Foros del Web » Administración de Sistemas » Seguridad y redes »

Montar un control parental en una red local de 75 equipos

Estas en el tema de Montar un control parental en una red local de 75 equipos en el foro de Seguridad y redes en Foros del Web. Buenas tardes, Me pongo en contacto con vosotros para comentaros que nos ha salido una instalación de un control parental en una red de 75 ...
  #1 (permalink)  
Antiguo 25/06/2015, 12:47
 
Fecha de Ingreso: febrero-2009
Mensajes: 6
Antigüedad: 15 años, 10 meses
Puntos: 0
Montar un control parental en una red local de 75 equipos

Buenas tardes,

Me pongo en contacto con vosotros para comentaros que nos ha salido una instalación de un control parental en una red de 75 equipos. En dicha red se saldrá a internet a través de una ADSL2+ con un router de Orange (la patata esa llamada Livebox).

El tema es que el cliente quiere poner algo entre el router y la red local para filtrar contenido a nivel de páginas web, y como todo cliente, no quiere gastarse demasiado... Nosotros le hemos ofrecido soluciones como SonicWall, o montar un firewall sobre Debian virtualizado con VMware. Pero tampoco es santo de su devoción porque el personal que tiene no se lleva muy bien con linux.

Lo que se me ocurre es montar algún router de perfil medio que haga funciones de firewall, con control parental a nivel de IPs o Macs, y que además se pueda montar una DMZ en caso de necesitarla. Hay bastante oferta en el mercado de routers profesionales. Nosotros hemos montado algún ASUS de gama alta, o Cisco gama media con muy buenos resultados, pero creo que no merece la pena, ya que son equipos que también tienen su administración particular y además no son precisamente baratos.

El tema es que me gustaría que me recomendaseis algún modelo en concreto de Router o cacharro hardware que poder poner entre el router y la LAN o simplemente un router que tuviese la capacidad de usar simplemente Black List y WhiteLists a nivel de URLS webs, Ips y demás. Y que además, no se sature con 75 PCs enviando paquetes a saco.

Habitualmente trabajamos con el tema de redes Wifi y siempre usamos cacharros Ubiquiti, que nos dan unos resultados magníficos. Y en dicho fabricante he encotrado esta preciosidad con unas prestaciones que creo que son geniales:
https://www.ubnt.com/unifi-switching-routing/usg/

Alguien lo ha usado y puede decirme que potencia tiene? Si realmente puede valerme para lo que necesito?

Muchas gracias de ante mano a todos por esta magnífica comunidad que tanto ayuda tanto a profesionales como a particulares en el apasionante mundo de la informática.

Un cordial saludo
  #2 (permalink)  
Antiguo 25/06/2015, 17:38
Avatar de bahia201  
Fecha de Ingreso: marzo-2014
Mensajes: 188
Antigüedad: 10 años, 9 meses
Puntos: 13
Respuesta: Montar un control parental en una red local de 75 equipos

Hola
Para mi gusto yo creo que con 75 equipos tu mejor opción es un proxy (CCproxy, pfsense) uno es pago por licencia y el otro 100% libre.

Cita:
- el personal que tiene no se lleva muy bien con linux.-
esta parte no la entiendo muy bien, el personal no tiene por qué interactuar con el sistema o equipo que se use para el filtrado, debe ser trasparente una vez configurado no tiene por qué meterle mano y en todo casa tú le das el soporte.

USG de Ubiquiti, en pocas palabras excelente equipo, solo que tiene un detalle, este equipo solo trabaja con equipos que soporten el protocoló UniFi.

Yo usaria como primera opción un servidor proxy.
Después:
Ruteador mikrotik (la configuración no es muy amigable)
Ruteador Fortinet (contra se paga un licencia anual por el filtrado web)
OpenDNS (se usa principalmente en escuelas, contra bloquea a todos por igual)

No usaria ningún ruteador comercial ASUS, ni CISCO por que estos no bloquean las conexiones seguras (https) si se tendría acceso a Facebook, youtube y todas las conexiones seguras.

Suerte y saludos.
  #3 (permalink)  
Antiguo 26/06/2015, 13:40
 
Fecha de Ingreso: febrero-2009
Mensajes: 6
Antigüedad: 15 años, 10 meses
Puntos: 0
Respuesta: Montar un control parental en una red local de 75 equipos

Muchas gracias por la respuesta.

Cuando he dicho lo del "personal", no lo he explicado bien. Me refiero al administrador de la red. Que es el que deberá manejar el equipo en cuestión una vez configurado por nosotros por si quiere modificar movidas.

Todo lo que me comentas me sirve. Voy a echar un ojo a lo que me dices, y como veo que controlas, voy a ponerte algunas dudas que me surjan si no te importa.


Por ejemplo lo del protocolo UNIFI no me ha quedado claro. Sé que esos cacharros (como yo los llamo), tienen su propio protocolo para comunicarse entre ellos, y lo sabemos por como se comportan los AP de la marca en el modelo Long Range, que son una maravilla. Pero te refieres a que el protocolo que usa el chacharro sería incompatible con una red local gigabit? Con los chipsets de las tarjetas de red de los equipos? Me lo puedes explicar? Gracias.
  #4 (permalink)  
Antiguo 26/06/2015, 15:01
Avatar de bahia201  
Fecha de Ingreso: marzo-2014
Mensajes: 188
Antigüedad: 10 años, 9 meses
Puntos: 13
Respuesta: Montar un control parental en una red local de 75 equipos

El USG actúa como central, es decir el USG hace un discovery de la red, da de alta todos los dispositivos de la red para y así poder centralizar la configuración de todos los equipos, AP, Teléfonos, switch, POE, antenas etc…

Aparte de centralizar las configuraciones te ofrece mejoras en la seguridad de la misma red.

Cuando el USG manda el Discovery le contestan todos los equipos que hablen UniFi, y según yo aunque no estoy seguro, el controlador UniFi solo lo tienen los equipos marca Ubiquiti.

Entonces para que este equipo te funcione como debe de ser los equipos importantes deben tener el controlador UniFi

Cita:
sería incompatible con una red local gigabit?
No, esto no afecta en este sentido porque el equipo soporta 100/1000 Mbps


Saludos

Última edición por bahia201; 26/06/2015 a las 15:06
  #5 (permalink)  
Antiguo 09/07/2015, 10:19
 
Fecha de Ingreso: febrero-2009
Mensajes: 6
Antigüedad: 15 años, 10 meses
Puntos: 0
Respuesta: Montar un control parental en una red local de 75 equipos

Buenas,

He estado haciendo un poco de investigación según tus consejos.

He decidido lo siguiente:

Esta maquinita: http://goo.gl/nXwIIb junto al firmware DD-WRT. Y OPEN DNS directamente en el router. ¿Qué opinas?

Somos nuevos en OPEN DNS, aunque parece no ofrecer ningún misterio. Eso sí, no entiendo bien como funciona la versión de pago.

Imagínate que quisiera implantar esta solución en más empresas. Tendría que crearme una cuenta por empresa verdad? O puedo conseguir una solución que me valga para todas y discriminar por IP Externa de cada sede? El tema sería tener configurado diferentes grupos de filtrado en la misma sede, y por empresa.

Me explico mejor:

SEDE A . 50 Equipos. 5 usuarios (con la mac tal y las ips cual) podrán ver páginas de adultos. 40 no, pero sí páginas con violencia y los 5 restantes solo podrán ver la página corporativa.

SEDE B. 50 equipos. 24 usuarios (con la mac tal y las ips cual) podrán entrar en redes sociales. 2 podrán acceder a páginas de adultos y el resto solo en corporativas.

¿Esto sería posible con open dns?
  #6 (permalink)  
Antiguo 09/07/2015, 13:23
Avatar de bahia201  
Fecha de Ingreso: marzo-2014
Mensajes: 188
Antigüedad: 10 años, 9 meses
Puntos: 13
Respuesta: Montar un control parental en una red local de 75 equipos

Hola, si es una buen opción usar el Open DNS con un ruteador, solo que de todas maneras necesitas instalar el cliente de openDNS para que actualice la ip en caso de que te tengas un ip publica dinámica. El cliente se debe de instalar en un equipo de cómputo y este actualiza la dirección pública en caso de que cambie.

La diferencia entre el gratuito y el pago es que el pagado te genera estadísticas de los usos y costumbres de cada equipo de cómputo, un historial ilimitado y puedes agregar mas cuentas.

Cita:
-Tendría que crearme una cuenta por empresa verdad? –
En la de pago puedes agregar la dirección ip publica de cada sede y cada dirección se rige con sus propios parámetro son independientes, en un solo panel de control tu puedes configurar y ver las estadísticas de todas las sedes, esto no se puede hacer en el gratuito.


Cita:
-SEDE A . 50 Equipos. 5 usuarios (con la mac tal y las ips cual) podrán ver páginas de adultos. 40 no, pero sí páginas con violencia y los 5 restantes solo podrán ver la página corporativa.

SEDE B. 50 equipos. 24 usuarios (con la mac tal y las ips cual) podrán entrar en redes sociales. 2 podrán acceder a páginas de adultos y el resto solo en corporativas.

¿Esto sería posible con open dns?-
Open DNS no discrimina, trabaja de la siguiente manera todos cerrados o todos abiertos.

Saludos
  #7 (permalink)  
Antiguo 12/07/2015, 13:04
 
Fecha de Ingreso: julio-2015
Mensajes: 3
Antigüedad: 9 años, 5 meses
Puntos: 0
Respuesta: Montar un control parental en una red local de 75 equipos

Cita:
Iniciado por bahia201 Ver Mensaje
Hola, si es una buen opción usar el Open DNS con un ruteador, solo que de todas maneras necesitas instalar el cliente de openDNS para que actualice la ip en caso de que te tengas un ip publica dinámica. El cliente se debe de instalar en un equipo de cómputo y este actualiza la dirección pública en caso de que cambie.

La diferencia entre el gratuito y el pago es que el pagado te genera estadísticas de los usos y costumbres de cada equipo de cómputo, un historial ilimitado y puedes agregar mas cuentas.

En la de pago puedes agregar la dirección ip publica de cada sede y cada dirección se rige con sus propios parámetro son independientes, en un solo panel de control tu puedes configurar y ver las estadísticas de todas las sedes, esto no se puede hacer en el gratuito.




Open DNS no discrimina, trabaja de la siguiente manera todos cerrados o todos abiertos.

Saludos

Hola, soy compañero de beatlekas.

Nos convence mucho la opción de router+dd wrt+OpenDNS, por su coste y sencillez de implantación.

Pero no se nos ocurre como diferenciar dentro de la misma sede (LAN) varios grupos de restricciones con OpenDNS+ddwrt.

De momento se me ocurre dejar una configuración Básica con la cuenta OpenDNS para todos, y luego diferenciar por grupos a través de dd-wrt. El problema es que las restricciones por dd-wrt están algo limitadas (o eso creo).

Pienso que esta configuración es algo engorrosa, ¿habría alguna forma más fácil de hacerlo?

Nuestra labor es dejarle al administrador de la red una configuración que sea lo más fácil de gestionar.

Muchas gracias por tu ayuda.
  #8 (permalink)  
Antiguo 12/07/2015, 13:12
 
Fecha de Ingreso: julio-2015
Mensajes: 3
Antigüedad: 9 años, 5 meses
Puntos: 0
Respuesta: Montar un control parental en una red local de 75 equipos

Se me olvidó comentar otra cosa, dd-wrt admite iptables, no?

Pero no sabemos hasta que punto. Es decir, podríamos crear reglas de restricciones por MAC a páginas web/ips???


Saludos.
  #9 (permalink)  
Antiguo 12/07/2015, 13:42
Avatar de BrujoNic
Super Moderador
 
Fecha de Ingreso: noviembre-2001
Ubicación: Costa Rica/Nicaragua
Mensajes: 16.935
Antigüedad: 23 años, 1 mes
Puntos: 655
Respuesta: Montar un control parental en una red local de 75 equipos

Si lees o investigas lo del dd-wrt, es un firmware modificado y va a hacer lo que pueda dependiendo de la memoria del dispositivo.

Leyendo el uso que le vas a dar, yo optaría por pfSense. Escribis que no hay gente que le va a dar soporte o no va a saber que hacer, lo cual con una simple guía de lo que necesita cambiar, es más que suficiente.

¿Crees realmente que dd-wrt va a ser sencillo y va a tener mucho más opciones o personalizaciones que un proxy server? No lo creo y repito, todo va limitado con la cantidad de memoria que tenga el dispositivo donde se aplica.
__________________
La tecnología está para ayudarnos. No comprendo el porqué con esa ayuda, la gente escribe TAN MAL.
NO PERDAMOS NUESTRO LINDO IDIOMA ESPAÑOL
  #10 (permalink)  
Antiguo 12/07/2015, 17:28
 
Fecha de Ingreso: julio-2015
Mensajes: 3
Antigüedad: 9 años, 5 meses
Puntos: 0
Respuesta: Montar un control parental en una red local de 75 equipos

Cita:
Iniciado por BrujoNic Ver Mensaje
Si lees o investigas lo del dd-wrt, es un firmware modificado y va a hacer lo que pueda dependiendo de la memoria del dispositivo.

Leyendo el uso que le vas a dar, yo optaría por pfSense. Escribis que no hay gente que le va a dar soporte o no va a saber que hacer, lo cual con una simple guía de lo que necesita cambiar, es más que suficiente.

¿Crees realmente que dd-wrt va a ser sencillo y va a tener mucho más opciones o personalizaciones que un proxy server? No lo creo y repito, todo va limitado con la cantidad de memoria que tenga el dispositivo donde se aplica.
Si rechazaron nuestra oferta de instalar un Sonicwall me temo que también rechazarán la de poner un pfSense. Quieren una solución más barata. Es por ello que estamos por esta línea.

El aparato sobre el que queremos poner dd-wrt es un netgear r7000. Pensamos que calidad/precio está bastante bien.

Saludos.
  #11 (permalink)  
Antiguo 12/07/2015, 17:55
Avatar de bahia201  
Fecha de Ingreso: marzo-2014
Mensajes: 188
Antigüedad: 10 años, 9 meses
Puntos: 13
Respuesta: Montar un control parental en una red local de 75 equipos

Cita:
-Nos convence mucho la opción de router+dd wrt+OpenDNS, por su coste y sencillez de implantación. –
Si es una de las mejores opciones económicas y rápidas, pero NO sirve cuando quieres grupos con acceso a ciertas páginas y el resto no, simplemente no fue hecho para eso.

Cita:
-OpenDNS para todos, y luego diferenciar por grupos a través de dd-wrt. -
Si es una opción, solo que hay un problema el filtrado que hace el DD-WRT no filtra conexiones seguras (https) Facebook, youtube y todas las páginas que tenga opción a una conexión segura las deja pasar.

Ejemplo el OPEN DNS esta configurado para bloquear el Facebook y tienes un grupo A que si tiene acceso y otro grupo B que no tiene acceso, el DD-WRT deja pasar a los dos grupos y el OpenDNS bloquea a los dos grupos.
El DD-WRT si no mal recuerdo filtra por Direcciones MAC y rango de Ip.

Cita:
-Nuestra labor es dejarle al administrador de la red una configuración que sea lo más fácil de gestionar. –
Yo uso mucho el OpenDNS lo uso en ambientes muy específicos y SI hay una forma de hacer lo que quieres con el OpenDNS, no lo voy a explicar, no es difícil pero es muy, muy engorroso y si falla no vas a saber en qué parte fallo y necesitas revisar todo el esquema.

Necesitas un switch administrable y jugar con los DNS. De esa forma puedes permitir y restringir por grupos.

Cita:
-Quieren una solución más barata.-
creo que no hay opción más barata que el OpenDNS, coméntale a tu cliente de los pros y contras o manéjale un nueva propuesta por que el Open DNS funciona pero no como tú quieres y hacerlo funcionar, se puede pero olvídate de que sea amigable para darle soporte.

El pfsense es libre, y para implementarlo no es necesario una super maquina puedes armar un nueva o conseguir un buena usada.

Checale y suerte.

Última edición por bahia201; 12/07/2015 a las 18:01
  #12 (permalink)  
Antiguo 12/07/2015, 18:33
Avatar de BrujoNic
Super Moderador
 
Fecha de Ingreso: noviembre-2001
Ubicación: Costa Rica/Nicaragua
Mensajes: 16.935
Antigüedad: 23 años, 1 mes
Puntos: 655
Respuesta: Montar un control parental en una red local de 75 equipos

Yo no expondría mi reputación, utilizando lo que tratas de hacer.

Si lo vas a hacer, déjalo muy claro en papel y que te lo firmen para que luego no digan "la cochinada que nos recomendó e instaló...".

¿Sabes que al instalar el dd-wrt, este forza el router y por lo tanto la vida útil es mucho menor?
¿Sabes que si algo le pasa al aparato no vas a tener respaldo para recuperar?

pfSense en un P IV con 1 giga de RAM y solo con 10 o 29 gigas de disco duro, funcionaría para lo que pretendes inicialmente. Si los requerimientos suben, pues ya se podría optar por un equipo mejor.

¿Eso es caro? Por favor, eso es ser ciego y en cualquier empresa por más pequeña que sea, existen equipos de desecho que podrías usar.

Recordá que siempre el culpable es quien hace el trabajo y recomienda.
__________________
La tecnología está para ayudarnos. No comprendo el porqué con esa ayuda, la gente escribe TAN MAL.
NO PERDAMOS NUESTRO LINDO IDIOMA ESPAÑOL
  #13 (permalink)  
Antiguo 15/07/2015, 16:03
 
Fecha de Ingreso: febrero-2009
Mensajes: 6
Antigüedad: 15 años, 10 meses
Puntos: 0
Respuesta: Montar un control parental en una red local de 75 equipos

Completamente de acuerdo contigo BrujoNic. Y muchas gracias a bahia201.

Nuestra opción primera fue una maquina pequeña con linux, pero el cliente fue lo primero que rechazó. Acostumbrado a Canguro Net de Movistar y a SonicWall, no quería eso. Está claro que nuestra visión del tema es exacta a la vuestra. Lo mejor y lo más facil y barato es una máquina con doble núcleo y un par de gigas de ram y a correr. Pero el cliente parece ser lo "ciego" que comentáis, porque se ha empeñado en una solución basada en lo que os hemos comentado. De ahí nuestra búsqueda en encontrar lo más parecido a la solución que demanda.

Esto es lo de siempre, "el hombre propone (los técnicos) y dios dispone (el cliente)". Voy a intentar volver a la carga con la solución pfSense, y si no la aceptan voy a dejarle muy claro (como he estado haciendo hasta ahora) las limitaciones que tiene el sistema OPEN DNS de cara a la versatilidad y pormenorización de filtros que demanda.

Un saludo y muchas gracias por vuestra ayuda.
  #14 (permalink)  
Antiguo 15/07/2015, 23:31
Avatar de BrujoNic
Super Moderador
 
Fecha de Ingreso: noviembre-2001
Ubicación: Costa Rica/Nicaragua
Mensajes: 16.935
Antigüedad: 23 años, 1 mes
Puntos: 655
Respuesta: Montar un control parental en una red local de 75 equipos

Con pfSense, si lo configuras bien, no necesitarías para nada Open DNS ni nada externo, ya que utilizando proxy NO transparente, los clientes deben colocar en los navegadores web la configuración del proxy y cualquier página bloqueada incluso https no pasa a menos que esté aprobada.

Podes utilizar una lista lista negra ya creada como shallalist y de ahí incluir las otras que necesites.

Canguro Net, con lo que vi, no es absolutamente nada contra pfSense y SonicWall, es más enfocado a Firewall, algo que ya maneja también pfSense.

Si te pones a investigar, por ejemplo en Wikipedia sobre pfSense, podrías tener algo bien sólido para demostrar todo lo que puede hacer y que poco a poco podrían implementar según las necesidades.

Tienen un foro multi-idioma, buen soporte para usuario final y otro adicional si el cliente lo quiere, de pago para que te atienda un experto.

Si no quieren gastar por un proxy por hardware que puede ser muy caro y muy robusto ya que fue fabricado para eso, sería muy tonto no utilizar algo por software, utilizar un equipo medio con buena refrigeración, ups, que levante logs para saber lo que hacen o no los usuarios para depurar más la navegación CON CERO COSTO, solo cobrarías la instalación y mantenimiento del mismo, serían muy tontos.

En una Asociación tenían desechado un servidor P III Xeon con 768 Megas de RAM y un arreglo de discos de 20 gigas, administrando 25 usuarios con proxy, filtro de contenido, firewall y VPN SIN ningún problema.

En otro lugar tenemos un Dual Core con 2 gigas de RAM y un disco duro grande haciendo lo mismo con 2 WAN SIN problema.

Si se ponen a ver una pantalla de SonicWall, es muy similar a pfSense, todo se maneja por web o SSH por lo que no sería complicado hacer una guía por tu cuenta de lo que necesiten hacer.

Eso hago yo cuando me lo piden, guía escrita con imágenes o video guía, mostrando lo que pueden configurar y lo que les interesa.

Si siguen de terco, como ellos te van a pagar, asegurate de ponerlo por escrito porque vas a poner un aparato TP-Link que para mi es "marca patito feo", forzado con otro firmware y si ese TP-Link no tiene abanico interno o es muy pequeño, se va a quemar muy rápido.

Tampoco van a poder crecer en otras áreas. No le quito su mérito a dd-wrt porque lo he usado pero con equipos más robustos Linksys antes de ser comprado por Cisco, ya comprados por Cisco e incluso lo voy a seguir usando ahora que fueron comprados por Belkin, pero no con otros dispositivos que creo no van a dar el rendimiento.

Asegurate de dejar eso por escrito porque SIEMPRE al que hace el servicio o configuración es a quienes nos culpan y dejando todo escrito, nos protegemos. A mi me ha resultado cuando nos quieren reclamar algo y sacamos el documento escrito y firmado por el cliente.

Saludos.
__________________
La tecnología está para ayudarnos. No comprendo el porqué con esa ayuda, la gente escribe TAN MAL.
NO PERDAMOS NUESTRO LINDO IDIOMA ESPAÑOL

Etiquetas: control, equipos, internet, ip, local, montar, red, router
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 16:58.