Cómo habilitar el filtrado web para controlar las páginas a las que pueden acceder los usuarios

10 11 2007

Por productividad, por seguridad, para evitar virus y spyware, para impedir el mal uso de la conexión a Internet de la empresa, para evitar fugas de información… por todas estas razones y muchas más, cada vez más empresas cuentan con algún tipo de sistema para controlar y restringir las páginas web a las que los usuarios pueden o no acceder.

Aunque hay diversos appliances que realizan esta función, y otros productos de software como Websense (el producto más usado para este tema) o N2H2 (ambos productos compatibles para ser usados junto con dispositivos Cisco), en este post explico cómo conseguirlo con el software Webmarshal.

Planteamiento: los requisitos del cliente establecían que debía haber un sistema que permitiera restringir los accesos de los usuarios a sitios web en varios niveles: que la Dirección pudieran navegar libremente, y los empleados sólo pudiesen acceder a ciertas páginas relacionadas exclusivamente con su trabajo.

Se eligió Webmarshal frente a Websense por ser más barato, más sencillo de implementar y mantener, y porque cumplía bien con las necesidades del cliente.

Básicamente el software funciona de proxy por el que pasan todas las conexiones a internet; tiene una lista de direcciones URL y cuando recibe una petición, decide con las reglas que hemos configurado si ese usuario tiene o no permisos para acceder al sitio web.

Producto usado: Webmarshal Secure Web Gateway, software específico para filtrado web.

Precio: aprox. 1500 € para 50 clientes con soporte de 1 año; el producto se licencia por clientes controlados, en paquetes de 25 licencias.

Instalación: se puede descargar una versión de prueba desde la web de Marshal.

NOTA IMPORTANTE: es necesario desactivar el antivirus previamente a la instalación de Webmarshal. Concretamente el antivirus Symantec corporativo hace fallar la instalación si no se desactiva. Posteriormente a la instalación, antes de activarlo, tendremos que decirle que excluya de sus análisis las carpetas de Webmarshal.

La versión 6.0 que usaremos requiere para instalar lo siguiente: Microsoft XML 6.0, Microsoft .NET 2.0 y Visual C++ 2005 SP1 Runtimes. Si no lo tenemos instalado, nos lo instalará automáticamente.
La instalación en el servidor que hará de proxy es sencilla. Primeramente pregunta si queremos instalar el servidor de Webmarshal y la Consola de Administración, o sólo esta última. Elegimos “Install Console” e “Install Services”. Posteriormente elegimos “Standalone Server”.

Al acabar la instalación comienza el asistente de configuración. Elegimos las opciones por defecto, así como la clave que autogenera válida para evaluar el producto completo por 30 días. También nos pide una dirección de correo donde enviar las notificaciones.

Lo siguiente que nos pide es el rango de direcciones de nuestra red o redes locales. Lo mejor es borrar las que pone por defecto y poner la nuestra.

La siguiente pregunta nos solicita los puertos por los que escuchará la aplicación. Dejamos los de por defecto si no nos choca con otros servicios que tengamos. A partir de ahí, todas las pantallas por defecto hasta el final del asistente, con lo que aparecerá ya la consola de Webmarshal:

Configuración

La configuración se divide en dos fases: la primera sobre Active Directory para crear los grupos de usuarios y Unidades Organizativas sobre las que aplicar políticas y directivas, y la segunda configurar el propio Webmarshal.

Active Directory

Grupos: hemos de crear un grupo de seguridad para cada nivel de restricción que queramos crear. Como en este caso el cliente deseaba que los trabajadores tuvieran todos los mismos permisos y direcciones permitidas, creamos el grupo GRUPOWEBMARSHAL y añadimos a los usuarios que queremos restringir.

Unidades Organizativas: han de crearse para aplicar las directivas que fuerzan al Internet Explorer a salir a través del proxy. Igual que en el caso anterior, creamos UOWEBMARSHAL.

Directivas: Hemos de crear dos directivas: la primera para forzar al Internet Explorer de los clientes a salir a través del proxy de Webmarshal. La segunda para evitar que puedan cambiar esta configuración. Una vez creadas, las aplicamos a la Unidad Organizativa que creamos en el paso anterior. Las directivas son las siguientes:

1- Configuración de usuario/Configuración de Windows/Mantenimiento de Internet Explorer / Conexión / Configuración de los Servidores Proxy -> 192.168.3.200 PUERTO 8080

2- Configuración de usuario / Plantillas Administrativas / Componentes de Windows / Internet Explorer -> Deshabilitar el cambio de configuración de proxy -> HABILITADA

Configuración Webmarshal

1. Crear un conector con Active Directory. Click en “Connectors” y se abre el asistente, elegir Active Directoy

También podemos elegir opciones de programación para que el conector actualice desde AD la información de los usuarios añadidos/eliminados en los grupos del Dominio a los grupos de Webmarshal.

2. Añadir usuarios: en este caso la validación y restricciones las haremos por grupos usuarios, pero se podría hacer por IP. Webmarshal viene con varios grupos preconfigurados (no confundir los grupos de Active Directory con los grupos de Webmarshal, aunque a los segundos los miembros se añaden a partir de los primeros y los de AD podemos anidarlos en los preconfigurados de Webmarshal):

  • Anonymous Users: excluídos del registro
  • Power Users: básicamente tienen permiso para acceder a todos los sitios web, salvo porno y descargas paligrosas.
  • Restricted: pueden visitar específicamente ciertos sitios. El resto se bloquean.
  • Standard: permitido el acceso a la mayoría de sitios conocidos y desconocidos, aunque se les bloqueará el acceso a ciertos tipos de archivos.
  • Unrestricted: acceso ilimitado

Añadimos nuestro grupo GRUPOWEBMARSHAL: botón derecho sobre User Groups, elegimos New User Group y a continuación la opción de importar del Active Directory Connector que hemos creado previamente.

3. Listas de URL’s: vamos a crear las páginas a las que sí tendrán acceso los usuarios limitados. Podríamos hacer lo contrario, una lista de exclusión, o bien usar los listados preconfigurados que incorpora, o incluso el filtro inteligente de Webmarshal (de pago a parte). Crearemos la categoría “CATEGORÍA DE DIRECCIONES PERMITIDAS”

Ahora botón derecho sobre la categoría creada, y “Add URLs…”. Vamos añadiendo las direcciones a las que queremos que tengan permisos de acceso, con atención a si son HTTP o HTTPS. Podemos (y debemos) usar el comodín “*” al principio y/o al final de la URL.

4. Políticas. Ahora toca configurar las políticas, mucho ciudado con el orden de aplicación de las mismas. En “Standard Rules” seleccionar “New Rule”. El asistente es bastante parecido al de creación de reglas para Outlook, y permite muchos criterios. En este caso creamos la “REGLA DE PERMITIR” y elegimos que sea aplicada a los usuarios que pertenezcan al grupo GRUPOWEBMARSHAL, y que cuando soliciten una web EXCEPTO las listadas en “CATEGORÍA DE DIRECCIONES PERMITIDAS”, se bloquee el acceso. Mover esta regla a la parte superior:

Podemos testear las reglas parauna URL y un usuario con el Test Access Policy:

4. Reglas de análisis de contenidos. Aunque no vamos a configurar esto, estas reglas permiten bloquear ciertos contenidos (streaming, multimedia…) o tipos de archivos.

Para finalizar, o cada vez que se cambie una regla, es necesario actualizar la configuración haciendo click en “Commit Configuration”.

Resultado: cuando uno de los usuarios intenta acceder a una web a la que no tiene permitido el acceso, se le muestra un mensaje como este:

Otras consideraciones:

  • Las páginas de error son totalmente configurables para poner el logo de la empresa, cambiar el idioma del mensaje, o incluir otra información. Se advierte siempre en el mensaje que el intento de acceso ha quedado registrado.
  • Esta configuración no sería práctica si los usuarios usaran otros navegadores, por lo que habrá que cuidar este tema para que los usuarios no puedan instalar software.
  • En el Webmarshal se puede integrar antivirus, anti spyware, etc.

Acciones

Information

6 responses

2 01 2008
juan carlos

porq no puedo acceder a las paginas web sale un mesaje acceso URL se a bloqueado por favor necesito q me ayuden con este problema porq no puedo tener acceso al internet

14 08 2008
Franz

Hola las Imagenes no se vee POdrias subirlas nuevamente muy agrdecido por este tutorial

14 09 2008
Juan Carlos

Por favor sube las imagenes no se visualizan. Gracias.

14 09 2008
Marcos Fernández

Lo siento, las imagenes de este y otros post están subidas a Godlike.cl y por alguna razón no funcionan…. esperemos que en los próximos días o semanas lo solucionen, y si no habrá que pensar en la ardua tarea de volver a subirlas a otro sitio…

3 07 2009
luis

muchas gracias muy buen material lo voy a probar

28 07 2014
Pepe

Desgraciadamente las imágenes se siguen sin ver… una pena…

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: