Está en la página 1de 7

Estableciendo las reglas o políticas del negocio

La empresa cuenta con 15 empleados que tienen asignada individualmente una PC para
sus labores, además de otros 2 empleados que comparten entre ellos (a ratos) una PC. El
dueño de la empresa está continuamente "furioso" (muy de la vida real) ya que considera
que todos, absolutamente todos los empleados, pierden mucho el tiempo navegando, que
sin embargo está consciente que ayuda al negocio, pero necesita control sobre todos,
además de que ya han tenido más de un susto por archivos (con virus) que descargan
más a menudo de lo que él piensa.
Lo primero que establecemos es "grupos" de usuarios de acuerdo a las políticas o reglas
que el dueño o director o gerente nos establece: (claro, hay que sentarse con él o ellos y
ayudarlos a realizar esta primera importantísima parte)

La siguiente información se "extrae" de pláticas con la(s) persona(s) respons


able de administrar el uso del Internet, que no necesariamente es algún técni
co en informática, asi que seguramente tendrás que asistirlo en ubicar los IP
de cada equipo, asi como ayudarlo a comprender los alcances de cada uno de lo
s grupos de uso que se crearán o formarán. Esto puede ser tan sencillo como d
os grupos:
Los que pueden usar Internet y los que no. O algo más elaborado, como lo que
a continuación presento:

*** SE BUSCA DIVIDIR EN GRUPOS BIEN IDENTIFICADOS EL USO QUE SE LE QUIERE DAR
A INTERNET ***

** USUARIOS CON ACCESO TOTAL SIN NINGUNA LIMITACIÓN O RESTRICCIÓN A INTERNET


**

192.168.10.10 Ana Cristina (la hija del dueño, se entiende)


192.168.10.11 Checo (el "encargado de sistemas" y que necesita poder descar
archivos y otros al dueño)

** USUARIOS CON ACCESO CONTROLADO A INTERNET SIN LIMITACIÓN DE HORARIO **

NO pueden descargar archivos con extensiones como '.exe', '.zip', '.msi', '.m
p3', etc. De hecho, se trata de que solo descarguen .xls, .doc, .ppt, .pdf (
Office, archivos de adobe y otros "inofensivos" como .jpg, .gif, etc.)
NO pueden acceder a sitios porno, o al menos controlar lo más que se pueda so
bre este aspecto
NO pueden acceder a sitios de descargas de programas de cualquier tipo o siti
os de juegos, sitios de radio, etc. o al menos lo más que se pueda controlar
192.168.10.12 Andrea
192.168.10.13 Marcela
192.168.10.14 Juan
192.168.10.15 Daniela
** USUARIOS CON ACCESO CONTROLADO A INTERNET EN HORARIO DE 9:00 A 12:00 LUNES
A VIERNES **

Las mismas reglas que lo anterior más la restricción del horario, ya que el d
ueño considera que con este tiempo (3 horas) tienen para ver checar sus corr
eos y alguna otra consulta que tengan que realizar, el resto del día no podrá
n navegar.
192.168.10.16 Fabían
192.168.10.17 Guillermo
192.168.10.18 Luis Adrián
192.168.10.19 Alejandra

** USUARIOS CON ACCESO TOTAL SIN NINGUNA LIMITACIÓN DE DESCARGAS Y HORARIO PE


RO SOLO A CIERTOS SITIOS**

Estos usuarios son responsables de hacer trámites y pagos de impuestos ante a


lgunas dependencias del gobierno y realizan transferencias y pagos en un par
de bancos con los que la empresa trabaja.
Necesitan acceso total a estos sitios pero NO pueden navegar en absolutamente
ningún otro sitio
192.168.10.20 María José
192.168.10.21 Valeria
192.168.10.22 Regina
Sitios a los que deben poder acceder sin ninguna limitación de descargas o ho
rarios:
www.bancoimportante.com
www.banusura.com
www.pagatusimpuestos.gob
www.socialseguridadpagaaqui.gob

** USUARIOS CON ACCESO CONTROLADO A INTERNET SIN LIMITACIÓN DE HORARIO, PERO


NECESITAN AUTENTIFICARSE**

Estos usuarios pueden usar la PC común pero necesitan autentificarse cada vez
que abren el navegador (solo en este equipo), para saber quién navegó en que
sitios.
PC de uso común para dos empleados
192.168.10.23
Usuarios que requieren autentificación
Fernanda
Gerardo

** USUARIOS BLOQUEADOS, NO PUEDEN USAR INTERNET **

192.168.10.25 David
192.168.10.26 Samuel

Se supone que los usuarios de cada equipo son los únicos que usan su PC, nadie más la
usa, asi que todo lo que suceda en una PC es responsabilidad del usuario al que está
asignada, por esta razón solo usaremos la autentificación de usuarios en la PC
192.168.10.23 que la comparten dos usuarios. Y solo en este equipo el navegador cada
vez que lo abran pedirá usuario y contraseña.

Crear archivos para cada grupo de usuarios,


equipos, sitios y demás
De acuerdo a lo anterior crearemos un archivo de texto para cada uno de los grupos de
equipos, usuarios, sitios, extensiones, etc. que encontremos en las listas, es conveniente
guardar o crear estos archivos en el directorio de configuración de squid /etc/squid, o crear
en este, un subdirectorio que contenga los siguientes archivos:

archivo: EQUIPOS_01
# acceso total
192.168.10.10
192.168.10.11

archivo: EQUIPOS_02
# ACCESO CONTROLADO A INTERNET SIN LIMITACIÓN DE HORARIO
192.168.10.12
192.168.10.13
192.168.10.14
192.168.10.15

archivo: EQUIPOS_03
# USUARIOS CON ACCESO CONTROLADO A INTERNET EN HORARIO DE 9:00 A 11:00 LUNES
A VIERNES
192.168.10.16
192.168.10.17
192.168.10.18
192.168.10.19

archivo: EQUIPOS_04
# USUARIOS CON ACCESO TOTAL SIN NINGUNA LIMITACIÓN DE DESCARGAS Y HORARIO
# PERO SOLO A CIERTOS SITIOS
192.168.10.20
192.168.10.21
192.168.10.22

archivo: EQUIPOS_05
# EQUIPOS CON ACCESO CONTROLADO A INTERNET SIN LIMITACIÓN DE HORARIO
# CON AUTENTIFICACIÓN DE USUARIOS
192.168.10.23

archivo: EQUIPOS_06
# USUARIOS BLOQUEADOS, NO PUEDEN USAR INTERNET
192.168.10.25
192.168.10.26

archivo: EXTENSIONES
# la siguiente lista son extensiones de archivos prohibidos para su descarga
# cualquier otro archivo que su extensión no este en este archivo podrá ser
# descargado: .jpg, .gif, .png, .swf, .xls, .doc, .ppt, .pps, .pdf, etc.
# esta lista aplica con: EQUIPOS_02, EQUIPOS_03 Y EQUIPOS_05
\.avi$
\.mp4$
\.mp3$
\.exe$
\.mov$
\.wma$
\.rpm$
\.tar$
\.bat$
\.pif$
\.zip$
\.rar$
\.gz$
\.msi$
\.wmv$
\.mpeg$
\.scr$
\.wav$
\.cab$
\.dll$
\.wmv$
\.iso$
#... AGREGA TODAS LAS EXTENSIONES QUE CONSIDERES APROPIADAS

archivo: PORNOS
# la siguiente lista contiene palabras que si se encuentran en cualquier part
e
# de la url serán bloqueados
# esta lista aplica con: EQUIPOS_02, EQUIPOS_03 Y EQUIPOS_05
sex
xxx
lesbian
gay
porn
erotic
hentai
# ... un largo etc, de todas las palabras que se te ocurran.

archivo: PROHIBIDOS
# la siguiente lista contiene palabras que si se encuentran en cualquier part
e
# de la url serán bloqueaados
# esta lista aplica con: EQUIPOS_02, EQUIPOS_03 Y EQUIPOS_05
ftp
games
juego
radio
estaciondemusica.com
# ... un largo etc, de todas las palabras que se te ocurran, o vayas encontra
ndo
# que tus usuarios usan.

archivo: NO_PROHIBIDOS
# la siguiente lista contiene palabras que son excepciones de la lista PROHIB
IDOS
# ejemplo: la palabra 'sex' bloqueará el url http://www.psicologiaysexualidad
.com
# que no es pornográfica, pero sin embargo contiene la cadena 'sex'.
psicologiaysexualidad
computadora
deportesexxxtremos.com
sitiodejuegos.com

archivo: SITIOS_EQUIPOS_04
# sitios que la lista de EQUIPOS_04 pueden acceder ilimitadamente
bancoimportante
banusura
pagatusimpuestos
socialseguridadpagaaqui
taxespayorjail

archivo: USUARIOS
# usuarios que puedan usar la lista en EQUIPOS_05
gerardo
fernanda

En resumen, he creado los siguientes archivos de texto que contienen las reglas o políticas
que la empresa desea aplicar:

 EQUIPOS_01
 EQUIPOS_02
 EQUIPOS_03
 EQUIPOS_04
 EQUIPOS_05
 EQUIPOS_06
 EXTENSIONES
 PORNOS
 PROHIBIDOS
 NO_PROHIBIDOS
 SITIOS_EQUIPOS_04
 USUARIOS
Nótese que los archivos llevan comentarios '#' para clarificarlo. Se creativo, aumenta todos
los comentarios que necesites, fecha, autor, explicación, a quien aplica, etc. Después de
los comentarios, muy importante, es una línea por dirección IP, o por sitio, etc.
Es importante clarificar aun más este importante paso de la creación de archivos de
acuerdo a grupos que equipos, sitios, etc. ya que todavía debemos aplicar estos archivos a
las listas de control de acceso propiamente en el archivo de configuración de squid.
EQUIPOS_01 a EQUIPOS_06 creo que se explican sin mayor problema, ya que contienen
una línea por cada PC (previamente identificada a que usuario le pertenece) que aplique.
Si en unos cuantos días o semanas,el dueño de la empresa decide hacer cambios en la
forma en que sus empleados usan el Internet, es fácil modificar los archivos respectivos. Si
se enoja con su hija (PC 192.168.10.10 y que está en la lista EQUIPOS_01) y decide
bloquearle totalmente el Internet, bastará con eliminarla de la lista EQUIPOS_01 y
agregarla a EQUIPOS_06, reiniciar squid y listo.
EXTENSIONES requiere un poco de comprensión. Debido a la enorme cantidad de
extensiones que se pueden utilizar en el internet. Si nos limitamos a crear un pequeño
archivo con solo las extensiones válidad (.xls, .doc, .ppt, .pdf) nos encontraremos con la
desagradable sorpresa que las páginas no mostrarán archivos .jpg, .gif, .png y demás
imágenes, asi como tampoco archivos flash (.swf), etc. Asi que es mejor, crear este
archivo con las extensiones de archivo más conocidas en cuanto a posibles archivos que
se sabe pueden contener virus o ser ejecutados y que después, en su momento, las
bloquearemos, dejando libres todas las demás extensiones "inocentes". Si más adelante
conoces de otra extensión "peligrosa", es cuestión de añadirla.
PORNOS y PROHIBIDOS resultan obvios. Solo entender que lo que se bloqueará son las
palabras de la lista que se encuentren en cualquier parte del url del sitio a visitar. Si
www.ejemplo.com resulta ser un sitio pornográfico, el usuario podrá perfectamente
visitarlo, ya que 'ejemplo' es una cadena que no se encuentra en la lista de PORNOS o
PROHIBIDOS. Por experiencia propia he encontrado que una lista de palabras 'porno' muy
amplia es suficiente para detener la enorme mayoría de sitios de este tipo, si lo que buscas
es un bloqueador más efectivo, entonces el proyecto squidguard te puede interesar y ser
más útil, sobre todo si por ejemplo, se trata de bloquear pornografía y otros sitios
indeseables en una escuela.
NO_PROHIBIDOS se autoexplica con los comentarios del mismo archivo. Es un archivo
donde se guardan las excepciones de las cadenas de PORNOS y PROHIBIDOS.

Ejemplo en la siguiente pagina

http://www.alcancelibre.org/staticpages/index.php/19-4-como-squid-tiempo