18 julio 2006

:: Cerrando accesos a internet ( y II )

Continúo con otras opciones que tenemos los administradores de redes para evitar el acceso a internet desde determinados equipos. Si el otro día daba soluciones básicas hoy daremos las que para mí son definitivas y evitarán de toda manera cualquier tipo de conexión.

c) La tercera opción posible es configurando un proxy real, no ficticio como en la primera posibilidad del anterior artículo :) con ello evitaremos la salida a internet. El funcionamiento es sencillo y sólo deberemos configurar el proxy indicando que equipos pueden o no salir a internet. Si por ejemplo queremos evitar la conexión de cualquier equipo únicamente deberíamos filtrar el puerto 80 y listo, no podrán navegar, pero si deseamos que sólo unos cuantos salgan deberemos asignar mediante ip fija o nombre de equipo que equipos tienen permiso. Junto a ello es interesante configurar en el proxy que únicamente los equipos que hagan la petición a través del proxy puedan salir a internet, ya que un usuario avispado podría poner la dirección de puerta de enlace y salir saltando el proxy a las anchas siempre y cuando tuviera datos de otro equipo que si tuviera permisos ;) toda precaución es poca, aunque sea una opción poco común.

Pero si eres un buen administrador y cuentas con un router que nos ofrezca grandes garantías como un Cisco, LinkSys o Zyxel, podemos realizar la misma operación pero através de
hardware, mucho menos "vulnerable" que cualquier software como es el proxy.

d) el filtrado através de nuestro router, aquí deberemos cerrar el puerto 80 y nadie podrá navegar y le será devuelto un error cada vez que lo intente. Esto es infalible siempre y cuando no encuentren un exploit que haga estallar por los aires nuestro router por una vulnerabilidad existente, pero aún así siempre el router ya que es la llave de la conexión, nos permitirá filtrar por más métodos cualquier intento de conexión y de manera más fiable y segura.

Como no es habitual cerrar el acceso a todos los equipos, siempre habrá alguno que deseemos dejar vía libre, os recomiendo el control mediante la
mac de la interfaz de red, no es totalmente segura puesto que es posible cambiarla pero si que es bastante más díficil de cambiar por un usuario normalito y en principio es la opción más "segura", aparte de cerrar el puerto 80 y volverlo a abrir cada que se necesite conectar :)
Aparte podemos realizar combinaciones de ip + mac que ya requieren de un conocimiento mayor por parte del usuario y dificultades, como cambiar la ip de un equipo sin ser admin y como emular la mac de otro equipo que si cuenta con acceso, todo esto puede ser un mundo para nuestro usuario más inquieto y avispado de toda la multinacional :)

Ahora eso sí, siempre y cuando no caiga en las manos del usuario el archiconocido EtherChange, entonces podría jugar contigo y con su
MAC.