetos de red mediante Delay Pools. Para configurarlas accederemos a HTTP Proxy ‣ Limitación de ancho de banda. Las Delay Pools pueden entenderse como cajas en las que se dispone de una determinada cantidad de ancho de banda; se van llenando poco a poco y se van vaciando mientras se usa la red, cuando se vacían se limita el ancho de banda, la velocidad de descarga. Teniendo en cuenta esta explicación, veamos los valores que podemos establecer por cada caja:

Ratio:
Ancho de banda máximo que se podrá utilizar cuando se vacíe la caja.
Volumen:
Capacidad máxima de la caja en bytes, es decir, la caja se vaciará si se han transmitido tantos bytes como los indicados en el volumen.

Zentyal permite limitar el ancho de banda mediante dos métodos diferentes, las Delay Pools de clase 1 y las de clase 2. Las restricciones de la clase 1 tienen prioridad sobre las de la clase 2, si un objeto de red no se corresponde con los limitados por alguna de las reglas no se le aplica ninguna.

Delay pools de clase 1:
Limitan el ancho de banda globalmente para una subred, permiten configurar un límite de datos transferidos, el Máximo Tamaño de Red y una restricción de ancho de banda máximo, el Ratio de Red. La limitación se activa cuando el límite de datos ha sido superado. Estas Delay Pools se componen de una sola caja compartida por todo el objeto de red.

Delay pools de clase 2:
Estas Delay Pools se componen de dos tipos de cajas, una general en la que como en las de clase 1 se va acumulando todo el tráfico transmitido a la subred y una dedicada a cada cliente. Si un miembro de la subred vacía su caja se limitará su ancho de banda al Ratio del Cliente, pero no a los demás, si entre todos vacían la caja agregada, se limita el ancho de banda de todos los clientes a Ratio.


Filtrado de contenidos con Zentyal

Zentyal permite el filtrado de páginas web en base a su contenido. Para ello, es necesario que la política global o la política particular de cada objeto desde el que se accede sea de Filtrar o Autorizar y Filtrar.

Se pueden definir múltiples perfiles de filtrado en Proxy HTTP ‣ Perfiles de Filtrado pero si no hay ninguno específico aplicándose al usuario, grupo u objeto se aplicará el perfil default.



El filtrado de contenidos de las páginas web se utiliza diferentes métodos incluyendo filtrado heurístico, tipos MIME, extensiones, listas blancas y listas negras entre otros. La conclusión final es determinar si una página o un recurso web puede ser visitado o no.

El primer filtro que podemos configurar es el antivirus. Para poder utilizarlo debemos tener el módulo de Antivirus instalado y activado. Si está activado se bloqueará el tráfico HTTP en el que sean detectados virus.

El filtrado heurístico consiste principalmente en el análisis de los textos presentes en las paginas web, si se considera que el contenido no es apropiado (pornografía, racismo, violencia, etc) se bloqueará el acceso a la página. Para controlar este proceso se puede establecer un umbral más o menos restrictivo, siendo este el valor que se comparará con la puntuación asignada a la página para decidir si se bloquea o no. El lugar donde establecer el umbral es la sección Umbral de filtrado de contenido. Se puede desactivar este filtro eligiendo el valor Desactivado. Hay que tener en cuenta que con este análisis se pueden llegar a bloquear páginas no deseadas, lo que se conoce como un falso positivo. Este problema se puede remediar añadiendo los dominios de estas páginas a una lista blanca, pero siempre existirá el riesgo de un falso positivo con nuevas páginas.

También tenemos a continuación el Filtrado de extensiones de fichero, el Filtrado de tipos MIME y el Filtrado de dominios.



En la pestaña de Filtrado de extensiones de fichero se puede seleccionar qué extensiones serán bloqueadas. De manera similar en Filtrado de tipos MIME se pueden indicar qué tipos MIME se quieren bloquear y añadir otros nuevos si es necesario, al igual que con las extensiones.

En la pestaña de Filtrado de dominios encontraremos la configuración del filtrado basado en dominios. Podemos:

* Bloquear dominios especificados sólo como IP, esta opción bloquea cualquier página que se intente acceder especificado únicamente su dirección IP y no el dominio asociado.
* Bloquear dominios no listados, esta opción bloquea todos los dominios que no estén presentes en la sección Reglas de dominios o en las categorías presentes en Ficheros de listas de dominios y cuya política no sea Ignorar.

A continuación tenemos la lista de dominios, donde podemos introducir nombres de dominio y seleccionar una política para ellos entre las siguientes:

Permitir siempre:
El acceso a los contenidos del dominio será siempre permitido, todos los filtros son ignorados.
Denegar siempre:
El acceso nunca se permitirá a los contenidos de este dominio.
Filtrar:
Se aplicarán las reglas usuales a este dominio. Resulta útil si está activada la opción Bloquear dominios no listados.



Podemos simplificar el trabajo del administrador usando listas clasificadas de dominios. Estas listas son normalmente mantenidas por terceros y tienen la ventaja de que los dominios están clasificados por categorías, permitiéndonos seleccionar una política para una categoría entera de dominios. Estas listas son distribuidas en forma de archivo comprimido. Una vez descargado el archivo, podemos incorporarlo a nuestra configuración y establecer políticas para las distintas categorías de dominios. Las políticas que se pueden establecer en cada categoría son las mismas que se pueden asignar a dominios y se aplican a todos los dominios presentes en dicha categoría. Existe una política adicional Ignorar que, como su nombre indica, simplemente ignora la existencia de la categoría a la hora de filtrar. Dicha política es la elegida por defecto para todas las categorías.



Mediante las Actualizaciones Avanzadas de Seguridad de Zentyal [3] podemos instalar automáticamente una base de datos actualizada de categorías de dominios para disponer de las funcionalidades requeridas para una política de filtrado de contenidos de nivel profesional.