[opensuse-es] restriccion de acceso a internet
saludos amigos, en la red donde trabajo tenemos la necesidad de bloquear el acceso a Internet a todos los usuarios y permitir el acceso determinados usuarios.... evidentemente este bloqueo incluye cosas como messenger, skype, amule..., pero como dije anteriormente, no a todos los usuarios... actualmente lo estamos haciendo por router, pero las acl estan creciendo exponencialmente y no son muy completas, evidentemente no es la funcion de un router... buscando por ahi me encontre con difentes soluciones, por ejemplo squid, shorewall, iptables, pero tengo mis dudas... realmente se podria utilizar squid para bloquear el acceso a http, https, ftp, y permitir el acceso a las paginas cacheadas solo al selecto grupo de personas que si pueden... pero me deja la interrogante en cosas como messenger y skype (peer to peer), amule, etc.. para el caso de estas cosas deberia utilizar el firewall, pero no se cual es el mas idoneo... realmente es una solucion temporal (4-8 meses) antes que sea instalado el centro de datos con todos los juguetes... alguien ha pasado por esto?, alguna sugerencia de software -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-03-01 a las 11:35 +1930, Javier escribió: ...
alguien ha pasado por esto?, alguna sugerencia de software
Si: A la calle el que se salte las normas. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyDPptTMYHG2NR9URAtxoAJ0XTbZEnVHm29jWY9T4afcf537qFgCcDw9I /PAZ95lYSKdTxhZ3b1BKXgo= =7oOd -----END PGP SIGNATURE-----
2008/3/1, Carlos E. R. <robin.listas@telefonica.net>:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2008-03-01 a las 11:35 +1930, Javier escribió:
...
alguien ha pasado por esto?, alguna sugerencia de software
Si:
A la calle el que se salte las normas.
- -- Saludos Carlos E.R.
bueno en teoria la idea es que las normas seran "infranqueables"....:s -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
No tengo la respuesta, pero no creo que lo mas viable sea que "el que se salte las normasl a la calle" porque, vaya, es algo muy drástico y cuando tienes la oportunidad de entrar en un sitio "prohibido" por política de la empresa, te vale queso y te metes, y no creo que sea motivo suficiente para dar por terminado un contrato de trabajo (si tomamos en cuenta que si corres a alguien por eso te demandan en el Tribunal de Conciliación y Arbitraje y les tienes que pagar sueldos caidos, aguinaldo, horas extras y todo lo demás, pues resulta que sale mas caro el caldo que las albóndigas) aquí en el I.S.S.S.T.E. tienen un firewall "bueno" que solo puede ser "brincado" con software de tunneling como el hopster o el http-tunnel pero desconozco qué software sea y ese es bueno, puedes bloquear puertos y direcciones IP com URL's, trataré de investigar que software usan y te paso el dato ;) 2008/2/29, Javier <javier.rojasr@gmail.com>:
2008/3/1, Carlos E. R. <robin.listas@telefonica.net>:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2008-03-01 a las 11:35 +1930, Javier escribió:
...
alguien ha pasado por esto?, alguna sugerencia de software
Si:
A la calle el que se salte las normas.
- -- Saludos Carlos E.R.
bueno en teoria la idea es que las normas seran "infranqueables"....:s
-- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 29/02/08, Neo Matrix escribió:
cuando tienes la oportunidad de entrar en un sitio "prohibido" por política de la empresa, te vale queso y te metes, y no creo que sea motivo suficiente para dar por terminado un contrato de trabajo
Yo creo que ese tipo de medidas sí sirven :-). Cuando entras a trabajar a una empresa donde te ponen en las condiciones de trabajo que "el uso de herramientas que nada tienen que ver con el desarrollo habitual de la actividad que tiene asignada el empleado en horas laborables, tales como programas tipo mensajería instantánea, chats, etc... está totalmente prohibido" pues es lo que hay O:-). Ejemplos: El ordenador de trabajo puede ser examinado por la compañía http://www.expansionyempleo.com/edicion/expansionyempleo/desarrollo_profesio... El usuario es la mayor amenaza en la seguridad de las computadoras http://www.theinquirer.es/2007/11/29/el_usuario_es_la_mayor_amenaza_en_la_se... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Si, estoy absolutamente de acuerdo contigo, pero que harías con una demanda laboral por "despido injustificado" ante Conciliación y Arbitraje???? digo, nosotros sabemos cuando una computadora estuvo haciendo uso de ciertos programas/puertos/protocolos o lo que sea... pero los jueces no, y tu no tienes una "forma legal" de demostrar que el empleado infringió el contrato y por eso lo corriste... y ahí es donde vienen los problemas, bueno, eso creo, quizá alguien ya paso por eso en una empresa y podría opinar :D y sacarme de la obscuridad (al fin y al cabo, es una de las finalidades de esta lista) jajajaja :D saludos El 29/02/08, Camaleón <noelamac@gmail.com> escribió:
El 29/02/08, Neo Matrix escribió:
cuando tienes la oportunidad de entrar en un sitio "prohibido" por política de la empresa, te vale queso y te metes, y no creo que sea motivo suficiente para dar por terminado un contrato de trabajo
Yo creo que ese tipo de medidas sí sirven :-).
Cuando entras a trabajar a una empresa donde te ponen en las condiciones de trabajo que "el uso de herramientas que nada tienen que ver con el desarrollo habitual de la actividad que tiene asignada el empleado en horas laborables, tales como programas tipo mensajería instantánea, chats, etc... está totalmente prohibido" pues es lo que hay O:-).
Ejemplos:
El ordenador de trabajo puede ser examinado por la compañía
http://www.expansionyempleo.com/edicion/expansionyempleo/desarrollo_profesio...
El usuario es la mayor amenaza en la seguridad de las computadoras
http://www.theinquirer.es/2007/11/29/el_usuario_es_la_mayor_amenaza_en_la_se...
Saludos,
-- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 29/02/08, Neo Matrix escribió:
Si, estoy absolutamente de acuerdo contigo, pero que harías con una demanda laboral por "despido injustificado" ante Conciliación y Arbitraje????
Pues lo que pone en el artículo: contratar a un perito informático para que realice un análisis del equipo y que determine si ha habido o no uso de programas que han sido prohibidos de forma expresa por la empresa. Yo le pongo a su disposición, además, todos los registros de acceso, conexiones, y lo que necesite el perito para hacer su trabajo O:-)
digo, nosotros sabemos cuando una computadora estuvo haciendo uso de ciertos programas/puertos/protocolos o lo que sea... pero los jueces no, y tu no tienes una "forma legal" de demostrar que el empleado infringió el contrato y por eso lo corriste...
El perito se encarga de eso ;-), el juez lee el informe del perito y... a la calle. Saludos malvados >:-), -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
bueno yo tenia la idea de bloquear todo y empezar a habilitar algunos puertos para algunas maquinas, los demas estan j... tengo pensado utilizar squid + iptables y queria conocer sus experiencias, y si tenian alguna herramienta mejor... es imposible implanta4 alguna solucion basada en software privativo, los entes del estado trabajamos bajo un decreto que nos impulsa a utilizar software libre (ademas que detesto a los vendedores de m$) no se, que les parece.... yo pienso con respecto a lo laboral que es el trabajo de nosotros como tecnologia limitar el acceso a Internet, de igual manera tenemos q estar un paso adelante de los usuarios... 2008/3/1, Camaleón <noelamac@gmail.com>:
El 29/02/08, Neo Matrix escribió:
cuando tienes la oportunidad de entrar en un sitio "prohibido" por política de la empresa, te vale queso y te metes, y no creo que sea motivo suficiente para dar por terminado un contrato de trabajo
Yo creo que ese tipo de medidas sí sirven :-).
Cuando entras a trabajar a una empresa donde te ponen en las condiciones de trabajo que "el uso de herramientas que nada tienen que ver con el desarrollo habitual de la actividad que tiene asignada el empleado en horas laborables, tales como programas tipo mensajería instantánea, chats, etc... está totalmente prohibido" pues es lo que hay O:-).
Ejemplos:
El ordenador de trabajo puede ser examinado por la compañía
http://www.expansionyempleo.com/edicion/expansionyempleo/desarrollo_profesio...
El usuario es la mayor amenaza en la seguridad de las computadoras
http://www.theinquirer.es/2007/11/29/el_usuario_es_la_mayor_amenaza_en_la_se...
Saludos,
--
Camaleón
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 29/02/08, Javier escribió:
bueno yo tenia la idea de bloquear todo y empezar a habilitar algunos puertos para algunas maquinas, los demas estan j...
tengo pensado utilizar squid + iptables y queria conocer sus experiencias, y si tenian alguna herramienta mejor...
(perdona por el mini-secuestro de hilo) Para bloquear el uso de ese tipo de programas pues tendrá que haber alguna opción (o un conjunto de ellas) que no sea propietaria... yo estoy pez en ese tema de cortafuegos, filtros, iptables y proxys O:-) no te podría decir qué herramienta podría serte útil. Busca en Google, al menos te dará alguna idea de por dónde empezar a investigar :-?. Por ejemplo, en un foro de suse: P2p Blocking, P2P blocking on a corporate network on a openSUSE router http://www.suseforums.net/index.php?showtopic=36202&pid=186038&mode=threaded&show=&st=&#entry186038 Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-03-01 a las 12:56 +1930, Javier escribió:
bueno yo tenia la idea de bloquear todo y empezar a habilitar algunos puertos para algunas maquinas, los demas estan j...
Puedes darle un rango de IPs distintos a los importantes, y otro a la plebe. A las IPs de la plebe no les dejas ningún acceso al exterior, solo intranet. Ahora, si ellos pueden cambiar la IP en sus propias máquinas, te fastidian.
tengo pensado utilizar squid + iptables y queria conocer sus experiencias, y si tenian alguna herramienta mejor...
Pues leete el manual del squid, tengo entendido que es bastante potente. Yo no lo he usado. Me parece que permite navegar por password.
es imposible implanta4 alguna solucion basada en software privativo, los entes del estado trabajamos bajo un decreto que nos impulsa a utilizar software libre (ademas que detesto a los vendedores de m$)
No tiene que ser Microsoft. Podría ser Cisco, por decir lo primero que se me ocurre (y sin saber si lo tienen). - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyHBLtTMYHG2NR9URAkJFAJ9v4/2XEqactYAg+EhpjB6VxFv7zwCeLoE/ ZIfEna+h66R2ndnW748LqDw= =C1ci -----END PGP SIGNATURE-----
2008/3/1, Carlos E. R. <robin.listas@telefonica.net>:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2008-03-01 a las 12:56 +1930, Javier escribió:
bueno yo tenia la idea de bloquear todo y empezar a habilitar algunos puertos para algunas maquinas, los demas estan j...
Puedes darle un rango de IPs distintos a los importantes, y otro a la plebe. A las IPs de la plebe no les dejas ningún acceso al exterior, solo intranet. Ahora, si ellos pueden cambiar la IP en sus propias máquinas, te fastidian.
tengo pensado utilizar squid + iptables y queria conocer sus experiencias, y si tenian alguna herramienta mejor...
Pues leete el manual del squid, tengo entendido que es bastante potente. Yo no lo he usado. Me parece que permite navegar por password.
es imposible implanta4 alguna solucion basada en software privativo, los entes del estado trabajamos bajo un decreto que nos impulsa a utilizar software libre (ademas que detesto a los vendedores de m$)
No tiene que ser Microsoft. Podría ser Cisco, por decir lo primero que se me ocurre (y sin saber si lo tienen).
- -- Saludos Carlos E.R.
-----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux)
iD8DBQFHyHBLtTMYHG2NR9URAkJFAJ9v4/2XEqactYAg+EhpjB6VxFv7zwCeLoE/ ZIfEna+h66R2ndnW748LqDw= =C1ci -----END PGP SIGNATURE----- la resticcion para instalaciones la realiza el sr. administrador del active directory de guindous....
...el problema es que por mala configuracion o por mala calidad del producto, logran instalar las aplicaciones.... cisco tambien es propietario :P -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-03-01 a las 16:23 +1930, Javier escribió:
cisco tambien es propietario :P
¡Obviamente! Pero, ¿me vas a decir que no instalas routers de cisco porque son propietarios? Pues eso, enterate de si tienen sistemas para bloquear tráfico de determinadas aplicaciones o por usuarios. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyIPjtTMYHG2NR9URAu8xAJ4kdyD0WcGCAnE4B/pai3kD7rtDiwCdEKTF xhseVWYZ7EnhkQHUuEk6ZXE= =2rqR -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-03-01 a las 12:10 +1930, Javier escribió:
Si:
A la calle el que se salte las normas. Carlos E.R.
bueno en teoria la idea es que las normas seran "infranqueables"....:s
No puedes. El emule está pensado para saltarse las barreras: pueden cambiar de puerto, pueden camuflar los paquetes para que no parezcan de emule ("obfuscate" feature). Sé que ISPs como ono (España) tienen filtros que detectan el tráfico de emule y lo limitan (no lo cierran). Y es capaz de detectar incluso las conexiones camufladas. Me sospecho que necesitas algún software privado que haga esa detección. Y el skype pues es también dificil de bloquear, porque está diseñado para saltarse los cortafuegos. Yo creo que lo suyo es sancionar a quien se salte las normas. Que la dirección lo diga claramente, que se la juegan, y al que pillen, un mes de sanción de empleo y sueldo. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyDtatTMYHG2NR9URAokDAJ0dJEHBzJzrWE7IprUXBKvXtSR3SACgkHFb i/apNIEGFBVRvtgalj40tAA= =wJAr -----END PGP SIGNATURE-----
Hola. El Viernes, 29 de Febrero de 2008, Carlos E. R. escribió:
El 2008-03-01 a las 12:10 +1930, Javier escribió:
Si:
A la calle el que se salte las normas. Carlos E.R.
bueno en teoria la idea es que las normas seran "infranqueables"....:s
No puedes.
El emule está pensado para saltarse las barreras: pueden cambiar de puerto, pueden camuflar los paquetes para que no parezcan de emule ("obfuscate" feature).
Sé que ISPs como ono (España) tienen filtros que detectan el tráfico de emule y lo limitan (no lo cierran). Y es capaz de detectar incluso las conexiones camufladas. Me sospecho que necesitas algún software privado que haga esa detección.
Y el skype pues es también dificil de bloquear, porque está diseñado para saltarse los cortafuegos.
Yo creo que lo suyo es sancionar a quien se salte las normas. Que la dirección lo diga claramente, que se la juegan, y al que pillen, un mes de sanción de empleo y sueldo.
para filtrar estas aplicaciones Necesitas un firewall a nivel de aplicacion. mira layer7 http://l7-filter.sourceforge.net Para lo que mencionaste de evitar el acceso de todos los equipos, excepto unos cuantos a unos dominios o paginas especificos lo puedes controlar con squid. por otra parte deberias restringir la capacidad de los usuarios de poderse instalar programas en sus equipos, y desinstalarles todo lo que no quieras que usen -- Un saludo. Carlos Lorenzo Matés. clmates AT mundo-r DOT com
Carlos Lorenzo Matés escribió:
Hola.
El Viernes, 29 de Febrero de 2008, Carlos E. R. escribió:
El 2008-03-01 a las 12:10 +1930, Javier escribió:
Si:
A la calle el que se salte las normas. Carlos E.R. bueno en teoria la idea es que las normas seran "infranqueables"....:s No puedes.
El emule está pensado para saltarse las barreras: pueden cambiar de puerto, pueden camuflar los paquetes para que no parezcan de emule ("obfuscate" feature).
Sé que ISPs como ono (España) tienen filtros que detectan el tráfico de emule y lo limitan (no lo cierran). Y es capaz de detectar incluso las conexiones camufladas. Me sospecho que necesitas algún software privado que haga esa detección.
Y el skype pues es también dificil de bloquear, porque está diseñado para saltarse los cortafuegos.
Yo creo que lo suyo es sancionar a quien se salte las normas. Que la dirección lo diga claramente, que se la juegan, y al que pillen, un mes de sanción de empleo y sueldo.
para filtrar estas aplicaciones Necesitas un firewall a nivel de aplicacion.
mira layer7
http://l7-filter.sourceforge.net
Para lo que mencionaste de evitar el acceso de todos los equipos, excepto unos cuantos a unos dominios o paginas especificos lo puedes controlar con squid.
por otra parte deberias restringir la capacidad de los usuarios de poderse instalar programas en sus equipos, y desinstalarles todo lo que no quieras que usen
Ahora ya hay que hilar mas fino, en win existen las aplicaciones portables que no necesitan instalacion. Lo mejor en politicas distribuidas y anotar los ejecutables que se pueden usar con su ruta (no sirve la de prohibir los que no quieres, con cambiarles el nombre se fastidia el invento), aunque a veces se le va la pinza (claro es win) --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola. El Viernes, 29 de Febrero de 2008, admin-listas escribió:
Carlos Lorenzo Matés escribió:
Hola.
El emule está pensado para saltarse las barreras: pueden cambiar de puerto, pueden camuflar los paquetes para que no parezcan de emule ("obfuscate" feature).
para filtrar estas aplicaciones Necesitas un firewall a nivel de aplicacion.
mira layer7
Ahora ya hay que hilar mas fino, en win existen las aplicaciones portables que no necesitan instalacion. Lo mejor en politicas distribuidas y anotar los ejecutables que se pueden usar con su ruta (no sirve la de prohibir los que no quieres, con cambiarles el nombre se fastidia el invento), aunque a veces se le va la pinza (claro es win)
Layer 7 no mira las aplicaciones, sino que es capaz de analizar las tramas ethernet e identificar los protocolos vayan por el puerto que vayan, e independientemente de como se llame la aplicacion. Esto es Linux, no windows ;-) es una parche para las iptables del kernel en el ultimo todolinux viene un articulo que lo explica bastante bien. -- Un saludo. Carlos Lorenzo Matés. clmates AT mundo-r DOT com
participants (6)
-
admin-listas -
Camaleón -
Carlos E. R. -
Carlos Lorenzo Matés -
Javier -
Neo Matrix