INSTALACIÓN Y CONFIGURACION DE ZEROSHELL
Debemos introducir el CD de instalación descargado. Este manual recoge la distribución ZeroShell1.0.beta12.iso. Una vez iniciado el sistema con el CD dentro, accedemos a la pantalla de inicio de sesión. Por defecto Zeroshell se instala con la dirección ip 192.168.0.75. La pantalla inicial de configuración que veremos después de la instalación es:
Lo primero que debemos hacer es cambiar la contraseña de acceso. EL nombre de usuario es admin y por defecto no tiene clave. Pulsamos sobre la letra P para introducirla contraseña. Una vez cambiada la contraseña accedemos a la pantalla de configuración via web, ya que es más amigable que la administración por línea de comandos.
Debemos de tener en cuenta que para administrar Zeroshell via web, debemos de tener en nuestro equipo una dirección IP del mismo rango.
En la primera pantalla de administración, introducimos el usuario y la clave (usuario admin, clave la que hemos introducido)
Lo primero es crear un profile (perfil) para guardar la configuración y no tener que reconfigurar en cada reinicio. Menú Setup > Profiles > New Partition (Nueva partición, ¡ojo!, mi instalación es en un disco duro virtual, pero si lo hacéis una maquina “real” se recomienda que uséis un pendrive de 1GB o mayor para guardar los profiles, o una partición que se pueda machacar). Elijo el tamaño (Max available – máximo disponible), la etiqueta ( label), el tipo de partición (Ext3), indico que se formatee al crear y la creo con Create partition.
Tras crear la partición, creo el perfil : Create Profile
Donde defino el FQDN del host del firewall. Kerberos 5 Realm , la base de ldap, la contraseña de administrador y la configuración de red de la tarjeta de red o interface a la LAN (no hace falta definir gateway para el segmento de la lan o el interfaz de la lan, a no ser que tu red LAN se comunique con otras redes por otro camino que no sea el firewall de ZeroShell)
Tras definir el profile, se activa, y tendrás que volver a validarte vía browser
En el menú Setup > Networks, se pueden definir los parámetros tcp/ip de los interfaces mediante gui
Y en el menú Network > Router, es donde defines el Gateway a la WAN, el protocolo RIPv2 (en el caso de querer publicar y recibir rutas con este protocolo, no es necesario en una red stub frontera y definir los Port Forwardings (en el menú Virtual Servers) para ser accesibles desde Inet los puertos que desees de hosts detrás de NAT
CONFIGURACIÓNDEL SERVIDOR DHCP
EL servidor DHCP es un servidor que asigna dinámicamente direcciones IP a los equipos de nuestra red, con todos los datos necesarios para que no tengamos que configurar nada. Es muy útil ya que nos olvidamos de que cada vez que unamos un equipo a la red, tengamos que configurarlo con su dirección IP, su puerta de enlace y los servidores DNS. También podemos asignar a los equipos siempre la misma dirección IP, ya que el servidor DHCP nos permitirá asignarlas en función de las direcciones MAC de las tarjetas de red. Para configurar el servicio DHCP, accedemos al menú “DHCP” situado a la izquierda y veremos la
siguiente pantalla
En este momento no tenemos ningún rango de direcciones configurado para que el servidor las asigne a los equipos. Vamos a asignarlas direcciones IP de la 50 a la 99, siguiendo las instrucciones de red que figuran en el manual, indicando también cual es la puerta de enlace (dirección IP interna de Zeroshell) y el servidor DNS (dirección IP interna de Zeroshell). Debemos crear una subred para poder asignar direcciones IP a nuestra red. Pulsamos sobre el botón “NEW” en la esquina superior derecha y seleccionamos el interface ETH00, que es el de nuestra red interna.
Debemos marcar “Enabled” y pulsar sobre el botón “SAVE” A partir de este momento, cuando encendamos un equipo, nuestro router Zeroshell le asignará una dirección IP con los datos que hemos configurado en nuestro servidor.
SERVIDOR DNS No es necesario configurar el servidor DNS de Zeroshell, pero si activarlo, salvo que queramos tener Un DNS propio en nuestra red y no utilizar el que nos facilita nuestro proveedor de internet. La creación de un servidor DNS no es una tarea sencilla, por lo que no está al alcance de este manual. De todas formas, cualquier usuario que esté familiarizado con los servidores DNS podrá crear fácilmente las zonas necesarias y dar de alta los nombres a través del interfaz web de Zeroshell. CONFIGURACIÓN DE RUTAS ESTÁTICAS Supongamos que tenemos que en nuestra ubicación hay dos redes diferentes. Lo que debemos configurar es que cualquier petición que no vaya a nuestra red, adonde debe de ir. Por defecto, cualquier conexión que hagamos a una dirección IP ajena a nuestra red interna, Zeroshell tratará de enviarla por el Gateway (puerta de salida) que le hemos indicado en la configuración.
Si debemos acceder a otro departamento, cuyas direcciones IP son del tipo 172.0.0.1, debemos decirle a nuestro router que si alguien accede a alguna de estas direcciones IP, en vez de enviarla por el Gateway, la envíe a la red de destino. Lógicamente, para este supuesto, debemos de tener tres interfaces de red en nuestro sistema. No es necesario que sean tres interfaces de red físicos, si no que pueden ser dos interfaces de red físicos y una VPN entre servidores.
Modo Proxy Transparente Uno de los mayores problemas con el uso de un servidor proxy es el de la configuración de todos los navegadores web para usarlo. Por tanto, es necesario especificar la dirección IP o nombre de host y el puerto TCP en el que responde (normalmente el puerto 8080). Esto podría ser una carga en el caso de redes de área local con numerosos usuarios, pero lo que es peor, no podría garantizar contra los usuarios eliminar esta configuración para obtener acceso directo a la web, evitando así check antivirus, registro de acceso y listas negras. Para resolver este problema, Zeroshell utiliza el modo proxy transparente que consiste en capturar automáticamente las solicitudes de los clientes en el puerto TCP 80. Obviamente, para Zeroshell para ser capaz de capturar estas peticiones web, que debe estar configurado como una puerta de enlace de red, de modo que el tráfico de Internet cliente va a través de ella. Zeroshell capturará automáticamente peticiones HTTP si se trata de una pasarela de nivel 2 (puente entre Ethernet, WiFi o interfaz VPN) o capa 3 pasarela (router). Sin embargo, es importante especificar en qué interfaces de red o subredes IP estas solicitudes deben ser redirigida. Esto se hace mediante la adición de las llamadas HTTP reglas de captura, como se muestra en la siguiente figura:
En el ejemplo en la figura, las peticiones de http ETH00 y ETH03 interfaces de red son capturadas. Quedan excluidas de estas peticiones son las dirigidas a los servidores web que pertenecen a la subred 172.16.0.0/16 IP y los del cliente con la dirección IP 192.168.0.1. Puede haber varias razones por las que es necesario excluir la intervención del proxy transparente en algunos clientes y algunos servidores web. Por ejemplo, un servidor web puede restringir el acceso sólo a los clientes con una cierta IP en sus ACL. En este caso, si el proxy capturado peticiones al servidor anterior, se puede llegar a través de su IP y esto impediría el acceso. Por otra parte, no sería posible autorizar la dirección IP del proxy en la ACL del servidor web, ya que esto significaría que permite el acceso indiscriminado a todos los clientes que utilizan el proxy. Es claro, entonces, que la única solución es evitar la captura de las solicitudes por el proxy transparente. Por último, tenga en cuenta que los iptables reglas para redirigir hacia el servicio de proxy (8080 tcp) se pone río abajo de los que intervienen en el portal cautivo. Gracias a esto, portal cautivo y proxy transparente se pueden activar de forma simultánea en la misma interfaz de red. Configuración y activación del servicio de proxy Como se ilustra en la siguiente figura, la configuración del servicio de proxy con control antivirus es muy simple. Después de configurar el cuadro de Zeroshell para actuar como un router y después de configurar en los clientes como la puerta de enlace predeterminada, o configurarlo como un puente, e interponerla en un punto de la red local a la que los flujos de tráfico hacia y desde Internet, sólo tiene que activar la bandera [Activado] para que el proxy puede empezar a trabajar. Como se mencionó en el párrafo anterior, las peticiones web que en realidad son interceptados y sometidos a la representación son los que se especifican mediante la configuración de las reglas de captura [HTTP] .
Tenga en cuenta que, la puesta en marcha del servicio de proxy es muy lento en comparación con otros servicios, así como en hardware que no es muy rápido que puede tardar hasta 30-40 segundos Esto es debido a la necesidad de las bibliotecas antivirus ClamAV para cargar y descifrar un gran número de firmas de virus en su memoria. Para evitar que esto bloquea la interfaz web de configuración y guiones de largos intervalos de puesta en marcha, el servicio se inicia de forma asincrónica. Por lo tanto, cuando el representante sea habilitado o reconfigurado, el Estado objeto no se muestra como ACTIVE (verde) inmediatamente, pero primero pasa de la PUESTA estado (naranja), que muestra que el servicio se está cargando las firmas. Para entender cuando el representante realidad comienza a realizar, haga clic en [Administrar] para volver a cargar la página de configuración, o simplemente haga clic en [Registro de Proxy] para ver la havp mensajes de puesta en marcha del demonio. Durante el período de puesta en marcha del demonio havp, los iptables reglas para capturar peticiones http se eliminan temporalmente, lo que permite el tráfico de Internet fluya con regularidad, pero sin que se analizan en busca de virus
Listas negras y listas blancas Website A menudo es necesario para bloquear la visualización de un número de sitios web, ya que su contenido se considera inadecuada para los usuarios del servicio web. Un ejemplo es sólo para adultos, material, que no se debe mostrar en las computadoras para que los niños tengan acceso. Una solución muy eficaz para este problema está obligando a los clientes web para acceder a Internet a través de un proxy, la cual, a través de filtrado de contenido de software como Dans
Guardian , examina el contenido de las páginas html bloqueo quienes se cree que pertenecen a una categoría no deseada. Los mecanismos de estos filtros pueden ser comparados con los de los sistemas de anti spamming. Desafortunadamente, sin embargo, no está claro si la licencia liberación Dans Guardian es compatible para la integración en un sistema como el Zeroshell y, por lo tanto, no se utilizó con el fin de evitar el riesgo de violación de la licencia. Por el momento, la única manera de bloquear o permitir la visualización de páginas web es la elaboración de listas negras y listas blancas de páginas web como se muestra en la figura.
Las listas negras y listas blancas consisten en una secuencia de URLs dispuestas en líneas distintas. Cada línea puede corresponder a varias páginas web que el * se utiliza personaje. Para bloquear el sitio http://www.example.com lugar www.example.com/ * en la lista negra, mientras que la línea de www.example.com , sin* , sólo se bloqueará la página principal de este sitio. La lista blanca tiene prioridad sobre la lista negra. En otras palabras, si una página Web corresponde a un elemento de lista negra y, al mismo tiempo, se encuentra en la lista blanca, se permite el acceso a la página. Por otra parte, tenga en cuenta que el propósito de la lista blanca no es sólo para permitir el acceso a las páginas que de otra forma estaría prohibida en la lista negra, sino también para evitar comprobación antivirus. Por favor, tome nota de esto.
Si el administrador de la LAN quiere adoptar la política de facilitar el acceso a un número limitado de sitios, s / he puede especificar el * / * línea en la lista negra, lo que impedirá el acceso a todas las páginas excepto las incluidas en la lista blanca.
RADIUS
El protocolo RADIUS, así como el papel de la autenticación y autorización de servicios para el acceso remoto de los dispositivos de red, que permite gestionar la contabilidad de las conexiones. En otras palabras, se trata de un AAA sistema (triple A de autenticación medios, autorización y contabilidad) y con el apoyo de la contabilidad proporciona la contabilidad de la duración y de la trata de descargar y cargar generada de las conexiones. El propósito de este trabajo es la descripción de la aplicación de la contabilidad de RADIUS en Zeroshell obtenido por el servidor FreeRADIUS disponibles en él.
Gestión contable Zeroshell puede recibir solicitudes de cuentas desde cualquier dispositivo de la red que se comunica esta información mediante el protocolo RADIUS. Ejemplos de tales dispositivos son:
Punto de acceso inalámbrico VPN Router Conmutador Ethernet configurado basado en puertos de acceso a través de 802.1x Captive Portal Router Específicamente Zeroshell gestiona los siguientes atributos de solicitudes RADIUS: De nombre de usuario (nombre de usuario también con el sufijo @ dominio) Calling-Station-Id (dirección MAC del cliente) Framed-IP-Address (Dirección IP asignada al cliente) NAS-identificador (la dirección IP o el nombre de host del servidor de red de acceso como un punto de acceso Wi-Fi) Acct-Input-Octets (número de bytes transmitidos desde el cliente y el entrante para el NAS) Acct-Input-Gigawords (extensión de 64 bits del campo anterior) Acct-Input-Packets (número de paquetes transmitidos por el cliente)
Acct-Output-Octets (número de bytes que salen desde el NAS y recibida por el cliente) Acct-Output-Gigawords (extensión de 64 bits del campo anterior) Acct-Output-Packets (número de paquetes recibidos desde el cliente) Acct-Session-Tiempo (Duración de la conexión) Zeroshell gestiona, además de iniciar y detener las solicitudes de las conexiones, también los llamados Provisional-Actualizar peticiones, con la que ciertos puntos de acceso de red más avanzadas comunicar información contable intermedia. Para estos dispositivos los datos se actualizan en tiempo real, sin esperar a que el extremo de la conexión. El portal cautivo de Zeroshell también trasmitir provisional-Actualizar paquetes para actualizar el tráfico, el tiempo y el costo de la conexión en tiempo real.
Tenga en cuenta que, así como la autenticación se puede reenviar a un servidor RADIUS externo oficial para un dominio dado, de la misma manera la contabilidad se reenvía al servidor proxy correcto. La lista de servidores proxy de Contabilidad RADIUS es el mismo que para la autenticación, pero la contabilidad tiene que permitir explícitamente el reenvío para cada dominio.
Contabilidad RADIUS para conexiones inalámbricas WPA/WPA2 Enterprise Hoy en día casi todos los puntos de acceso inalámbrico, incluso los más baratos, permiten la configuración de un servidor RADIUS al que se podrán contables deben ser enviados.Debido a esto, si usted elige para permitir el acceso Wi-Fi a través de WPA/WPA2 Empresa (es decir, a través de 802.1x), Zeroshell puede también tener en cuenta el tráfico que viene de estos dispositivos directamente, sin necesidad de activación de un portal cautivo. Tenga en cuenta, que para que el punto de acceso WiFi se puede comunicar la información contable para el servidor RADIUS debe agregar la dirección IP junto con el de su secreto compartido a la lista de clientes de RADIUS.