Usando un buen Firewall con IPCOP

Hace algunos meses mi director me pidio que hiciera un filtrado del trafico de la red con el objetivo de optimizar el ancho de banda de la empresa con la cuestión de la navegación y limitar ciertas paginas, sitios y mensajeros. A lo cual me di a la tarea de investigar sobre alternativas que hicieran estas monerias, claro todo esto con un bajo presupuesto o mejor dicho que fuese gratis.

La alternativa que a mi punto de vista me pareció la mas viable fue de instalar en un equipo que ya no se estaba utilizando con un IPCOP.

Ya que con este sistema Linux, dedicado hacer filtrado, podemos obtener los siguientes beneficios.


Filtrado de puertos por medio de iptables.
Proxy para limitar descargas de archivos binarios, multimedia, etc.
Filtro de URL
Sistema de cache para descargas.
QoS
etc.

Actualmente, y como siempre suele pasar, los usuarios encuentran el medio y las formas de brincar estos sistemas por medio de tuneles para proxy, los sitios o servicios que se estaban restringiendo fueron actualizados como es el caso del mensajero MSN que ya el sitio de hotmail, brinda este servicio desde el portal.

Con lo cual me di a la tarea de ver que estaba pasando y de que manera filtrar dicho contenido, de momento no voy a poner el manual de como se hizo, espero en un futuro ponerlo y detallar todo esto, pero a grandes rasgos esto fue lo que se hizo, y para todo aquel que opte por un IPCOP o utilice los addons similares que trae esta distribución, les recomiendo lo siguiente:

  • Utilizar filtrado MIME en su proxy
  • Utilizar el filtro de URL
  • Configurar su squis para que no permita hacer conexiones via IP
  • En sus tablas de iptables mandar todo el trafico por el proxy.
Como resultado se obtuvo:

  • Con todo esto tendrán un filtro (firewall) lo bastante robusto para no permitir los famosos tuneles de proxy.
  • No permitir las conexiones desde los sitios por medio de MIME.
  • Filtrar las URL a nivel categorías como (vídeo, porno, audio, etc).
  • Y en mi caso particular hasta permitir que maquinas tienen permitido usar el skype y cuales no, del MSN no hay que decir mucho, ya que este por políticas de la empresa esta bloqueado completamente.
  • El sitio por ejemplo de youtube, se abre sin problema pero no se reproduce el vídeo.
  • La pagina de hotmail, para el mensajero, aparece que por el momento el servicio no esta disponible.
  • Los dos casos anteriores se hizo por medio de MIME.

Espero ponto compartir nuevas experiencias y hacer aportes a los que sigan este blog.

1/12/2011

No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)