DansGuardian 2.2.x: Guia de Instalacion Detallada

Martes 26 de Marzo, 2002 - Borrador 4a

Escrito por Daniel Barron, modificado por GB y traducido por Julian Coccia

Contenido

 

Introduccion

Esta no es una guia de instalacion rapida. Este documento apunta a quien busca instrucciones detalladas sobre DansGuardian 2.2.x. Para instalar DansGuardian en forma rapida, le recomendamos leer la Guia de Instalacion Rapida.

 

Requisitos Previos

Se requiere una distribucion razonablemente reciente de Linux, FreeBSD, OpenBSD, Solaris o SuSE. Tambien se requiere squid corriendo en el puerto 3128.

DansGuardian es in filtro directo que se ubica entre el el cliente Web (web browser) y el Servidor Proxy Squid. Dansguardian acepta conexiones en el puerto 8080 y se conecta a squid en el puerto 3128. Por lo tanto, es importante que no haya otro servicio utilizando el puerto 8080.

Tambien se necesita un Servidor Web. El servicio Apache (httpd) que se incluye con RedHat 6.2 es perfecto y seria dificil encontrar un mejor servidor para tal efecto. El Servidor se usa para mostrar un script cgi escrito en perl que notifiaca al usuario en caso de haber un 'Acceso Denegado'.

Se necesitan tambien varias herramientas de desarrollo estandar como glibc, autoconf, gcc and make. Los usuarios de Debian tambien necesitaran zlib1g-dev. La instalacion predeterminada de Redhat 6.2 y muchas otras ya incluyen dichas herramientas, por lo que no necesitaria preocuparse por las mismas.

La mayoria del tiempo, durante la instalacion necesitara estar conectado como root o para usuarios experimentados, el proceso completo directamente puede efectuarse como root.

Asegurese de que todo lo mencionado previamente esta instalado y funcionando correctamente antes de proseguir.

 

Recolectando lo necesario

Obviamente necesitara DansGuardian. Lo puede obtener aqui: DansGuardian, o en el sitio US mirror.

Es recomendable instalar desde el codigo fuente ya que siempre esta al dia. Sin embargo, hay paquetes pre-compilados para distintas distribuciones. A fines instructivos, esta guia detalla el proceso de instalacion desde el codigo fuente.

 

Instalacion y compilacion

Si desea instalar DansGuardian en forma rapida y evitar los detalles de esta guia, no olvide que puede contar con la Guia de Instalacion Rapida.

1. Ponga DansGuardian-2.2.*.source.tar.gz en un area temporal y descomprima el archivo con tar -zxpf.  Esto creara el sub-directorio DansGuardian-2.2.*.

DansGuardian usa el autoconf de gnu, auto-generando el archivo Makefile con el script "configure".

2. Ingrese al nuevo directorio con cd. Ejecute el script "configure" con la opcion de ayuda (./configure --help) para ver las opciones de configuracion (vea la tabla a continuacion).

opcion

descripcion

valor predeterminado

bindir

 Donde se instalan los binarios o ejecutables /usr/sbin/

sysconfdir

 Donde se instalan los archivos de configuracion y datos /etc/dansguardian/

sysvdir

 Donde se instala el script de inicio /etc/rc.d/init.d/

cgidir

 Ubicacion del directorio cgi-bin /home/httpd/cgi-bin/

mandir

 Ubicacion de los manuales /usr/man/

logdir

  Donde se crearan los archivos historicos (logs) /var/log/dansguardian/

runas_usr

 El usuario de sistema corre como nobody

runas_grp

 El grupo del usuario del sistema es nobody

piddir

 Ubicacion del archivo de identificacion del proceso (pid) /var/run/

3. Ejecute "configure" con las opciones deseadas. Por ejemplo vea la seccion   Ejemplos de Scripts de Configuracion mas adelante.

Los usuarios de RedHat 6.2 y 7.0 users pueden usar las configuraciones predeterminadas. Los usuarios de RedHat 7.1 y 7.2 necesitaran especificar la opcion cgidir. Usuarios de Solaris, OpenBSD y FreeBSD necesitaran ajustar casi todas las opciones en forma manual.

4. Modifique el archivo Makefile y verifique que todos los parametros son correctos. De no ser asi, ejecute el script nuevamente. Si no esta familiarizado con archivos Makefile, saltee este paso.

5. Ejecute make para compilar DansGuardian (gmake en Solaris).

6. Ejecute make install para crear la estructura de directorios, instalar el programa y archivos en los directorios elejidos y ajustar los permisos en forma apropiada.

7. Ejecute make clean para eliminar los archivos no necesarios.

8. Cuando una pagina es denegada, DansGuardian redireccionara al usuario al script cgi perl en su servidor web, donde el usuario vera el reporte. De esta forma es facil personalizar los mensajes que el usuario recibira. Este servidor no necesariamente tiene que correr en el mismo ordenador donde corre el servicio DansGuardian. Sin embargo, de no estar en el ordenador local, tendra que enmendar o eliminar la linea que especifica la ubicacion del script perl en el archivo Makefile.

Para configurar la direccion del servidor web que mostrara la pagina con el reporte de error, modifique la variable accessdeniedaddress dentro del archivo dansguardian.conf (vea sysconfdir arriba).  Para mas opciones de configuracion, vea la seccion  Opciones Avanzadas

9. Por ultimo, debe configurar la rotacion de los archivos historicos (logs). La rotacion de los historicos evitara que el crecimiento desmedido de los historicos llene el sistema de archivos. La mayoria de los servicios rotan sus historiales una vez por semana. Con DansGuardian, hay cinco archivos historicos: access.log, access.log.1, access.log.2 ... y asi sucesivamente hasta 4.  Todas las semanas, el archivo mas antiguo de los cinco es eliminado y los nombres de los demas archivos se incrementan en uno y un nuevo archivo access.log es creado. El script Makefile copia el script de rotacion de historiales al directorio de configuracion. Es necesario entonces agendar la ejecucion de este proceso de la siguiente manera: Ejecute crontab -e (como root) y agrege la siguente linea: 

59 23 * * sat /etc/dansguardian/logrotation

Grabe el archivo. Esto agendara la rotacion a las 23:59 todos los sabados. Por supuesto, usted puede personalizar este parametro y modificar el script de rotacion como usted lo prefiera.

DansGuardian ya esta listo. Ahora puede iniciarlo simplemente ejecutando el binario (por ejemplo, escriba dansguardian y presione Retorno). Puede detenerlo con dansguardian -q. O use el script provisto SysV(-like). Ejecute dansguardian -h para ver otras opciones disponibles.

Ejemplos de Scripts de Configuracion

A continuacion vera algunos ejemplos de opciones para el script de configuracion para diferentes distribuciones:

FreeBSD
La ejecucion con los valores predeterminados deberia funcionar, siempre y cuando la instalacion de FreeBSD haya sido efectuada ubicando los programas en forma predeterminada.

./configure --cgidir=/usr/local/www/cgi-bin/ \
--sysconfdir=/usr/local/etc/dansguardian/ \
--sysvdir=/usr/local/etc/rc.d/ \
--bindir=/usr/local/sbin/ \
--mandir=/usr/local/man/

OpenBSD
La ejecucion con los valores predeterminados deberia funcionar, siempre y cuando la instalacion de OpenBSD haya sido efectuada ubicando los programas en forma predeterminada.

./configure --cgidir=/var/www/cgi-bin/ \
--sysconfdir=/usr/local/etc/dansguardian/ \
--sysvdir=/usr/local/etc/rc.d/ \
--bindir=/usr/sbin/ \
--mandir=/usr/share/man/

RedHat 6.2/7.0
Tambien es posible ejecutar "configure" (./configure) con los valores predeterminados.

RedHat 7.1/7.2
 ./configure --sysconfdir=/usr/local/etc/dansguardian/ \
--sysvdir=/etc/rc.d/init.d/ \
--cgidir=/var/www/cgi-bin/

Mandrake 7.2
./configure --mandir=/usr/share/man/

Mandrake 8/8.1
 ./configure --mandir=/usr/share/man/ \
--cgidir=/var/www/cgi-bin/

El usuario de sistema 'squid' puede tambien ser apropiado en lugar de 'nobody' cuando configure el valor del parametro "runas".

SuSE 7.2
 ./configure --runas_grp=nogroup \
--cgidir=/usr/local/httpd/cgi-bin/

SuSE 7.3
./configure --runas_grp=nogroup \
--cgidir=/usr/local/httpd/cgi-bin/ \
--sysvdir=/etc/init.d/

Solaris
Solo se ha testeado Solaris 8 (7/01). DansGuardian necesita la version GNU de make (gmake), y GCC version 2.95.3 (3.01 puede funcionar, pero no ha sido testeado todavia y por lo tanto, no recomendado).

Ambos gmake y GCC 2.95.3 estan incluidos en el Sistema Operativo en el "Companion CD", y por lo general se instalan en /opt/sfw/bin. Para asegurar que existen en esta ubicacion, simplemente haga (in csh; la sintaxis de bash es diferente):

setenv PATH /opt/sfw/bin\:$PATH

Para compilar y configurar, haga:
./configure --bindir=/opt/dansguardian/sbin/ \
--sysconfdir=/opt/dansguardian/etc/ \
--sysvdir=/etc/init.d/ \
--cgidir=/var/apache/cgi-bin/ \
--mandir=/opt/dansguardian/man/ \
--logdir=/opt/dansguardian/log/


Opciones Avanzadas

DansGuardian es altamente versatil. El codigo fuente le garantiza la maxima flexibilidad de configuracion, aunque para la mayoria de los usuarios sera suficiente con modificar los archivos de configuracion. Si modifica el codigo fuente, por favor envie dichas modificaciones a Daniel.

Despues de haber modificado cualquier archivo de configuracion, necesitara reiniciar DansGuardian. Para esto, ejecute el script sysv con la opcion "restart". Por ejemplo, para usuarios de Redhat ejecute en una terminal:

/etc/rc.d/init.d/dansguardian restart

o para OpenBSD:

/usr/local/etc/rc.d/dansguardian.sh restart

Ademas, ejecute dansguardian -q seguido por dansguardian.

Existe un archivo de configuracion principal, varias listas de frases prohibidas y una lista de excepciones. Las mismas se detallan de la siguiente manera:

exceptionsitelist

Este archivo contiene una lista de fines de dominios que de encontrarse en la URL requerida, , DansGuardian no filtrara la pagina. Observe que no debe incluir http:// o www. al comienzo de los dominios.

exceptioniplist

Este archivo contiene una lista de direcciones IP de clientes que saltearan el filtro. Por ejemplo, la direccion IP del administrator.

exceptionuserlist

Lista de nombre de usuario que no seran filtrados (para esto se necesita autenticacion basica o "ident").

bannedphraselist

Contiene la lista de frases prohibidas. Las frases deben encerrarse entre < y >. DansGuardian incluye una lista de ejemplo (en ingles). Debe evitar usar palabras como <sex> ya qye de esta manera bloqueara paginas que contengan por ejemplo "Universidad Middlesex". Las frases pueden contener espacios. Use los espacios para obtener mayor beneficio del filtrado. Esta es la parte mas util de DansGuardian y atrapara mas paginas que combinando los filtros de imagen y URL juntos.

Tambien puede usar combinaciones de frases, que de ser encontradas en una pagina, seran bloqueadas.

bannedmimetypelist

Contiene una lista de tipos MIME prohibidos. Si una URL retorna un tipo MIME incluido en esta lista, DansGuardian lo bloqueara. DansGuardian incluye algunos ejemplo de tipos MIME a ser bloqueados. Esta es una forma interesante de bloquear peliculas no deseadas, por ejemplo. Es obvio que no tendria sentido filtrar los tipos MIME text/html o image/*.

bannedextensionlist

Contiene una lista de extensiones de archivos no permitidas. Si una URL termina con alguna extension contenida en esta lista, DansGuardian la bloqueara. DansGuardian incluye un archivo de ejemplo que muestra como denegar extensiones. Esta es una buena forma de evitar que se bajen protectores de pantalla y herramientas para hackers. De mas esta decir que seria una tonteria bloquear las extensiones .html o .jpg, etc.

bannedregexpurllist

Este archivo contiene una lista de expresiones regulares (regexp) a ser bloqueadas. Para mas informacion sobre expresiones regulares, visite (en ingles) a href="http://www.opengroup.org/onlinepubs/7908799/xbd/re.html">este lugar.

bannedsitelist

Este archivo contiene una lista de sitios prohibidos. Si ingresa un nombre de dominio aqui, todo el sitio correspondiente al dominio sera bloqueado. Para bloquear partes especificas de un sitio, vea "bannedurllist". Ademas, si asi lo quisiera, puede bloquear todos los sitios con exepcion de los especificados en exceptionsitelist. Tambien puede bloquear sitios especificados con direcciones IP e incluir una coleccion de listas negras squidGuard. Para habilitar dichas listas, obtengalas en la seccion de extras. Simplemente ubique las listas donde lo crea apropiado y quite el comentario de las lineas correspondientes a las listas negras squidGuard al final del archivo bannedsitelist, verificando que las ubicaciones de los archivos son correctas. Para listas negras de URLs, modifique el archivo bannedurllist de manera similar.

bannedurllist

Este archivo le permite bloquear partes especificas de un site en lugar del sito entero. Para bloquear un sitio entero, vea el archivo bannedsitelist. Para habilitar el bloqueo de listas negras squidGuard, necesita bajar las listas y modificar la seccion de listas negras squidGuard al final del archivo. (de la misma forma en que bannedsitelist se ha explicado anteriormente).

pics

Este archivo le permite hacer un ajuste fino del filtro de PICS (Plataforma para la Seleccion de Contenido de la Internet). Cada seccion PICS contiene una descripcion de las configuraciones permitidas y de lo que las mismas representan. Las configuraciones predeterminadas de DansGuardian estan pensadas para jovenes donde, por ejemplo, los desnudos artisticos estan permitidos.

Para mas detalles e information sobre PICS, visite (en ingles) este sitio.

ICRA

La seccion ICRA se explica por si misma. Un valor 0 significa que nada en esta categoria esta permitido, mientras que un valor 1 lo permite. Por ejemplo:

ICRAnudityartistic = 1

permite los desnudos artisticos. Para informacion mas detallada visite (en ingles) este sitio.

RSAC 

RSAC es una version antigua de ICRA. Estos valores varian de 0 (nada es permitido) pasando por 2 (valor predeterminado) hasta 4, que permite todo en la categoria. Para informacion mas detallada visite (en ingles) este sitio.

evaluWEB

evaluWEB utiliza un sistema de calificacion similar a la sistema usado en Filmes Britanicos:

0 = U (Universal, para todas las edades)

1 = PG (Se recomienda la presencia de los padres)

2 = 18 (Solo para mayores de 18)

SafeSurf

Similar a RSAC, pero contiene un rango mas amplio de categorias con valores desde 0 = filtrar todo hasta 9 = permitir todo. Para informacion mas detallada visite (en ingles) este sitio.


Weburbia

Vea evaluWEB. Para informacion mas detallada visite (en ingles) este sitio.


Vancouver Webpages

Otro sistema mas para calificacion. Vea (en ingles) este sitio para mas informacion.

 

dansguardian.conf

La unica configuracion vital aqui es el valor de accessdeniedaddress . El mismo debe equivaler a la direccion URL (no la ubicacion fisica del archivo) del servidor Apache con el script perl de reporte de acceso denegado. Por lo general, Apache esta instalado en el mismo servidor Squid y DansGuardian. De asi desearlo, esta direccion puede ser cualquier pagina en cualquier servidor web.

Reporting Level

El nivel de reporte cuando una pagina es denegada es configurable. El mismo puede decir simplemente 'Acceso Denegado', o mostrar detalles de porque ha sido denegado y que es lo que se ha denegado. Esto ultimo puede ser util para testear, pero puede que no necesite tanto detalle en una aplicacion de produccion como en una escuela por ejemplo. El modo Stealth agrega los detalles al historico pero no bloquea nada.

Logging Settings

Esto le permite configurar el nivel de reporte historico (log). Puede no reportar nada, solo las paginas denegadas, texto o todos los requerimientos de paginas. Los requerimientos de paginas seguras (HTTPS) solo se registran en el historico cuando el valor de logging equicale a 3 (todos los requerimientos).

Network Settings

Aqui puede modificar la direccion de IP en la que DansGuardian va a aceptar conexiones, el puerto en el que va a escuchar, la direccion de IP y puerto del servidor Squid. Tambien se puede configurar el reporte de Acceso Denegado aqui.

Content Filtering Settings

Aqui se especifica la ubicacion de los archivos que contienen las listas de filtrado. Por lo tanto no es recomendable modificar estos valores.

Reverse Lookups for Banned Sites and URLs

Si habilita esta opcion, DansGuardian hara la resolucion reversa DNS (Servidor de Nombre de Dominio) y buscarlo en las listas correspondientes de sitio y URL. Esto evitara que un usuario por ejemplo entre una direccion IP para acceder a dominios prohibidos. Esta opcion afecta a la velocidad de busqueda, por lo que a no ser que tenga un DNS server local, es recomendable dejar esta opcion desabilitada y usar la opcion Blanket IP Block option en el archivo bannedsitelist.

Build bannedsitelist and bannedurllist Cache Files

Esta opcion compara las fechas de actualizacion de los archivos de lista y cache y los regenera de ser necesario. Si un archivo bsl o bul .processed existe, ese sera el contenido a utilizar. Esto incrementa el proceso de inicio en un 300%. En computadores lentos la diferencia es significativa y no es necesario en computadores rapidos.

POST protection (web upload and forms)

Esta opcion bloquea o limita los uploads (subir archivos) y no sirve para bloquear formularios que no tengan 'upload' de archivos. El valor se especifica en kilobytes despues del codificado MIME y encabezados.

Username identification methods (used in logging)

La opcion proxyauth es para cuando se usa autenticacion basica en el proxy (obviamente esta opcion no sirve para aplicaciones de proxy transparente). La opcion ntlm se usa cuando el proxy soporta autenticacion MS NTLM. Esto solo funciona con IE5.5 SP1 o posterior, y no ha sido implementada todavia. La opcion ident hace que DansGuardian se conecte a un servidor identd en el computador que origino el requerimiento.

Forwarded For

Esta opcion agrega el campo X-Forwarded-For: <clientIP> al encabezado HTTP. Esto puede ayudar a resolver problemas con sitios que necesitan saber la direccion IP de origen.

Max Children

Esta opcion especifica el numero de procesos a iniciar para aceptar conecciones. Esto puede evitar ataques de DoS afectando a un numero ilimitado de procesos. En sitios con mucho trafico, este valor deberia ser duplicado o triplicado.

Log Connection Handling Errors

Esta opcion registra en el archivo historico (log) informacion de 'debug' acerca de estados fork() y accept(), lo cual puede por lo general ser ignorado. Estos estados son registran por syslog y es seguro configurarlo tanto en si o no ('on' u 'off').

 

Configuracion de Squid

No hay nada requerido aqui ya que para Squid, DansGuardian aparenta ser un cliente web normal. Sin embargo...

Debemos asegurarnos que squid no permitira que ningun cliente web se conecte directamente, salteando a DansGuardian. Se asume que el acceso al puerto de Squid esta bloqueado via firewall o tables de IP (ipchains o iptables) y que la unica forma de acceder a Squid es atraves de DansGuardian. Esto se puede garantizar de varias maneras.

Metodo squid.conf

Puede modificar las reglas ACL para que solo 'localhost' tenga acceso. A continuacion se muestra un ejemplo en el archivo squid.conf: 

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
acl localnet src 192.168.42.0/255.255.255.0
http_access allow localnet
http_access allow localhost
http_access deny all

Note que se ha agregado el comentario # a ambas lineas que especifican 'localnet'. Por lo general la configuracion predeterminada de Squid solo permite acceso a localhost, por lo que puede que no necesite modificar esta configuracion.

Con autenticacion proxy, se torna un poco mas complejo. Sin DansGuardian en el archivo squid.conf, tenemos: 

authenticate_program /usr/bin/smb_auth -W DOMAIN -U 192.168.0.2
acl domainusers proxy_auth REQUIRED
http_access allow domainusers
http_access deny all
Lo cual permite acceso a los usuarios autenticados desde cualquier lugar.

Sin embargo, tendria sentido dejar que el trafico SSL pase directo sin pasar por DansGuardian, pero al mismo tiempo evitar que el trafico a otros puertos saltee a DansGuardian. Por lo tanto, la seccion se veria de la siguiente forma: 

authenticate_program /usr/bin/smb_auth -W DOMAIN -U 192.168.0.2
acl domainusers proxy_auth REQUIRED
acl linuxserver src 192.168.0.1/255.255.255.255
acl ntserver src 192.168.0.2/255.255.255.255
http_access allow linuxserver
http_access allow ntserver
http_access allow domainusers localhost
http_access allow CONNECT SSL_ports
http_access deny all
Por lo tanto para todo acceso web (SSL o no), el usuario necesita ser autenticado, pero SSL puede pasar en forma directa salteando DansGuardian. Tambien se le permite a los servidores NT y Linux saltear el filtrado accediendo a Squid directamente.

Metodo ipchains 1

Se pueden redireccionar conexiones entrantes al puerto 3128 desde la red local al puerto 8080 mientras se permiten conexiones de localhost a 3128. Los detalles especificos sobre esta configuracion van mas alla del objetivo de este documento.

Metodo ipchains 2 - Metodo astuto

El metodo mas astuto seria configurar a Squid como proxy transparente y redireccionar todo el trafico al puerto 80 hacia el puerto 8080. Este metodo puede convivir con el metodo 1. Recuerde que en este caso el mismo servidor squid debe ser el gateway de los clientes web. Los detalles especificos sobre esta configuracion van mas alla del objetivo de este documento. Hay un documento (en ingles) que lo explica en detalle

 

Configuracion del Cliente Web

Configuracion Simple

Asumiento que el servidor Linux que oficia de Web Proxy y servidor Web Intranet se encuantra en la direccion IP 192.168.0.1, y que en este mismo servidor se ha instalado DansGuardian aceptando conexiones en el puerto 8080.

El cliente web se configura especificando que el servidor proxy http esta en la IP 192.168.0.1 en el puerto 8080. Tambien puede especificar proxy para FTP a la misma direccion - se ha reportado que funciona. Eso es todo. Pero para mayor eficiencia, seria bueno especificar 'sin proxy' para la direccion local del apache - 192.168.0.1 en este caso. Si usted tiene un servidor DNS funcionando, puede especificar la direccion de su server local. Aunque yo prefiero no hacerlo.

Configuracion Astuta

Si ha implementado el metodo astuto al configurar Squid, entonces no se requiere ninguna configuracion. Configure su cliente web para no usar proxy y tambien elija la opcion 'sin proxy' para el servidor local (192.168.0.1 en este caso). Recuerde que en este caso el mismo servidor squid debe ser el gateway de los clientes web.

La Configuracion de Daniel

Este podria ser el metodo super astuto. El problema del metodo simple es que hay que configurar todos los clientes web manualmente. Es por eso que el metodo astuto es mas recomendado.
El Metodo de Daniel soluciona todos los problemas con una pequena aplicacion en Visual Basic que en el momento de ingresar el usuario al sistema, le modifica los valores necesarios en el registro de systema de Windows (system registry) de forma tal que tanto Internet Explorer o Netscape (incluyendo email) se configuren en forma automatica. Es tan bueno que simplemente puede instalar una copia del servidor Netscape en una unidad compartida y ejecutar este programa automaticamente en todas las PCs despues de la pantalla de 'login' No se necesita instalacion y es muy facil de actualizar teniendo una copia central.
Tambien tiene otras cualidades como la de remover carpetas web o hacer autoswitch de GMT/BST, datos de aplicaciones y mucho mas.
A no ser que convenza a los directores de liberar el codigo abierto, este metodo no puede ser usado sin pagar la licencia a no ser que lo escriba Usted mismo. I adivine quien escribio esta aplicacion ? Si, el autor de DansGuardian

Soporte

Ante cualquier duda, unase a la lista de correo y deje su comentario o pregunta ahi mismo.

Si prefiere que su comentario no sea publicado o si es de indole privada (por ejemplo para consultas de precios o comerciales) me puede escribir (en ingles) directamente a daniel arroba jadeb punto com.

Tambien puede obtener mas ayuda en el sitio de DansGuardian: dansguardian.org.

Sobre comentarios acerca de esta documento, envie un email (en ingles) a gb arroba dansguardian punto org o al traductor julian arroba coccia punto com