INSTALACIN Y CONFIGURACION DE ZEROSHELL

Debemos introducir el CD de instalacin descargado. Este manual recoge la distribucin ZeroShell1.0.beta12.iso. Una vez iniciado el sistema con el CD dentro, accedemos a la pantalla de inicio de sesin. Por defecto Zeroshell se instala con la direccin ip 192.168.0.75. La pantalla inicial de configuracin que veremos despus de la instalacin es:

Lo primero que debemos hacer es cambiar la contrasea de acceso. EL nombre de usuario es admin y por defecto no tiene clave. Pulsamos sobre la letra P para introducirla contrasea. Una vez cambiada la contrasea accedemos a la pantalla de configuracin via web, ya que es ms amigable que la administracin por lnea de comandos.

Debemos de tener en cuenta que para administrar Zeroshell via web, debemos de tener en nuestro equipo una direccin IP del mismo rango.

En la primera pantalla de administracin, introducimos el usuario y la clave (usuario admin, clave la que hemos introducido)

Lo primero es crear un profile (perfil) para guardar la configuracin y no tener que reconfigurar en cada reinicio. Men Setup > Profiles > New Partition (Nueva particin, ojo!, mi instalacin es en un disco duro virtual, pero si lo hacis una maquina real se recomienda qu e usis un pendrive de 1GB o mayor para guardar los profiles, o una particin que se pueda machacar). Elijo el tamao (Max available mximo disponible), la etiqueta ( label), el tipo de particin (Ext3), indico que se formatee al crear y la creo con Create partition.

Tras crear la particin, creo el perfil : Create Profile

Donde defino el FQDN del host del firewall. Kerberos 5 Realm , la base de ldap, la contrasea de administrador y la configuracin de red de la tarjeta de red o interface a la LAN (no hace falta definir gateway para el segmento de la lan o el interfaz de la lan, a no ser que tu red LAN se comunique con otras redes por otro camino que no sea el firewall de ZeroShell)

Tras definir el profile, se activa, y tendrs que volver a validarte va browser

En el men Setup > Networks, se pueden definir los parmetros tcp/ip de los interfaces mediante gui

Y en el men Network > Router, es donde defines el Gateway a la WAN, el protocolo RIPv2 (en el caso de querer publicar y recibir rutas con este protocolo, no es necesario en una red stub frontera y definir los Port Forwardings (en el men Virtual Servers) para ser accesibles desde Inet los puertos que desees de hosts detrs de NAT

CONFIGURACINDEL SERVIDOR DHCP

EL servidor DHCP es un servidor que asigna dinmicamente direcciones IP a los equipos de nuestra red, con todos los datos necesarios para que no tengamos que configurar nada. Es muy til ya que nos olvidamos de que cada vez que unamos un equipo a la red, tengamos que configurarlo con su direccin IP, su puerta de enlace y los servidores DNS. Tambin podemos asignar a los equipos siempre la misma direccin IP, ya que el servidor DHCP nos permitir asignarlas en funcin de las direcciones MAC de las tarjetas de red. Para configurar el servicio DHCP, accedemos al men DHCP situado a la izquierda y veremos la

siguiente pantalla

En este momento no tenemos ningn rango de direcciones configurado para que el servidor las asigne a los equipos. Vamos a asignarlas direcciones IP de la 50 a la 99, siguiendo las instrucciones de red que figuran en el manual, indicando tambin cual es la puerta de enlace (direccin IP interna de Zeroshell) y el servidor DNS (direccin IP interna de Zeroshell). Debemos crear una subred para poder asignar direcciones IP a nuestra red. Pulsamos sobre el botn NEW en la esquina superior derecha y seleccionamos el interface ETH00, que es el de nuestra red interna.

Debemos marcar Enabled y pulsar sobre el botn SAVE A partir de este momento, cuando encendamos un equipo, nuestro router Zeroshell le asignar una direccin IP con los datos que hemos configurado en nuestro servidor.

SERVIDOR DNS No es necesario configurar el servidor DNS de Zeroshell, pero si activarlo, salvo que queramos tener Un DNS propio en nuestra red y no utilizar el que nos facilita nuestro proveedor de internet. La creacin de un servidor DNS no es una tarea sencilla, por lo que no est al alcance de este manual. De todas formas, cualquier usuario que est familiarizado con los servidores DNS podr crear fcilmente las zonas necesarias y dar de alta los nombres a travs del interfaz web de Zeroshell. CONFIGURACIN DE RUTAS ESTTICAS Supongamos que tenemos que en nuestra ubicacin hay dos redes diferentes. Lo que debemos configurar es que cualquier peticin que no vaya a nuestra red, adonde debe de ir. Por defecto, cualquier conexin que hagamos a una direccin IP ajena a nuestra red interna, Zeroshell tratar de enviarla por el Gateway (puerta de salida) que le hemos indicado en la configuracin.

Si debemos acceder a otro departamento, cuyas direcciones IP son del tipo 172.0.0.1, debemos decirle a nuestro router que si alguien accede a alguna de estas direcciones IP, en vez de enviarla por el Gateway, la enve a la red de destino. Lgicamente, para este supuesto, debemos de tener tres interfaces de red en nuestro sistema. No es necesario que sean tres interfaces de red fsicos, si no que pueden ser dos interfaces de red fsicos y una VPN entre servidores.

Modo Proxy Transparente Uno de los mayores problemas con el uso de un servidor proxy es el de la configuracin de todos los navegadores web para usarlo. Por tanto, es necesario especificar la direccin IP o nombre de host y el puerto TCP en el que responde (normalmente el puerto 8080). Esto podra ser una carga en el caso de redes de rea local con numerosos usuarios, pero lo que es peor, no podra garantizar contra los usuarios eliminar esta configuracin para obtener acceso directo a la web, evitando as check antivirus, registro de acceso y listas negras. Para resolver este problema, Zeroshell utiliza el modo proxy transparente que consiste en capturar automticamente las solicitudes de los clientes en el puerto TCP 80. Obviamente, para Zeroshell para ser capaz de capturar estas peticiones web, que debe estar configurado como una puerta de enlace de red, de modo que el trfico de Internet cliente va a travs de ella. Zeroshell capturar automticamente peticiones HTTP si se trata de una pasarela de nivel 2 (puente entre Ethernet, WiFi o interfaz VPN) o capa 3 pasarela (router). Sin embargo, es importante especificar en qu interfaces de red o subredes IP estas solicitudes deben ser redirigida. Esto se hace mediante la adicin de las llamadas HTTP reglas de captura, como se muestra en la siguiente figura:

En el ejemplo en la figura, las peticiones de http ETH00 y ETH03 interfaces de red son capturadas. Quedan excluidas de estas peticiones son las dirigidas a los servidores web que pertenecen a la subred 172.16.0.0/16 IP y los del cliente con la direccin IP 192.168.0.1. Puede haber varias razones por las que es necesario excluir la intervencin del proxy transparente en algunos clientes y algunos servidores web. Por ejemplo, un servidor web puede restringir el acceso slo a los clientes con una cierta IP en sus ACL. En este caso, si el proxy capturado peticiones al servidor anterior, se puede llegar a travs de su IP y esto impedira el acceso. Por otra parte, no sera posible autorizar la direccin IP del proxy en la ACL del servidor web, ya que esto significara que permite el acceso indiscriminado a todos los clientes que utilizan el proxy. Es claro, entonces, que la nica solucin es evitar la captura de las solicitudes por el proxy transparente. Por ltimo, tenga en cuenta que los iptables reglas para redirigir hacia el servicio de proxy (8080 tcp) se pone ro abajo de los que intervienen en el portal cautivo. Gracias a esto, portal cautivo y proxy transparente se pueden activar de forma simultnea en la misma interfaz de red. Configuracin y activacin del servicio de proxy Como se ilustra en la siguiente figura, la configuracin del servicio de proxy con control antivirus es muy simple. Despus de configurar el cuadro de Zeroshell para actuar como un router y despus de configurar en los clientes como la puerta de enlace predeterminada, o configurarlo como un puente, e interponerla en un punto de la red local a la que los flujos de trfico hacia y desde Internet, slo tiene que activar la bandera [Activado] para que el proxy puede empezar a trabajar. Como se mencion en el prrafo anterior, las peticiones web que en realidad son interceptados y sometidos a la representacin son los que se especifican mediante la configuracin de las reglas de captura [HTTP] .

Tenga en cuenta que, la puesta en marcha del servicio de proxy es muy lento en comparacin con otros servicios, as como en hardware que no es muy rpido que puede tardar hasta 30-40 segundos Esto es debido a la necesidad de las bibliotecas antivirus ClamAV para cargar y descifrar un gran nmero de firmas de virus en su memoria. Para evitar que esto bloquea la interfaz web de configuracin y guiones de largos intervalos de puesta en marcha, el servicio se inicia de forma asincrnica. Por lo tanto, cuando el representante sea habilitado o reconfigurado, el Estado objeto no se muestra como ACTIVE (verde) inmediatamente, pero primero pasa de la PUESTA estado (naranja), que muestra que el servicio se est cargando las firmas. Para entender cuando el representante realidad comienza a realizar, haga clic en [Administrar] para volver a cargar la pgina de configuracin, o simplemente haga clic en [Registro de Proxy] para ver la havp mensajes de puesta en marcha del demonio. Durante el perodo de puesta en marcha del demonio havp, los iptables reglas para capturar peticiones http se eliminan temporalmente, lo que permite el trfico de Internet fluya con regularidad, pero sin que se analizan en busca de virus

Listas negras y listas blancas Website A menudo es necesario para bloquear la visualizacin de un nmero de sitios web, ya que su contenido se considera inadecuada para los usuarios del servicio web. Un ejemplo es slo para adultos, material, que no se debe mostrar en las computadoras para que los nios tengan acceso. Una solucin muy eficaz para este problema est obligando a los clientes web para acceder a Internet a travs de un proxy, la cual, a travs de filtrado de contenido de software como Dans

Guardian , examina el contenido de las pginas html bloqueo quienes se cree que pertenecen a una categora no deseada. Los mecanismos de estos filtros pueden ser comparados con los de los sistemas de anti spamming. Desafortunadamente, sin embargo, no est claro si la licencia liberacin Dans Guardian es compatible para la integracin en un sistema como el Zeroshell y, por lo tanto, no se utiliz con el fin de evitar el riesgo de violacin de la licencia. Por el momento, la nica manera de bloquear o permitir la visualizacin de pginas web es la elaboracin de listas negras y listas blancas de pginas web como se muestra en la figura.

Las listas negras y listas blancas consisten en una secuencia de URLs dispuestas en lneas distintas. Cada lnea puede corresponder a varias pginas web que el * se utiliza personaje. Para bloquear el sitio http://www.example.com lugar www.example.com/ * en la lista negra, mientras que la lnea de www.example.com , sin* , slo se bloquear la pgina principal de este sitio. La lista blanca tiene prioridad sobre la lista negra. En otras palabras, si una pgina Web corresponde a un elemento de lista negra y, al mismo tiempo, se encuentra en la lista blanca, se permite el acceso a la pgina. Por otra parte, tenga en cuenta que el propsito de la lista blanca no es slo para permitir el acceso a las pginas que de otra forma estara prohibida en la lista negra, sino tambin para evitar comprobacin antivirus. Por favor, tome nota de esto.

Si el administrador de la LAN quiere adoptar la poltica de facilitar el acceso a un nmero limitado de sitios, s / he puede especificar el * / * lnea en la lista negra, lo que impedir el acceso a todas las pginas excepto las incluidas en la lista blanca.

RADIUS

El protocolo RADIUS, as como el papel de la autenticacin y autorizacin de servicios para el acceso remoto de los dispositivos de red, que permite gestionar la contabilidad de las conexiones. En otras palabras, se trata de un AAA sistema (triple A de autenticacin medios, autorizacin y contabilidad) y con el apoyo de la contabilidad proporciona la contabilidad de la duracin y de la trata de descargar y cargar generada de las conexiones. El propsito de este trabajo es la descripcin de la aplicacin de la contabilidad de RADIUS en Zeroshell obtenido por el servidor FreeRADIUS disponibles en l.

Gestin contable Zeroshell puede recibir solicitudes de cuentas desde cualquier dispositivo de la red que se comunica esta informacin mediante el protocolo RADIUS. Ejemplos de tales dispositivos son:

Punto de acceso inalmbrico VPN Router Conmutador Ethernet configurado basado en puertos de acceso a travs de 802.1x Captive Portal Router Especficamente Zeroshell gestiona los siguientes atributos de solicitudes RADIUS: De nombre de usuario (nombre de usuario tambin con el sufijo @ dominio) Calling-Station-Id (direccin MAC del cliente) Framed-IP-Address (Direccin IP asignada al cliente) NAS-identificador (la direccin IP o el nombre de host del servidor de red de acceso como un punto de acceso Wi-Fi) Acct-Input-Octets (nmero de bytes transmitidos desde el cliente y el entrante para el NAS) Acct-Input-Gigawords (extensin de 64 bits del campo anterior) Acct-Input-Packets (nmero de paquetes transmitidos por el cliente)

Acct-Output-Octets (nmero de bytes que salen desde el NAS y recibida por el cliente) Acct-Output-Gigawords (extensin de 64 bits del campo anterior) Acct-Output-Packets (nmero de paquetes recibidos desde el cliente) Acct-Session-Tiempo (Duracin de la conexin) Zeroshell gestiona, adems de iniciar y detener las solicitudes de las conexiones, tambin los llamados Provisional-Actualizar peticiones, con la que ciertos puntos de acceso de red ms avanzadas comunicar informacin contable intermedia. Para estos dispositivos los datos se actualizan en tiempo real, sin esperar a que el extremo de la conexin. El portal cautivo de Zeroshell tambin trasmitir provisional-Actualizar paquetes para actualizar el trfico, el tiempo y el costo de la conexin en tiempo real.

Tenga en cuenta que, as como la autenticacin se puede reenviar a un servidor RADIUS externo oficial para un dominio dado, de la misma manera la contabilidad se reenva al servidor proxy correcto. La lista de servidores proxy de Contabilidad RADIUS es el mismo que para la autenticacin, pero la contabilidad tiene que permitir explcitamente el reenvo para cada dominio.

Contabilidad RADIUS para conexiones inalmbricas WPA/WPA2 Enterprise Hoy en da casi todos los puntos de acceso inalmbrico, incluso los ms baratos, permiten la configuracin de un servidor RADIUS al que se podrn contables deben ser enviados.Debido a esto, si usted elige para permitir el acceso Wi-Fi a travs de WPA/WPA2 Empresa (es decir, a travs de 802.1x), Zeroshell puede tambin tener en cuenta el trfico que viene de estos dispositivos directamente, sin necesidad de activacin de un portal cautivo. Tenga en cuenta, que para que el punto de acceso WiFi se puede comunicar la informacin contable para el servidor RADIUS debe agregar la direccin IP junto con el de su secreto compartido a la lista de clientes de RADIUS.