Antivirus Perimetral

Transcripción

1 Antivirus Perimetral Instalación + Postfix + MailScanner + SpamAssassin + ClamAV + pop3.proxy + Fetchmail + Squid + squidclam + IAK Bertsioa: 1.0 Egilea: Alfredo Barrainkua Zallo Data: 2007.eko Urtarrilak 15 Lizentzia: CreativeCommons - ShareAlike Lizentzia laburpena: English Castellano

2 Indice de contenidos 1. Introducción Objetivos Arquitectura Funcionalidades Protección del correo con servidor de correo en la DMZ... 4 SMTP trafikoa / Tráfico SMTP...4 Tráfico POP Tráfico IMAP... 5 Tráfico MAPI... 6 Tráfico HTTP Protección del correo con servidor de correo en la red interna...7 Tráfico SMTP...7 Tráfico POP Tráfico IMAP... 9 Tráfico MAPI Tráfico HTTP Protección del tráfico HTTP y FTP Opcionalmente, estadísticas de virus y spam Adicionalmente, control de acceso a Internet Software Necesidades de hardware Discusiones - Problemas Proxy transparente vs. no transparente? Proxy FTP Instalación básica Quitar servicios innecesarios La hora, la hora, la hora! Sustituyendo Exim con Postfix Instalación de ClamAV, MailScanner y SpamAssassin ClamAV MailScanner SpamAssassin MailScanner y Postfix juntos Consideraciones acerca de MailScanner Cambios en el DNS y el cortafuegos Recogiendo correo del exterior: Fechmail El proxy POP3: pop3.proxy y ClamAV El proxy HTTP y FTP: Squid y ClamAV Configurando squid SquidClam Configuración de los clientes MS Internet Explorer a mano MS Internet Explorer, con un controlador de dominio Firefox a mano MS Internet Explorer y Firefox: Fichero de configuración...30

3 MS Internet Explorer: WPAD Estadísticas de correo: MailWatch Control de Acceso a Internet Software necesario ACLs Cuando aparecen problemas Script CGI Página Web Servidor Web como root Seguridad Fichero de registro Configuración automática Instalador semiautomático Tras el taller Por hacer Autor Elkarnet

4 1. Introducción Propuesta de Antivirus perimetral y control de acceso a Internet para los centros integrales de FP de la CAV. Este sistema está pensado para ser instalado en una máquina Linux don Debian Sarge Objetivos Modelizar un sistema de protección antivirus y antiespam de perímetro, para proteger el tráfico de correo electrónico, la navegación web y la descarga de ficheros. Además se ofrecen las funcionalidades adicionales de estadísticas de virus / spam, y un sistema de control de acceso a Internet Arquitectura La arquitectura que se propone es un ordenador en la DMZ de los centros educativos, por el que pase todo en tráfico a proteger. 2. Funcionalidades 2.1. Protección del correo con servidor de correo en la DMZ SMTP trafikoa / Tráfico SMTP El antivirus admite conexiones SMTP desde cualquier lugar, si el destino es el propio dominio, y sólo desde la red interna, si el destino es un dominio diferente. En el caso de desear enviar correo desde casa utilizando el servidor de la escuela, y con destino en otro dominio, se ha de hacer utilizando un interface web, y conexión al servidor de correo. 49tik, 4. Orrialdea / Página 4 de 49

5 Tráfico POP3 Para la recogida de mensajes utilizando POP3, la conexión se realizará al servidor de correo de que dispongamos, si se trata de correo de nuestro dominio. En caso del correo de servidores externos, se hará pasar por el proxy POP3. Tráfico IMAP No se contempla. Este tipo de conexión no se filtra. Se recomienda no utilizar en conexiones 49tik, 5. Orrialdea / Página 5 de 49

6 que salgan de la escuela. Tráfico MAPI No se contempla, por lo que las conexiones a MS Exchange se hacen directamente. El protocolo MAPI genera mucro tráfico, por lo que no se recomiendo que el serbvidor esté en la DMZ, debido a la sobrecarga que supone para el cortafuegos. Tráfico HTTP El tráfico HTTP del interface web del servidor de correo pasa por el antivirus perimetral. 49tik, 6. Orrialdea / Página 6 de 49

7 2.2. Protección del correo con servidor de correo en la red interna Tráfico SMTP El antivirus admite conexiones SMTP desde cualquier lugar, si el destino es el propio dominio, y sólo desde la red interna, si el destino es un dominio diferente. En el caso de desear enviar correo desde casa utilizando el servidor de la escuela, y con destino en otro dominio, se ha de hacer utilizando un interface web, y conexión al servidor de correo. 49tik, 7. Orrialdea / Página 7 de 49

8 Tráfico POP3 Para la recogida de mensajes utilizando POP3, la conexión se realizará al servidor de correo de que dispongamos, si se trata de correo de nuestro dominio. En caso del correo de servidores externos, se hará pasar por el proxy POP3. 49tik, 8. Orrialdea / Página 8 de 49

9 Tráfico IMAP No se contempla. Este tipo de conexión no se filtra. Se recomienda no utilizar en conexiones que salgan de la escuela. 49tik, 9. Orrialdea / Página 9 de 49

10 Tráfico MAPI No se contempla, por lo que las conexiones a MS Exchange se hacen directamente. Tráfico HTTP Cuando el acceso se realiza desde el exterior, el tráfico HTTP del interface web del servidor de correo pasa por el antivirus perimetral. Si el acceso se realiza desde dentro de la escuela, puede analizarse, o no. 49tik, 10. Orrialdea / Página 10 de 49

11 2.3. Protección del tráfico HTTP y FTP El tráfico HTTP con servidoreas de la DMZ, de Internet o de la intranet de educación, pasa por el antivirus. El tráfico hacia servidores situados dentro de la escuela, no. 49tik, 11. Orrialdea / Página 11 de 49

12 2.4. Opcionalmente, estadísticas de virus y spam Si la potencia del ordenador lo permite, puede ser interesante contar con estadísticas de virus y spam. Las estadísticas se muestran en páginas web Adicionalmente, control de acceso a Internet Este sistema, si incluye la funcionalidad opcional de las estadísticas, no necesita más paquetes de software para soportar la funcionalidad de un sistema de control de acceso a Internet. Sólamente se requiere que las máquinas cliente tengas IPs fijas y se agrupen en grupos de, a poder ser, potencias de 2 (8, 16, 32) máquinas. 3. Software En la tabla se lista el software necesario. En verde los paquetes necesarios, y en amarillo los necesarios para la funcionalidad opcional de estadísticas del sistema de correo. También se puede añadir la funcionalidad adicional del control de acceso. Softwarea / Software ( ) Debian Sarge Debian Etch (4.0) Sistema eragilea / Sistema operativo Linux (3.1r4) Kernel: Kernel: Posta zerbitzaria / Servidor de correo Postfix Antibirusa / Antivirus CalmAV Antiespam-a / Antiespam SpamAssassin tik, 12. Orrialdea / Página 12 de 49

13 Edukien filtraketa / Filtro de contenidos MailScanner POP3 proxy-a / Proxy POP3 pop3proxy beta beta4 HTTP eta FTP proxy-a / Proxy HTTP y FTP Squid 2.5-STABLE Squid berbideratzailea / Redirector 0.22 (NOT squidclam 0.22 para squid WORKING) Posta jasotzailea / Recogedor de correo Fetchmail Estatistikarako softwarea / Software estadístico MailWatch Web zerbitzaria / Servidor Web Apache Datu-basea / Base de datos MySQL Scripting lengoaiak / Lenguajes de scripting PHP4 Perl : Necesidades de hardware Probablemente, la configuración mínima sea un PC con Pentium III a 1GHz y 512MB de RAM. Si se desean estadísticas, es preferible un disco duro rápido y más memoria RAM. Para el proxy, si se desea la funcionalidad de caché, se requiere un disco duro rápido. Puede ser que estas especificaciones no sean suficientes si tenemos muchos mensajes de correo y mucho tráfico HTTP. 5. Discusiones - Problemas 5.1. Proxy transparente vs. no transparente? Aunque el proxy transparente evita al administrador la tarea de configurar los navegadores de múltiples usuarios, hay varias pegas para utilizar esta tácnica. El navegador no sabe que tiene un proxy delante. Así, al no ser consciente de la existencia del proxy, no utiliza la cabecera Proxy-Authorization. Del mismo modo, versiones antiguas de IE no envían la cabecera Cache-control : no-cache al refrescar las páginas. No se pueden utilizar las comprobaciones de identidad de RFC1413. Tampoco funciona lel filtrado de IPs para prevenir el IP spoofing (RFC2267). En mi opinión es mejor configurar el proxy con políticas de grupo en dominios Windows. En el caso de Firefox, si hay perfiles móviles, cada usuario sólo tiene que configurarlo una sola vez. En caso de no disponer de dominio, también se puede recurrir a la configuarción automática con WPAD Proxy FTP La falta de feedback de la progresión de descarga hace que los usuarios se incomoden y abandonen la descarga, aunque ésta está siendo realizada. Esto hace que no sea utilizable con ficheros grandes. 49tik, 13. Orrialdea / Página 13 de 49

14 6. Instalación básica Instalar Debian Sarge 3.1r1 de la manera habitual. Seguidamente, actualizar la distribucióbn: apt-get update apt-get upgrade Poner el nombre real de la máquina (incluído el nombre del dominio): echo MIMAQUINA.MIDOMINIO > /etc/hostname /bin/hostname -F /etc/hostname En el fichero /etc/hosts, poner el nombre de la máquina. Quedaría algo así al principio del fichero: localhost.localdomain localhost MIMAQUINA 10.xxxxxx MIMAQUINA.MIDOMINIO MIMAQUINA Verificar también rl fichero /etc/resolv.conf de que tenga los servidores de nombre correctos. Para nuestra aplicación, necesitamos instalar más paquetes. Lo haremos de la manera siguiente (todo en una línea): apt-get install wget bzip2 rdate fetchmail libdb3++-dev unzip zip ncftp xlispstat libarchive-zip-perl zlib1g-dev libpopt-dev nmap openssl lynx fileutils Y quitamos estos otros: apt-get remove lpr nfs-common portmap pidentd pcmcia-cs pppoe pppoeconf ppp pppconfig Debemos configurar sshd para que admita conexiones desde el exterior. 7. Quitar servicios innecesarios Quitaremos los siguientes servicios que no necesitamos: update-rc.d -f nfs-common remove update-rc.d -f ppp remove update-rc.d -f lpd remove update-rc.d -f portmap remove Tanbién deshabilitaremos algunos de los protocolos que sirve inetd update-inetd --remove daytime update-inetd --remove telnet update-inetd --remove time update-inetd --remove finger update-inetd --remove talk update-inetd --remove ntalk update-inetd --remove ftp update-inetd --remove discard Ahora reiniciamos inetd /etc/init.d/inetutils-inetd restart 49tik, 14. Orrialdea / Página 14 de 49

15 8. La hora, la hora, la hora! Es muy importante que los ordenadores de una red estén en hora. Nuestro antivirus perimetrak también habrá de sincronizar la hora con el servidor de hora de la red. Instalamos ntp y ntpdate. apt-get install ntp ntp-server ntpdate Vamos a configurarlos. El fichero /etc/default/ntpdate debe contener: NTPSERVERS = "NTPZERBITZARIA" NTPOPTIONS="-u" El fichero /etc/ntp.conf debemos comentar pol.ntp.org y poner nuestra servidor de hora. Quedaría algo así: server NTPZERBITZARIA.nire-eskola.net #server pool.ntp.org Vamos a reiniciarlos /etc/init.d/ntpdate restart /etc/init.d/ntp-server restart Además, si nuestro servidor de tiempo está en la red interna, debemos habilitar el acceso en el cortafuegos. Source Destination Service Action perimetroko antibirusa / antivirus perimetral denbora zerbitzaria / servidor de tiempo NTP (123) Accept 9. Sustituyendo Exim con Postfix Vamos a instalar los paquetes necesarios. apt-get install postfix postfix-tls libsasl2 sasl2-bin libsasl2-modules Respondemos a las preguntas que nos hace el configurador de Debian, tomando todos los valores por defecto. Luego los cambiaremos. Ahora procedemos a la configuración inicial de Postfix. Ejecutamos los siguiientes comandos. Atención a los comentarios de algunas líneas, y a las palabras en mayúsculas. Han de ser sustituídas por las convenientes en cada caso. Estos comandos, sólo modifican la configuración en el fichero /etc/postfix/main.cf. También podríamos realizarlo a mano. Hay que tener en cuenta que esta configuración no es para un sistema con buzones. Hay cosas que faltan para ello. 49tik, 15. Orrialdea / Página 15 de 49

16 postconf -e 'smtpd_sasl_local_domain =' postconf -e 'smtpd_sasl_auth_enable = yes' postconf -e 'smtpd_sasl_security_options = noanonymous' postconf -e 'broken_sasl_auth_clients = yes' postconf -e 'mail_owner = postfix' postconf -e "myhostname = MIMAQUINA.MIDOMINIO" postconf -e "mydomain = MIDOMINIO" Elkarnet postconf -e 'myorigin = $mydomain' postconf -e 'mydestination = $myhostname, localhost, localhost.$mydomain' postconf -e "mynetworks = /8,REDESINTERNASDELAESCUELA" postconf -e 'local_destination_concurrency_limit = 2' postconf -e 'default_destination_concurrency_limit = 10' postconf -e 'debug_peer_level = 2' postconf -e 'mail_spool_directory = /var/mail' postconf -e "inet_interfaces = IP_MIMAQUINA, " postconf -e 'disable_dns_lookups = no' postconf -e 'relayhost = ' postconf -e 'mailbox_command = ' postconf -e 'mailbox_size_limit = MAXIMOTAMAÑODELBUZON' postconf -e 'smtpd_helo_required = no' postconf -e 'smtpd_helo_restrictions = ' postconf -e 'strict_rfc821_envelopes = no' postconf -e 'smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination,reject_invalid _hostname,reject_unknown_sender_domain,reject_non_fqdn_sender' postconf -e 'smtpd_sender_restrictions = reject_unknown_sender_domain,hash:/etc/postfix/access' postconf -e "message_size_limit = MAXIMOTAMAÑODELMENSAJE" postconf -e 'smtpd_timeout = 7m' postconf -e 'smtpd_recipient_limit = 100' postconf -e "smtpd_banner = MIMAQUINA.MIDOMINIO ESMTP" Creamos el fichero de configuración de sasl. echo 'pwcheck_method: saslauthd' >> /etc/postfix/sasl/smtpd.conf echo 'mech_list: plain login' >> /etc/postfix/sasl/smtpd.conf Creamos la base de datos de servidores/dominios cuyo correo será vetado. Puede ser útil, pero hay que mantenerlo a mano. touch /etc/postfix/access postmap /etc/postfix/access Ahora quitamos Exim. update-rc.d -f exim4 remove Reiniciamos Postfix y la autentificación SASL. /etc/init.d/postfix restart /etc/init.d/saslauthd start Ahora le tenemos que indicar a Postfix, que es una pasarelo de correo, y que los mensajes para mi dominio o mis dominios los debe entregar en otro servidor, que es donde están los buzones de correo. Tenemos que decirle cual es el fichero de mapas de transporte. El fichero de mapas de trasnporte será /etc/postfix/transport. postconf -e "relay_domains = MISDOMINIOS" postconf -e 'transport_maps = hash:/etc/postfix/transport' El contenido del fichero de transporte será algo así (suponiendo dos dominios): 49tik, 16. Orrialdea / Página 16 de 49

17 MIDOMINIO1 MIDOMINIO2 relay:[servidor1] relay:[servidor2] Creamos el hash. postmap /etc/postfix/transport Modificamos /etc/aliases para que nos envíe el correo de postmaster, a un buzón del servidor de buzones. Para ello, las siguientes líneas deben apareces de una forma similar a: postmaster: postmaster@midominio clamav: postmaster@midominio Tras ello, creamos la base de datos. postalias /etc/aliases Reiniciamos Postfix. /etc/init.d/postfix restart Será necesario crear una cuenta postmaster, en el servidor de correo para recibir las notificaciones. 10. Instalación de ClamAV, MailScanner y SpamAssassin 10.1.ClamAV Para instalar ClamAV, habilitaremos el repositorio debian-volatile. Patra ello. introducimos la siguiente línea en /etc/apt/sources.list: deb sarge/volatile main Actualizamos las fuentes: apt-get update Instalamos ClamAV. Necesitamos instalar tanto la posibilidad de ejecución explícita, con la comunicación a través de socket unix, como la versión demonio, con comunicacióbn TCP/IP. Para instalarlo: apt-get install clamav clamav-daemon unzoo lha unrar arj Vamos a realizar unos cambios en el fichero de configuración del demonio, que está en /etc/clamav/clamd.conf. Vamos a subir el tamaño máximo de los ficheros adjuntos a analizar a 15MB. Además le vamos a indicar que use el puerto 3310, pero sólo para las conexiones de la misma máquina. El fichero deberá tener las siguientes líneas (además de otras): LogFileMaxSize 3M ArchiveMaxFileSize 15M TCPSocket 3310 TCPAddr ScanRAR Comentar el uso de sockets unix Sólo podemos utilizar un tipo de sockets, y vamos a utilizar los TCP/IP. Quedaría así: 49tik, 17. Orrialdea / Página 17 de 49

18 #LocalSocket /var/run/clamav/clamd.clt Ahora reiniciamos el sistema: /etc/init.d/clamav-daemon restart Actualizamos la base de datos de viruses freshclam Ya tenmemos ClamAV listo para su uso. El servicio freshclam mira cada hora si hay nuevas definiciones de virus. En caso de haberlas, las descarga y le indica al demonio clamd, de que rehaga su base de datos. Tener en cuenta a la hora de actualizar ClamAV, que hemos modificado el ficheros de configuración. Esto quiere decir que al preguntarnos si deseamos que instale el nuevo, debemos de decirle que no. Como recomendación, hacer una copia de /etc/clamav/clamd.conf antes de actualizar MailScanner Para utilizar MailScanner necesitamos tener instalados: PERL gcc wget Postfix Se supone que tenemos todo instalado, asi que adelante. Pasamos a instalar MailScanner. apt-get install mailscanner Nos instala SpamAssassin automáticamente. La configuración no es tan rápida.. Tenemos que modificar un montón de cosas en el fichero /etc/mailscanner/mailscanner.conf. Primeto lo adecuaremos para trabajar con ClamAV. Virus Scanning = yes Virus Scanners = clamav Monitors for ClamAV Updates = /var/lib/clamav/*.cvd ClamAVmodule Maximum Recursion Level = 10 ClamAVmodule Maximum File Size = En el fichero /etc/mailscanner/virus.scanner.conf debe aparecer esto: clamav /etc/mailscanner/wraper/clamav-wrapper /usr Ahora lo modificamos para trabajar con Postfix. La instalación por defecto en Debian supone que el servidor de correo es Exim4. MailScanner se ejecutará con el usuario postfix. MTA = postfix Run As User = postfix Run As Group = postfix Incoming Queue Dir = /var/spool/postfix/hold Outgoing Queue Dir = /var/spool/postfix/incoming Creamos los directorios para los mensajes entrantes y en cuarentena, y les cambiamos el propietario. 49tik, 18. Orrialdea / Página 18 de 49

19 mkdir -p /var/spool/mailscanner/incoming mkdir -p /var/spool/mailscanner/quarantine chown postfix:postfix /var/spool/mailscanner/incoming chown postfix:postfix /var/spool/mailscanner/quarantine Cambiamos el propietario de los directorios de MasilScanner. chown postfix:postfix /var/lib/mailscanner chown postfix:postfix /var/run/mailscanner chown postfix:postfix /var/lock/subsys/mailscanner Vamos ahora a configurar los mensajes de MailScanner. Que aparezca el nombre de nuestra escuela en los mensajes de aviso. Cuidado con el nombre corto! No poner '.' ni espacios ni '_'. En el nombre largo, \n significa salto de línea. %org-name% = NireEskola %org-long-name% = Nire Eslola\nNireKalea xxxxx NIREHERRIA (LURRALDEA) %web-site% = Le diremos que dé los mensajes en castellano. %report-dir% = /etc/mailscanner/reports/es Cada cuánto tiempo debe intentar revisar los mensajes entrantes? Pondremos 6 segundos. Valor por defecto. Queue Scan Interval = 6 Le diremos que use SpamAssassin y que registre el spam. Spam Checks = yes Use SpamAssassin = yes Log Spam = yes Para que SpamAssassin considera un mensaje como correo basura, necesitamos un nivel. Para que ese nivel no sea tan intrusivo, lo subiremos un poco. Por defecto es 6. Nosotros lo subiremos a 7. Required SpamAssassin Score = 7 Entre los mensajes que usa para avisar de la comprobación de los correos hay uno que sólo es un aviso de comprobación. Es decir: incluso aunque no encuentre nada malo, pone aviso en el mensaje de correo. Esto no hace mas que molestar al receptor, y, por tanto, lo quitaremos. Para ello, lo pondremos de esta forma: Sign Clean Messages = no Ahora que está todo configurado, vamos a permitir su uso, y hacer una pequeña modificación. En el fichero /etc/default/mailscanner, han de quedar estas dos líneas, como sigue: q_days=15 run_mailscanner=1 Ahora podemos iniciar MailScanner. /etc/init.d/mailscanner start 10.3.SpamAssassin 49tik, 19. Orrialdea / Página 19 de 49

20 SpamAssassin requiere pocos cambios una vez instalado. Una cosa que le tenemos que decir a SpamAssassin es que ignore las cabeceras de nuestra organización cuando realice el análisis bayesiano. En /etc/mailscanner/spam.assassin.prefs.conf, aproximadamente en la línea 116 y siguientes, donde pone unconfigured-debian-site, tenemos que poner el nombre corto de nuestra organización que pusimos en /etc/mailscanner/mailscanner.conf, en la variable %org-name%. Deberá de quedar de esta guisa: bayes_ignore_header NireEskola-MailScanner bayes_ignore_header NireEskola-MailScanner-SpamCheck bayes_ignore_header NireEskola-MailScanner-SpamScore bayes_ignore_header NireEskola-MailScanner-Information Debemos hacer que SpamAssassin no utilice las redes Razor o Pyzor, pues no nos interesa. En el fichero /etc/mailscanner/spam.assassin.prefs.conf, aprozimadamente en la línes 160, quitamos el signo de comentario a las siguientes líneas que quedarán de la siguiente forma: use_razor2 0 use_dcc 0 use_pyzor 0 Ahora que está configuradio, indicamos en /etc/default/spamassassin, que se puede utilizar. La siguiente línea se debe poner a 1. ENABLED=1 Verificamos que SpamAssassin funciona correctamente. spamassassin -p /etc/mailscanner/spam.assassin.prefs.conf --lint No debería de dar errores. Ahora podemos iniciar SpamAssassin. /etc/init.d/spamassassin start MailScanner y Postfix juntos Le diremos a Postfix que compruebe los encabezamientos del correo con los contenidos que hay en el archivo header_checks. Para ello, añadir lo siguiente en el fichero /etc/postfix/main.cf. header_checks = regexp:/etc/postfix/header_checks En este fichero pondremos que todos los correos entrantes los mueva al directorio HOLD. Para ello pondremos lo siguiente en el fichero /etc/postfix/header_checks. /^Received:/ HOLD Reiniciamos MailScanner y Postfix /etc/init.d/mailscanner restart /etc/init.d/postfix restart Consideraciones acerca de MailScanner MailScanner, además de servir como armazón para utilizar productos antivirus y antiespan, posee gran capacidad de filtrado de contenidos con potencial peligroso. Estos contenidos suelen ser ficheros.pif,.exe... pero también otros. Los ficheros DOC (Word) pueden contener 49tik, 20. Orrialdea / Página 20 de 49

21 macros peligrosas. Los ficheros WMF (Windows MetaFile) pueden utilizarse para explotar una vulnerabilidad 0day.exploit en las DLL que tratan estos formatos (incluido BMP). Esto hace que nos bloquee estos ficheros y nuestros usuarios no entiendad la "peligrosidad" de un formato que utilizan habitualmente. En nuestras manos queda el relajar las políticas de seguridad. En el fichero /etc/mailscanner/filename.rules.conf podemos deshabilitar los formatos que necesitemos. Después de ello, reiniciar Mailscanner. Puede ser necesario deshabilitar los WMF y BMP si nuestros alumnos envían dibujos de programas de windows incrustados en documentos OpenOffice. En el mismo sitio tenemos el fichero filetype.rules.conf, con una funcionalidad similar para con los tipos de fichero Cambios en el DNS y el cortafuegos En el servidor DNS al que accede el antivirus, hemos de poner su nombre como intercambiador de correo (registro MX), con menos prioridad que el servidor de correo con buzones. Es decir, con número más alto. En el cortafuegos habremos de hacer NAT, no al servidor original, si no a la dirección del antivirus. 11. Recogiendo correo del exterior: Fechmail En nuestras escuelas utilizamos cuentas de correo externas. Su capacidad es limitada. En época vacacional y a cuenta del SPAM, estas cuentas llegan a su límite. Qué sucede con el resto de mensajes de correo? Se pierden. La única forma de evitar el problema es recoger el correo automáticamente. Este sistema recoge el correo de cuentas externas en nuestro nombre y lo deposita en cuentas de nuestro servidor de correo. Para ello vamos a utilizar el programa Fetchmail. Vamos a instalar Fetchmail. apt-get install fetchmail Creamos un fichero.fetchmailrc en el directorio home de root, con los datos de la cuenta de la que ha de recoger los mensajes, y de la cuenta a la que ha de enviar los mensajes. Además le indicaremos el dominio, protocolo, que ha de recojer todos, etc. Este es el aspecto del mencionado fichero (poner las mayúsculas a vuestro antojo): set logfile /var/log/fetchmail.log defaults proto pop3 nokeep fetchall poll KANPODOM user "KANPOERAB" with password "KANPOPASS", is "BARNEKONTUA" here Ahora le decimos que mire el correo cada 600 (por ejemplo) segundos. Lo ejecutamos así: fetchmail -d 600 Hala, A trabajar! 49tik, 21. Orrialdea / Página 21 de 49

22 12.El proxy POP3: pop3.proxy y ClamAV Elkarnet Desde la escuela no sólo recibimos el correo de nuestro servidor sino tambien el correo de otros servidores. Si recibimos este correo directamente no podemos pasarlo por un sistema antivirus perimetral. Para solucionar este problema, pondremos un proxy POP3 en nuestros sistema de antivirus perimetral. El programa que usaremos será pop3.proxy. pop3.proxy interactúa con ClamAV a través del socket TCP Primero, habilitaremos el acceso POP3 al antivirus perimetral en el cortafuegos. Añadir este servicio en el lugar donde se encuentran SMTP, etc. Quedará algo parecido a esto. Source Destination Service Action Irakasleak Ikasleak Zuzendaritza antivirus perimetral POP3 (110) Accept Zerbitzariak antivirus perimetral any POP3 (110) Accept Bajaremos el programa. mkdir -p /root/download/pop3proxy wget -P /root/download/pop3proxy cd /root/download/pop3proxy tar zxf pop3proxy beta4.tar.gz Ahora lo compilamos y lo instalamos. Se copiará el ejecutable pop3.proxy al directorio /usr/local/sbin, y el manual de usuario pop3.proxy.1, al directorio /usr/local/man/man1. cd pop3proxy beta4 make make install Ahora queremos que el superdemonio de la red inetd ejecute pop3.proxy cuando se realicen las conexiones al puerto POP3. Para ello, en el fichero /etc/inetd.conf, la línea correspondiente al servicio POP3, debe quedar como sigue. pop-3 stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/pop3.proxy -ez -u clamav -c # Seguidamente reiniciaremos el superdemonio de red. /etc/init.d/inetd restart Para usarlo, pondremos en la configuración de la cuenta, que el servidor POP3 es nuestro antivirus perimetral. Además, pondremos que el nombre de la cuenta de usuario es el nombre de la cuenta, seguido del símbolo '#', y del servidor POP3 original. Por ejemplo: alfredobz#correo.euskalnet.net 49tik, 22. Orrialdea / Página 22 de 49

23 13. El proxy HTTP y FTP: Squid y ClamAV La instalación del paquete squid, como siempre: apt-get install squid Elkarnet El script de instalación nos crea la jerarquía de directorios de la caché en /var/spool/squid y lo ejecuta. Ya tenemos pues, squid en marcha. Si por la razón que sea, no se han creado los directorios, le indicamos que los crea con squid -z Configurando squid El archivo de configuración es /etc/squid/squid.conf. Si queremos experimentar, aquí tenemos algunos parametros que se pueden cambiar: cache_mem 64 MB maximum_object_size 8192 KB maximum_object_size_in_memory KB ipcache_size 4096 fqdncache_size 4096 No se han realizado pruebas para evaluar el efecto de los anteriores cambios, pero si tenemos memoria de sobra, no ofrecen problema alguno los cambios realizados. Conviene cambiar los siguientes parámetros (poner las cadenas apropiadas para vuestro caso): ftp-user anonymous@nire-eskola.net cache_mgr sare-admin@nire-eskola.net Le diremos en qué puerto ha de escuchar. Le indicaremos también la dirección del interface, por si tenemos más de uno y no deseamos que acepte conexiones en otro. http_port :3128 Tenemos que indicarle a squid las páginas que no debe cachear. Típicamente serán los cgi-s, las páginas de noticias y la del tiempo. También podemos no cacheas MP3, AVi, etc. Esto queda a gusto del administrador. acl QUERY urlpath_regexp cgi-bin \? acl ESNEA dstdomain.weather.com acl ESNEA dstdomain.berria.info acl ESNEA dstdomain.gara.net acl ESNEA dstdomain.elpais.es acl ESNEA dstdomain.elcorreodigital.com no_cache deny QUERY no_cache deny ESNEA En la configuración por defecto, squid solamente permite conexiones desde localhost. Para permitir el acceso al proxy desde nuestras redes, se lo hemos de decir explícitamente. Para ello creamos una lista de control de acceso, y le indicamos que permita el acceso a dicha lista. acl our_networks src / / / /24 http_access allow our_networks Probaremos ahora si hemos cometido algún error. Para ello disponemos de una orden para examinar la configuración del archivo.: squid -k parse 49tik, 23. Orrialdea / Página 23 de 49

24 Si todo ha ido bien y no nos da errores, le indicamos al proxy que cargue la nueva configuración: /etc/init.d/squid reload Antes de probar el proxy vamos a permitir el acceso al mismo desde la red del centro. Esto lo configuramos en el cortafuegos de la siguiente manera: Source Destination Service Action Irakasleak Ikasleak Zuzendaritza Zerbitzariak antivirus perimetral antivirus perimetral any squid (3128) HTTP (80) FTP (21) ftp-data ftp-data-passive (20) Accept Accept Para probar el proxy, cambia las preferencias del navegador web y dile al ordenador que tiene el proxy en el puerto 3128 de la IP del antivirus perimetral. Buena suerte! SquidClam Ahora que tenemos el proxy en marcha, vamos a hacer que todas las páginas y los ficheros, pasen por el antivirus ClamAV. El antivirus ya lo tenemos instalado. Lo que encesitamos es un programa que nos permita engarzar squid con ClamAV. Este programa es squidclam. Este último programa es un clon de otro de nombre similar escrito en Python. Este programa está escritp en C, por lo cual es más rápido. Es muy simple. El único problemilla es que hay que compilarlo. Primero bajamos squidclam: wget -P /root/download Para compilar y ejecutar squidclam necesitamos la librería curl y el paquete de desarrollo Los instalamos: apt-get install curl libcurl3-dev Ahora decomprimir, configurar, compilar e instalar squidclam. tar -zxf squidclam-0.22.tar.gz cd squidclam-0.22./configure cd src make make install El programa se instalará en el directorio /usr/local/bin/. Ahora modificamos la configuración de squid. En el fichero /etc/squid/squid.conf ponemos: redirect_program /usr/local/bin/squidclam redirect_children 15 redirector_access deny localhost redirector_access deny SSL_ports 49tik, 24. Orrialdea / Página 24 de 49

25 http_reply_access allow all Cuidado con la posición de las líneas tercera y cuarta. Han de situarse tras la definición de los acl localhost y SSL_ports, en las reglas de acceso. Tras la línea que acepta conexiones desde nuestras redes, ponemos la siguiente para que acepte también las del redirector. http_access allow localhost Copiamos el fichero de configuración en /etc y le modificamos los permisos para que pueda leerlo el proceso squidclam. cp /root/download/squidclam-0.22/sample.conf /etc/squidclam.conf chmod +r /etc/squidclam.conf Pasamos a configurar squidclam. El único parámetro interesante de configurar en nuestro caso, es el del tamaño máximo de los ficheros a analizar por el antivirus. Pongámoslo por ejemplo en 5MB. Esta decisión queda en manos del administrador, pero téngase en cuenta la impaciencia de los usuarios que no reciben feedback. Para ello, en el fichero de configuración /etc/squidclam, la línea correspondiente, quedaría de la siguiente forma: fsize= CUIDADO! No poner espacios tras el símbolo '=' en el fichero de configuración /etc/squidclam. Esto es, poner el valor del parámetro, seguido del símbolo del igual. Cuando se detecta un virus, se nos devuelve una página web de aviso. Esta página viene con el programa squidclam y se denomina antivir.php. Vamos a hacer unas pequeñas modificaciones para que quede un poco más chuli: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <html> <head> <title>birus Informazio Orria</title> </head> <body BGCOLOR="#ffffff"> <center> <img src=" <br><br> <h1><b><u>kontuz. Birusa!!!</u></b></h1> <br> <img src=" <h4>zuk eskaturiko <b><u><?php if ($_GET) { print $_GET['url']; }?></u></b> helbidea, <b><u><?php if ($_GET) { print $_GET['virus']; }?></u></b> birusak kutsaturik dago. <br>eskaera blokeatua.</h4> <br> Arazoa izanez gero, jarri kontaktuan nirekin: <a href="mailto:sare-admin@nire-eskola.net">sare administradorea</a> <br><br> <img src=" </center> </body> </html> Le modificamos los permisos para que pueda leerlo el servidor web, y lo copiamos a la raíz de los documentos del servidor: chmod +r antivir.php cp antivir.php /var/www/ Reiniciamos squid, y probamos el sistema con las siguientes URLs: 49tik, 25. Orrialdea / Página 25 de 49

26 ftp://ftp.tknika.net/eicar/eicar.com Configuración de los clientes Hay muchos clientes y muchas más formas de configurar. Explicaremos aquí algunas formas MS Internet Explorer a mano Dentro del programa, Herramientas -> Opciones de Internet... A continuación, elegir la ficha Conexiones, y allí, seleccionar Configuración LAN.... Nos saldrá el siguiente panel y hay que rellenar como aparece en el cuadro MS Internet Explorer, con un controlador de dominio Podemos configurar el navegador MS IE por medio de directivas de grupo en un controlador de dominio. Aquí tenemos unas capturas de pantalla a modo de ejemplo. En el Active Directory elige la organización deseada y las características en la unidad. 49tik, 26. Orrialdea / Página 26 de 49

27 Crear una nueva directiva (o cambiar una ya existente). 49tik, 27. Orrialdea / Página 27 de 49

28 Como aparece en la imagen elige entre todas las directivas, Configuración de los servidores proxy. Poner dirección y puerto. Aceptar todo. 49tik, 28. Orrialdea / Página 28 de 49

29 Firefox a mano Firefox 1.5: Dentro del programa, elegir Herramientas -> Preferencias... -> General -> Configuración de conexión.... Nos aparece el siguiente panel y hay que rellenar como aparece en la imagen. Firefox 2.0: Dentro del programa, elegir Tresnak -> Aukerak... Aurreratua -> Sarea -> Ezarpenak... Nos aparece el siguiente panel y hay que rellenar como aparece en la imagen. 49tik, 29. Orrialdea / Página 29 de 49

30 MS Internet Explorer y Firefox: Fichero de configuración Elkarnet Este sistema supone más trabajo pero sirve para todos los navegadores. Pondremos la configuración en un servidor web y le diremos al navegador dónde puede buscar el fichero. Primero, crearemos el fichero de configuración. Dirigiremos las conexiones HTTP y FTP al puerto 3128 del antivirus. De esta forma, los ficheros bajados pasarán por el antivirus. Las conexiones HTTPS en cambio, las enviaremos directamente, pues no se puede analizar la información encriptada. El nombre del fichero será wpad.dat, y estará en el directorio ikwpad del servidor. Es decir, su URL será Hay que tener en cuenta que podemos tener ficheros diferentes para cada subred, o grupos de máquinas. He aquí nuestro fichero: function FindProxyForURL(url, host) { if (isplainhostname(host)) return "DIRECT"; if (!isresolvable(host)) return "DIRECT"; if (url.substring(0, 5) == " return "PROXY :3128"; if (url.substring(0, 6) == " return "DIRECT"; if (url.substring(0, 4) == "ftp:") return "PROXY :3128"; return "PROXY :3128;"; } Despues, configuraremos el navegador. En el caso de la subred de los estudiantes le diremos que la configuración se puede encontrar en el archivo apuntado por la URL En el navegador Microsoft Internet Explorer, elegir Herramientas -> Opciones de Internet... -> Conexiones -> Configuración de LAN.... Nos aparecerá el siguiente panel y hay que rellenar como aparece en la imagen. En el navegador Mozilla Firefox, elegir (En Euskera ) Tresnak -> Aukerak... -> Orokorra -> Konexio ezarpenak.... Nos aparecerá el siguiente panel y hay que rellenar como aparece en la imagen. 49tik, 30. Orrialdea / Página 30 de 49

31 MS Internet Explorer: WPAD Usamos el protocolo WPAD (Web Proxy Automatic Discovery). El navegador le pregunta al servidor DHCP dónde puede encontrar el archivo de configuración. El servidor DHCP le da la URL del archivo de configuración. Normalmente, cogerá el archivo de configuración por medio de HTTP, y por tanto, estará localizado en un servidor Web. El fichero que hemos creado en el apartado anterior y su localización serán iguales. Primero, configuraremos el servidor DHCP. Si tenemos el servidor dhcpd de la ISC (viene en todas las distribuciones de Linux), tenemos que poner esto: En el apartado general: option wpad code 252 = text; Luego, en la subred que queramos, o en el grupo de ordenadores (o en la parte principal) pondremos dónde está el archivo de configuración. Por ejemplo, para la subred de estudiantes: option wpad ; Ahora, como en el apartado anterior, configuraremos el navegador. En el navegador Microsoft Internet Explorer, elegimos Herramientas -> Opciones de Internet... -> Conexiones -> Configuración de LAN.... Pasamos al siguiente panel y rellenamos como aparece en la imagen. AVISO! MS IE tiene un bug. Trunca el último caracter de la URL que le manda el servidor DHCP. Crear un fichero de configuración al quer le falte el último caracter en el nombre. 49tik, 31. Orrialdea / Página 31 de 49

32 Listo! El navegador tiene que buscar la configuración. 14.Estadísticas de correo: MailWatch Vamos a utilizar MailWatch para realizar estadísticas de virus en el correo, y otras labores de gestión. MailWatch necesita MySQL para guardar los logs de MailScanner, Apache para servir las páginas y PHP. Vamos a instalarlos. apt-get install apache2 mysql-server php4 php4-mysql php4-gd Asignamos una clave de acceso al usuario root en MySQL. mysqladmin -u root password 'MIPASSWORD' Nos descargamos MailWatch de internet y lo descomprimimos. mkdir -p/root/download/mailwatch wget -P /root/download/mailwatch cd /root/download/mailwatch tar -zxf mailwatch* Creamos la base de datos mailscanner. cd mailscanner mysql -u root -p < create.sql Damos permisos al usuario de la base de datos mailscanner (mailwatch). mysql -u root -p mysql>grant ALL ON mailscanner.* TO mailwatch@localhost IDENTIFIED BY 'MAILWATCHPASAHITZA'; 49tik, 32. Orrialdea / Página 32 de 49

33 mysql>grant FILE ON *.* TO IDENTIFIED BY 'MAILWATCHPASAHITZA'; mysql>flush PRIVILEGES; mysql>quit Elkarnet Ahora editamos MailWatch.pm y cambiamos las siguinetes líneas con nuestros valores (aprox: lineas 43 y 44). my($db_user) = 'mailwatch'; my($db_pass) = 'MAILWATCHPASAHITZA'; Copiar el fichero MailWatch.pm al directorio /etc/mailscanner/customfunctions. mv MailWatch.pm /etc/mailscanner/customfunctions/ Creamos un usuario Web para gestionar MailWatch. mysql mailscanner -u mailwatch -p mysql>insert INTO users VALUES ('USUARIOWEBMAILWATCH', MD5('PASSWORDUSUARIOWEBMAILWATCH'), 'NOMBRE DEL USUAIO', 'A', 0, 0, 0, 0, ''); mysql>quit Ahora copiamos el directorio mailscanner al directorio raiz del servidor web. mv /root/download/mailwatch/mailwatch/mailscanner /var/www/ Modificamos los permisos de los subdirectorios images e images/cache del directorio mailscanner. Debemos hacer que sean legibles y escribibles por el servidor web. chown root:www-data /var/www/mailscanner/images chown root:www-data /var/www/mailscanner/images/cache chmod ug+rwx /var/www/mailscanner/images chmod ug+rwx /var/www/mailscanner/images/cache Ahora creamos el fichero conf.php en /var/www/mailscanner/. Para ello copiamos el fichero conf.php.example. cp /var/www/mailscanner/conf.php.example /var/www/mailscanner/conf.php Modificamos /var/www/mailscanner/conf.php para adaptarlo a nuestra instalación. Las siguientes líneas deben quedar como sigue: define (DB_USER, 'mailwatch'); define (DB_PASS, 'MAILWATCHPASAHITZA'); define (MAILWATCH_HOME, '/var/www/mailscanner'); define (MS_CONFIG_DIR, '/etc/mailscanner'); define (MS_LIB_DIR, '/var/lib/mailscanner'); define (SA_DIR, '/usr/bin'); define (SA_RULES_DIR, '/usr/share/spamassassin'); define (SA_PREFS, MS_CONFIG_DIR.'spam.assassin.prefs.conf'); Ahora vamos a configurar MailScanner para enviar el registro de logs a la base de datos de MySQL. Primero paramos el servicio MailScanner /etc/init.d/mailscanner stop Nos aseguramos que en el fichero de configuración /etc/mailscanner/mailscanner.conf aparezcan los siguientes parámetros. Always Looked Up Last = &MailWatchLogging Detailed Spam Report = yes Quarantine Whole Message = yes 49tik, 33. Orrialdea / Página 33 de 49

34 Quarantine Whole Messages As Queue Files = no Include Scores In SpamAssassin Report = yes Quarantine User = root Quarantine Group = www-data Quarantine Permissions = 0660 Copiar el fichero SQLBlacklistWhitelist.pm, de /root/download/mailwatch/mailwatch a /etc/mailscanner/customfunctions. cp /root/download/mailwatch/mailwatch/sqlblacklistwhitelist.pm /etc/mailscanner/customfunctions/ En el fichero de configuración /etc/mailscanner/mailscanner.conf poner: Is Definitely Not Spam = &SQLWhitelist Is Definitely Spam = &SQLBlacklist Modificar /etc/mailscanner/customfunctions/sqlblacklistwhitelist.pm. En la función CreateList, poner los parámetros de acceso a la base de datos iguales que en el fichero MailWatch.pm. En la línea 105 (aprox.) y siquiente se debe tener: my($db_user) = 'mailwatch'; my($db_pass) = 'MAILWATCHPASAHITZA'; Movemos las base de datos bayesianas, y ponemos los permisos. En /etc/mailscanner/spam.assassin.prefs.conf ponemos: bayes_path /etc/mailscanner/bayes/bayes bayes_file_mode 0660 Creamos el nuevo directorio, le damos la propiedad al servidor web, y le ponemos el setgid. mkdir /etc/mailscanner/bayes chown root:www-data /etc/mailscanner/bayes chmod g+rws /etc/mailscanner/bayes Copiamos las bases de datos bayesianas existentes y cambiamos los permisos. cp /var/lib/mailscanner/* /etc/mailscanner/bayes/ chown root:www-data /etc/mailscanner/bayes/bayes_* chmod g+rw /etc/mailscanner/bayes/bayes_* Verificamos que SpamAssassin funciona correctamente con las nuevas bases de datos bayesianas. spamassassin -p /etc/mailscanner/spam.assassin.prefs.conf --lint Y debe aparecer algo así como: debug: using "/etc/mailscanner/spam.assassin.prefs.conf" for user prefs file debug: bayes: tie-ing to DB file R/O /etc/mailscanner/bayes/bayes_toks debug: bayes: tie-ing to DB file R/O /etc/mailscanner/bayes/bayes_seen debug: bayes: found bayes db version 2 debug: Score set 3 chosen. Pero... aparecen dos errores. Parece ser que hay un bug en esta versión de SpamAssassin. Debemos comentar tres líneas en el fichero /usr/share/spamassassin/20_dnsbl_tests.cf, para que no realice cierto test de listas negras a través de dns. Quedarían de la siguiente manera (aprox: línea 190 y siguientes): 49tik, 34. Orrialdea / Página 34 de 49

35 # header DNS_FROM_AHBL_RHSBL... # describe DNS_FROM_AHBL_RHSBL... # tflags DNS_FROM_AHBL_RHSBL... Además, en el fichero /usr/share/spamassassin/50_scores.cf debemos comentar otra línea que quedaría: # score DNS_FROM_AHBL_RHSBL... Otro bug. En el fichero /usr/share/spamassassin/25_body_tests_es.cf hay una cadena demasiado larga. Tiene más de 50 caracteres, por lo que hay que acortar la última palabra. Debe quedar así: describe EXCUSE_ES_03 Someone requested a spammer to spam you in Sp Al verificar de nuevo SpamAssassin, no indica error alguno. Reiniciamos MailScanner. /etc/init.d/mailscanner start En el fichero de registro /var/log/mail.log debemos ver algo parecido a: Jun 13 12:18:23 pagasarri MailScanner[26388]: MailScanner Virus Scanner version starting... Jun 13 12:18:23 pagasarri MailScanner[26388]: Read 120 hostnames from the phising whitelist Jun 13 12:18:24 pagasarri MailScanner[26388]: Config: calling custom init function SQLBlacklist Jun 13 12:18:24 pagasarri MailScanner[26388]: Starting up SQL Blacklist Jun 13 12:18:24 pagasarri MailScanner[26388]: Read 0 blacklist entries Jun 13 12:18:24 pagasarri MailScanner[26388]: Config: calling custom init function MailWatchLogging Jun 13 12:18:24 pagasarri MailScanner[26388]: Started SQL Logging child Jun 13 12:18:24 pagasarri MailScanner[26388]: Config: calling custom init function SQLWhitelist Jun 13 12:18:24 pagasarri MailScanner[26388]: Starting up SQL Whitelist Jun 13 12:18:24 pagasarri MailScanner[26388]: Read 0 whitelist entries Jun 13 12:18:24 pagasarri MailScanner[26388]: Using locktype = flock Ya tenemos todo funcionando. Ahora necesitamos acceder a la máquina desde un navegador. Como la máquina está, en una DMZ, tenemos que habilitar en el cortafuegos el acceso HTTP desde el interior. Source Destination Service Action Zerbitzariak Administraritza Irakasleak antivirus perimetral HTTP (80) Accept Ahora habilitamos las extensiones de php para usar MySQL y los gráficos. En el fichero /etc/php4/apache2/php.ini, las líneas que corresponden a las extensiones han de ser descomentadas. Quedarían de la siguiente forma: extension=mysql.so extension=gd.so 49tik, 35. Orrialdea / Página 35 de 49

36 Vamos a configurar Apache para que solo responda a peticiones realizadas desde nuestras subredes, y para que siga los enlaces simbólicos. Esto último lo realizamos porque el programa mailwatch utiliza dichos enlaces. En el directorio /etc/apache2/conf.d/, y suponiendo que las cuatro subredes de nuestra escuela son /24, /24, /24, /24, creamos el fichero mailwatch con el siguiente contenido: ServerAdmin webadmin@nire-eskola.net <Directory /var/www/mailscanner> Option Indexes FollowSymLinks AllowOverride None Order deny.allow Deny from all Allow from </Directory> Vamos a hacer que el usuario en que se ejecuta Apache en Debian (www-data) sea del grupo postfix para que se pueda acceder al directorio de cuarentena. Ejecutamos el siguiente comando: usermod -a -G postfix www-data En el fichero /etc/group, debe aparecer (en Sarge): postfix:x:104:www-data Hay dos líneas en el fichero de configuración de apache /etc/apache2/apache2.conf, que conviene descomentar. Quedarían así: AddType application/x-httpd-php.php AddType application/x-httpd-php-source.phps MailScanner permite sistemas complejos, donde las reglas de spam, etc, están jerarquizadas. Esto hace qye las reglas por defecto se pongan en un sitio, las del site en otro, las locales en otro, etc. MailWatch las busca en esos lugares, y las "suma", para mostrarlas en la página web, y para actualizarlas. Además también busca el fichero de configuración en dos sitios. Si no tenemos definida esa jerarquía, no pasa nada, pero los errores en la búsqueda de ficheros quedan en el registro de errores de apache. Podemos subsanarlo creando unos enlaces simbíolicos al directorio que utilizemos. En nuestro caso: ln -s /usr/share/spamassassin /usr/local/share/spamassassin mkdir -p /usr/local/etc/mail ln -s /usr/share/spamassassin /usr/local/etc/mail/spamassassin mkdir -p /opt/mailscanner ln -s /etc/mailscanner /opt/mailscanner/etc En realidad, esto es un bug de MailWatch, pues debería de ser configurable en lugar de suponer su existencia. Si tenemos el típico iconillo que aparece en la barra de los navegadore (favicon.ico), lo ponemos en el directorio /var/www/mailscanner. Parece que hay un problemilla con el directorio temp, cuando descarga el fichero de información geográfica de las IPs. Vamos a darle la propiedad al servidor web. chown www-data:www-data /var/www/mailscanner/temp Hay un BUG en el código PHP del fichero mailq.php. En la línea 15, al final del switch, pone case default. Sobra el case. El código quedaría: 49tik, 36. Orrialdea / Página 36 de 49

37 default: die (... Reiniciamos el servidor web: /etc/init.d/apache2 restart Ahora apuntamos el navegador al antivirus ( Nos aparece la página de MailWatch con menús para acceder a las estadísticas, actualización de SpamAssassin, etc. Cuidado con esto. index.php es un enlace simbólico al fichero status.php. Si en la barra del navegador ponemos el nombre del servidor, funcionará. Si ponemos la IP no sigue al enlace simbólico. En este último caso deberemos de poner p.ej: En caso de querer también que lo haga al poner la IP, debemos definir un ServerAlias en el VirtualHost, por ejemplo. 15. Control de Acceso a Internet Hay muchas formas de hacer un control de acceso. La más normal suele ser cortar la conexión exterior en el cortafuegos. Esta solución supone un problema. El cortafuegos no puede ser manipulado por cualquiera. Necesitamos otro método diferente que sea mas flexible y por medio del cual cualquier profesor pueda conectar una clase a Internet para ver paginas web y para poder utilizar el protocolo FTP, y todo ello de una forma sencilla. Esto es lo que intentaremos hacer. Téngase en cuenta, que este ejemplo se apoya en lo ya realizado en el apartado del proxy HTTP. En caso de desear realizar otro tipo de instalación, se deberá imaginar el sistema, teniendo en cuenta ambos informes. Veamos un ejemplo de escuela. Eskolako Azpisareak / Subredes escolares Azpisareak / Subredes IP Taldeak / Grupos IP Irakasleak / Profesores /24 Ikasleak / Alumnos /24 Zuzendaritza / Direccion /24 Zerbitzariak / Servidores /24 Ikasgelen Helbideak / Direcciones de las aulas Ikasgelak / Aulas IP Taldeak / Grupos IP Gela-01 / Aula > tik, 37. Orrialdea / Página 37 de 49

38 Ikasgelen Helbideak / Direcciones de las aulas Elkarnet Gela-02 / Aula > Gela-03 / Aula > Gela-04 / Aula > Gela-05 / Aula > Gela-06 / Aula > Gela-07 / Aula > Gela-08 / Aula > Software necesario El unico paque que necesitamos instalar es sudo. El resto de paquetes ya se han instalado ACLs apt-get install sudo Los acl (Access Control Lists) se utilizan para controlar quién puede usar el squid y quién no. Utilizaremos este sistema para controlar el acceso a Internet. Squid evalúa los acl en el orden en que están definidos. Todos conocemos los problemas que en los navegadores web (léase MS IE) ocasionan los suplementos que muchas veces se instalan sin saber. Teniendo esto en cuenta, pondremos tres tipos de acl en nuestro sistema de control de acceso. Primeramente, las subredes de profesores. Después pondremos las páginas web institucionales. Podemos dirigirnos a esos lugares con cualquier navegador en cualquier momento. Luego, denegaremos el acceso a los navegadores que no hayan sido puestos por nosotros y por ultimo permitiremos o prohibiremos las distintas aulas. He aquí un dibujo: 49tik, 38. Orrialdea / Página 38 de 49

39 Tener en cuenta que las listas son evaluadas al recibir cada petición. Si las las listas IP las ponemos con dst se deben evaluar por medio de DNS y por lo tanto si las ponemos de esa forma tardara mucho más tiempo para la resolución de acceso. En cambio, si las ponemos con su IP, serán evaluadas más rápidamente. En cualquier caso lo pondremos como ejemplo de esta manera. En cambio la próxima vez lo haremos de forma distinta. Veamos ahora los acl que utilizaremos. Tener en cuenta que en la misma lista hay comentarios y por lo tanto no explicamos aquí todo en profundidad. # Jatorrizko helbideak / Direcciones origen # Eskolako azpisareak / Subredes de la escuela acl irakasle_sarea src /24 acl zuzendaritza_sarea src /24 acl zerbitzari_sarea src /24 # Ikasleen gelak / Aulas de alumnos acl gela-01 src acl gela-02 src acl gela-03 src acl gela-04 src acl gela-05 src acl gela-06 src acl gela-07 src acl gela-08 src Direcciones destino (unas cuantas direcciones conocidas e interesantes para todo el mundo) # Helburuko helbideak / Direcciones de destino # (xx.xx.xx.xx) : Eskolako interneteko orria, interneten badaukagu # Páginas de la escuela, si está en Internet #acl BetiPasa dst xx.xx.xx.xx # : Euskadi.Net, hezkuntza, Zenbait hiztegi (morris, 3000, Elhuyar...) acl BetiPasa dst acl BetiPasa dst tik, 39. Orrialdea / Página 39 de 49