DansGuardian: fiItro de contenidos

SOFTWARE - General
dimarts, 20 de novembre de 2007 13:14
0
There are no translations available.

Descubre la utilidad DansGuardian, como un filtro de contenido de sitios web muy potente..
DansGuardian: fiItro de contenidos
1 Introduccin
Presentamos y estudiamos la utilidad DansGuardian (http://dansguardian.org/) como un filtro de contenido de sitios web muy potente
que trabaja conjuntamente con el servidor proxy SQUD, u otro proxy cach similar, presente en la red local.
DansGuardian se sita o acta entre el navegador cliente y el proxy, interceptando y modificando la comunicacin entre ambos. De esta forma
facilita la tarea de filtrado de pginas visitadas por el usuario desde el equipo cliente, cuya utilizacin puede ser de especial inters en el aula, e
incluso en el propio domicilio.
2 Caractersticas de DansGuardian
La herramienta DansGuardian es cdigo abierto, est desarrollada en C++ y permite una configuracin flexible adaptndose a las necesidades
del usuario.
Al instalar el paquete la configuracin por defecto ya limita las visitas a pginas prohibidas para menores, pero dispone de gran cantidad de
archivos de configuracin para llevar a cabo un ajuste del servicio mas personalizado.
El mecanismo es el siguiente: los clientes mediante sus navegadores web hacen peticiones de pginas que son recibidas por DansGuardian y slo
son redireccionadas al servidor proxy
SQUD aquellas que superan la fase de
filtrado.

En realidad DansGuardian se ejecuta
como un demonio independiente del proxy, acepta peticiones en el puerto 8080 y las redirecciona al proxy SQUD, que escucha en
el puerto 3128.
Por lo tanto, cuando una peticin entra por el puerto 8080, DansGuardian la filtra y la pasa al
proxy SQUD por el puerto 3128. Es importante, en consecuencia, que ningn otro servicio est
utilizando el puerto 8080.

Si el resultado del filtrado (dependiendo de los filtros configurados) es una denegacin de acceso a una determinada pgina web se muestra al
usuario el mensaje correspondiente al 'Acceso Denegado'.
Si DansGuardian est en la mquina que hace de cortafuegos y se configura un proxy transparente
1
en SQUD, habr que redireccionar todo el
trfico saliente en el cortafuegos del puerto 80 al puerto 8080. Es decir, se capturan todas las peticiones que se hagan a un servidor http (peticin
de pginas web) y se envan a DansGuardian (8080) para que se encargue del filtrado. En el apartado 3.5 se incluye la regla ptables asociada a
esta accin.
En realidad el proxy transparente requiere configurar el cortafuegos para que reenve todas las peticiones que se hagan a un puerto 80 hacia el
puerto 3128 que utiliza SQUD, pero como se ha interpuesto DansGuardian entre ambos, es ste quien recibe la peticin y la filtra.
La instalacin y configuracin se debe hacer como usuario administrador root o como un usuario 'sudo'
2
.
En el caso de acceder a pginas seguras que utilizan el protocolo https (puerto 443) tambin debern ser redirigidas.
InstaIacin y configuracin bsica
cliente web -> DansGuardian -> Squid -> servidor

1 InstaIacin de SQUID
Con la herramienta Synaptic (Sistema -> Administracin -> Synaptic) instalar la versin disponible en el repositorio de Edubuntu, que es la 2.6.5.
Si durante la instalacin del paquete aparece el mensaje FATAL: Could not determine fully qualified hostname. Please set 'visible_hostname' ,
quiere decir que el usuario debe incluir en el archivo de configuracin etcsquidsquid.conf la directiva visible_hostname y relanzar el servicio. La
aplicacin se ha instalado correctamente pero no se ha podido lanzar el servicio por este motivo.
sudo gedit etcsquidsquid.conf
visible_hostname nombre_de_la_maquina
Salir salvando los cambios y relanzar el servicio:
sudo etcinit.dsquid restart
2 InstaIacin de DansGuardian
Para instalar el paquete Ubuntu de DansGuardian se debe tener disponible el repositorio &niverse. Se puede comprobar que est disponible
utilizando la herramienta Synaptic y con ella buscar dicho paquete y proceder a su instalacin.
La versin disponible es la 2.8.0. La figura siguiente muestra el paquete ya instalado.

DansGuardian tambin puede ser utilizado como antivirus actuando conjuntamente con Clamav, pero esta configuracin no es el objetivo del
presente artculo. Es posible que si no se dispone de clamav en el equipo el sistema devuelva algn mensaje de advertencia de esta situacin.
Configuracin de DansGuardian
El archivo de configuracin de DansGuardian es etcdansguardiandansguardian.conf. Para editar dicho archivo ir
a: ApIicaciones -> Accesorios -> Editor de textos que abre la aplicacin gedit para modificar
la configuracin por defecto de DansGuardian.
Como se trata de un archivo de configuracin del sistema slo un usuario sudo puede hacerlo,
por lo que, al editarlo desde el entorno grfico, no es posible grabar las modificaciones hechas
sobre l. Una solucin es ejecutar desde una terminal de texto la siguiente orden:
sudo gedit etcdansguardiandansguardian.conf
Pasos para la configuracin:
1. Establecer la lnea que contiene la directiva UNCONFGURED como un comentario.
Para ello aadir al principio de la lnea el carcter '#'.
#UNCONFIGURED - Please remove this line after configuration
2. Si no se est trabajando con el antivirus modificar la lnea correspondiente
desactivando la opcin y comentar la indicada:
virusscan off
#virusengine 'clamav'
3. En la seccin 'Network Settings' comprobar que estn las lneas siguientes:
filterport 8080
proxyip 127.0.0.1
proxyport 3128
4. Esta sera la configuracin para una mquina aislada, tambin llamada standalone o
desktop. En el caso de tratarse de un aula con varias mquinas cliente que salen a
nternet a travs de un servidor de aula, habra que modificar el valor dado en 5roxyi5
por la direccin P de la tarjeta de red del servidor que escucha dentro del aula.
5. Modificar el idioma por defecto. Para ello sustituir el ingls por 'spanish' y dejar las
lneas como sigue:
languagedir 'etcdansguardianlanguages'
# language to use Irom languagedir.
language 'spanish'
6. Salir de gedit salvando los cambios.
7. Reiniciar el servicio dansguardian ejecutando la orden:
sudo etcinit.ddansguardian restart
Para hacer una primera prueba de funcionamiento habr que cambiar la configuracin del navegador para usar como proxy la direccin del
servidor pero con eI puerto 8080.
En el caso de que se trate de una mquina aislada la direccin del proxy ser la propia mquina, que deber tener instalado SQUD.
Ahora ir a: ApIicaciones -> Internet -> Navegador web Firefox y en la opcin de men Editar -> Preferencias ir en la pestaa Red a Configurar
Ia conexin. Por defecto la conexin a nternet es directa y habr que dejarla como indica la figura. Tambin es vlido utilizar como direccin P la
propia de la tarjeta de red y no la interfaz de loopback (lo).


Si ahora como prueba, el usuario hace una bsqueda con la palabra 'chicas' en Google y accede al primer enlace, se muestra la siguiente ventana:

l intentar acceder a alguna direccin 'inapropiada' obtendremos el mensaje de aviso
correspondiente.
Configuracin de SQUID
Desde el punto de vista de SQUD, DansGuardian es como un cliente web 'normal', pero lo que no debe hacer SQUD es permitir que ningn
navegador se conecte directamente a l 'puenteando' a DansGuardian.
Para ello el acceso al puerto de SQUD 3128 debe estar bloqueado mediante cortafuegos o
mediante una regla de PTABLES.
En realidad SQUD no requiere ningn tipo de configuracin, a menos que funcione como proxy
transparente. La ventaja de utilizar un proxy transparente es que funciona perfectamente en
entornos heterogneos, es decir, con mquinas Windows, Linux, MAC, etc, pero tiene el
inconveniente de que requiere una configuracin 'especial' en SQUD.
En el artculo se trabaja con la redireccin de puertos en el servidor (si lo hay) o en la mquina
aislada, y que ya se ha comentado. (puerto 3128 -> puerto 8080). El motivo es que el mtodo
'proxy transparente' requiere conocimientos avanzados de SQUD.
Pero la redireccin de puerto no impide que el navegador web pueda 'saltarse' el filtro de
contenido simplemente modificando las preferencias. Es necesario, entonces, impedir la salida
directa a nternet. Para ello el mtodo mas seguro es la utilizacin de reglas de PTABLES.
UtiIizacin de IPTABLES
Para evitar que los usuarios se salten el filtro, tendremos que usar PTABLES.
Una regla sencilla que fuerza a pasar por el filtro a las peticiones que vienen por la interfaz interna (eth0) sera:
#iptables -t nat - PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-port 8080
La regla indica que, utilizando la tabla nat, todas las peticiones que vengan desde eth0 y que tengan como puerto destino el 3128 (SQUD) sean
redirigidas al puerto 8080 (dansguardian).
Esta regla es ineludible.
Si se tiene SQUD configurado para proxy transparente habr que redireccionar todo el trfico al puerto 80 hacia el puerto 8080. Y en este caso,
podemos aadir tambin:
#iptables -t nat - PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
Pueden convivir ambas reglas PTABLES.
Confi guracin avanzada: mtodos de fiItrado
DansGuardian utiliza un sistema de peso de las frases (etcdansguardianphraselists) para mejorar el objetivo de bloqueo y permite filtrar por un
gran nmero de criterios.
Los mtodos utilizados son:
1. Realizar filtros utilizando el sistema de etiquetas PICS (Platform for nternet Content Selection).
2. Filtrar comprobando que las extensiones de los archivos y los tipos MIME no estn en una lista de extensiones y tipos MME
prohibidos.
3. Filtrar de acuerdo con las URLs, incluyendo expresiones regulares.
4. Trabajar con Iistas bIancas y Iistas negras
Compara el contenido de las pginas con el de una lista de palabras prohibidas. Esta lista contiene palabras asociadas con la pornografa y otros
contenidos no deseados. Todos estos mtodos se apoyan en la utilizacin de unos archivos de filtros que almacenan frases, palabras, URLs, etc,
cuyo acceso queda prohibido.
Archivos de fiItros en etcdansguardian
Archivo Descripcin
bannedphraseIist contiene una lista de frases prohibidas. Las frases deben estar
entre <>. Por defecto incluye una lista ejemplo en ingls. Las frases
pueden contener espacios. Se puede tambin utilizar
combinaciones de frases, que si se encuentran en una pgina,
sern bloqueadas.
bannedmimetypeIist contiene una lista de tipos MME prohibidos. Si una URL devuelve
un tipo MME incluido en la lista, quedar bloqueada. Por defecto
se incluyen algunos ejemplos de tipos MME que sern
bloqueados.
bannedextensionIist contiene una lista de extensiones de archivos no permitidas. Si una
URL termina con alguna extensin contenida en esta lista, ser
bloqueada. Por defecto se incluye un archivo ejemplo que muestra
como denegar extensiones.
bannedregexpurIIist contiene una lista de expresiones regulares
3
que si se cumplen
sobre la URL sta ser bloqueada.
bannedsiteIist contiene una lista de sitios prohibidos. Si se indica un nombre de
dominio todo l ser bloqueado. Si se quiere slo bloquear partes
de un sitio hay que utilizar el archivo bannedurllist. Tambin se
pueden bloquear los sitios indicados exeptuando los dados en el
archivo exceptionsitelist. Existe la posibilidad de descargarse listas
negras tanto de sitios como de URLs y situarlas en los archivos
correspondientes. Estn disponibles en
http://dansguardian.org/?page=extras.
bannedurIIist
permite bloquear partes especficas de un sitio web.
bannedsitelist bloquea todo el sitio web y
sta slo bloquea una parte.
banneduserIist lista de los nombres de usuario que estarn
bloqueados.

Archivos de excepciones en etcdansguardian
Archivo Descripcin
exceptionsiteIist contiene una lista de los nombres de
dominio que no sern filtrados Es importante
tener en cuenta que el nombre de dominio
no debe incluir http:// o www.
exceptionipIist contiene una lista de las direcciones P de
los clientes a los que se permite el acceso
sin restricciones. este sera el caso de la
direccin P del administrator.
exceptionuserIist lista de los nombres de usuarios que no
sern filtrados en el caso de utilizar control
de acceso por usuario. Requiere autenticacin
bsica o "ident".
exceptionphraseIist lista de las frases que, si aparecen en una
pgina web, pasar el filtro.
CIasificacin de contenidos
Existen diferentes sistemas de clasificacin de contenidos. De ellos es muy conocido el sistema de etiquetas PICS (Plataforma para la Seleccin
de Contenido de nternet) que permite que cualquiera pueda etiquetar un contenido. PCS utiliza dos
mtodos de clasificacin:
O Clasificacin llevada a cabo por los propios creadores de las pginas web.
O Clasificacin llevada a cabo por terceros: en este caso la clasificacin no est contenida
en la propia pgina, sino en archivos o en servidores a los que debe acceder el usuario.
El archivo etcdansguardianpics permite al usuario hacer un ajuste 'a la carta' del filtro de PCS. El archivo est estructurado en base a secciones
PCS y cada seccin contiene una descripcin de las configuraciones permitidas. Las configuraciones predeterminadas de DansGuardian estn
pensadas para menores. Por ejemplo, los chats no estn permitidos sino estn moderados.
En el caso de la seccin ICRA, valor 0 significa que no hay nada permitido en esta categora y valor 1 est permitido.
Por ejemplo:
ICRmoderatedchat 1 #permite el chat moderado
La seccin RSAC (versin antigua de CRA, http://www.rsac.org/) contiene valores que varan de 0 (nada permitido) pasa por 2 (valor
predeterminado) hasta 4, que permite todo en la categora.
RSCviolence 2
La seccin evaIuWEB utiliza un sistema de calificacin del tipo de las pelculas inglesas:
O 0 = U (Universal, para todas las edades)
O 1 = PG (recomendada la presencia de los padres)
O 2 = 18 (slo para mayores de 18 aos)
La seccin SafeSurf (http://www.safesurf.com/) es parecida a RSAC, pero el rango de categoras es mas amplio (desde 0 para filtrar todo, hasta 9
para permitir todo).
SafeSurfintolerance 3
Otras secciones son Weburbia (http://www.weburbia.com/safe/index.shtml), Vancouver Webpages (http://vancouver-webpages.com/VWP1.0/),
etc, que utilizan otros sistemas de clasificacin.
6 Archi vos adicionaIes de fiItros para DansGuardian
Adems de las listas incluidas por defecto el usuario puede encontrar en http://urlblacklist.com/ archivos con filtros compatibles con
DansGuardian organizados por categoras.
Vamos a descargar el archivo bigblacklist.tar.gz y lo copiamos a etcdansguardian. Ahora lo descomprimimos con:
sudo tar xvzf bigblacklist.tar.gz
Por ltimo modificamos los archivos de filtros etcdansguardianbannedsitelist y etcdansguardianbannedurllist para activar los filtros que nos
interesen.
El usuario puede encontrar tambin informacin sobre filtros adicionales en http://dansguardian.org/?page=blacklist.
Interfaz grfica
En la distribucin Edubuntu 7.04 Feisty Fawn no se incluye ninguna interfaz grfica para la configuracin de los filtros activos para DansGuardian.
No hay otra opcin que editar 'a mano' los archivos de filtros y quitar o aadir aquellas palabras, direcciones, expresiones regulares, etc, que le
interese filtrar al usuario.
Existe una distribucin Linux, basada en Edubuntu 7.04, llamada Ubuntu CE v2 (Ubuntu Christian Edition http://www.christianubuntu.com) que
incluye una herramienta para esta configuracin llamada dansguardian-gui-ubuntu.
Esta herramienta requiere un conjunto de aplicaciones y libreras adicionales (gambas-runtime, qt, tinyproxy, etc) que no estn incorporadas, de
serie, en la versin de Feisty que utiliza GNOME y que es la que se est utilizando como base de esta serie de artculos.
Para su utilizacin hay que descargar de dicha web el archivo install_dansguardian_gui_feisty.tar.gz que hace una instalacin de la herramienta con
todas sus dependencias, pero que slo es vlido para la distribucin Edubuntu 7.04 Feisty que es la utilizada en esta seccin.
Al desempaquetar el archivo tar crea una carpeta install_dansguardian_gui_feisty con un archivo ReadMe y otro install_me. Seguir las instrucciones
para la instalacin. Hay que tener en cuenta que la instalacin de esta herramienta deshabilita la utilizacin del proxy cach SQUD y lanza uno
que incorpora ella llamado tinyproxy.
Es necesario rearrancar el sistema despus de la instalacin para que los cambios sean efectivos. Tambin hay que comprobar si las
modificaciones hechas por el usuario en el archivo de configuracin de DansGuardian permanecen. Por ejemplo, comprobamos que, de nuevo, ha
cambiado el idioma a ingls.
Para acceder a la interfaz hay que ir a Sistema -> Administracin -> Configure ParentaI ControIs y se muestra la ventana siguiente:

La herramienta dispone de dos pestaas Basic y Advanced, desde donde el usuario puede configurar el nivel de filtro deseado (por defecto es
estricto), activar y desactivar el servicio dansguardian, bloquear o no el proxy Firefox, configurar listas negras, listas blancas, etc.
En realidad lo que hace es editar los archivos de configuracin explicados en el apartado 4 y permitir las modificaciones sobre los valores actuales.
Salvando los cambios desde el editor tenemos disponibles los nuevos filtros.
Al 'Salvar y Salir' se desactiva y vuelve a activar el servicio para obligar a que lea sus archivos de configuracin modificados.
La utilizacin de esta interfaz facilita mucho la tarea de filtrado ya que no se requiere ningn tipo de configuracin adicional, ni regla de PTABLES,
etc, y por tanto resulta especialmente interesante para aulas de infantil y primaria as como para el domicilio familiar.
Hay que tener en cuenta que la instalacin de la aplicacin DansGuardian junto con su proxy e interfaz grfica puede realizar modificaciones en el
sistema, ya que es un paquete que est preparado para trabajar sobre Edubuntu Feisty Fawn 7.04, pero que no va integrado de serie ni incluido en
los repositorios oficiales de Ubuntu.
Si el usuario quiere llevar a cabo la desinstalacin completa de la herramienta debe ejecutar las siguientes rdenes:

apt-get --purge remove --assume-yes "dansguardian"
apt-get --purge remove --assume-yes "tinyproxy"
apt-get --purge remove --assume-yes "clamav"
apt-get --purge remove --assume-yes "firehol"
apt-get --purge remove --assume-yes "dansguardian-gui-ubuntu"





Con ellas eliminamos completamente la propia herramienta as como el cortafuegos, el proxy, el antivirus y la interfaz grfica que incorpora.
8 ConcIusin
A lo largo del artculo se ha explicado como descargar e instalar la herramienta DansGuardian cuyo objetivo es el filtrado de pginas web en
relacin a un conjunto de criterios. Se trata de un tema de gran inters tanto a nivel familiar como a nivel escolar ya que, con una herramienta de
este tipo es posible llevar un mejor control sobre el tipo de contenidos web a los que permitimos acceder a nuestros menores.
Siguiendo el criterio de acercamiento del usuario al mundo GNU/Linux y dado que Ubuntu no incluye una interfaz grfica para la gestin de filtros
de contenidos, el artculo hace una sencilla descripcin acerca de la instalacin y uso de la interfaz grfica de DansGuardian que ha adaptado la
distribucin Ubuntu CE v.3.2 y que funciona perfectamente en Edubuntu Feisty 7.04.
El usuario puede comprobar la sencillez de uso de dicha interfaz que permite la configuracin personalizada de todos los archivos de filtros
incluidos.
[1] Es un proxy que no necesita ninguna configuracin especial en los navegadores y se llama transparente porque el navegador no sabe que lo
est usando, es transparente para l.
[2] Usuario sudo: se trata de un usuario con privilegios de administrador para determinadas tareas del sistema.
[3] Expresin regular (regexp): son una herramienta para definir patrones de bsqueda y reemplazo.
(www.zonasiete.org)