1 00:00:00,000 --> 00:00:12,599 hola a todos vamos a hablar en este vídeo de tanto script como también de las acl es 2 00:00:12,599 --> 00:00:16,719 vamos a empezar primero con la implementación con script en linux 3 00:00:20,719 --> 00:00:26,280 definir qué es empezar con lo básico es que es un programa que convierte un ordenador en un 4 00:00:26,280 --> 00:00:31,719 servidor proxy. ¿Y qué significa eso exactamente? Pues significa que ese ordenador va a actuar como 5 00:00:31,719 --> 00:00:37,460 intermediario entre los usuarios y las páginas web de internet. En vez de que los usuarios salgan 6 00:00:37,460 --> 00:00:44,280 directamente a internet, primero pasan por Skid, Skid recibe la perición, la analiza, decide si la 7 00:00:44,280 --> 00:00:51,340 permite o no y después la envía al servidor destino. Además puede guardar una copia de lo que se 8 00:00:51,340 --> 00:00:57,780 descarga y eso es lo que llamaríamos cache. Es importante entender que Skid no es un navegador 9 00:00:57,780 --> 00:01:03,380 ni un firewall puro, es un servicio que trabaja en segundo plano gestionando el tráfico web. 10 00:01:06,069 --> 00:01:14,209 Con respecto a los beneficios, ¿por qué usar Skid? Skid primero mejora la velocidad. Imaginemos 11 00:01:14,209 --> 00:01:20,590 que 20 alumnos entran en la misma máquina web, entonces sin proxy la página se descarga 20 veces 12 00:01:20,590 --> 00:01:23,650 desde Internet. Con Skid se descarga una vez 13 00:01:23,650 --> 00:01:26,489 y las demás veces se sirve desde la copia guardada. 14 00:01:27,290 --> 00:01:29,069 Segundo, además, ahorra el ancho de banda. 15 00:01:29,689 --> 00:01:31,950 Esto es importante cuando la conexión 16 00:01:31,950 --> 00:01:35,670 a Internet es limitada. Tercero, mejora 17 00:01:35,670 --> 00:01:38,530 la seguridad. Podemos bloquear páginas, restringir 18 00:01:38,530 --> 00:01:41,810 horarios y obligar a los usuarios a identificarse. 19 00:01:42,189 --> 00:01:44,049 Y cuarto, podemos hacer también que 20 00:01:44,049 --> 00:01:47,489 pueda ser un proxy transparente, lo que significa 21 00:01:47,489 --> 00:01:49,930 que el usuario ni siquiera sabe que está usando un proxy. 22 00:01:50,590 --> 00:02:14,289 Con respecto a las características de Skid, aquí vemos funciones técnicas importantes. Modo caché transparente, que significa que puede interceptar tráfico sin configuración manual en el navegador. Aceleración HTTP, que puede mejorar el rendimiento de servidores web internos. Cache HTTPS, aunque HTTPS va cifrado, Skid puede gestionar conexiones mediante túneles. 23 00:02:14,289 --> 00:02:18,830 Y luego control de IP y usuario, en el que podemos decidir quién navega y quién no. 24 00:02:20,590 --> 00:02:42,110 Skid está pensado principalmente para Linux. Esto significa que normalmente se instala en un servidor Ubuntu. Debian o similar. También existe versión para Windows, pero en entornos profesionales casi siempre se usa en Linux. Además, herramientas como PFSense y Cential lo incorporan con interfaz gráfica. 25 00:02:42,110 --> 00:03:05,960 Y con respecto a la instalación, instalar Skid es sencillo. En Ubuntu o Debian usamos sudo apt-get install skid y cuando termina el servicio ya lo tenemos instalado, no hay mucho más. Muy importante el archivo de configuración principal que estaría en esta ruta que aparece aquí, que sería etc.skid.conf. Aquí es donde vamos a trabajar casi todo el tiempo. 26 00:03:05,960 --> 00:03:14,599 En cuanto a los archivos de registro, los logs son los registros de lo que ocurre. 27 00:03:15,020 --> 00:03:25,080 En barra log barra skid tenemos que encontrar archivos que registran quién accede, a qué página, a qué hora y si fue permitido o bloqueado. 28 00:03:25,180 --> 00:03:28,939 Esto es fundamental para mecanismos de auditoría. 29 00:03:32,379 --> 00:03:36,159 En cuanto a los comandos de gestión en skid, skid es un servicio del sistema. 30 00:03:36,159 --> 00:03:41,979 Entonces podemos iniciarlo con start, skid start, con skid stop y reiniciarlo con restart. 31 00:03:42,319 --> 00:03:45,819 Siempre que cambiemos la configuración debemos reiniciarlo. 32 00:03:45,939 --> 00:03:49,699 También podemos determinar la versión instalada con el skid guión v. 33 00:03:52,860 --> 00:03:58,199 Si cometemos un error en skid.conf, skid puede no arrancar. 34 00:03:58,340 --> 00:04:03,780 Entonces para comprobar errores, ¿qué usamos? Pues skid guión k parse. 35 00:04:03,780 --> 00:04:08,759 Y para ver más detalles, pues haríamos un skid guión de 5. 36 00:04:08,819 --> 00:04:12,000 Aquí, cuanto mayor es el número, más información muestra. 37 00:04:12,099 --> 00:04:14,919 Si pusiéramos un 9, sería el más detallado de todos ellos. 38 00:04:17,670 --> 00:04:24,769 En cuanto al inicio automático, podemos decidir si es que te arranca automáticamente cuando se enciende el servidor. 39 00:04:25,589 --> 00:04:29,850 Esto es importante en entornos empresariales donde el proxy debe estar siempre activo. 40 00:04:30,370 --> 00:04:33,689 Aquí, cómo habilitarlo y cómo deshabilitarlo. 41 00:04:33,790 --> 00:04:38,990 No tenéis aquí ni cada uno de los comandos para realizar una opción u otra. 42 00:04:38,990 --> 00:05:02,750 En cuanto a la gestión con sistema CTL, en sistemas modernos usamos CTL para arrancarlo, aquí lo veis, start, stop, para pararlo, para restaurarlo y para ver el estatus. Esto es la forma estándar de un Linux actual. Veis aquí lo que he dicho antes de comprobar los errores de configuración que se hace con skip-kparsen. 43 00:05:02,750 --> 00:05:07,100 Parse. Parámetros clave 44 00:05:07,100 --> 00:05:08,279 en Skip 45 00:05:08,279 --> 00:05:10,660 aparecerán en skip.conf 46 00:05:10,660 --> 00:05:12,660 y hay muchas líneas, pero estas son 47 00:05:12,660 --> 00:05:14,600 las básicas, que serían el HTTP port 48 00:05:14,600 --> 00:05:16,519 que sería el puerto donde se escucha el servicio 49 00:05:16,519 --> 00:05:17,839 que sería el 3128 50 00:05:17,839 --> 00:05:20,360 3128, también el 51 00:05:20,360 --> 00:05:22,000 access log, donde define 52 00:05:22,000 --> 00:05:24,300 donde se guardan los registros 53 00:05:24,300 --> 00:05:26,300 y el error-directory 54 00:05:26,300 --> 00:05:28,459 en el que define el idioma de los 55 00:05:28,459 --> 00:05:29,879 mensajes de error 56 00:05:29,879 --> 00:05:34,139 En cuanto al registro de accesos, access log 57 00:05:34,139 --> 00:05:39,220 Guión bajo log indica el archivo donde se guarda la actividad. 58 00:05:39,939 --> 00:05:42,199 Entonces, para verlo en directo, ¿qué usamos? 59 00:05:42,279 --> 00:05:49,100 Usamos el tail en guión F, en barra bar, barra log, barra skid, barra acex.log. 60 00:05:51,579 --> 00:05:57,160 Si queremos que cuando se bloquee una página al mensaje salga en español, 61 00:05:57,160 --> 00:06:04,220 pues configuramos el error directory con la ruta en español, como aparece aquí. 62 00:06:04,220 --> 00:06:23,290 Bien, ¿qué es un proxy caché? Un proxy caché, lo indica aquí, guarda copias temporales de páginas web. ¿Esto qué evita? Pues descargar, lo que he dicho al principio de la charla, descargar repetidamente el mismo contenido. 63 00:06:23,290 --> 00:06:52,149 En cuanto a la configuración de memoria caché, aquí configuramos cuánto espacio usamos y utilizamos todos estos parámetros que aparecen aquí, como son el caché barra baja mem, que nos va a definir el tamaño de memoria caché en RAM, el maximum object size, que sería tamaño máximo de objetos almacenados, el reference age, que sería tiempo de almacenamiento de objetos, el caché dir, que sería el que especifica el tamaño que necesita Skid para el almacenamiento caché 64 00:06:52,149 --> 00:06:58,769 Y luego el caché MGR, que indica el correo del administrador. 65 00:07:01,209 --> 00:07:05,189 Aquí tenemos un ejemplo de configuración de memoria. 66 00:07:05,569 --> 00:07:09,129 Si ponemos caché MEM a 256 megas, 67 00:07:09,250 --> 00:07:13,069 pues significa que usamos 256 megas de RAM para caché. 68 00:07:13,550 --> 00:07:17,089 Es importante no poner más memoria de la disponible. 69 00:07:17,529 --> 00:07:20,189 Aquí aparecen las tres disposiciones. 70 00:07:20,189 --> 00:07:29,370 Veis aquí, tendríamos el Maximum Object Size, en el que está indicando que almacenará en caché objetos de hasta 4096 kilobites. 71 00:07:29,870 --> 00:07:39,610 En cambio, tenemos aquí el otro, que sería el Reference Age, en One Month, en el que nos indica el tiempo máximo que un objeto puede permanecer en la caché antes de ser eliminado o actualizado. 72 00:07:39,769 --> 00:07:45,189 En este caso, los objetos en caché pueden permanecer hasta un mes antes de ser considerados como obsoletos. 73 00:07:45,189 --> 00:07:54,310 obsoletos. En cuanto a la configuración del caché en disco, caché dir va a definir pues cuánto disco 74 00:07:54,310 --> 00:07:58,410 vamos a utilizar. Aquí tenemos un ejemplo en el que define la configuración de almacenamiento de caché 75 00:07:58,410 --> 00:08:05,589 en skid, en el que nos indica el que, nos va a indicar que 300 significará 300 megas de almacenamiento 76 00:08:05,589 --> 00:08:17,250 en disco. Aquí nos indica cómo en cada uno de los parámetros que utiliza, esta sería UFS, nos va a 77 00:08:17,250 --> 00:08:21,110 File System, que es el por defecto en Skid. 78 00:08:21,230 --> 00:08:24,089 Luego tenemos la ruta donde almacenar los archivos en caché, 79 00:08:24,189 --> 00:08:27,149 que será esta de aquí, bar, barra, spool, barra, Skid. 80 00:08:27,449 --> 00:08:28,829 Y luego tenemos el 300, que ya lo hemos dicho, 81 00:08:28,910 --> 00:08:32,870 que sean los 300 megabytes que va a poder de tamaño total de caché. 82 00:08:33,350 --> 00:08:36,110 El número de subdirectorios, que sería este de aquí, 16, 83 00:08:36,269 --> 00:08:38,809 de primer nivel, dentro del directorio de caché. 84 00:08:38,929 --> 00:08:42,309 Y los 256 serían de subdirectorios de segundo nivel. 85 00:08:45,009 --> 00:08:48,090 La optimización de la caché, pues cuanto mayor caché, 86 00:08:48,090 --> 00:08:52,289 Claro, mejor rendimiento, pero necesitaremos un espacio suficiente para ello. 87 00:08:54,389 --> 00:08:57,889 Una caché más grande permite almacenar más contenido y reducir el tráfico de Internet. 88 00:08:58,210 --> 00:09:02,429 Pero se recomienda siempre ajustar ese tamaño de caché según el almacenamiento que tengamos disponible. 89 00:09:03,710 --> 00:09:05,269 ¿Precaución en el uso de AdCaché? 90 00:09:05,429 --> 00:09:09,269 Pues las precauciones que vamos a tener es que si confirmamos más espacio que el que tenemos, 91 00:09:09,389 --> 00:09:10,990 pues es que va a fallar y se va a bloquear. 92 00:09:11,429 --> 00:09:16,509 Entonces, no establecer un caché mayor del espacio disponible en disco, en sentido común. 93 00:09:16,509 --> 00:09:20,889 la configuración básica de Skid 94 00:09:20,889 --> 00:09:22,750 ¿qué será? configuramos 95 00:09:22,750 --> 00:09:24,629 lo mínimamente funcional 96 00:09:24,629 --> 00:09:27,129 hay que decir que hay que dirigirse 97 00:09:27,129 --> 00:09:28,929 al archivo Skid 98 00:09:28,929 --> 00:09:31,190 dentro de esa ruta 99 00:09:31,190 --> 00:09:32,929 que sería el skid.conf 100 00:09:32,929 --> 00:09:35,149 donde se configuran los parámetros que aparecen 101 00:09:35,149 --> 00:09:36,809 aquí, por ejemplo el primero sería el puerto 102 00:09:36,809 --> 00:09:38,889 donde se escucha, que sería el 3128 103 00:09:38,889 --> 00:09:40,389 el segundo pues es 104 00:09:40,389 --> 00:09:43,049 una regla CL en el que luego lo veremos 105 00:09:43,049 --> 00:09:44,809 que define la red local 106 00:09:44,809 --> 00:09:47,350 permitida, esto de SRC 107 00:09:47,350 --> 00:09:48,929 viene de source, de fuente 108 00:09:48,929 --> 00:09:51,029 en cuanto a la tercera 109 00:09:51,029 --> 00:09:52,649 nos está diciendo que otra regla CL 110 00:09:52,649 --> 00:09:54,950 en el que nos permite el acceso a la red interna 111 00:09:54,950 --> 00:09:56,409 este de aquí 112 00:09:56,409 --> 00:09:58,769 y por último tenemos el tamaño de caché en memoria 113 00:09:58,769 --> 00:10:01,129 en el que vamos a proporcionarle 114 00:10:01,129 --> 00:10:02,970 256 megas 115 00:10:02,970 --> 00:10:06,960 aquí tenemos 116 00:10:06,960 --> 00:10:09,100 dentro de la configuración de proxy caché 117 00:10:09,100 --> 00:10:09,940 pues tenemos el que 118 00:10:09,940 --> 00:10:13,120 los ejemplos de lo que hemos visto 119 00:10:13,120 --> 00:10:14,679 anteriormente, veis 120 00:10:14,679 --> 00:10:16,480 aquí define el almacenamiento en disco 121 00:10:16,480 --> 00:10:19,879 con 700 megas, con directores de primer nivel 122 00:10:19,879 --> 00:10:22,799 y 256 de segundo nivel, aquí el tamaño 123 00:10:22,799 --> 00:10:25,720 máximo de los objetos caché, máximo 4096 124 00:10:25,720 --> 00:10:28,460 como lo hemos visto, el tiempo de almacenamiento que era un mes 125 00:10:28,460 --> 00:10:30,899 y la configuración de alertas para el administrador 126 00:10:30,899 --> 00:10:34,860 a través de este dominio 127 00:10:34,860 --> 00:10:37,340 de esta ruta, de este correo 128 00:10:37,340 --> 00:10:44,649 pasamos a los logs 129 00:10:44,649 --> 00:10:47,730 y el monitoreo de skid 130 00:10:47,730 --> 00:10:50,429 hay que decir que los tres principales logs son 131 00:10:50,429 --> 00:10:53,309 el access.log, el caché.log y el 132 00:10:53,309 --> 00:10:56,450 store.log. El primero sería el registro de accesos, 133 00:10:56,990 --> 00:10:59,289 el segundo sería la información interna y 134 00:10:59,289 --> 00:11:02,250 el tercero los objetos almacenados. Para 135 00:11:02,250 --> 00:11:05,250 visualizar estos logs, ya lo vimos en tiempo real, se realizaba a través 136 00:11:05,250 --> 00:11:12,210 de TAIL. Seguridad y control de acceso, pues 137 00:11:12,210 --> 00:11:15,009 es que permite aplicar reglas de seguridad en su configuración. 138 00:11:15,610 --> 00:11:18,190 Bloquear a través de las reglas ACL, que luego 139 00:11:18,190 --> 00:11:20,330 veremos. Bloquear sitios específicos, como aparece aquí. 140 00:11:21,350 --> 00:11:24,190 Luego veremos en qué consiste esta línea. Denegar 141 00:11:24,190 --> 00:11:25,909 acceso a sitios bloqueados 142 00:11:25,909 --> 00:11:28,110 y configurar 143 00:11:28,110 --> 00:11:30,070 autenticación de usuarios con LDAB 144 00:11:30,070 --> 00:11:31,090 o cuentas locales. 145 00:11:32,470 --> 00:11:34,190 Por tanto, las ventajas de Skid, pues tenemos 146 00:11:34,190 --> 00:11:36,350 una solución potente y flexible 147 00:11:36,350 --> 00:11:38,250 y que para implementar servidores 148 00:11:38,250 --> 00:11:40,570 proxy, mejora la velocidad de navegación, 149 00:11:40,950 --> 00:11:42,230 aumenta la seguridad de filtrado, 150 00:11:42,309 --> 00:11:44,269 lo hemos visto, y su configuración 151 00:11:44,269 --> 00:11:46,029 es altamente personalizable y adaptable 152 00:11:46,029 --> 00:11:48,129 a las necesidades que nosotros podamos tener. 153 00:11:49,389 --> 00:11:50,169 Conclusión, Skid 154 00:11:50,169 --> 00:11:51,549 es una solución eficaz, 155 00:11:52,029 --> 00:11:53,269 se instala de manera sencilla en Linux, 156 00:11:53,269 --> 00:11:57,009 tiene un control granular del tráfico de red 157 00:11:57,009 --> 00:11:59,090 y es compatible con diversas plataformas y herramientas. 158 00:11:59,169 --> 00:12:01,710 Hemos visto que también se puede realizar a nivel profesional en Windows. 159 00:12:03,450 --> 00:12:08,909 Bien, ¿qué nos queda de lo que quería hablar? 160 00:12:09,090 --> 00:12:11,870 Aparte de Skid, quiero hablar también de las reglas ACL 161 00:12:11,870 --> 00:12:14,149 que vas a aplicar en Skid. 162 00:12:15,009 --> 00:12:19,230 Bien, lo primero que decir, ¿qué son las reglas ACL? 163 00:12:19,230 --> 00:12:21,629 ACL significa Access Control List 164 00:12:21,629 --> 00:12:25,049 y es una lista que define una serie de condiciones. 165 00:12:26,009 --> 00:12:30,029 Pero, ojo, definir un ACL no bloquea nada por sí sola. 166 00:12:30,429 --> 00:12:34,870 Entonces, estas listas de control permiten filtrar y controlar el tráfico en un proxy. 167 00:12:35,370 --> 00:12:40,690 Se pueden usar para permitir o denegar acceso a sitios web, IPs, dominios, horarios 168 00:12:40,690 --> 00:12:43,590 y se definen con la sintaxis que aparece aquí. 169 00:12:43,590 --> 00:12:48,950 Primero sería la palabra ACL, luego sería el nombre de la lista de filtrado 170 00:12:48,950 --> 00:12:50,490 y luego los parámetros. 171 00:12:50,490 --> 00:13:04,129 El ACL va a indicar que estamos definiendo una lista de control de acceso. El nombre de la lista sería el identificador personalizado para esa lista. Esto luego se puede utilizar para referenciarla en otras reglas. 172 00:13:04,129 --> 00:13:18,350 El tipo de filtrado sería ACL, nombre lista, tipo de filtrado y parámetros. El tipo de filtrado nos definiría el tipo de criterio de filtrado que se va a aplicar, bien para un IP, bien para un dominio, para un puerto, para un URL, etc. 173 00:13:18,350 --> 00:13:44,889 Y los parámetros se especifican valores o condiciones que se aplicarán al tipo filtrado. Por ejemplo, dirigidos IP, dominios. Aquí tenemos tipos de ACLN Skid en el que vamos a ver el que tanto SRC, DST, DST Domain, URL-reggs y Time. 174 00:13:44,889 --> 00:14:04,330 Bueno, estos tipos, según hemos visto anteriormente, sería el tipo de filtrado. Estamos hablando de esta parte de aquí. Ponemos el ACL, el nombre de la lista y tendremos que saber cuáles son los tipos para primero filtrar el criterio de filtrado. 175 00:14:04,330 --> 00:14:06,929 Y luego, pues eso se acompañará de una serie de parámetros. 176 00:14:07,649 --> 00:14:11,929 Entonces, el primero sería SRC, que sería un filtrado por direcciones IP de origen, 177 00:14:12,029 --> 00:14:17,389 de source, mientras que Destiny, que sería DST, sería para direcciones IP de destino. 178 00:14:17,769 --> 00:14:20,870 Aquí tenemos varios ejemplos, una ACL, en el que la he llamado IP bloqueada, 179 00:14:21,169 --> 00:14:28,710 y en el que nos dice que el único dirección de origen sería esta que aparece aquí. 180 00:14:29,570 --> 00:14:32,769 Después nos pone un HTTP access, deny IP bloqueada, 181 00:14:32,769 --> 00:14:36,809 y esto lo que nos va a decir es que esa CL llamada IP bloqueada 182 00:14:36,809 --> 00:14:42,409 va a filtrar el tráfico proveniente de la IP y se le deniega el acceso. 183 00:14:43,769 --> 00:14:47,470 En cuanto a DST, sería de destino. 184 00:14:47,690 --> 00:14:50,450 Que tendríamos ahora a CL, le llamamos destino bloqueado 185 00:14:50,450 --> 00:14:53,029 y le tenemos DST y con la IP que aparece aquí. 186 00:14:53,330 --> 00:14:57,470 Después ponemos el HTTP access, destino bloqueado. 187 00:14:58,110 --> 00:15:03,389 Se va a bloquear el acceso a la dirección IP 200.200.200.10 188 00:15:03,389 --> 00:15:06,090 sin importar la IP de origen. 189 00:15:06,730 --> 00:15:09,210 ST-DOMIN es cuando hablamos de dominios. 190 00:15:09,289 --> 00:15:13,409 Y esos dominios siempre se añaden posterior al de ST-DOMIN 191 00:15:13,409 --> 00:15:15,049 con un punto delante. 192 00:15:15,129 --> 00:15:16,330 Esto no es un error, sino que aparece, 193 00:15:16,470 --> 00:15:18,389 se pone el dominio con el punto delante. 194 00:15:19,129 --> 00:15:21,070 Está negando el acceso a los dominios 195 00:15:21,070 --> 00:15:23,529 indicados sin importar la IP de destino. 196 00:15:24,470 --> 00:15:27,409 El URL-REGIS es un filtrado por expresiones regulares. 197 00:15:27,470 --> 00:15:55,389 Entonces aquí podemos establecer todas estas expresiones regulares que le he añadido al parámetro que hemos puesto. Ese tipo de expresiones regulares pueden terminar para todos los archivos que terminan en mp3, o para los .exe, o también hacer que la búsqueda no distinga entre mayúsculas y minúsculas, que sería el guión i. 198 00:15:55,389 --> 00:15:58,049 gotTime que sería filtrado por horarios 199 00:15:58,049 --> 00:15:59,669 pues entremos ahora, lo que hace es que 200 00:15:59,669 --> 00:16:02,250 va a filtrar por horario, estableciendo un 201 00:16:02,250 --> 00:16:03,809 vamos a poner esto 202 00:16:03,809 --> 00:16:04,789 que desaparezca 203 00:16:04,789 --> 00:16:08,190 un horario restringido 204 00:16:08,190 --> 00:16:08,669 se pone 205 00:16:08,669 --> 00:16:12,110 tanto los días de la 206 00:16:12,110 --> 00:16:13,870 semana, que se pondría en ese orden 207 00:16:13,870 --> 00:16:15,649 mtwhf 208 00:16:15,649 --> 00:16:18,269 y que se indicaría el lunes, martes, miércoles 209 00:16:18,269 --> 00:16:20,289 jueves y viernes en inglés, y luego tendríamos 210 00:16:20,289 --> 00:16:20,990 la hora 211 00:16:20,990 --> 00:16:24,350 de qué hora a qué hora, que aparecería 212 00:16:24,350 --> 00:16:34,580 aquí me sale que sería el horario restringido acl por ip origen sirve para aplicar reglas a 213 00:16:34,580 --> 00:16:40,500 una red concreta entonces para permitir acceso sólo a una red específica veis aquí que lo ha 214 00:16:40,500 --> 00:16:45,919 añadido define que los equipos de las redes tanto de esta ip como de esta de esta cosa de esta red 215 00:16:45,919 --> 00:16:54,919 como de esta otra red tanto la punto 1 como la punto 3 que tienen acceso cuando es por ip de 216 00:16:54,919 --> 00:16:56,860 destino, se pone el DST y está diciendo 217 00:16:56,860 --> 00:16:57,379 pues el que 218 00:16:57,379 --> 00:17:00,659 si queremos, en el ejemplo, bloquear 219 00:17:00,659 --> 00:17:02,639 el acceso a ciertas direcciones, primero con 220 00:17:02,639 --> 00:17:04,960 las direcciones de destino se ponen las direcciones que son 221 00:17:04,960 --> 00:17:05,940 y luego tenemos que 222 00:17:05,940 --> 00:17:08,380 se le dice que el acceso 223 00:17:08,380 --> 00:17:11,160 a esa regla, a institutos 224 00:17:11,160 --> 00:17:12,980 pues está totalmente denegado 225 00:17:12,980 --> 00:17:21,910 si estos servidores cambian 226 00:17:21,910 --> 00:17:23,930 de IP, la regla pues dejará de ser 227 00:17:23,930 --> 00:17:25,309 válida 228 00:17:25,309 --> 00:17:31,190 con respecto a 229 00:17:31,190 --> 00:17:33,529 CL por dominio, ahora estamos hablando de 230 00:17:33,529 --> 00:17:35,569 DST domain, para bloquear 231 00:17:35,569 --> 00:17:42,470 dominios en lugar de direcciones ip veis aquí en llama a esta cl institutos y le pone el parámetro 232 00:17:42,470 --> 00:17:50,869 de st domain y le dice pues que el dominio y es andaluz y el dominio y es austriana en el que le 233 00:17:50,869 --> 00:17:58,890 pone con el punto delante lo veis después dice que pues que se deniegue pues a esos dos dominios se 234 00:17:58,890 --> 00:18:04,430 deniegue el acceso pues a esa regla a institutos entonces esto evita problemas de ips cambiantes 235 00:18:04,430 --> 00:18:06,710 y bloqueo de sitios compartidos. 236 00:18:10,609 --> 00:18:12,529 Con respecto a las expresiones regulares, 237 00:18:12,670 --> 00:18:13,750 que les hemos visto anteriormente, 238 00:18:13,849 --> 00:18:16,569 para bloquear las URLs que contengan ciertas palabras. 239 00:18:17,089 --> 00:18:19,509 Entonces aquí veis, sería primero la palabra CL, 240 00:18:19,690 --> 00:18:23,069 luego le pone el nombre de la CL, que va a ser casinos, 241 00:18:23,490 --> 00:18:26,890 y posteriormente utiliza el parámetro URL-regs. 242 00:18:27,509 --> 00:18:29,029 ¿Qué nos está indicando aquí? 243 00:18:29,029 --> 00:18:35,289 Pues que ahora lo que está añadiendo es una ruta 244 00:18:35,289 --> 00:18:38,130 en el que contiene un fichero que sería palabras bloqueadas. 245 00:18:38,230 --> 00:18:40,509 Ese fichero va a tener una serie de palabras en su interior. 246 00:18:40,670 --> 00:18:45,569 Entonces, el archivo va a contener las palabras casino, juegos apuesta. 247 00:18:45,710 --> 00:18:46,390 Entonces, ¿qué hace? 248 00:18:46,569 --> 00:18:49,470 Estamos creando una ACL donde se llama casinos 249 00:18:49,470 --> 00:18:53,789 y que bloquea las URLs que tengan o coincidan con expresiones regulares 250 00:18:53,789 --> 00:18:57,450 definidas con el archivo de lo que hay dentro de palabras bloqueadas. 251 00:19:00,430 --> 00:19:03,890 En cuanto a ACL por horarios, está claro. 252 00:19:03,890 --> 00:19:15,930 En cuanto a la ACL por horario, tenemos que el ejemplo se hacía con el parámetro time, la llamada horario laboral, y aquí indica que tanto los lunes, los martes, los miércoles, los jueves y los viernes y de 9 a 7 y media. 253 00:19:16,069 --> 00:19:26,549 ¿Esto qué está haciendo? Está permitiendo, esto permite el acceso, a no ser que pongamos un HTTP access denied, el acceso solo de lunes a viernes y en un periodo de 9 a 7 y media. 254 00:19:29,339 --> 00:19:31,660 Activación de ACLs con HTTP access. 255 00:19:32,000 --> 00:19:34,680 Para permitir o denegar acceso con ACLs en SQL, 256 00:19:34,900 --> 00:19:36,660 pues se usa el HTTP access. 257 00:19:37,039 --> 00:19:38,779 Aquí tenemos estas tres reglas. 258 00:19:38,940 --> 00:19:40,380 Tenemos HTTP access hello, 259 00:19:40,839 --> 00:19:43,440 con el nombre de la lista que está permitiendo el acceso. 260 00:19:43,740 --> 00:19:44,920 Hello es permitir en inglés. 261 00:19:45,400 --> 00:19:49,799 HTTP access deny, en el que sería que lo bloquea, lo deniega. 262 00:19:50,339 --> 00:19:54,500 Y aquí añadiendo también una determinada... 263 00:19:55,019 --> 00:19:57,680 Este es un ejemplo con una determinada lista, 264 00:19:57,680 --> 00:20:09,400 Pero si veis, ha puesto aquí una exclamación. Esto está diciendo que está permitiendo el acceso a todo, a excepción del aula 1. Por eso es la exclamación que lo que hace es negarlo. 265 00:20:09,400 --> 00:20:28,500 Entonces aquí tenemos un ejemplo, está poniendo HTTP Access Denay, denegando a Aula 1, pero fuera de un horario laboral, porque está negando el horario laboral, está indicando que se denegará el acceso a la condición especificada. 266 00:20:29,380 --> 00:20:39,319 Es una CLE en el que probablemente presenta las IPs o la red de un aula, que sería el de Aula 1, que habrá sido definido anteriormente. 267 00:20:39,740 --> 00:20:49,160 Entonces, al negar con el símbolo de negación, de exclamación, el horario laboral, lo que indica es que la regla se aplicará fuera del horario laboral. 268 00:20:49,160 --> 00:21:02,700 O sea, que está denegando a la IP del aula 1, le está denegando el que el acceso siempre fuera del horario laboral. Por tanto, dentro del horario laboral sí tendrá acceso. 269 00:21:02,700 --> 00:21:08,059 en cuanto a las reglas finales en skid.conf 270 00:21:08,059 --> 00:21:10,180 pues a decir que skid evalúa las reglas 271 00:21:10,180 --> 00:21:13,880 esto es muy importante, las va a evaluar en orden de arriba a abajo 272 00:21:13,880 --> 00:21:16,660 y aquí, si no hay coincidencia 273 00:21:16,660 --> 00:21:19,039 continúa leyendo las reglas, pero 274 00:21:19,039 --> 00:21:22,700 ¿qué sucederá? cuando llega una regla en el que ya la cumple 275 00:21:22,700 --> 00:21:25,160 ahí se para y no seguirá leyendo todas las demás 276 00:21:25,160 --> 00:21:28,079 para evitar accesos indeseados 277 00:21:28,079 --> 00:21:32,019 imaginaos que empieza a leer y no hemos dado con la regla 278 00:21:32,019 --> 00:21:35,019 que queremos que, entonces, agrega al final siempre 279 00:21:35,019 --> 00:21:37,900 un http access deny all 280 00:21:37,900 --> 00:21:40,660 en el que lo que está diciendo es que deniegue todo 281 00:21:40,660 --> 00:21:44,119 esta regla no es necesario que llegue, si llega 282 00:21:44,119 --> 00:21:47,039 otra regla, el que era lo que nos interesaba y que estaba 283 00:21:47,039 --> 00:21:49,720 antes de esta, hará esa y no seguirá leyendo 284 00:21:49,720 --> 00:21:52,960 pero que sucede si no tenemos una regla 285 00:21:52,960 --> 00:21:55,500 en el que la hemos configurado de manera 286 00:21:55,500 --> 00:21:59,019 inadecuada, pues podrá llegar a esta línea 287 00:21:59,019 --> 00:22:00,720 no coincidirá con ninguna, llegará a esta línea 288 00:22:00,720 --> 00:22:04,559 y nos generará todo por defecto 289 00:22:04,559 --> 00:22:06,640 bien, la ubicación 290 00:22:06,640 --> 00:22:08,920 en el archivo de configuración 291 00:22:08,920 --> 00:22:09,720 tenemos que 292 00:22:09,720 --> 00:22:12,059 veis este comentario que aparece aquí 293 00:22:12,059 --> 00:22:14,599 este comentario en el archivo marca el lugar 294 00:22:14,599 --> 00:22:16,380 donde debes definir las reglas 295 00:22:16,380 --> 00:22:18,000 cuando abráis el archivo de configuración 296 00:22:18,000 --> 00:22:20,539 el script.conf 297 00:22:20,539 --> 00:22:22,700 pondrá una línea 298 00:22:22,700 --> 00:22:24,819 donde comentada con la almohadilla 299 00:22:24,819 --> 00:22:27,279 en el que pone insert your own rules 300 00:22:27,279 --> 00:22:28,880 en el que aquí es donde 301 00:22:28,880 --> 00:22:31,019 Podréis poner vuestras reglas 302 00:22:31,019 --> 00:22:32,740 Cualquier regla que pongas antes 303 00:22:32,740 --> 00:22:34,259 Va a ser ignorada 304 00:22:34,259 --> 00:22:36,539 Por las reglas preexistentes 305 00:22:36,539 --> 00:22:38,259 Entonces el orden es clave en Skid 306 00:22:38,259 --> 00:22:41,099 Ya que las reglas se procesarán de arriba a abajo 307 00:22:41,099 --> 00:22:45,069 Conclusión, las ACLs permiten 308 00:22:45,069 --> 00:22:46,430 Un control preciso 309 00:22:46,430 --> 00:22:48,349 Del acceso en Skid 310 00:22:48,349 --> 00:22:50,470 Se pueden definir filtros por IP 311 00:22:50,470 --> 00:22:52,410 Dominio, URL o tiempo 312 00:22:52,410 --> 00:22:55,349 La combinación de ACLs y HTTP Access 313 00:22:55,349 --> 00:22:57,289 Proporciona seguridad y flexibilidad 314 00:22:57,289 --> 00:22:59,210 Y es importante organizar las reglas 315 00:22:59,210 --> 00:23:01,930 adecuadamente para evitar errores.