DANS GUARDIAN

1.Qu es DansGuardian.
La herramienta DansGuardian es cdigo abierto, est desarrollada en C++ y permite una
configuracin flexible adaptndose a las necesidades del usuario.
Al instalar el paquete la configuracin por defecto ya limita las visitas a pginas prohibidas para
menores, pero dispone de gran cantidad de archivos de configuracin para llevar a cabo un ajuste
del servicio mas personalizado.
El mecanismo es el siguiente: los clientes mediante sus navegadores web hacen peticiones de
pginas que son recibidas por DansGuardian y slo son redireccionadas al servidor proxy SQUID
aquellas que superan la fase de filtrado.
En realidad DansGuardian se ejecuta como un demonio independiente del proxy, acepta peticiones
en el puerto 8080 y las redirecciona al proxy SQUID, que escucha en el puerto 3128.
Por lo tanto, cuando una peticin entra por el puerto 8080, DansGuardian la filtra y la pasa al proxy
SQUID por el puerto 3128. Es importante, en consecuencia, que ningn otro servicio est utilizando
el puerto 8080.
Si el resultado del filtrado (dependiendo de los filtros configurados) es una denegacin de acceso a
una determinada pgina web se muestra al usuario el mensaje correspondiente al 'Acceso
Denegado'.
Si DansGuardian est en la mquina que hace de cortafuegos y se configura un proxy transparente
en SQUID, habr que redireccionar todo el trfico de la L! hacia el puerto "# al puerto "#"#,
donde DansGuardian escucha$ %s decir, se capturan todas las peticiones que se hagan a un ser&idor
http 'petici(n de pginas )eb* y se en&+an a DansGuardian '"#"#* para que se encargue del filtrado$
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-port 8080
%n el caso de acceder a pginas seguras que utili,an el protocolo https 'puerto --.* tambi/n debern
ser redirigidas$
2.Instalar clamav
Instalamos en primer lugar el anti&irus clama&$
sudo apt-get install clamav-daemon clamav-freshclam
3.Instalar DansGuardian
sudo apt-get install dansguardian
4.Configurando DansGuardian
%l archi&o de configuraci(n es /etc/dansguardian/dansguardian.conf
0asos para la configuraci(n1
%stablecer la l+nea que contiene la directi&a U!23!4IGU5%D como un comentario$ 0ara ello
a6adir al principio de la l+nea el carcter 787$ Si no lo hacemos as+, DansGuardian pensar que no nos
hemos molestado en configurarlo$
8U!23!4IGU5%D 9 0lease remo&e this line after configuration
%n la secci(n 7!et)or: Settings7 comprobar que estn las l+neas siguientes1
filterip = <ip donde escucha dansguardian>
filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128
Modificar el idioma por defecto. Para ello sustituir el ingls por 'spanish' y dejar las lneas como
sigue:
languagedir = '/etc/dansguardian/languages'
# language to use from languagedir.
language = 'spanish'
Para que DansGuardian se sincronice con el antivirus Clamav, debemos descomentar la siguiente
lnea:
#contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'
Salir de gedit salvando los cambios y reiniciar el servicio dansguardian ejecutando la orden:
$sudo /etc/init.d/dansguardian restart
5.Cuidado con los descuidos
;al y como lo hemos de<ado, alguien que sencillamente no ataque al puerto "#"# no pasar por el
filtro de DansGuardian$ Debemos por tanto for,ar a que el trfico http sea redirigido al puerto "#"#$
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
=0ara qu/ sir&e la primera regla> =? la segunda>
Si estamos redireccionando, necesitaremos definir squid como transparente$
6.Ficeros de filtros en DansGuardian
Archivos de filtros en /etc/dansguardian/
Archivo Descripcin
bannedphraselist contiene una lista de frases prohibidas$ Las frases deben estar entre @A$ 0or
defecto incluye una lista e<emplo en ingl/s$ Las frases pueden contener espacios$
Se puede tambi/n utili,ar combinaciones de frases, que si se encuentran en una
pgina, sern bloqueadas$
Archivos de filtros en /etc/dansguardian/
bannedmimetypelist contiene una lista de tipos BIB% prohibidos$ Si una U5L de&uel&e un tipo
BIB% incluido en la lista, quedar bloqueada$ 0or defecto se incluyen algunos
e<emplos de tipos BIB% que sern bloqueados$
bannedextensionlist contiene una lista de extensiones de archi&os no permitidas$ Si una U5L termina
con alguna extensi(n contenida en esta lista, ser bloqueada$ 0or defecto se
incluye un archi&o e<emplo que muestra como denegar extensiones$
bannedregexpurllist
contiene una lista de expresiones regulares
3
que si se cumplen sobre la URL sta
ser bloqueada.
bannedsitelist contiene una lista de sitios prohibidos. Si se indica un nombre de dominio todo l
ser bloqueado. Si se quiere slo bloquear partes de un sitio hay que utilizar el
archivo bannedurllist. Tambin se pueden bloquear los sitios indicados
exeptuando los dados en el archivo exceptionsitelist. Existe la posibilidad de
descargarse listas negras tanto de sitios como de URLs y situarlas en los archivos
correspondientes. Estn disponibles en http://dansguardian.org/?page=extras.
bannedurllist permite bloquear partes especficas de un sitio web. bannedsitelist bloquea todo
el sitio web y sta slo bloquea una parte.
banneduserlist lista de los nombres de usuario que estarn bloqueados.
Archivos de excepciones en /etc/dansguardian/
Archivo Descripcin
exceptionsitelist contiene una lista de los nombres de dominio que no sern filtrados Es importante
tener en cuenta que el nombre de dominio no debe incluir http:// o www.
exceptioniplist contiene una lista de las direcciones IP de los clientes a los que se permite el acceso
sin restricciones. este sera el caso de la direccin IP del administrator.
exceptionuserlist lista de los nombres de usuarios que no sern filtrados en el caso de utilizar control
de acceso por usuario. Requiere autenticacin bsica o "ident".
exceptionphraselist lista de las frases que, si aparecen en una pgina web, pasar el filtro.
!.Definir gru"os
0uede que queramos definir ciertas reglas de filtrado dependiendo del usuario$ 0ara ello seguiremos
los siguientes pasos 'en nuestro e<emplo usaremos dos grupos, aunque todo esto es generali,able
hasta CC grupos, lo que es imposible de mantener*$
0rimero &amos a crear dos directorios, uno para cada grupo, a saber1
/etc/dansguardian/f1
/etc/dansguardian/f2
Dentro de cada uno de estos directorios, pondremos las reglas de filtrado espec+ficas para cada
grupo1
cp -r /etc/dansguardian/lists /etc/dansguardian/f1
cp -r /etc/dansguardian/lists /etc/dansguardian/f2
hora, para no aligerar un poco el directorio DetcDdansguardian, &amos a meter los directorios fE y
fF en DetcDdansguarianDlists$
mv /etc/dansguardian/f1 /etc/dansguardian/lists/
mv /etc/dansguaridian/f2 /etc/dansguardia/lists/
;ambi/n &amos a crear los ficheros de configuraci(n de cada grupo$ Inicialmente ya existe
dansguardianfE$conf 'para el grupo E, por defecto*$ partir de este &amos a crear el segundo$
cp /etc/dansguardian/dansguardianf1.conf /etc/dansguardian/dansguardianf2.conf
Debemos modificar el contenido de dansguardianfE$conf y dansguardianfF$conf, para que importen
las reglas desde DetcDdansguardianDlistsDfE y DetcDdansguardianDlistsDfF respecti&amente$ 0odemos
hacer esto utili,ando gedit$
hora, &amos a modificar el fichero dansguardian$conf para lo siguiente1
E$ Que dansguardian sepa que hay dos grupos$
F$ 0ara poder establecer una equi&alencia entre ciertas ips y cada uno de los grupos$
Bodificamos las siguientes l+neas en DetcDdansguardianDdansguardian$conf
filtergroups=2
authplugin = '/etc/dansguardian/authplugins/ip.conf' # descomentar
esta lnea
hora solo queda asociar cada ip a cada grupo$ %sto podemos hacerlo en el fichero que se indica
en DetcDdansguardianDauthpluginsDip$conf, es decir en DetcDdansguardianDlistsDauthpluginsDipgroups$
ll+ escribiremos algo como lo siguiente1
172.16.0.51=filter1
172.16.0.52=filter2
Gecho esto, reiniciamos DansGuardian, y deber+a diferenciar entre los dos grupos$ 0ara
comprobarlo, a6adiremos en las reglas de cada grupo, un sitio diferente$ 0or e<emplo, a6adir en DetcD
dansguardianDlistsDfEDbannedsitelist la siguiente l+nea
sitioE$com
hora a6adiremos la siguiente l+nea en DetcDdansguardianDlistsDfFDbannedsitelist1
sitioF$com
5einiciamos Dansguardian, y a hacer pruebas$