OPTENET WEB FILTER Server 5.27.05 Guadalinex Manual de

Transcripción

OPTENET WEB FILTER Server
5.27.05
Guadalinex
Manual de Usuario
Rev 01-09-2008
2
ÍNDICE
1. introducción ................................................................................................................ 5 2. Nuevas características de la versión 5.27................................................................ 7 3. Instalación ................................................................................................................... 8 3.1. REQUISITOS DEL SISTEMA ............................................................................................................... 8 3.2. INSTALACIÓN .................................................................................................................................... 9 3.3. ARRANQUE Y PARADA .................................................................................................................... 22 3.4. ARRANQUE Y PARADA AUTOMÁTICOS JUNTO AL SISTEMA ............................................................. 25 3.5. CONFIGURACIÓN DE UN APPLIANCE BLUECOAT PARA QUE UTILICE OPTENET COMO SISTEMA
DE FILTRADO (ICAP) ................................................................................................................................... 26 3.6. CONFIGURACIÓN DE UN NETCACHE PARA QUE UTILICE OPTENET COMO SISTEMA DE FILTRADO
32 4. Conceptos básicos................................................................................................... 36 4.1. USUARIO ........................................................................................................................................ 36 4.2. GRUPO ........................................................................................................................................... 36 4.3. DIRECCIÓN IP ................................................................................................................................ 36 4.4. URL ............................................................................................................................................... 36 4.5. CATEGORÍA .................................................................................................................................... 37 4.6. REGLA ............................................................................................................................................ 38 5. Administración ......................................................................................................... 39 5.1. INTRODUCCIÓN .............................................................................................................................. 39 5.2. DOCUMENTACIÓN .......................................................................................................................... 40 5.3. CONFIGURACIÓN ............................................................................................................................ 41 5.4. AUTENTICACIÓN ............................................................................................................................. 44 5.5. CATEGORÍAS .................................................................................................................................. 56 5.6. CLASIFICACIÓN URLS ................................................................................................................... 58 5.7. REGLAS DE FILTRADO ................................................................................................................... 62 5.8. ACTUALIZACIONES ......................................................................................................................... 72 5.9. INFORMES ...................................................................................................................................... 73 5.10. IDENTIFICACIÓN ADMINISTRADOR ................................................................................................. 75 5.11. CONFIGURACIÓN AVANZADA .......................................................................................................... 76 5.12. GESTIÓN EN CLUSTER ................................................................................................................... 82 5.13. LICENCIA ........................................................................................................................................ 89 5.14. INFORMACIÓN DEL SISTEMA ........................................................................................................... 89 6. Problemas mÁs COMUNES ..................................................................................... 91 6.1. APARECE EL MENSAJE OPTENET SERVER ERROR... CUANDO INTENTO NAVEGAR ........................ 91 6.2. NO SE LOGRA ARRANCAR EL FILTRO ............................................................................................. 91 6.3. NO APARECEN LOS USUARIOS AL PULSAR EL BOTÓN REFRESCAR ............................................... 91 6.4. NO PUEDO ENTRAR EN LA ADMINISTRACIÓN DEL FILTRO .............................................................. 92 6.5. DEP CIERRA OPTENET SERVER EN W2003 SP1 ..................................................................... 93 ANEXOS............................................................................................................................ 95 1. administración de optenet server a través de una conexión segura (solo
plataforma Guadalinex) ................................................................................................... 96 2. Administración de optenet a través de la línea de comandos (optenet cli v1.0) 98 2.1. INTRODUCCIÓN .............................................................................................................................. 98 2.2. UTILIZACIÓN............................................................................................................................... 98 2.3. REFERENCIA DE COMANDOS ....................................................................................................... 101 2.4. PROBLEMAS MÁS COMUNES .............................................................................................. 108 3. CONFIGURACION DEL PROXY OPTENET ........................................................... 110 3.1. CONFIGURACIÓN DE UN PROXY ENCADENADO (CONFIGURACIÓN PROXY) ................................. 110 3.2. ADMINISTRACIÓN DEL OPTENET SERVER (ADMINISTRACIÓN OPTENET SERVER) ..................... 110 3.3. CONFIGURACIÓN DEL PUERTO (PUERTO PROXY) ....................................................................... 111 4. dESCRIPCIÓN DE LAS CATEGORÍAS DE OPTENET .......................................... 112 5. ICAP NOW ............................................................................................................... 116 6. Monitorización SNMP (Sólo plataforma Guadalinex) .......................................... 118 6.1. EJECUCIÓN DEL AGENTE SNMP ................................................................................................. 118 6.2. ARRANQUE AUTOMÁTICO ............................................................................................................. 119 3
6.3. CONFIGURACIÓN DEL AGENTE ..................................................................................................... 119 7. cgis de configuración avanzada ........................................................................... 119 7.1. RECARGAR ................................................................................................................................... 119 7.2. VOLCADO DE LOGS A DISCO (/CGI-BIN/FLUSHLOGS) .................................................................. 119 7.3. INFORMACIÓN DEL SISTEMA EN MODO TEXTO (/CGI-BIN/SYSINFOTXT) ....................................... 120 8. CONFIGURACIÓN DE MICROSOFT ISA 2004 ...................................................... 120 8.1. INTRODUCCIÓN ............................................................................................................................ 120 8.2. ACCESO A LOS SERVIDORES DE LICENCIAS Y ACTUALIZACIONES DE OPTENET
120 8.3. ACCESO A LA PÁGINA DE BLOQUEO POR DEFECTO ................................................... 123 4
1.
INTRODUCCIÓN
OPTENET es un sistema de filtrado que permite optimizar los recursos de Internet de la
empresa y el tiempo empleado en su utilización. Instalándolo en el servidor que da
conexión a su red conseguirá filtrar aquellas páginas de Internet que considere
inadecuadas así como monitorizar los accesos de sus usuarios.
Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre
con un proxy. El proxy garantiza que todas las peticiones web de la red pasen por él por
lo que OPTENET Server no tendrá más que acoplarse al proxy, para filtrar toda la red. Si
la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el proxy dichas
peticiones no se podrán filtrar de ninguna manera. El proceso mediante el cual OPTENET
se comunica con el proxy se consigue instalando una extensión (a partir de este
momento plugin) en dicho proxy o configurando su cliente ICAP si es que dicho proxy
tiene implementado ese protocolo. Cuando un usuario intenta acceder a una página web
éste solicita la página al proxy. Al llegar al proxy la petición es capturada por el plugin de
OPTENET Server y decide si dicha petición debe permitirse o no.
Para tomar esta decisión el servicio de OPTENET Server se basa en un conjunto de
reglas que define el administrador según los siguientes criterios:
Página solicitada (URL, tipo de archivo o tipo de contenido).
Usuario que realiza la petición (nombre y dirección IP) y grupo/s al que pertenece.
Momento en que se realiza la petición (día de la semana y hora).
Tipo de ficheros (música, vídeo, ejecutables,...).
Y también ofrece la posibilidad de definir manualmente las listas de URLs sobre
las que podremos permitir o bloquear el acceso.
Si el conjunto de reglas establece que la página solicitada debe permitirse la página se
muestra tal cual en el navegador del usuario. Por el contrario, si se decide que la petición
debe denegarse, al usuario se le muestra otra página que le advierte del bloqueo
ocurrido. A su vez este bloqueo queda registrado para una posible monitorización del uso
de la red.
La característica principal de OPTENET Server consiste en la categorización de
contenidos que ofrece el sistema. Mediante la combinación de una base de datos de
URLs previamente clasificados y un analizador multilingüe de contenidos OPTENET
Server es capaz de clasificar las páginas web en varias categorías que pueden
combinarse a la hora de definir las reglas de filtrado.
OPTENET Server puede funcionar como un servidor ICAP integrándose con todo tipo de
appliances o caches que soporten dicho protocolo (instalándose en plataformas
Windows, Guadalinex, Solaris y Aix), también puede instalarse junto con el proxy SQUID
2.5 en plataformas Guadalinex, Solaris y Aix también puede instalarse junto a un
Microsoft ISA Server, Microsoft Proxy Server o con el proxy OPTENET en plataformas
Windows. Su tecnología líder en la selección y filtrado de accesos a Internet va a permitir
controlar al máximo el uso que de Internet realicen todos los puestos conectados a la red.
Para gestionar el acceso a Internet OPTENET cuenta con cuatro niveles de filtrado:
♦ Filtrado en función de análisis semántico multilingüe del texto que aparece en la
página web. OPTENET analiza cada página en el momento de su descarga desde
Internet, permitiendo con ello un mayor nivel de seguridad.
♦ Filtrado basado en listas predefinidas con direcciones clasificadas manualmente por
especialistas.
5
♦ Filtrado basado en análisis de URL.
♦ Filtrado basado en listas predefinidas por el propio usuario.
Además, OPTENET Server cuenta con las siguientes características:
♦ Actualización automática de las listas.
♦ Personalización de las listas predefinidas.
♦ Administración vía WWW multidioma (inglés, francés, español, italiano y portugués)
6
2.
NUEVAS CARACTERÍSTICAS DE LA VERSIÓN 5.27
Estas son las nuevas características y mejoras que presenta la versión 5.27 respecto a
su predecesora la 5.25
•
•
•
•
•
•
Añadidas las categorías: Guías y callejeros, Arte y cultura, Info, Jurídicas, Bancos y
Entidades Financieras, Blogs, Pagar por navegar, Logos/Ringtones, Código malicioso,
DNS Services, Telecomunicaciones.
Posibilidad de funcionar con ICAP e ISA en LDAP cuando se utiliza un identificador de
usuario diferente al "Distinguished name"
Filtrado del protocolo skype (cuando está integrado con ICAP)
Identificación de usuarios utilizando certificados digitales en caso de utilizar
autenticación LDAP.
Posibilidad de consultar a que categorías pertenece una determinada URL desde la
administración Web.
Posibilidad de aplicar reglas de filtrado sobre aquellas peticiones que no pertenecen a
ninguna de las categorías soportadas por la herramienta de filtrado.
7
3.
INSTALACIÓN
En la presente sección se describe la instalación de OPTENET y los requisitos
necesarios en el sistema Windows, Guadalinex o Solaris en los que se vaya a instalar
OPTENET.
3.1.
Requisitos del sistema
3.1.1. En sistemas Windows
♦ Microsoft Windows 98 / Me / NT / 2000 / XP / 2003.
♦ OPTENET recomienda la instalación en sistemas Windows Servidor (NT / 2000 /
2003) debido a la mayor estabilidad de estos últimos. Además en dichos sistemas el
software se instala como servicio pudiéndose arrancar y parar con mayor facilidad.
Último Service Pack de Windows recomendado.
♦ El equipo depende del número de usuarios, pero se recomienda una CPU de al
menos 266Mhz y 128 Mbytes de memoria RAM.
3.1.2. En sistema Guadalinex
♦ Kernel Linux 2.4.0 o superior.
♦ Glibc 2.0.7 o superior, debido al soporte de threads.
♦ Servicio portmap, necesario para la comunicación RPC (si se instala para funcionar
junto con SQUID)
♦ Recomendado Guadalinex.
♦ El equipo depende del número de usuarios, pero se recomienda una CPU de al
menos 266Mhz y 128 Mbytes de memoria RAM.
3.1.3. En sistemas Solaris
♦ Solaris 2.6 o superior.
♦ Servicio rpcbind, necesario para la comunicación RPC (si se instala para funcionar
junto con SQUID)
♦ El equipo depende del número de usuarios, pero se recomienda una Sun UltraSPARC
de al menos 200Mhz y 128 Mbytes de memoria RAM.
3.1.4. En sistemas AIX
♦ AIX 4.3.
♦ Servicio portmap para comunicación RPC.
♦ El equipo depende del número de usuarios, pero se recomienda un PowerPC de al
menos 200 MHz y 128 Mbytes de memoria RAM.
♦ GNU tar y gzip para descomprimir archivos.
♦ Librerías de runtime de gcc 3.2.1 para AIX.
3.1.5. Para Mac OS X
♦ Mac OS X 10.3.3 o posterior.
♦ Servicio portmap para la comunicación RPC (ya incluido en Mac OS X).
♦ El equipo depende del número de usuarios pero se recomienda la utilización de un
procesador G4 y de 256 Mo de memoria RAM.
8
3.2.
Instalación
Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre
con un proxy. El proxy centraliza el acceso a Internet de todos los usuarios que lo utilicen
por lo que OPTENET Server no tendrá más que acoplarse al proxy para filtrar toda la red.
Si la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el proxy dichas
peticiones no se podrán filtrar de ninguna manera.
OPTENET Server permite instalar su propio Proxy en entornos Windows, que es
adecuado para dar servicio a redes de hasta 200 usuarios. En entornos Unix
(Guadalinex, Solaris, Aix, MacOS) se distribuye el Proxy SQUID que es capaz de dar
servicio a redes de mediano y gran tamaño.
Además al final de la instalación de OPTENET Server se le da la posibilidad de instalar
OPTENET Reporter, herramienta que le permite sacar informes del uso de Internet.
3.2.1. En sistemas Windows:
Para instalar OPTENET Server en su servidor ejecute el programa OPTENET-5.27.XX2.03.XX.exe (o versión posterior). Por defecto el instalador arranca en el idioma de su
sistema operativo, y en caso de no ser este uno de los 3 idiomas disponibles, arrancará
en inglés.
Este ejecutable incluye OPTENET Server y OPTENET Reporter. Una vez finalizada la
instalación de OPTENET Server, se le da la posibilidad de instalar OPTENET Reporter.
Puede utilizar este ejecutable para instalar únicamente uno de los dos productos. Para
más información sobre OPTENET Reporter (instalación, configuración,...) consulte el
manual correspondiente.
A continuación se detalla el proceso de instalación de OPTENET Server únicamente.
Se muestra a continuación una ventana donde se pregunta si desea instalar OPTENET
Server. Conteste afirmativamente.
A continuación debe seleccionar el tipo de instalación que desea:
Demo: Instalación con licencia temporal. Es la instalación por defecto y no es
necesario introducir ningún número de licencia. La limitación temporal se activa
desde el momento de la instalación, no desde el momento de la descarga. Esta
licencia Demo tendrá una duración de 30 días.
De pago: Instalación indefinida. Seleccione esta opción y a continuación
introduzca su código de licencia válido.
Si desea una instalación indefinida pero aún no dispone de su código de licencia,
instálelo en modo ‘demo’, ya que en cualquier momento podrá introducir el código de
licencia desde la administración de OPTENET Server.
Seguidamente se le pedirá el directorio de instalación del software (vea la siguiente
figura). Por defecto se utiliza el directorio C:\Archivos de programa\OPTENET pero puede
escoger cualquier otro. Si el directorio escogido no existe será creado por el programa de
instalación.
9
Pulsando el botón siguiente se le permitirá seleccionar el protocolo de comunicación
mediante el cual OPTENET Server se comunicará con el proxy. Para cada protocolo, se
muestran los proxies que trabajan con dicho protocolo.
Si ha seleccionado RPC en la pantalla anterior entonces puede configurar OPTENET
Server para que trabaje con un proxy Microsoft (ISA Server, MS Proxy Server) o con
OPTENET Proxy.
10
A continuación, debe seleccionar el idioma por defecto de OPTENET Server
(Administración web, Herramienta de informes, logs,...).
Pulsando el botón Siguiente el programa de instalación instalará todos los elementos
de OPTENET Server y configurará el servidor para que ejecute OPTENET Server la
próxima vez que se inicie (vea la siguiente figura).
11
Por último, el instalador le preguntará si desea instalar OPTENET Reporter.
Si no lo desea se le pedirá reiniciar el ordenador. Es necesario reiniciarlo para el
correcto funcionamiento de OPTENET Server.
Grupo de programas
OPTENET Server crea un nuevo Grupo de programas con sus elementos más
característicos.
•
Contribución: Si escoge este elemento podrá enviar a OPTENET alguna página
de Internet a la que cree que se debe restringir el acceso.
•
Desinstalar OPTENET Server: Este elemento desinstala OPTENET Server de su
ordenador.
•
Administración: Si escoge este elemento se le abrirá un navegador y se
conectará a la Administración WWW de OPTENET Server.
•
Home OPTENET: Este elemento le abrirá un navegador y se conectará a la
página web de OPTENET: http://www.optenet.com
•
Manual de usuario:: Este elemento le permitirá acceder a la última versión online
del manual de OPTENET Server.
Registro de Windows
Para el correcto funcionamiento de OPTENET Server el proceso de instalación realiza
una serie de modificaciones al Registro de Windows.
Para guardar los parámetros básicos de OPTENET Server el programa de instalación
añade la clave HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\
12
CheckData Si tiene instalado OPTENET Server, junto a un Proxy Server o ISA Server de
Microsoft y además tiene instalado un antivirus que funciona como un plugin ISAPI de
dichos proxies deberá actualizar esta clave con el valor FALSE. En el resto de los casos
(valor por defecto) esta clave llevará el valor TRUE.
DownloadContent Flag que indica a OPTENET Server si debe pedir contenido cuando
está integrado con PIX, Border Manager y CheckPoint. Por defecto “TRUE”, es decir pide
contenido.
FilterServer Servidor donde se ejecuta el servicio de OPTENET Server y al que el plugin
de OPTENET Server debe enviar los datos. El valor por defecto es 127.0.0.1 (máquina
local).
IcapClients Identifica el número de clientes icap a la hora de integrarse con un servidor
ICAP (NetCache, BlueCoat). Por defecto 1.
IcapPort Puerto de escucha del servidor ICAP. El puerto por defecto es 1344.
IcapServices Indica el número de servicios ICAP que se van a utilizar del filtro. Su valor
por defecto es 2. OPTENET Server lo utiliza junto al IcapClients para saber cuántos hilos
necesitará lanzar en su servidor ICAP.
InstallDir Directorio de instalación de OPTENET Server.
Language Identificador del idioma de OPTENET Server y que se seleccionó durante el
proceso de instalación. (eng, esp, fra, ita , por)
ManagerPort Puerto de escucha de la Administración WWW de OPTENET Server
Server. El puerto por defecto es 10237.
Mode Modo de comunicación entre OPTENET Server y el proxy. Puede tener dos
valores: RPC, ICAP, PIX, UFP, BM, OPT.
Proxy Identificador del proxy con el que esta integrado OPTENET Server (ICA, PIX,
BMA, OPT, MSP,UFP).
RemoveDomain Flag que indica a OPTENET Server como identificar los usuarios y
grupos. Con su nombre (“TRUE” por defecto) o utilizando el nombre del dominio por
delante (“FALSE”, es decir nombredominio\nombreusuario)
Version Identifica la versión de OPTENET Server que tiene actualmente instalada.
SendIpUser Indica a OPTENET Server si debe enviar como parámetros de la página de
stop el usuario y la ip del cliente a quién se le ha parado la página. Por defecto su valor
es FALSE.
LogServerPort Puerto de escucha de OPTENET Server para las petiones de logs que
hace OPTENET Reporter. El puerto por defecto es 10239.
LogServerClients Número de hilos que lanzará OPTENET Server para atender las
petiones de logs que hace OPTENET Reporter. Por defecto es 5.
WebserverThreads Número de hilos que lanzará OPTENET Server para atender las
petiones de la administración. Por defecto 50.
BindIpLocal Dirección ip local (interfaz de red) en la cual escucha OPTENET Server. Por
defecto 0.0.0.0 (todas las interfaces de red). Este parámetro es útil cuando hay diversas
interfaces de red y no queremos que OPTENET Server escuche en todas ellas.
DiscardHeaders Cabeceras que el plugin de OPTENET Server para ISA debe ignorar.
Se debe añadir la cabecera ‘X-Actual-URL’ en caso de que el tráfico del RealPlayer pase
a través de Microsoft ISA. En el caso de añadir mas de una cabecera deben estar
separadas por comas.
Para guardar los parámetros básicos de OPTENET Proxy, el proceso de instalación
añade la clave HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Proxy
InstallDir Directorio de instalación de OPTENET Server.
Datos del sistema
Para que OPTENET Server, OPTENET Reporter y OPTENET Proxy puedan ejecutarse
como un servicio de Windows, utilizar el Visor de sucesos y desinstalarse correctamente,
13
el proceso de instalación de OPTENET añade una serie de claves entre los datos del
sistema que se almacenan en el Registro de Windows:
- HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET
Los datos necesarios para que OPTENET Server pueda ejecutarse como un servicio. En
Windows98 y WindowsMe esta entrada del registro no se añade debido a que no hay
servicios.
- HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET Proxy
Los datos necesarios para que OPTENET Proxy pueda ejecutarse como un servicio. En
Windows98 y WindowsMe esta entrada del registro no se añade debido a que no hay
servicios.
- HKEY LOCAL MACHINE\SYSTEM\Current ControlSet\Services\
Eventlog\Application\OPTENET
Los datos necesarios para que OPTENET Server pueda utilizar el Visor de sucesos para
informar de sus problemas.
- HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Current Version\
Uninstall\OPTENET Server
Los datos necesarios para que OPTENET Server pueda desinstalarse correctamente.
Elementos de OPTENET Server
Los elementos instalados como OPTENET Server se dividen en dos partes principales:
Una que se encarga de la captura de peticiones a Internet, y otra, que gestiona el filtrado
de dichas peticiones.
14
El primer elemento depende del proxy que se utilice. En los siguientes apartados se
detalla este tema.
El segundo elemento de OPTENET Server es un servicio/proceso de Windows que
analiza las peticiones que recibe del plugin de OPTENET Server instalado junto al proxy
o del cliente ICAP del proxy y decide si dichas peticiones deben permitirse o no. En el
caso de que se trate de un servicio (NT, XP, 2000, 2003), puede ver si se ha instalado
correctamente en los Servicios de Windows (vea la siguiente figura)
Puede realizar la misma comprobación para OPTENET Reporter y OPTENET Proxy.
Integración con Microsoft ISA-Server
El elemento encargado de la captura de peticiones es denominado OPTENET plugin,
como ya se mencionó en la Introducción. Es un Filtro Web que se añade a Microsoft ISA
Server. Puede ver si se ha instalado correctamente desde la Administración del servidor
ISA (vea la siguiente figura).
Si integra OPTENET Server con Microsoft ISA 2004 debe consultar el Anexo 8
Configuración de Microsoft ISA 2004 una vez haya finalizado el proceso de instalación de
OPTENET Server.
15
Microsoft Web Proxy
Microsoft Web Proxy es el proxy que se instala con Microsoft ISA Server. Es un servicio
Windows y como tal puede manejarse mediante la administración de servicios de
Windows. OPTENET Server trabaja en estrecha relación con Microsoft Web Proxy: sólo
puede filtrar aquellas peticiones que pasen por el mismo.
Por lo tanto, si tiene instalado Microsoft ISA Server pero no hace uso de Microsoft Web
Proxy, OPTENET Server no realizará ningún tipo de filtrado. Para que los ordenadores
utilicen Microsoft Web Proxy la forma más habitual consiste en configurar sus
navegadores para este fin. Puede consultar la documentación de Microsoft ISA
Server para establecer un navegador como cliente de Microsoft Web Proxy.
Si no quiere configurar los navegadores para el uso de Microsoft Web Proxy pero utiliza
Microsoft ISA Server como Servidor de seguridad o Servidor SecureNAT de su red puede
encadenar el Servidor de seguridad y el Servidor SecureNAT Microsoft Web Proxy
mediante el Filtro redirector de HTTP. De este modo también conseguirá que las
peticiones web pasen por Microsoft Web Proxy y puedan filtrarse por OPTENET Server.
Puede consultar la documentación de Microsoft ISA Server para obtener más
información acerca de esta posibilidad.
Comunicación entre Microsoft Web Proxy y OPTENET Server
Para que se puedan filtrar las peticiones que pasan por Microsoft Web Proxy OPTENET
Server añade un Filtro Web a Microsoft ISA Server. Dicho filtro Web consiste en un plugin
de Microsoft Web Proxy que se encarga de capturar los datos de las peticiones que
pasan por el mismo y enviárselos al servicio de filtrado de OPTENET Server. Los datos
capturados son:
•
•
•
La dirección IP del ordenador del que procede la petición.
El usuario que realiza la petición (sólo si Microsoft Web Proxy realiza
autenticación)
La URL de la página solicitada.
16
•
El contenido de la página solicitada.
Con estos datos el servicio de OPTENET Server comprueba las reglas de filtrado que
tenga configuradas y decide si la petición debe permitirse o no. Dependiendo del
resultado informa al plugin si debe dejar continuar la petición por su vía normal o por el
contrario bloquearla. En caso de bloqueo el servicio de OPTENET Server indica al plugin
la página de bloqueo a mostrar en lugar de la página solicitada.
La comunicación entre el plugin y el servicio de OPTENET Server se realiza por medio de
llamadas a procedimiento remoto (RPC) por lo que es necesario que el servicio RPC esté
iniciado.
3.2.1.1.
Integración con Microsoft
Proxy Server
Para el correcto funcionamiento de OPTENET Server con Microsoft Proxy Server, es
importante instalar Proxy Server siguiendo los pasos de instalación recomendados por
Microsoft:
1. Instalar Microsoft Windows NT 4.0 Service Pack 3 (No sustituirlo por Windows NT
4.0 Service Pack 4 o versión posterior.)
2. Instalar Microsoft Internet Explorer 4.01 Service Pack 2 sin la interfaz Active
Desktop.
3.
4.
5.
6.
7.
8.
NOTA: Windows NT Option Pack contiene Internet Explorer 4.01 Service Pack 1,
sin embargo recomendamos que instale Internet Explorer 4.01 Service Pack 2 (No
sustituirlo por Internet Explorer 5.0 o posterior).
Instalar Microsoft Windows NT 4.0 Option Pack.
Instalar Microsoft Proxy server 2.0.
Instalar Microsoft Windows NT 4.0 Service Pack 4 o Service Pack 5 (No instalar
las actualizaciones Y2K ya que son instaladas por MDAC 2.1 Service Pack 2.)
(Opcional) Instalar Microsoft Internet Explorer 5.
Instalar MDAC 2.1.2.4202.3, que también es conocido como MDAC 2.1 Service
Pack 2.
Instalar Microsoft Windows NT 4.0 Service Pack 6a o posterior.
NOTA: Incluso instalando la última versión de Windows NT service pack en el
paso 5, debe reinstalar el último service pack debido a que la instalación de
Windows NT Option Pack reemplaza DLLs que son instaladas por el service pack.
9. Instalar Proxy 2.0 Service Pack 1.
3.2.1.2.
Integración con proxy ICAP
(modo ICAP)
Una vez instalado OPTENET deberá configurar esas caches o appliances para que
utilicen el servidor ICAP de OPTENET como sistema de filtrado. (Vea el apartado 3.5)
3.2.1.3.
Sin proxy adicional (modo
Stand-Alone)
El elemento instalado para la captura de peticiones en la versión stand-alone es el
denominado OPTENET Proxy. El OPTENET Proxy es un sencillo proxy distribuido por
OPTENET que se lanza al iniciar el sistema operativo. De esta forma se permite el uso
del filtro OPTENET sin productos adicionales. Los datos capturados por el OPTENET
17
Proxy son los mismos que los mencionados para el Microsoft Web Proxy. El OPTENET
Proxy no necesita un plugin especial y se comunica directamente con el filtro OPTENET a
través de llamadas a procedimiento remoto (RPC).
Tenga en cuenta que el filtro sólo puede realizar el filtrado si se redirigen las peticiones
HTTP a través del proxy. Para eso, hay que inscribir explícitamente el proxy en las
configuraciones de los navegadores.
Puede consultar el Anexo 4 para saber como configurar OPTENET Proxy.
3.2.1.4.
Información específica para
Windows 98 y WindowsMe
Como en Windows 98 y Windows Me el concepto servicios de sistema es distinto, tanto
OPTENET Server como OPTENET Proxy y OPTENET Reporter, se instalan como
procesos habituales y se lanzan automáticamente al iniciar el sistema operativo.
3.2.2. En sistema Guadalinex, Solaris y AIX:
La distribución de OPTENET consta de los siguientes archivos:
♦ optenet-5.27.XX-2.03.XX.tgz - El archivo con el software de OPTENET Server y
OPTENET Reporter en sistemas Guadalinex y Aix o optenet-5.27.XX-2.03.XX.tar.Z en
sistemas Solaris.
♦ install.sh - El script de instalación.
♦ OPTENETManual.pdf – Documentación de usuario.
♦ OptenetDCAgent2.00.xx.zip – Archivo con el software a instalar en su servidor
Windows, si se está utilizando autenticación de usuarios contra un Dominio NT.
install.sh es un shell script, por lo que puede abrirse y modificarse según sea necesario.
Concretamente, durante la instalación, install.sh crea un usuario al que pertenecerá el
software de OPTENET. Por defecto este usuario se llama optenet pero puede editar
install.sh y cambiar el nombre. También puede modificar el directorio raíz del usuario, es
decir, el directorio de instalación de OPTENET (/usr/local/optenet por defecto). El usuario
se crea sin password pero puede asignarle una mediante la orden passwd. Lo mismo
sucece si decide instalar también OPTENET Reporter. Por defecto se creará el usuario
reporter con su directorio de instalación (/usr/local/reporter).
Después de crear el usuario, el script de instalación descomprime el archivo optenet5.27.tgz en el directorio de instalación y personaliza los scripts de OPTENET.
Durante el proceso de instalación, el instalador le preguntará si desea que OPTENET
funcione como servidor ICAP para integrarse con Appliances que soporten dicho
protocolo, o bien para integrarse con Border Manager de Novell o bien con Cisco PIX
Firewall o que se integre con el SQUID que se distribuye junto con el mismo. Asimismo, si
dispone del código de licencia correspondiente al producto el instalador le permitirá
registrar dicho código.
18
3.2.2.1.
Instalación de OPTENET
como servidor ICAP (modo
ICAP)
La opción ICAP deben elegirla cuando OPTENET se va a instalar en una red que ya tiene
caches o appliances (por ejemplo máquinas NetCache o BlueCoat) que soportan el
protocolo ICAP 1.0. En este caso los scripts de arranque de OPTENET se crearán de
forma que OPTENET arranque su servidor ICAP a la espera de recibir peticiones de
filtrado a través del mismo. Una vez instalado OPTENET deberá configurar esas caches
o appliances para que utilicen el servidor ICAP de OPTENET como sistema de filtrado.
(Vea el apartado 3.5)
3.2.2.2.
Instalación de OPTENET con
SQUID (modo SQUID)
La opción SQUID instala junto a OPTENET una versión del proxy SQUID modificada para
que se comunique con OPTENET vía RPC (Remote Procedure Call) cada vez que
atienda una petición de conexión a Internet. En este caso los scripts de arranque de
OPTENET son modificados para que arranque simultáneamente a OPTENET y SQUID.
Aunque SQUID escucha peticiones por defecto en el puerto 8080 puede cambiar este
puerto editando el archivo squid/etc/squid.conf del directorio de instalación y modificando
la etiqueta http_port. El archivo squid/etc/squid.conf permite configurar muchos aspectos
del funcionamiento de SQUID. Le recomendamos que lo lea con detenimiento y que lo
ajuste a sus necesidades. Una vez arrancado OPTENET deberá configurar los
navegadores de su red para que utilice SQUID como proxy y de esta forma pueda llevar a
cabo el filtrado.
Con la instalación en modo SQUID por defecto, éste no reconoce usuarios. Para
configurar Squid con la opción de reconocimiento de usuarios deberemos editar el
archivo squid/etc/squid.conf, descomentar el tag auth_param con la autenticación que
nos interese, añadir una entrada en las ACL (access control list) y permitir en el acceso
dicha entrada. Por ejemplo, si se quiere activar el modelo de autenticación básica basada
en un fichero de texto con los usuarios y sus claves hay que añadir las siguientes líneas
al fichero de configuración:
auth_param basic program /usr/local/optenet/squid/libexec/ncsa_auth /usr/local/optenet/squid/etc/passwd
auth_param basic children 5
auth_param basic realm OPTENET Server
auth_param basic credentialsttl 2 hours
acl password proxy_auth REQUIRED
http_access allow password
http_access deny all
A partir de este momento a cada usuario que quiera acceder a Internet a través del proxy,
la primera vez le será requerida una identificación (usuario - password) para poder
navegar. Este usuario será el que luego se podrá utilizar a la hora de formar reglas con
OPTENET. Por defecto, no hay ningún usuario definido. Podemos crear usuarios
utilizando el script de perl situado en el directorio tools/adduser.pl dentro del directorio de
instalación, de la siguiente forma:
perl adduser.pl usuario password fichero_password
19
por ejemplo:
# perl adduser.pl luis clave_luis ../squid/etc/passwd
3.2.3. Sistema de archivos instalados por OPTENET
OPTENET Server instala los siguientes archivos y directorios a partir de su directorio de
instalación:
manager.html Página HTML que redirige a la Administración WWW de OPTENET
Server.
optenet.html Página HTML que redirige a la WWW de la empresa OPTENET.
- Directorio bin: donde se guardan DLLs y ejecutables de OPTENET Server.
optenet.exe El ejecutable del servicio de OPTENET Server en Guadalinex.
Optenet_service.exe El ejecutable del servicio de OPTENET Server en Windows NT,
Windows 2000, Windows XP y Windows 2003.
Optenet_process.exe El ejecutable del servicio de OPTENET Server en Windows 98 y
Windows Me.
messages.dll La DLL con los mensajes de los sucesos de OPTENET Server. Sólo en
Windows.
metabase.dll DLL con funciones auxiliares para instalación y desinstalación de
OPTENET Server. Sólo en Windows.
- Directorio etc: con archivos de configuración de OPTENET Server
*.conf Archivos de configuración de OPTENET Server. Estos archivos no deben ser
modificados. La configuración se debe realizar exclusivamente a través de la
administración WWW de OPTENET.
- Directorio files: con las Bases de datos de URLs y los analizadores de OPTENET
Server.
*useryes.edu Archivos con los URLs pertenecientes a las categorías de usuario. Son
archivos de texto simple que pueden modificarse para añadir, modificar o eliminar URLs a
mano.
*usernot.edu Archivos con los URLs no pertenecientes a las categorías de usuario. Son
archivos de texto plano que pueden modificarse para añadir, modificar o eliminar URLs a
mano. Junto a los archivos *useryes.edu forman la Base de datos local de URLs.
Inicialmente no existirán pero se irán creando según se añadan URLs.
list.crp Archivo encriptado y comprimido con el conjunto de listas generales de URLs
categorizadas. En el caso de la corrupción de uno de los ficheros *.edu se desempaqueta
para recuperar los datos. Este archivo aparece a partir del 2º día.
Listxxxx.crp Archivo con la actualización de la Base de datos general de URLs y
analizadores de OPTENET Server. Es un archivo comprimido que sólo aparece durante
el proceso de recarga de listas completas manual ya que se elimina una vez la
actualización se ha completado.
categoryuserex.edu Archivo con la descripción de las categorías añadidas por el
administrador.
- Directorio logs: donde, por defecto, se guardan los logs que genera OPTENET Server.
updates.log Archivo con los resultados de las actualizaciones automáticas que realiza
OPTENET Server.
20
requestYYYYMMDD.log Archivo con todas las peticiones y bloqueos HTTP realizadas a
través de OPTENET Server que corresponden al día DD del mes MM del año YYYY. Por
ejemplo request20040422.log contiene todas las peticiones y bloqueos que OPTENET
Server analizó el 22 de abril de 2004.
cluster.log Archivo con información referente a la gestión en cluster.
actions.log Archivo que guarda el registro de acciones realizadas sobre la
administración.
- Directorio manager: Contiene los archivos necesarios para las páginas HTML que
forman la Administración WWW de OPTENET Server.
index.html Página por defecto de la Administración WWW de OPTENET Server.
redirige a la Administración WWW.
- - Directorio esp: Contiene las páginas de la Administración WWW de OPTENET
en español.
- - Directorio eng: Contiene las páginas de la Administración WWW de OPTENET
en inglés.
- - Directorio fra: Contiene las páginas de la Administración WWW de OPTENET
en francés.
- - Directorio deu: Contiene las páginas de la Administración WWW de OPTENET
en alemán.
- - Directorio ita: Contiene las páginas de la Administración WWW de OPTENET
en italiano.
- - Directorio por: Contiene las páginas de la Administración WWW de OPTENET
en portugués.
- - Directorio eus: Contiene las páginas de la Administración WWW de OPTENET
en euskera.
Server
Server
Server
Server
Server
Server
Server
- - Directorio cgi-bin: Contiene código JavaScript utilizado por la Administración WWW de
OPTENET Server.
- - Directorio listclusters: guarda el ejecutable para la gestión en cluster.
- - Directorio stop: donde se aloja la página de stop local. Deben existir tantas carpetas
como idiomas en los que esté disponible.
- Directorio tools con utilidades de OPTENET Server
logrotate.bat Utilidad para la rotación de logs de OPTENET Server. Sólo en sistemas
Guadalinex y Solaris.
optenetcli (cli.conf)
Aplicación para administrar OPTENET Server vía línea de
comandos.
backup.bat Utilidad para facilitar las copias de seguridad de OPTENET Server.
restore.bat Utilidad para restaurar las copias de seguridad realizadas mediante la
utilidad backup.bat.
OptenetSnmp (snmp.conf): Ejecutable del Agente SNMP de OPTENET Server. Sólo en
Guadalinex.
stunnellauncher Ejecutable para administrar el filtro de forma segura, https. Sólo en
Guadalinex.
adduser.pl Script que añade un usuario para la Autenticación NCSA con Squid. Sólo
con proxy Squid y sistemas Guadalinex.
addplugin.vbs Script que añade el plugin de OPTENET Server a Microsoft ISA Server.
Sólo en Windows para ISA Server o Proxy Server.
delplugin.vbs Script que borra el plugin de OPTENET Server de Microsoft ISA Server.
Sólo en Windows para ISA Server o Proxy Server.
21
Aparte de los archivos que se instalan a partir del directorio de instalación, OPTENET
Server instala:
- un archivo en el directorio de instalación de Microsoft ISA Server (por defecto
C:\Archivos de programa\Microsoft ISA Server). Este archivo se llama optenet.dll y es la
DLL que realiza las labores de plugin de captura de datos de OPTENET Server.
3.3.
Arranque y parada
3.3.1.1.
Inicio y parada del filtro bajo
Windows NT, XP, 2000 y 2003
La parte principal de OPTENET Server consiste en su servicio de filtrado. Este servicio
puede administrarse desde los Servicios de Windows como cualquier otro servicio: puede
iniciarse, pararse, establecer su tipo de inicio, etc...
El inicio del servicio de OPTENET Server requiere cierto tiempo (alrededor de 3
segundos) durante el cual la CPU del servidor se utiliza casi al 100%: se cargan las
Bases de datos de URLs y los analizadores en memoria, se inicia el proceso de
actualización automática y la Administración WWW de OPTENET Server. Si ocurre algún
problema OPTENET Server escribe un mensaje en el Visor de sucesos del servidor.
3.3.1.2.
Inicio y parada del filtro bajo
Windows 98
Como en Windows 98 el concepto servicios de sistema es distinto ambas partes, el proxy
OPTENET y OPTENET Server se instalan como procesos habituales. Se lanzan al iniciar
el sistema operativo.
3.3.1.3.
El plugin para Microsoft ISA
Server
La otra parte de OPTENET Server, el plugin para la captura de datos, se trata de un Filtro
Web de Microsoft ISA Server y puede controlarse desde la Administración del servidor
ISA. Al igual que cualquier otro Filtro Web puede habilitarse o deshabilitarse según se
necesite (vea la siguiente figura). También podrá iniciarlo o detenerlo mediante el servicio
Microsoft Web Proxy (vea la Sección 3.2.1.1).
22
Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse
separadamente pero para que el filtrado tenga lugar ambas partes deben estar
funcionando a la vez correctamente.
3.3.1.4.
El plugin para Microsoft
Proxy Server
La otra parte de OPTENET Server, el plugin para la captura de datos, se trata de un filtro
ISAPI instalado en su servidor Web donde está instalado el Proxy Server. Este puede
controlarse desde la Consola de Administración de su Proxy Server. Al igual que
cualquier otro filtro ISAPI puede habilitarse o deshabilitarse según se necesite (vea la
siguiente figura).
23
Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse
separadamente pero para que el filtrado tenga lugar ambas partes deben estar
funcionando a la vez correctamente.
3.3.1.5.
OPTENET Proxy
En la versión stand-alone está integrado el propio proxy OPTENET que procesa las
peticiones HTTP y HTTPS en lugar de Microsoft ISA Server. Está visible por icono en la
barra de herramientas. Para el caso de que hay que usar un proxy adicional en cascada
hay que introducir su dirección IP y puerto en la ventana de configuración del proxy. Note
que para un uso normal sin proxy adicional no es necesario añadir ningún tipo de
configuración en este apartado. Consulte el Anexo 4 si desea saber más sobre cómo
configurar este proxy.
3.3.2. En sistemas Guadalinex, Solaris y AIX:
Para iniciar OPTENET entre en el sistema como el nuevo usuario creado y ejecute el
script filterinit. Dicho script admite los parámetros start, stop y restart.
Para iniciar el filtro es preciso ejecutar:
# ./filterinit start
Para pararlo se debe ejecutar:
# ./filterinit stop
Puede reiniciar el filtro ejecutando:
24
# ./filterinit restart
Si tiene algún problema con la instalación puede obtener asistencia técnica escribiendo a
[email protected]
Para iniciar OPTENET, entre en el sistema a través del terminal de usuario. Deberá estar
en administrador e introducir la orden siguiente :
# sudo su - optenet
Introduzca su contraseña. Este script admite los parámetros start, stop y restart. Para
iniciar el filtro, deberá ejecutar :
# ./filterinit start
Para detenerlo, ejecute :
# ./filterinit stop
También puede volverlo a iniciar ejecutando:
# ./filterinit restart
Si tiene problemas durante la instalación, puede ponerse en contacto con el servicio
técnico en [email protected]
3.4.
Arranque y parada automáticos junto al sistema
La configuración por defecto tras la instalación es que el arranque y parada se realicen
automáticamente con el sistema. Si no se desea que arranque con el sistema debe ir a la
Herramienta del Sistema "Administrador de equipos", y en la sección de "Servicios" hay
que modificar el "Tipo de Inicio" del servicio "OPTENET Server" como 'Manual'.
3.4.2. En sistema Guadalinex:
La configuración por defecto tras la instalación es que el arranque y parada de OPTENET
se realicen automáticamente con el sistema. Para establecer OPTENET como un servicio
en el servidor de forma manual y que de esta forma se arranque y se pare
automáticamente cada vez que se arranque o se pare el sistema debe conectarse como
usuario root y seguir estos pasos:
En sistema Guadalinex con la herramienta chkconfig instalada (Red Hat):
# cp /usr/local/optenet/tools/optenet /etc/rc.d/init.d
25
# chkconfig --add optenet
Puede consultar que realmente OPTENET ha sido instalado como servicio con la orden:
#chkconfig –list
En sistema Guadalinex que no disponen de la herramienta chkconfig:
# cp /usr/local/optenet/tools/optenet /etc/init.d
# cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/S99optenet
# cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/K99optenet
3.4.3. En sistemas Solaris
# cp /usr/local/optenet/tools/optenet /etc/init.d
# link /etc/init.d/optenet /etc/rc2.d/S99optenet
# link /etc/init.d/optenet /etc/rc2.d/K99optenet
3.4.4. En sistemas AIX
# cp /usr/local/optenet/tools/optenet /etc/rc.optenet
# mkitab "optenet:2:once:/etc/rc.optenet. start"
En la configuración por defecto tras la instalación, OPTENET se inicia y se cierra
automáticamente con el sistema. Mac OS X inicia automáticamente OPTENET gracias al
script “Optenet” que se encuentra en /Library/StartupItems/Optenet.
3.5.
Configuración de un Appliance BlueCoat para que utilice
OPTENET como sistema de filtrado (ICAP)
Para que OPTENET pueda comunicarse mediante el protocolo ICAP con su Appliance de
BlueCoat éste debe tener instalado el Sistema Operativo Security Gateway 2.1.06 o
posterior. A continuación se describe cómo se debe configurar un Appliance de BlueCoat
26
(antes CacheFlow) para que utilice OPTENET cómo sistema de filtrado. Para ello debe
seguir estos pasos:
3.5.1. Crear un servicio de modificación de petición (REQMOD)
Conéctese a la administración de su BlueCoat y vaya a la opción ICAP. En la solapa
ICAP Services pulse el botón “New” y cree uno de acuerdo a la figura:
En la casilla “ICAP version” debe asignarse la versión 1.0 de ICAP. En el apartado
Service URL debe especificar la URL contra las que se enviarán las peticiones ICAP por
ejemplo:
icap://192.168.0.111/reqmod_bluecoat
Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET, y que se
utiliza como ruta /reqmod_bluecoat, es IMPORTANTE que mantenga esta nomenclatura
para que el servidor ICAP de OPTENET se integre correctamente con su BlueCoat.
Ahora debe marcar como método “request modification” y utilizar el botón “Sense
settings” para forzar que el BlueCoat se conecte con OPTENET y así obtener
automáticamente el resto de los parámetros de configuración del servidor ICAP.
27
Si por alguna razón la comunicación con el servidor ICAP fallase, puede configurar
manualmente el resto de los campos. Deberá seleccionar también la casilla “Client
address” (disponible a partir de la versión SG 2.1.07) para habilitar el envío en el mensaje
ICAP de la dirección IP del cliente que realizó la petición.
3.5.2. Crear un servicio de modificación de respuesta (RESPMOD)
Conéctese a la administración de su BlueCoat y vaya a la opción ICAP. En la solapa
ICAP Services pulse el botón “New” y cree uno de acuerdo a la figura:
En la casilla “ICAP version” debe asignarse la versión 1.0 de ICAP. En el apartado
“Service URL” debe especificar la URL contra las que se enviarán las peticiones ICAP por
ejemplo:
icap://192.168.0.111/respmod_bluecoat
Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET y que se
utiliza como ruta /respmod_bluecoat, es IMPORTANTE que mantenga esta nomenclatura
para que el servidor ICAP de OPTENET se integre correctamente con su BlueCoat.
Ahora debe marcar como método “response modification” y utilizar el botón “Sense
settings” para forzar que el BlueCoat se conecte con OPTENET y así obtener
automáticamente el resto de los parámetros de configuración del servidor ICAP. Deberá
seleccionar también la casilla “Client address” (disponible a partir de la versión SG 2.1.07)
para habilitar el envío en el mensaje ICAP de la dirección IP del cliente que realizó la
petición.
28
3.5.3. Establecer una política de acceso web
Una vez definidos los servicios ICAP debemos indicar que todas las peticiones sean
redirigidas contra OPTENET. Para ello debe ir a la opción Policy, solapa Visual Policy
Manager y botón Start para iniciar el Visual Policy Manager.
Una vez iniciado, seleccionamos el menú Edit -> Add Web Access Policy como indica la
figura:
Y configuramos la acción de esa nueva política para que a todas las peticiones de todos
los clientes utilicen el servicio ICAP que hemos llamado optenetreqmod. De esta forma
estamos indicando al BlueCoat que envíe a OPTENET Server todos los accesos web que
29
se realicen a través de él antes de satisfacerlos para que puedan ser analizados y
determinar si deben ser permitidos o denegados.
Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes
de cerrar el Visual Policy Manager.
3.5.4. Establecer una política de contenidos web
OPTENET a diferencia de la mayor parte de sistemas de filtrado analiza el contenido
descargado de Internet permitiendo categorizar páginas por su contenido o detectar el
verdadero tipo de archivos renombrados. Para ello es necesario que BlueCoat pase a
OPTENET el contenido descargado antes de ser devuelto al cliente que lo ha solicitado.
Esto se consigue definiendo una política de contenido web. Para ello debe ir a la opción
Policy, solapa Visual Policy Manager y botón Start para iniciar el Visual Policy Manager.
Una vez iniciado, seleccionamos el menú Edit -> Add Web Content Policy como indica la
figura:
Y configuramos la acción de esa nueva política para que los contenidos de todas las
peticiones de todos los clientes utilicen el servicio ICAP que hemos llamado
optenetrespmod. De esta forma estamos indicando al BlueCoat que todos los contenidos
web que se descarguen a través del mismo antes de ser devueltos a los clientes sean
enviados a OPTENET para que puedan ser analizadas y determinar si deben ser
permitidos o denegados.
30
Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes
de cerrar el Visual Policy Manager.
Si desea activar la autenticación de usuarios debe lanzar el Visual Policy Manager y crear
una Política de autenticación Web. Para más información consulte la documentación de
su BlueCoat.
Completado este último paso ya tiene configurado su BlueCoat para que utilice
OPTENET como sistema de filtrado.
31
3.6.
Configuración de un NetCache para que utilice OPTENET como
sistema de filtrado
A continuación se describe cómo se debe configurar un NetCache para que utilice
OPTENET cómo sistema de filtrado. Para ello debe seguir estos pasos:
3.6.1. Crear un servicio de modificación de petición (REQMOD)
Conéctese a la administración de NetCache y vaya a la opción SetupÆ ICAP Æ ICAP1.0
En la solapa ServiceFarm pulse el botón “New Service Farm” y cree uno de acuerdo a la
Figura
En la casilla services debe especificar la URL contra la que se enviarán las peticiones
ICAP por ejemplo:
icap://192.168.0.111:1344/reqmod_netcache on
utiliza como ruta /reqmod_netcache, es IMPORTANTE que mantenga esta nomenclatura
para que el servidor ICAP de OPTENET se integre correctamente con su NetCache.
Pulse “Commit Changes” para salvar cambios.
3.6.2. Crear un servicio de modificación de respuesta (RESPMOD)
Vuelva a crear un nuevo Service Farm de acuerdo a la siguiente.
32
En la casilla services debe especificar la URL contra la que se enviarán las peticiones
ICAP por ejemplo:
icap://192.168.0.111:1344/respmod_netcache on
utiliza como ruta /respmod_netcache, es IMPORTANTE que mantenga esta
nomenclatura para que el servidor ICAP de OPTENET se integre correctamente con su
NetCache.
La razón de tener que crear dos Service Farms es que OPTENET a diferencia de la
mayor parte de sistemas de filtrado analiza el contenido descargado de Internet
permitiendo categorizar páginas por su contenido o detectar el verdadero tipo de archivos
que han sido renombrados. El primer Service Farm permitirá que cuando NetCache
recibe una petición antes de atenderla le pase a OPTENET la URL solicitada para que
este pueda decidir si el acceso está permitido. Esta decisión se toma en cuenta
comprobando esa URL contra la base de datos de OPTENET y analizando la propia URL.
El segundo Service Farm permite que cuando NetCache trae un contenido de Internet,
antes de almacenarlo en su caché, le pase a OPTENET dicho contenido. OPTENET lo
analizará y decidirá si está permitido o se debe bloquear.
Una vez definidos los Services Farm debe indicar a qué peticiones se les aplica el filtro.
Para ello debe ir a la opción Access Control List y configurarla de acuerdo a la figura:
33
Es decir, aplicando el filtro a todas las peticiones tanto http como https y ftp.
Por último sólo queda habilitar el servicio ICAP desde la pestaña General de acuerdo a la
figura.
Si desea activar la autenticación de usuarios consulte la documentación de su NetCache.
34
35
4.
CONCEPTOS BÁSICOS
A continuación se van a explicar unos conceptos básicos que son necesarios para
poder administrar correctamente OPTENET. Dichos conceptos aparecerán en la parte de
administración.
4.1.
Usuario
Dado que OPTENET se comunica con un proxy (como Squid, ISA o proxy OPTENET), o
con un appliance o cache que hacen las funciones de proxy (como BlueCoat o NetCache)
el concepto de usuario es el mismo que el concepto de usuario para estos proxies. Es
decir, OPTENET reconoce los usuarios que sean identificados por estos proxies.
Atención, porque estos usuarios pueden ser independientes de los usuarios de los
sistemas operativos de todos los equipos que acceden a Internet a través del proxy.
Sin embargo, OPTENET también permite Autenticar Usuarios de dominios NT o
servidores LDAP (vea apartado 5.4)
4.2.
Grupo
Normalmente los usuarios pueden formar parte de uno o varios grupos. Ni ISA, ni SQUID,
ni tampoco versiones de BlueCoat anteriores a la 3 pasan a OPTENET la información de
a qué grupos pertenece el usuario que está realizando una petición, sólo NetCache y
BlueCoat a partir de la versión 3 inclusive aportan esta información. Eso implica que para
que OPTENET pueda obtener esa información deberá comunicarse con algún dominio
NT o servidor LDAP. Para la configuración de este servicio lea el apartado 5.4 de este
manual.
4.3.
Dirección IP
TCP/IP son las siglas de Transmission Control Protocol/Internet Protocol, el lenguaje que
rige todas las comunicaciones entre los ordenadores en Internet. Todos los ordenadores
conectados a Internet tienen asignada una dirección que es única, con el siguiente
formato:
aaa.bbb.ccc.ddd
Como parte de una regla de OPTENET va a ser posible incluir las direcciones IP de los
ordenadores clientes que van a acceder a Internet.
Sin embargo, hay que tener en cuenta que en ocasiones se coloca un proxy encadenado
antes del filtro y esto puede provocar que todas las peticiones se identifiquen con la IP de
este proxy; consulte la configuración de su proxy si este efecto le sucede de forma no
deseada.
4.4.
URL
Siglas de Uniform Resource Locator. Es la dirección de un sitio o de una fuente,
normalmente un directorio o un fichero, en el Word Wide Web y la convención que utilizan
los navegadores para encontrar ficheros y otros recursos distantes. Una URL puede
identificar un fichero, por ejemplo:
36
http://www.optenet.com/esp/index.htm
o un sitio:
http://www.optenet.com
Con OPTENET podremos permitir o bloquear el acceso a páginas concretas indicando la
URL o bien a sitios enteros o a parte de ellos indicando la URL seguida de un asterisco.
Por ejemplo:
http://www.sitioentero.com/*
OPTENET funciona internamente con URLs sin protocolo (http, https, …). Si se introduce
una url en una determinada categoría, todos los protocolos para esa url pertenecerán
automáticamente a dicha categoría.
Por ejemplo al introducir http://www.sitioentero.com en pornografía se van a categorizar
en pornografía las siguientes urls:
http://www.sitioentero.com
https://www.sitioentero.com
ftp://www.sitioentero.com
4.5.
Categoría
Una categoría es un conjunto que agrupa los ficheros del World Wide Web.
Estos conjuntos pueden crearse mediante listas de URLs y analizadores
de contenido y URLs.
Se establecen cinco tipos de categorías:
- Categorías de contenido: clasifican el World Wide Web en contenidos (por ejemplo
pornografía, deportes, prensa, etc.) que se pueden permitir o denegar según lo
establecido en las reglas de filtrado.
- Categoría blanca: si un fichero pertenece a una categoría blanca no se tendrán en
cuenta sus categorías de contenido; será como si no perteneciera a ninguna
categoría de contenido.
- Categoría negra: si un fichero pertenece a una categoría negra será como si
perteneciera a todas y cada una de las categorías de contenido.
- Categoría buscadores: los ficheros que pertenezcan a una categoría de buscadores
no tendrán en cuenta el analizador de contenido multilingüe para establecer sus
categorías de contenido.
- Categoría redirectores: se trata de ficheros que redirigen o transforman a otros
ficheros. Si un fichero pertenece a una categoría de redirector se trabajará
directamente con ese otro fichero al que redirige o transforma.
Una categoría podrá tener más de un tipo. A su vez, un fichero podrá pertenecer a más
de una categoría.
Cada categoría utiliza dos listas de URLs para su definición: Yes y Not. La lista Yes
contiene todas aquellas direcciones que consideramos que pertenecen a una
determinada categoría y la lista Not aquellas direcciones que consideramos que NO
pertenecen a esa categoría.
Al final de este manual tiene un anexo describiendo las categorías que proporciona
OPTENET.
37
4.6.
Regla
Es el concepto fundamental en el que está basado el funcionamiento de OPTENET. Las
reglas definen el nivel de filtrado que van a tener todos nuestros accesos a Internet.
Con una regla podemos definir:
♦
♦
♦
♦
♦
♦
♦
Las categorías sobre las que actúa esa regla.
Los usuarios afectados por esa regla.
Los grupos de usuarios afectados por esa regla.
Las direcciones IPs de los puestos afectados por esa regla.
Los tipos de ficheros sobre los que puede actuar esa regla.
Los horarios en que se debe aplicar dicha regla.
URLs a los que se debe aplicar la regla, con independencia de su categoría y tipo de
archivo por lo que si el resto de características se cumple (día y hora y usuario, grupo
o IP) la regla cumplirá con su acción.
♦ URLs que nunca cumplirán la regla. Podemos de esta forma definir excepciones al
funcionamiento de cada regla.
38
5.
ADMINISTRACIÓN
Una vez instalado OPTENET Server es necesario realizar una mínima configuración.
OPTENET Server incorpora un servidor WWW para su configuración y administración.
Este servidor WWW se instala en el puerto TCP 10237 y permite administrar y configurar
OPTENET Server utilizando un navegador WEB.
Si ha instalado OPTENET Server en Windows puede ir al elemento WWW Administración
del Grupo de programas de OPTENET Server (Vea Sección 3.2.1) y le abrirá la
Administración WWW en el navegador que tenga configurado por defecto en su sistema.
También puede accederse remotamente desde cualquier ordenador conectado a la red
accediendo a http://server:10237, donde server será el servidor con OPTENET Server.
Si el equipo donde se ha instalado OPTENET Server es host.domain puede accederse al
servidor WWW en la siguiente URL: http://host.domain:10237. Para poder acceder al
servidor web es necesario haber arrancado previamente OPTENET.
Para asegurar la privacidad de la configuración y administración, el servidor WWW
requiere que el usuario sea autenticado, por lo que pedirá nombre de usuario y
contraseña con una ventana como la de la Figura. Por defecto, el nombre de usuario es
optenet y la contraseña 12345678. Estos valores pueden ser cambiados desde el mismo
servidor WWW de Administración. Se recomienda cambiarlos nada más instalar
OPTENET Server.
Es posible que al introducir el usuario y la clave, su navegador muestre una página en
blanco. Para poder acceder correctamente a la administración deberá añadir a la lista de
sitios de confianza de su navegador la URL donde está instalado OPTENET. Por
ejemplo, si OPTENET está instalado en http://192.168.0.240 y está utilizando Internet
Explorer 6.0, deberá acceder al menú Herramientas -> Opciones de Internet -> Seguridad
-> Sitios de confianza y añadir ahí la URL http://192.168.0.240.
5.1.
Introducción
Es la ventana que aparece por defecto al entrar en la administración, una vez que se
haya autenticado correctamente el usuario. (vea siguiente figura)
Presenta una breve introducción de lo que es OPTENET. Si se desea tener la
administración web en otro idioma basta con pulsar sobre la bandera del idioma deseado
(bajo el logotipo de OPTENET) y automáticamente aparecerá la administración en ese
39
otro idioma. Como ejemplo, en la Figura 5.3 se presenta la ventana de introducción en
francés.
Figura 5.3: Ventana de Introducción de la Administración WWW en francés.
5.2.
Documentación
Icono situado en la parte superior derecha de la ventana de administración que muestra
la documentación en formato HTML.
40
5.3.
Configuración
Dentro de esta opción podemos configurar aspectos como el estado del filtro, establecer
la página de bloqueo o establecer el directorio donde se generan los logs. Veamos cada
una de estas opciones.
5.3.1. Estado Filtro
El filtro permite actualmente tres estados:
41
♦ ON: estado activo, el filtro procesa todas las peticiones aplicando las acciones de las
reglas de filtrado. Es el estado configurado por defecto que le permite al filtro bloquear
accesos.
♦ MONITOR: estado en el que se procesan todas las peticiones simulando la aplicación
de las reglas de filtrado y posibilitando la escritura en los logs pero sin filtrar. Útil para
aquellas instalaciones que desean hacer una fase de análisis de su navegación antes
de aplicar filtrado.
♦ OFF: estado inactivo, el filtro responde inmediatamente a todas las peticiones
recibidas dejándolas pasar, sin bloquear ningún acceso.
No debemos equivocar OFF con la parada del filtro. Aunque seleccionemos el estado
OFF, OPTENET Server sigue ejecutándose pero deja de vigilar los accesos a Internet. Si
lo que deseamos es parar el filtro se debe hacer conectado como el usuario optenet en
una sesión telnet contra el servidor Guadalinex, Solaris o AIX y tecleando ./filterinit stop o
bien parando el servicio o proceso en sistemas Windows.
5.3.2. Página de bloqueo
OPTENET Server permite personalizar los mensajes que se muestran a los usuarios
cuando se les bloquea una página que han intentado acceder. Por defecto, el campo
« Página de bloqueo » aparece la palabra clave « local ». De esta forma se muestra la
página de bloqueo local ubicada bajo el directorio de instalación (vea apartado 3.2.3
Sistema de archivos instalados por OPTENET). Para que la página de bloqueo local se
muestre correctamente es necesario que el filtro sea capaz de obtener la ip local del
servidor donde se está ejecutando. Asegúrese que en el fichero de configuración "hosts"
del servidor exista una entrada del tipo "ip nombre del servidor". También es necesario
que desde todos los equipos que se vaya a navegar tengan acceso a esa página de
bloqueo. En el caso de que con la configuración "local" no pueda ver la página de
bloqueo
pruebe
a
poner
como
página
de
bloqueo:
http://ip_del_servidor_optenet:10237/cgi-bin/stop. Suponiendo que OPTENET se ejecuta
en la ip 192.168.0.235 la página de bloqueo sería:
http://192.168.0.235:10237/cgi-bin/stop
La Figura muestra la página de bloqueo por defecto de OPTENET Server. Lo habitual es
crear una página web propia y personalizada situarla en la Intranet de su organización y
establecerla como la página de bloqueo de OPTENET Server.
42
Esta página Web de respuesta pueden generarse dinámicamente mediante un CGI un
asp o un php.
Si las páginas de respuesta se generan dinámicamente, se puede recoger la información
que OPTENET Server envía a la página de bloqueo. El CGI/ASP de respuesta recibe en
el query string (método GET) las siguientes variables:
♦ URL Æ indica la URL que ha sido bloqueada.
♦ DATETIME Æ fecha y hora en que se ha efectuado dicha petición.
♦ RULE Æ regla que ha bloqueado esa URL.
♦ CAT Æ categoría a la que pertenece la URL bloqueada.
♦ FILE Æ tipo de fichero de la URL bloqueada.
Si además tiene activado el envío de usuario y de la ip como parámetro de la página de
stop entonces recibirá dos parámetros más:
♦ USER Æ usuario que realizó la petición.
♦ IP Æ ip del equipo desde dónde se realizó la petición.
En envío de estos parámetros está desactivado por defecto, por razones de seguridad. Si
desea activarlo deberá establecer como valor TRUE en la clave del registro de windows:
HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\SendIpUser
Si tiene instalado OPTENET Server en un sistema Guadalinex, Solaris o Aix entonces
deberá modificar el script /usr/local/optenet/RunOPTENET añadiendo como parámetro
de optenet_server -send_ip_user TRUE. Después en ambas plataformas deberá
reiniciar el filtro para que el cambio tenga efecto.
Esta información puede ser muy útil, podemos utilizarla para enviar un e-mail al
administrador o para recoger estadísticas.
5.3.3. Directorio logs
En este apartado puede configurar el directorio donde OPTENET dejará sus logs.
OPTENET Server guarda los siguientes tipos de logs:
43
5.3.4. Configuración de log
5.3.4.1.
Encriptación de información
sensible
Activando esta opción forzará que OPTENET escriba en sus logs la ip, el usuario y los
grupos a los que pertenece el usuario que realiza cada petición de forma encriptada. Por
defecto esta opción está desactivada.
5.3.4.2.
Registrar en log
Desde aquí puede seleccionar la información que OPTENET va a registrar en sus
ficheros de logs (requestYYYYMMDD.log). Los valores que puede seleccionar son:
♦ Nada, indica que el filtro no registrará en el log ninguna de las peticiones que le
llegan para analizar, es decir, no se registran logs.
♦ Sólo bloqueos, indica que el filtro registrará en los logs únicamente aquellas
peticiones que hayan sido bloqueadas.
♦ Accesos, indica que el filtro registrará todas las peticiones que le lleguen para
analizar, tanto las que bloquee como las que permita pasar.
5.3.4.3.
Número de días de
información a guardar
Aquí puede configurar el número de días completos de información de logs que desea
que el filtro guarde. Por defecto, su valor es 1 lo que indica que el filtro mantendrá
siempre los logs completos del día anterior además de los del día actual. Al realizar el
cambio de día, el filtro borrará todos los logs anteriores al periodo de días especificado.
A diferencia de versiones anteriores de OPTENET Server, dónde el módulo de informes
iba integrado con el filtro y dónde los logs se iban acumulando en el directorio de logs del
filtro, esta en está versión el filtro no realiza acumulación de logs. Es OPTENET Reporter
el que una vez instalado y configurado le solicita al los filtros que tenga configurados los
logs que poseen y va realizando en su propio directorio de logs la acumulación de los
datos que va recibiendo de cada filtro. El hecho de que OPTENET Reporter deje de
funcionar temporalmente y OPTENET Server siga funcionando no implica que los logs
generados durante ese periodo se pierdan y no se puedan sacar informes sobre ellos. Ya
que la siguiente vez que se arranque OPTENET Reporter comenzará a solicitar a
OPTENET Server los logs desde la última parte que recibió. De esta forma si esos logs
todavía no han sido borrados por el filtro entonces podrán ser recuperados por el
Reporter. Un día de información a guardar debe ser suficiente para que el Reporter y el
filtro sincronicen sin problemas sus logs.
5.3.4.4.
Campos del log
Desde este apartado puede seleccionar libremente los campos que desea que sean
recogidos en los logs de OPTENET Server, tenga en cuenta que el desactivar algún
campo impide que posteriormente pueda sacar informes con OPTENET Reporter
utilizando esa información, por ejemplo si desactiva el campo usuario luego no podrá
sacar informes ordenado o agrupadas por usuario.
5.4.
Autenticación
Si desea establecer reglas de filtrado por usuarios o por grupos de usuarios es necesario
que su proxy o appliance esté configurado para realizar autenticación de usuarios o bien
que dicha autenticación la realice directamente OPTENET. De lo contrario solamente
podrá establecer reglas de filtrado por las IPs de los equipos que acceden a Internet.
44
5.4.1. Origen de datos(usuarios y/o grupos)
En el caso de querer establecer reglas de filtrado por usuarios y/o por grupos OPTENET
le puede facilitar el listado de los usuarios y los grupos desde los apartados
usuarios/grupos dentro de cada regla de filtrado. Para que OPTENET sea capaz de
mostrarle esta información es necesario que en el apartado "Autenticación" -> "origen de
datos" seleccione cuál es la fuente de datos que utilizará OPTENET para conseguir los
usuarios y grupos. Además como se comenta en la sección 4.2 la mayor parte de los
proxies o caches (en realidad todos menos NetCache y BlueCoat a partir de la versión 3
inclusive) no envían al filtro los grupos a los que pertenece el usuario que está realizando
la petición por lo que OPTENET necesita averiguar dicha información. Seleccionando el
tipo de fuente de datos y configurando adecuadamente cada posible fuente, OPTENET
será capaz de listar los usuarios, los grupos y preguntar los grupos de cada usuario.
A continuación se describen los orígenes de datos con los que OPTENET es capaz de
trabajar.
5.4.1.1.
LDAP
Seleccione la opción LDAP si en su organización se gestionan cuentas de usuarios y
grupos con servidores LDAP. Ejemplos de estos servidores son Active Directory de
Windows, Lotus Dominio, iPlanet. Después de seleccionar la opción LDAP y pulsar el
botón Aceptar en la ventana "Autenticación de usuarios" deberá pulsar el botón LDAP
para definir cuantos servidores LDAP sean necesarios.
Pulsando el botón LDAP accederá a la ventana de configuración de los servidores LDAP.
45
5.4.1.1.1.
Lista de servidores LDAP
En este apartado se configuran los servidores LDAP con los que OPTENET Server se
comunicará para obtener el listado de usuarios, de grupos y consultar los grupos de un
usuario. OPTENET permite definir más de un servidor LDAP.
A la hora de consultar los grupos de un usuario, OPTENET siempre consultará al primer
servidor definido en la lista, y pasará a consultar a siguiente si este primero no responde
o si ese usuario no está definido en el primero. Por ello es fundamental el orden en que
se establezcan estos servidores. A la hora de listar todos los usuarios o grupos
OPTENET consultará a todos los servidores y mostrará el total de usuarios y grupos
obtenidos.
Desde está opción podrá añadir un nuevo servidor LDAP, modificar o borrar uno
existente, y también establecer el orden de los mismos.
5.4.1.1.2.
Servidor LDAP
En este apartado se configura el servidor LDAP elegido. Al agregar un servidor nuevo se
crea una entrada nueva con un nombre aleatorio y con el puerto LDAP estándar 389.
Para cada servidor LDAP deberá configurar los siguientes datos:
• Nombre: nombre con el que va a identificar este servidor LDAP dentro de la lista,
este nombre es simplemente simbólico pero debe ser único dentro de la lista de
servidores LDAP que defina.
• Servidor: nombre o dirección IP del servidor LDAP. Recomendamos insertar si es
posible siempre la dirección IP para que las consultas LDAP sean más rápidas y
no se tenga que resolver el nombre en cada una de ellas.
• Puerto: puerto donde escucha el servidor LDAP.
• Administrador: DN y clave de acceso al servidor LDAP. Si el servidor LDAP
permite lecturas anónimas pueden dejarse vacías.
• Base: base para las búsquedas de usuarios y grupos.
• Tipo: tipo de servidor LDAP.
46
El tipo de servidor LDAP sirve para indicar al filtro la manera en la que debe obtener los
usuarios, los grupos y las relaciones entre ambos. Para obtener esa información el filtro
requiere los siguientes datos:
•
•
•
•
•
•
•
•
Objetos de usuario: filtro LDAP para buscar los objetos con la información de los
usuarios. Por ejemplo: (objectClass=inetOrgPerson), (objectClass=rvUser), etc.
Nombres de usuario: atributo LDAP que se utilizará como nombre de los usuarios. Por
ejemplo: uid, shortname, etc.
Criterio de filtrado: Cuando se funciona con ICAP y se ha configurado en LDAP un
identificador de usuario diferente al "Distinguished name" se debe activar la opción
“consulta alias de usuario (LDAP)” y establecer un tiempo máximo para la caché
como se describe más adelante en este manual. En este caso OPTENET realizará
una consulta para obtener el identificador/es de usuario a partir del "Distinguished
name". Para que OPTENET sepa cuál de todos los identificadores devueltos en esta
consulta debe utilizar, se dispone de esta casilla donde se puede especificar un
patrón de búsqueda (por ejemplo "U*"). De esta forma OPTENET únicamente
considerará aquellos campos que comiencen por U. Por último para resolver posibles
casos con más de una concordancia, se dispone del desplegable que permite
seleccionar "primer valor" o "último valor".
Miembros de usuario: condición que se aplica a los objetos de usuario para obtener
los grupos a los que pertenecen. Por ejemplo: (memberOf=cn=%cn%), (ou=%ou%),
etc. Nótese que puede indicarse entre % el atributo de los objetos de grupo que debe
cumplir la condición para que el usuario se considere miembro de ese grupo.
Objetos de grupo: filtro LDAP para obtener los objetos con la información de los
grupos. Por ejemplo: (objectClass=groupOfUniqueNames), (objectClass=rvGroup),
etc.
Nombres de grupo: atributo LDAP que se utilizará como nombre de los grupos. Por
ejemplo: cn, ou, etc.
Miembros de grupo: condición que se aplica a los objetos de grupo para obtener los
usuarios que pertenecen a los mismos. Por ejemplo: (uniqueMember=%dn%),
(memberUid=%uid%), etc. Nótese que puede indicarse entre % el atributo de los
objetos de usuario que debe cumplir la condición para que el grupo incluya a ese
usuario como miembro suyo.
Grupos anidados: nivel máximo de anidamiento de los grupos. Puede valer -1 en cuyo
caso se buscarán todos los grupos de un usuario hasta que acaben todos los
anidamientos. Si es 0 no se buscan los grupos anidados. Hay que utilizarlo con
cuidado ya que se realizan más consultas LDAP por cada nivel y puede afectar
negativamente al rendimiento.
47
A continuación se muestra un ejemplo de una configuración de un servidor LDAP. En
este ejemplo los usuarios consisten en objetos de tipo inetOrgPerson y su nombre se
extrae del atributo uid. Los grupos consisten en objetos de tipo groupOfUniqueNames y
su nombre se extrae del atributo cn. Para conocer los grupos a los que pertenecen los
usuarios sólo se consultan los objetos de grupo (el apartado Miembros de Usuarios está
vacío) y como condición se establece que el atributo uniqueMember incluya el uid del
usuario en el formato dado. No se buscan los grupos anidados.
48
5.4.1.2.
Dominios Windows
Seleccione la opción Dominios Windows si en su organización se gestionan las cuentas
de usuarios y grupos con Dominios Windows, tanto NT como Windows 2000 o 2003
instalados en modo mixto. Como requisito deberá haber instalado previamente OPTENET
DCAgent 2.xx. en un servidor Windows de su red que tenga acceso a los controladores
de domino que desea consultar. Este software se encarga de consultar los controladores
de dominios para extraer los usuarios, grupos y los grupos de cada usuario. A su vez,
OPTENET server se comunica con OPTENET DCAgent para obtener esta información.
* Puede descargar este software de la web de OPTENET. Se recomienda también que
consulte su manual antes de proceder a la instalación.
5.4.1.2.1.
Servidores de Dominios Windows
En este apartado se configuran las máquinas Windows donde se ha instalado OPTENET
DCAgent 2.xx con los que OPTENET Server se comunicará para obtener el listado de
usuarios, de grupos y consultar los grupos de un usuario. OPTENET permite definir más
de un DCAgent.
A la hora de consultar los grupos de un usuario, OPTENET siempre consultará al primer
servidor definido en la lista, y pasará a consultar a siguiente si este primero no responde
o si ese usuario no está definido en el primero. Por ello es fundamental el orden en que
se establezcan estos servidores. A la hora de listar todos los usuarios o grupos
OPTENET consultará a todos los servidores y mostrará el total de usuarios y grupos
obtenidos.
49
Desde está opción podrá añadir un nuevo OPTENET DCAgent, modificar o borrar uno
existente, y también establecer el orden de los mismos.
5.4.1.2.2.
Dominio Windows
En este apartado se configuran los datos del OPTENET DCAgent seleccionado. Al
agregar un servidor nuevo se crea una entrada nueva con un nombre aleatorio y con el
puerto de escucha del DCAgent estándar 10240. Para cada servidor DCAgent deberá
configurar los siguientes datos:
•
•
•
Nombre: nombre con el que va a identificar este servidor dentro de la lista, este
nombre es simplemente simbólico pero debe ser único dentro de la lista de
servidores que defina.
Servidor: nombre o dirección IP donde está instalado y ejecutándose el DCAgent.
Recomendamos insertar si es posible siempre la dirección IP para que las
consultas sean más rápidas y no se tenga que resolver el nombre en cada una de
ellas.
Puerto: puerto donde escucha el DCAgent
50
5.4.1.3.
OPTENET Proxy
Seleccione la opción OPTENET proxy si ha instalado OPTENET Server en un sistema
Windows y ha elegido el proxy OPTENET en la instalación. De esta forma OPTENET le
mostrará en el apartado "Reglas de filtrado" -> "usuarios" los usuarios que OPTENET
proxy es capaz de autenticar. OPTENET Proxy no trabaja con grupos de usuarios por lo
que no será posible establecer reglas por grupos de usuario si su organización está
navegando a través de OPTENET proxy.
Pulsando el botón OPTENET Proxy accederá a la pantalla que se muestra en la Figura
5.13 desde donde se añaden o eliminan los usuarios junto a sus claves de acceso que
OPTENET Proxy es capaz de reconocer. En el momento que se introduzca un primer
usuario junto a su clave OPTENET proxy comenzará a solicitar autenticación a todo aquél
que navegue a través suyo, cuando se elimine el último usuario OPTENET Proxy dejará
de solicitar autenticación de usuarios.
51
5.4.1.4.
Squid NCSA
Seleccione la opción Squid NCSA si ha instalado OPTENET Server en entornos UNIX
(Solaris, Aix, FreeBSD o Guadalinex), ha elegido la opción RPC que instala Squid junto
con OPTENET y además ha configurado Squid para que solicite autenticación básica
NCSA. De esta forma conseguirá que OPTENET le muestre en el apartado "Reglas de
filtrado" -> "usuarios" la lista de usuarios de Squid es capaz de autenticar. En realidad
OPTENET realiza una búsqueda del tag "auth_param basic program" del fichero de
configuración de Squid (squid.conf) para obtener el fichero de usuarios, recorrerlo y de
esta forma extraer la lista de usuarios. La autenticación NCSA de Squid no trabaja con
grupos de usuarios por lo que no será posible establecer reglas por grupos de usuario si
su organización está navegando a través de Squid en el que tiene configurado
autenticación NCSA.
5.4.2. Activar autenticación propia
Si su proxy o appliance no está configurado para realizar autenticación de usuarios, todos
los usuarios podrán acceder a Internet sin necesidad de identificarse (introduciendo un
nombre de usuario y una clave). Esto implica que OPTENET no recibe la información de
qué usuario realiza cada petición no pudiendo aplicar reglas de filtrado basadas en
usuarios o grupos,, y pudiendo establecer diferentes políticas únicamente por las IPs de
los equipos que acceden a Internet.
Para poder establecer políticas de filtrado por usuarios o grupos de usuarios tenemos dos
opciones:
•
•
A) Configurar su proxy o appliance para que realice autenticación de usuarios
(opción recomendada) o
B) Configurar OPTENET para que sea él mismo quién identifique a los usuarios
que están navegando.
52
En el caso de la opción A) en la que es el proxy o cache quién está autenticando
usuarios, dicho proxy envía a OPTENET con cada petición WEB el usuario que la
solicita. OPTENET deberá en este caso obtener los grupos de dicho usuario para lo que
utiliza el origen de datos que se haya configurado (LDAP o dominios Windows,
recordemos que con el proxy OPTENET o Squid NCSA no se pueden establecer reglas
de filtrado por grupos)
La opción B) consiste en que sea OPTENET quién identifique a los usuarios que están
navegando. Para activarla hay que marcar el tic de la casilla "Activar autenticación
propia" de la ventana autenticación de usuarios. Esta opción puede ser útil para
organizaciones dónde el proxy/cache no realiza autenticación de usuarios o que dicha
cache no envía al filtro qué usuario está realizando cada petición. En este modo de
funcionamiento OPTENET realiza una asociación entre las IPs que recibe en cada
petición y los usuarios que están navegando desde dichas IPs por lo que es
estrictamente necesario que al proxy/cache y por lo tanto a OPTENET lleguen las
peticiones identificadas por su IP de origen y no por la IP de un router o gateway
intermedio. A continuación se describe el proceso de identificación que realiza
OPTENET:
1. Un usuario comienza a navegar por Internet, realiza las peticiones web al proxy y este
se las pasa a OPTENET para que decida si deben pasar o ser bloqueadas.
2. OPTENET extrae la dirección IP de la petición y la comprueba contra su tabla interna
que contiene pares IP y usuarios.
3. Como dicha IP es nueva OPTENET todavía no sabe qué usuario está detrás de dicha
petición. Para averiguarlo tiene dos métodos:
3.1 Si está seleccionado como origen de datos "LDAP", OPTENET redirige dicha
petición contra su servidor de autenticación exigiendo al usuario que está
navegando que introduzca un usuario y una clave y lo contrastara con los datos
de los servidores LDAP definidos. Para constrastarlo, el filtro podrá bien realizar
una consulta sobre el campo “nombre de usuario” definido en el servidor LDAP,
bien acceder directamente al directorio LDAP con las credenciales suministradas.
Adicionalmente, y solo en el caso en que se seleccione “LDAP” como origen de
datos, será posible la autenticación del usuario a través de los datos contenidos
en un certificado de cliente, a través de una comunicación segura SSL. Para ello
se deberá indicar el campo de la base de datos LDAP sobre el que se consultará
el contendido del certificado. Si esta última opción está habilitada y la
comprobación de los datos del certificado es errónea, se solicitará un usuario y
una clave. Una vez comprobado se establece la relación entre esa IP y ese
usuario de modo que todas las peticiones que provengan de esa misma IP serán
consideradas de ese mismo usuario durante el "intervalo de petición de la
autenticación" que se puede definir en la misma ventana.
3.2 Si está seleccionado como origen de datos "Dominios Windows", OPTENET
realiza una petición a los DCAgents configurados preguntándoles que usuario
entró en sesión contra los dominios Windows desde esa IP. De esta forma
OPTENET es capaz de identificar a usuario sin necesidad de que éste introduzca
un nombre y una clave. A esta modalidad también es denominada autenticación
transparente y como se puede intuir es necesario que dicho usuario haya entrado
en sesión previamente contra un Dominio Windows. Una vez recibida esa
información del DCAgent OPTENET guarda esa la relación entre esa IP y ese
usuario de modo que todas las peticiones que provengan de esa misma IP serán
consideradas de ese mismo usuario durante el "intervalo de petición de la
autenticación" que se puede definir en la misma ventana.
53
3.3 Si está seleccionado como origen de datos "OPTENET Proxy" la opción
"activar autenticación propia" no tiene efecto y será desactivada. OPTENET extrae
de la petición que le llega del proxy el usuario que este le pase y no hay
posibilidad de obtener grupos ya que el proxy no se los envía. Para que
OPTENET Proxy solicite autenticación de usuarios será necesario que haya
creado uno o mas usuarios en el apartado "OPTENET Proxy".
3.4 Si está seleccionado como origen de datos "Squid NCSA" la opción "activar
autenticación propia" no tiene efecto y será desactivada. OPTENET extrae de la
petición que le llegua de Squid el usuario que este le pase y no hay posibilidad de
obtener grupos ya que el proxy no se los envía. Para que Squid solicite
autenticación de usuarios será necesario que lo haya configurado
adecuadamente, consulte el ejemplo que aparece en la sección "Instalación de
OPTENET con SQUID" de este manual.
4. Transcurrido el intervalo de "petición de la autenticación" se repite el paso 3 para
comprobar si es el mismo usuario quién sigue navegando o por el contrario es otro
diferente.
Resumiendo este punto, OPTENET puede realizar autenticación de usuario siempre que
reciba la IP que está realizando la petición y además los usuarios entren en sesión contra
un dominio Windows o bien dispongamos de un servidor LDAP que pueda validar los
usuarios con sus claves.
No es aconsejable que tanto el proxy/cache como OPTENET realicen ambos la
autenticación, ya que en este caso OPTENET desecha la información de usuario que le
envía el proxy/cache e intenta establecer su propia autenticación.
5.4.3. Nombre o IP del servidor
En esta casilla se debe introducir la IP o el nombre del servidor donde está instalado
OPTENET. Si dicho servidor posee más de un interfaz de red debe insertarse el interfaz
de red que sea accesible desde toda la Intranet. En el caso de dejar en blanco dicha
casillas OPTENET obtiene la dirección IP consultando directamente al servidor. En el
caso de tener varios interfaces de red OPTENET se queda con el primero que esté
configurado que coincide con el primero mostrado por los comando (ifconfig o ipconfig).
Esta casilla sólo es válida si se ha activado la autenticación de usuarios. Para que
OPTENET pueda realizar autenticación de usuarios LDAP el servidor donde se está
ejecutando OPTENET debe ser accesible desde todos los puestos de la Intranet (bien
directamente o bien a través del proxy), en concreto el puerto donde se redirigirán las
peticiones de autenticación. En esta opción puede escribir la IP "visible" de toda la
Intranet de ese equipo, o el nombre "visible" de ese equipo desde toda la Intranet. Tenga
en cuenta que es posible que tenga que añadir dicho nombre de equipo a su servidor
DNS para que las peticiones de autenticación sean resueltas.
5.4.4. Puerto
En este puerto se queda escuchando el servidor de autenticación de OPTENET. Una vez
cambiado el valor de este puerto debe reiniciar OPTENET para que dicho cambio tenga
efecto. Su valor por defecto es 10238. Esta casilla sólo es válida si se ha activado la
autenticación de usuarios.
54
5.4.5. Intervalo de petición de la autenticación
Es el tiempo indicado en segundos durante el cual OPTENET considera válidas las
asociaciones que establece entre IPs y usuarios. Transcurrido dicho tiempo en segundos
OPTENET intentará otra vez resolver el usuario como se indica en el tercer punto del
proceso de autenticación explicado anteriormente.
Este tiempo indica los segundos durante los cuales OPTENET considera válidos la
asociación de un usuario con sus grupos. Transcurrido dicho tiempo cuando reciba la
próxima petición de navegación de ese usuario OPTENET volverá a consultar los grupos
de dicho usuario.
5.4.6. Realizar búsqueda del DN asociado al nombre de usuario
Para autenticarse, el usuario debe suministrar un nombre de usuario y una clave para
contrastar su identidad contra la base de datos de usuarios LDAP. Esta opción sirve para
definir el modo de comprobación que realizará OPTENET con ese nombre de usuario y
esa clave.
Si la opción está habilitada, OPTENET realizará una búsqueda en la base de datos LDAP
para recuperar el DN del registro que está asociado al nombre de usuario introducido por
el mismo. Una vez recuperado el DN, OPTENET intentará validar dicho DN junto con la
clave solicitada por el usuario.
Si la opción está deshabilitada, OPTENET no buscará en la base de datos para conseguir
el DN, sino que construirá el DN directamente a partir del nombre de usuario introducido
por el cliente. Para ello, concatenará el campo “nombre d eusuario” configurado en el
servidor LDAP con el valor introducido por el usuario y con la base del servidor LDAP. A
continuación intentará la validación con el DN construido y la clave suministrada por el
usuario, como en el caso anterior.
La diferencia sustancial es que en el primer caso nos garantiza que el DN que
utilizaremos es el adecuado, por lo que hace que la configuración sea flexible para
cualquier base de datos LDAP. Por el contrario, esta opción consume un mayor tiempo
de resolución, ya que se precisa una consulta previa sobre la base de datos. El segundo
de ellos no nos garantiza que las búsquedas se realicen correctamente y solo es válido
para estructuras LDAP rígidas, en las cuales todos los DN del mismo están formados pro
el campo nombre de usuario y la base LDAP.
Por ello, esta opción por defecto está habilitada.
5.4.7. Utilizar certificados de cliente
Como hemos comentado anteriormente, es posible que OPTENET obtenga las
credenciales de autenticación a partir de los datos de un certificado de cliente. Para ello
debemos habilitar esta opción.
Al hacerlo, el servidor de autenticación propio de OPTENET se convierte en un servidor
seguro, al que habrá que acceder a través del protocolo https en vez del protocolo http. A
partir de ese momento, la transmisión de datos entre OPTENET y el usuario se hará de
forma segura, mediante el protocolo SSL.
Aprovechando la posibilidad que ofrecen las comunicaciones SSL de enviar certificados
de cliente, OPTENET solicita a los usuarios un certificado digital que contenga sus
credenciales. Una vez recibido, OPTENET podrá validar la identidad de dicho usuario
55
utilizando la información contenida en el certificado, sin necesidad de que el usuario
introduzca su nombre de acceso y su clave.
5.4.8. Campo LDAP para comprobar el certificado de cliente
Para comprobar que un certificado digital proporcionado por un usuario coincide con
alguno de los contenidos en la base de datos LDAP que hemos definido como origen de
datos, OPTENET debe consultarlo a la base de datos LDAP.
Para ello, OPTENET obtiene la huella digital del certificado del cliente y la compara con
los valores del campo LDAP que definimos en este apartado. Si la consulta da un
resultado negativo, bien porque no existe el campo configurado o porque no existe ningún
usuario que tenga asociada la información del certificado digital, OPTENET dará al
usuario la posibilidad de autenticarse introduciendo un nombre de usuario y una clave.
5.4.9. Activar consulta alias de usuario (LDAP)
Cuando se funciona con ICAP o con ISA Server, habilitando esta opción OPTENET
puede trabajar con un identificador de usuario LDAP que no sea el "Distinguished
name".
Sea cual sea el identificador de usuario que haya configurado en LDAP, OPTENET recibe
del Appliance o el ISA el "Distinguished name" en la petición como identificador de
usuario. Para solucionarlo OPTENET debe realizar una consulta para obtener el
identificador de usuario configurado en LDAP y que corresponde al "Distinguished
name" recibido.
Por defecto esta opción se encuentra deshabilitada. Una vez habilitada esta opción se
debe configurar la cache usuario-alias (apartado siguiente del presente manual) y se
debe establecer el campo criterio de filtrado para cada servidor LDAP que se haya
definido en la administración de OPTENET.
5.4.10.
Tiempo de vida de la asociación usuario-alias
Para evitar saturar los servidores LDAP haciendo una consulta por cada petición ICAP,
OPTENET mantiene una cache interna que asocia un "Distinguished name" con el
identificador de usuario configurado en LDAP. De esta forma la consulta LDAP se realiza
únicamente la primera vez y luego se utiliza el valor almacenado en la caché. Dicha
caché tiene un tiempo máximo de permanencia pasado el cual sus entradas caducan
debiendo volverse a realizar la consulta LDAP.
En esta casilla se debe introducir dicho tiempo máximo de permanencia en segundos.
5.5.
Categorías
OPTENET Server le permite crear y gestionar sus propias categorías. Para ello basta con
indicar el nombre y los tipos de la categoría que quiera crear y tras un corto intervalo de
tiempo la categoría estará disponible en todo el filtro.
Los tipos posibles son:
- content: categoría de contenido.
Este tipo de categorías se tratarán como las categorías que por defecto
incluye el filtro, es decir las categorías creadas por OPTENET. Una vez
creada la categoría podrá añadir URLs a la misma en el apartado
“Clasificación URLs” y posteriormente podrá utilizar esta categoría desde el
apartado de reglas de filtrado.
56
-
white: categoría blanca.
En las categorías del tipo white, se podrán incluir URLs que nunca serán
filtradas por pertenecer a alguna categoría. Puede haber casos en los que
una URL pertenezca a más de una categoría, por ejemplo una pagina de
prensa económica pertenecerá a la categoría “prensa” y a la categoría
“economía” y por lo tanto podrá ser bloqueada en diferentes
configuraciones de filtrado. Incluyendo la URL en el tipo categoría “white”,
no se filtrara en ningún caso.Las categorías blancas son útiles para
asegurarnos que las urls que insertemos no sean clasificadas por ninguna
otra categoría. Una vez creada la categoría podrá añadir URLs a la misma
en el apartado “Clasificación URLs”.
-
black: categoría negra.
Las categorías del tipo black sirven para insertar URLs que deseamos que
sean clasificadas como pertenecientes a todas las categorías de contenido
existentes. Una vez creada la categoría podrá añadir URLs a la misma en
el apartado “Clasificación URLs”.
-
search: categoría buscadores.
OPTENET suministra esta categoría con la lista de buscadores.
Adicionalmente se podrán incluir URLs que serán tratadas como
buscadores. La diferencia para las URLs incluidas en este tipo de
categorías será, que cuando OPTENET Server las analiza no se utilizara el
análisis semántico, pero si el análisis de URL. Esto mejora la eficacia a la
hora de permitir o denegar contenidos buscados por el usuario. Una vez
creada la categoría podrá añadir URLs a la misma en el apartado
“Clasificación URLs”.
-
redirect: categoría redirectores.
OPTENET suministra esta categoría con la lista de redirectores,
anonimizadores, etc. Adicionalmente se podrán incluir URLs para las
cuales se prestará especial atención a funciones típicas de redirectores. La
característica especial de estos tipos de categorías es que cuando
OPTENET Server analiza las URLs que tienen incluidas además se hace
una búsqueda especial en la url intentando extraer URLs contenidas en la
misma, para luego buscar las categorías de estas URLs insertadas. Una
vez creada la categoría podrá añadir URLs a la misma en el apartado
“Clasificación URLs”.
Tenga en cuenta que no se puede añadir una categoría con un nombre que ya exista de
antes, así como borrar una categoría que no se haya añadido anteriormente. Por otro
lado, entre las categorías preestablecidas del filtro y las añadidas por el administrador no
se pueden tener más de 128 categorías en total.
57
El proceso de borrado de una categoría es costoso en tiempo y recursos en el servidor
dónde está instalado OPTENET Server, pudiéndole llevar varios segundos.
5.6.
Clasificación URLs
En esta opción podremos añadir URLs a las diferentes categorías indicando si esa URL
pertenece a una categoría o si no pertenece.
Esta opción es muy útil a la hora de desbloquear URLs que OPTENET asocia a una
determinada categoría pero que el administrador no considera que deban pertenecer a
dicha categoría.
Junto al nombre de cada categoría se muestra el tipo de la misma:
• C: categoría de contenido.
• W: categoría blanca.
• B: categoría negra.
• S: categoría buscadores.
• R: categoría redirectores.
58
59
Desde esta pantalla podemos insertar una URL en varias categorías a la vez, esto puede
suceder dado que las categorías no son conjuntos excluyentes. Por ejemplo, la prensa
deportiva está categorizada a la vez como prensa y como deportes. La precedencia de
estas listas de usuario es mayor que las listas predefinidas por OPTENET, esto permite
desbloquear URLs que OPTENET filtre, o bloquear URLs que OPTENET no bloquea.
Es posible indicar que una única página pertenece o no pertenece a una categoría
introduciendo la URL completa, por ejemplo,
http://www.dangerousplace.com/index.htm
o por el contrario indicar que todo un sitio web pertenece o no a una categoría
indicándolo con un * al final, por ejemplo,
http://www.dangerousplace.com/*
También es posible utilizar el asterisco como comodín al principio y en medio de la URL.
De esta forma podemos indicar que todos los host pertenecientes a una organización
pertenecen a una determinada categoría, por ejemplo,
http://*.dangerousplace.com*
Pulsando sobre el icono que hay a la derecha de cada categoría podemos editar la lista
de las URLs que hemos ido añadiendo a esta categoría. Esta lista se presenta ordenada
alfabéticamente para una mayor facilidad a la hora de localizar elementos concretos. En
el caso de categorías de tipo redirector también permite añadir patrones de extracción de
URLs, por ejemplo,
http://www.google.com/search?q=cache:*:#+
donde la '#' indica el punto donde aparecerá la URL a la que se redirige. También se
puede utilizar el comodín asterisco en URL pertenecientes categorías de tipo redirector.
Es importante volver a recordar que OPTENET funciona internamente con URLs sin
protocolo (http, https, …).
Por ello al introducir http://www.sitioentero.com en pornografía se van a categorizar en
pornografía las siguientes urls:
http://www.sitioentero.com
https://www.sitioentero.com
ftp://www.sitioentero.com
Desde la siguiente pantalla podemos añadir nuevas URLs a la lista de las que pertenecen
a una categoría, eliminar alguna si la hemos introducido por error , o eliminar todas las
URLs introducidas en esa categoría. También se pueden editar las listas de las URLs que
no pertenecen a una categoría.
60
Además, en esta pantalla se ofrece la posibilidad de consultar a que categorías pertenece
una determinada URL. Esta funcionalidad es muy útil para evitar inserciones de URLs en
una determinada categoría cuando ya pertenecen a la misma.
Para ello, el usuario debe introducir la URL en el cuadro de texto y pulsar el botón
“Consultar”. En ese momento, debajo del cuadro de texto, aparecerá la lista de categorías
a las que pertenece dicha URL. Si no pertenece a ninguna categoría, aparecerá el
mensaje “No pertenece a ninguna categoría“.
61
5.7.
Reglas de Filtrado
Con las reglas de filtrado podemos personalizar cómodamente OPTENET Server para
adaptarlo a las necesidades de nuestra red.
En esta opción podrá definir esas reglas y todos su criterios: Grupos de IPs, Usuarios,
Grupos de Usuarios, Categorías, URLs, Ficheros y Horarios.
Debemos tener en cuenta que en el caso de conflicto entre reglas se tiene en cuenta su
precedencia. Es decir, si al analizar si una petición debe bloquearse o no, a esa petición
se le pueda aplicar más de una regla (porque ese usuario está incluido en más de una
regla) la que decide es la que antes aparezca en el orden de precedencia.
Una vez seleccionada la opción de Reglas de Filtrado aparece la siguiente ventana
donde podemos ver todas las reglas que tenemos definidas en el sistema y su orden de
precedencia.
Desde aquí podemos crear una nueva regla, modificar o eliminar una existente, alterar su
orden de precedencia y ver un resumen de lo que contiene esa regla. Para ello sólo
tenemos que seleccionar la regla que deseamos modificar y pulsar sobre el botón
correspondiente. Obtenemos entonces otra ventana donde aparece el nombre de la regla
seleccionada y las operaciones que podemos hacer.
62
5.7.1. Cambiar Nombre
Desde esta opción podremos cambiar el nombre a la regla. Por defecto, cuando se crea
una regla nueva, aparece con el nombre Rnúmero. Desde aquí podremos darle un
nombre significativo a esa regla.
63
5.7.2. Acción
La acción indica si esa regla servirá para permitir o por el contrario para denegar los
accesos a las categorías que se seleccionen en dicha regla. Esta opción se selecciona en
la Ventana principal de Modificación de una Regla de Filtrado,
5.7.3. Categorías
En esta opción podrá seleccionar las categorías de contenidos a las que se aplica dicha
regla. Sólo se mostrarán aquellas categorías que entre sus tipos incluyan la de contenido.
Es posible también crear reglas que se aplican sobre todas aquellas peticiones que el
sistema de filtrado no es capaz de categorizar, ya que la URL solicitada no pertenece a
ninguna de las categorías soportadas por la herramienta. Para ello, el usuario solo debe
marcar la opción “Aplicar sobre peticiones no categorizadas (resto)”. Esta opción puede
marcar simultáneamente junto con otras categorías. Así por ejemplo, si se marca esta
opción y la categoría pornografía, la regla se aplicará sobre todas las peticiones
pertenecientes a la categoría pornografía y además sobre todas las que no tengan
ninguna categoría asociada.
64
5.7.4. Ficheros
En este apartado podrá seleccionar los tipos de Ficheros a los que debe aplicarse la
Regla, si no selecciona ninguno la regla no los tendrá en cuenta. OPTENET identifica los
tipos de archivos mostrados en la columna de la izquierda (avi, exe, mp3, mpeg, zip)
haciendo un análisis del contenido del fichero, siendo capaz de detectar la multitud de
archivos renombrados que existen en Internet con el fin de evitar el filtrado por extensión.
Esta característica que le diferencia de otros sistemas de filtrado es capaz de
implementarla porque también analiza el contenido del fichero descargado de la red.
Además de estos tipos de archivos también es posible incluir otros diferentes escribiendo
su extensión en el cuadro de texto "no incluidos" y pulsando el botón ">>". Estos tipos de
archivos se filtrarán únicamente extrayendo la extensión del archivo que está siendo
descargado.
5.7.5. IPs
En esta opción podemos definir grupos de IPs clientes sobre los que va a actuar la regla
seleccionada.
65
Para ello debemos tener en cuenta lo siguiente: si no indicamos ninguna IP, entonces
esta regla actuará sobre todas las peticiones que le lleguen desde cualquier IP. En el
caso de indicar alguna dirección entonces la regla se aplica únicamente a las peticiones
que le lleguen de esa o esas IPs clientes, para el resto de las peticiones se consideran
que no es aplicable esta regla.
Es posible indicar IPs sueltas, introduciendo únicamente la IP en el campo Desde: o bien
indicar rangos de IPs, introduciendo la IP inicial en el campo Desde: y la IP final en el
campo Hasta:
5.7.6. Usuarios
En esta opción, podrá añadir y borrar Usuarios a los que se aplicará dicha regla.
66
Para poder establecer reglas por usuarios deberá configurar su proxy o appliance para
que realice autenticación de usuarios o bien forzar que sea el propio OPTENET quien
realice la autenticación, activando en el apartado configuración la opción "activar
autenticación".
Para que aparezcan en la lista de no incluidos los usuarios de su servidor LDAP, Domino
Windows NT, OPTENET Proxy o NCSA de SQUID deberá previamente tener configurado
dicho servidor desde la opción "autenticación". Pulsando el botón refrescar aparecerán
todos los usuarios. Si no apareciese ninguno en el syslog del sistema (fichero
/var/log/messages en Guadalinex o /var/adm/messages en Solaris o AIX) o bien en el
visor de eventos en sistemas Windows aparecerá la causa por la que no se pudieron
obtener los usuarios de dicho servidor.
Al igual que sucede con las IPs, si no indicamos ningún usuario, esta regla se aplicará a
todos, pero si indicamos alguno, la regla se aplicará sólo a los usuarios seleccionados.
5.7.7. Grupos de usuarios
En esta opción, podrá añadir y borrar Grupos de usuarios a los que se aplicará dicha
regla. Para que aparezcan en la lista de no incluidos los grupos de un determinado
servidor LDAP o de un Dominio Windows previamente deberá tener configurado dicho
servidor desde la opción "autenticación" y pulsar el botón refrescar. Si en una regla se
indican usuarios de forma individual y además grupos de usuarios, esa regla se aplicará a
un usuario si ese usuario está en la lista de los usuarios introducidos en la regla o si
alguno de los grupos a los que pertenece ese usuario está en la lista de grupos a los que
se debe aplicar dicha regla. Tenga en cuenta lo explicado en el apartado “5.4
Autenticación de usuarios” si desea asociar grupos de usuarios a las reglas de filtrado.
67
5.7.8. Tiempo máximo de navegación
En esta opción, podrá incluir en la regla seleccionada, el número de horas máximas al
día, que permite la navegación por Internet a los usuarios, IPs o grupos de usuarios
definidos en dicha regla. Asimismo podrá cancelar esta opción pulsando el botón Borrar.
68
5.7.9. Horarios
En esta opción, podrá añadir, borrar y modificar días de la semana e intervalos de horas
en los que desea que se aplique dicha regla. Fuera de los intervalos indicados dicha regla
no tendrá efecto. Si no se indica ningún intervalo dicha regla será efectiva las 24 horas
del día los 7 días de la semana.
5.7.10. URLs Yes
En esta opción, podrá añadir, borrar y modificar URLs Yes como criterio de una regla. La
lista Yes contiene los URLs a los que se debe aplicar la regla, con independencia de su
categoría y tipo de archivo por lo que si el resto de características se cumple (día y hora y
usuario, grupo o IP) la regla cumplirá con su acción. Si la acción de la regla es permitir
entonces estas URLs se permitirán explícitamente, si por el contrario la acción de la regla
es denegar entonces estas URLs se bloquearán.
Es posible indicar todo un sitio completo con un * al final. También es posible utilizar el
asterisco como comodín al principio y en medio de la URL.
69
5.7.11. URLs Not
En esta opción, podrá añadir, borrar y modificar URLs Not como criterio de una regla.
La lista Not contiene los URLs a los que nunca se debe aplicar la regla, es decir las
excepciones de la regla. Es posible indicar todo un sitio completo con un * al final.
También es posible utilizar el asterisco como comodín al principio y en medio de la URL.
70
5.7.12. Ejemplo de utilización de reglas
Veamos por medio de sencillos ejemplos su funcionamiento.
Por defecto, con la instalación de OPTENET sólo existe una única regla, DenyPorn que
bloquea los accesos a sitios con contenido pornográfico. Veamos cómo está configurada
esta regla. En la opción de categorías esta regla tiene señaladas las categorías básicas
de filtrado: pornografía, racismo, violencia, sectas, drogas y construcción de explosivos
es decir, esta regla inhibe estas cinco categorías. ¿A quién se inhibe estos contenidos?
Si miramos los usuarios, vemos que no hay usuarios definidos por lo que afecta a todos,
lo mismo sucede con los grupos de usuarios. ¿A qué equipos? Tampoco hay direcciones
IPs definidas por lo que esta regla es aplicable a todos, ¿en qué horarios? como no hay
ninguno especificado es aplicable en todas las horas del día. ¿Hay alguna excepción a
esa regla? Vemos que ni en la lista URL Yes (URL que directamente cumplen esta regla)
ni en la lista URL NOT (URLs que nunca cumplen esta regla) aparece ninguna dirección,
es decir, no hay excepciones a esta regla.
Resumiendo, por defecto al instalar el filtro se bloquea el acceso a dichos contenidos a
todos los usuarios y equipos que naveguen a través del proxy.
5.7.12.1.
Regla para el jefe
Imaginemos que ahora el jefe nos exige un acceso sin filtro. Esto significa que el jefe no
debe ser afectado por ninguna regla de filtrado. La solución es fácil, crearemos una regla
para el jefe, donde en los usuarios incluimos el usuario con el que se autentica el jefe, o
si no hay autenticación de usuarios en la parte de IPs incluiremos la de su equipo. A
continuación marcamos la acción de la regla como “Permitir” y no seleccionamos ninguna
categoría. Es decir, hemos creado una regla que sólo se aplica al jefe que sirve para
permitir, ¿el qué? cómo no hemos elegido ninguna categoría ni tipo de archivo permitirá
todo ¿cuándo? cómo no hemos seleccionado ningún horario ni día permitirá siempre.
Falta un detalle, debemos colocar esta regla como la más prioritaria. De esta forma
cuando el jefe navegue por Internet OPTENET analizará sus peticiones empezando por
la regla más prioritaria, verá que dichas peticiones cumplen esa regla y permitirá el
acceso a todos los contenidos.
5.7.12.2.
Regla para bloquear prensa y
deportes en horario laboral
Otro ejemplo: supongamos que ahora queremos bloquear que en horario laboral (de 9 a
14 y de 16 a 19) de lunes a viernes, se acceda a contenidos de deportes y de prensa.
Fácil: creamos una nueva regla llamada PrensaEnTrabajo y seleccionamos que su
horario sea de 9 a 14 y de 16 a 19 de lunes a viernes. Las categorías que filtra esa regla
son Prensa y Deportes.
¿En qué posición la debemos colocar? Debemos pensar cuál de las tres reglas que
tenemos hasta este momento es la más general y ponerla al final, e ir subiendo en la
jerarquía hasta la más específica. De esta forma la más general es DenyPorn, que inhibe
pornografía luego vendría PrensaEnTrabajo, y luego la del jefe.
¿Podríamos haber incluido en la regla DenyPorn también las categorías Prensa y
Deportes y haber marcado como horario el laboral?. La respuesta es no. Si no creamos
una nueva regla y en su lugar modificamos DenyPorn añadiendo más categorías y
71
modificando su horario estamos haciendo que fuera de dicho horario (a partir de las 19)
se pueda acceder también a contenidos pornográficos.
5.8.
Actualizaciones
OPTENET Server se conecta de forma continua a los diferentes servidores de
actualizaciones para ir completando su base de datos de URLs de forma incremental y de
esta forma poder filtrar las nuevas direcciones categorizadas de Internet que van
surgiendo día a día. Todas estas nuevas URLs son almacenadas en memoria para un
eficiente funcionamiento y deberán ser guardadas en disco cada cierto tiempo.
Desde esta opción podemos configurar los siguientes parámetros:
5.8.1. A través de proxy
Seleccione esta opción si el servidor dónde está instalado OPTENET no puede acceder
directamente a Internet y necesita salir a través de un proxy. Indique la dirección IP del
proxy (o bien su nombre) y el puerto. Asegúrese de que dicho proxy no solicite
autenticación para las peticiones de OPTENET.
5.8.2. Frecuencia de actualizaciones
OPTENET solicita las nuevas URLs que se van categorizando de forma incremental y
trozos de varios Kbytes para no saturar el tráfico de la red. El tiempo entre
actualizaciones indica los segundos que OPTENET espera entre dos actualizaciones
consecutivas suponiendo que tenga nuevas URLs para actualizarse. El tiempo entre
chequeos indica los segundos que OPTENET espera cuando está completamente
actualizado antes de realizar el nuevo chequeo.
72
Los valores por defecto (30 y 300 segundos) están pensados para que los desbloqueos
que pueden ser solicitados desde la página de bloqueo lleguen al filtro en un corto
periodo de tiempo.
5.8.3. Consolidación a disco
Las nuevas direcciones que va recibiendo el filtro son almacenadas en memoria por
razones de eficiencia y son guardas en disco en el proceso de consolidación. Dicho
proceso puede ser programado de forma diaria, semanal o mensual indicando el intervalo
de hora de comienzo. OPTENET recomienda una actualización diaria a disco
coincidiendo con los periodos de actividad más bajos en la red, que normalmente se dan
durante la noche.
5.8.4. Recarga absoluta de listas
Es posible realizar una recarga completa de listas en el instante actual con solo pulsar
sobre el botón “Recarga ahora” situado en la parte inferior de la ventana. Una vez
lanzado el proceso de recarga podrá seguir la evolución de la recarga desde el apartado
"Información del sistema", donde se indicarán los bytes descargados así como los totales
y el resultado de la recarga.
5.9.
Informes
Al pulsar sobre esta opción se abre otra ventana de navegación que se conecta contra
OPTENET Reporter. OPTENET Reporter es la herramienta que le permite sacar informes
del uso de Internet. Por defecto se puede instalar con OPTENET Server ya que se
distribuye de manera conjunta.
Si cuando pulsa sobre esta opción OPTENET Reporter no está ejecutándose aparece un
mensaje indicando que no es posible contactar con la herramienta de informes. Por favor,
asegúrese de que OPTENET Reporter está en ejecución y que está instalado en la IP de
la máquina y escuchando en el puerto indicando. Por defecto, OPTENET Server intenta
contactar con un OPTENET Reporter instalado en su misma servidor.
Una vez haya arrancado OPTENET Reporter y se haya asegurado de que está bien
configurada su IP y puerto de administración en este apartado de OPTENET Server
73
vuelva a pulsar sobre la opción "Informes" y se abrirá en una nueva ventana de
navegación la administración de OPTENET Reporter. Se recomienda leer el manual de
usuario de OPTENET Reporter para obtener más información.
74
5.10. Identificación Administrador
OPTENET Server establece varios niveles de administración como se muestra en la tabla
adjunta:
Introducción
Documentación
Configuración
Autenticación
Activar
autenticación
Tipo de
autenticación
Categorías
Clasificación URLs
Ver
Añadir
Quitar
Reglas de filtrado
Borrar
Añadir
Modificar
Modificar URLs y
categorías asociadas
a una regla
Actualizaciones
Informes
Bloquear
Administrador
Administradores
Administradores
Locales
Administradores de
categorías y URLs
Operadores
Informes
Gestion en cluster
Licencia
Información
del
sistema
Obtención de logs
para el reporter
Administrador
Local
Administrador
X
X
X
X
X
X
X
Categorias y Reports
URLs
operator
Administrador
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Por defecto en la instalación existe un usuario de cada perfil y sólo está activado el nivel
“Administrator”. El primero tiene control total sobre el filtro pudiendo realizar todas las
operaciones de administración. Por defecto, el nombre del usuario de administración es
optenet y la contraseña 12345678. Estos valores pueden ser cambiados desde la
administración WWW mediante el botón Administrador del menú. Se recomienda
cambiar su usuario de administración nada más instalar OPTENET Server.
75
Se pueden modificar los datos de los usuarios existentes por defecto en la instalación
para cada perfil y añadir nuevos usuarios o borrar los que se deseen. Para ello al pulsar
Administrador, se muestra la lista con todos los usuarios agrupados por perfil. Habrá que
seleccionar el usuario para borrar o modificar y pulsar el botón correspondiente, o
simplemente pulsar el botón “Nuevo” si se desea crear un nuevo usuario.
Para activar los otros niveles de actualización deberá pulsar el botón asociado al nivel
deseado en la siguiente pantalla, activar la opción “activar perfil”, introducir el nombre de
usuario, la clave y pulsar el botón aceptar como muestra la siguiente figura:
Merece mención especial el perfil Reports Operator OPTENET server guarda en sus logs
todas las peticiones de Internet que analiza y aquellas que ha bloqueado. Si desea sacar
informes de estos logs deberá instalar OPTENET Reporter en el mismo servidor u otro
diferente. Seguidamente deberá configurar OPTENET Reporter indicándole dónde está
OPTENET Server para que el Reporter consiga los logs y posteriormente pueda sacar
informes. Para que no que el Reporter pueda solicitar al filtro los logs se debe identificar
con un usuario y una clave válidos. Dicho usuario con dicha clave debe estar definido
dentro del perfil Reports Operator del filtro y además estar activo.
5.11. Configuración avanzada
Desde esta pantalla el administrador será capaz de realizar una serie de acciones de
carácter avanzado, para personalizar de manera más especifica sus características de
filtrado. Entre estas opciones podrá:
•
•
•
Configurar bloqueos por intentos repetidos.
Configurar filtrado de servicios de mensajeria instantanea Skype.
Volcar los logs de navegación que está generando OPTENET.
76
5.11.1.
Configuración de bloqueos por intentos repetidos
Con esta característica se puede bloquear el acceso a Internet completamente a un
usuario que durante un determinado periodo de tiempo ha intentado acceder a más de un
determinado número de sitios no permitidos. Se pretende con esta funcionalidad poder
penalizar a los usuarios que intentan acceder a páginas no permitidas.
Por defecto, la opción viene desactivada, para activarla simplemente hay que seleccionar
si los usuarios se identificar por nombre (usuario autenticándose) o por IP, el tiempo que
se les bloqueará como penalización y el número de bloqueos que se les permite tener en
un determinado periodo de tiempo.
Además en el caso de bloqueo se puede configurar la página de bloqueo que se le debe
mostrar y la posibilidad de enviar un mail al administrador del sistema notificando esta
situación.
Si queremos desbloquear a alguna persona que ha sido bloqueada por esta causa, lo
podemos hacer desde la siguiente pantalla que aparece al pulsar el botón Desbloquear.
77
Dicha pantalla muestra una lista con todos los usuarios bloqueados actualmente. Puede
desbloquear un usuario en concreto seleccionándolo y pulsando el botón ‘Desbloquear’.
También puede desbloquear todos los usuarios clickando únicamente el botón
‘Desbloquear todos’.
5.11.2.
Detección de Skype
Skype es una conocida aplicación de mensajería instantánea, que permite a sus usuarios
hacer llamadas telefónicas vía Internet, establecimiento de comunicaciones vía Chat,
envío de ficheros, etc.
Lo más peculiar de esta aplicación es que no utiliza una serie de puertos predefinidos
para establecer las comunicaciones entre los diferentes usuarios, sino que en caso de
que los puertos por defecto no estén disponibles, las comunicaciones se realizan a través
de los puertos destinados a las comunicaciones HTTP (80) y HTTPS (443).
Esto da la posibilidad a los usuarios de Skype de evitar las posibles limitaciones
introducidas en los cortafuegos, ya que estos funcionan cortando las comunicaciones que
salen o entran a determinados puertos. Por lo tanto, cortar el acceso a dichos puertos no
basta para impedir que los usuarios de nuestra organización no puedan utilizar el servicio
Skype.
Además de esto, Skype cifra con un algoritmo propietario absolutamente todo lo que
transmite antes de lanzarlo a Internet, lo que hace que sea aún más difícil identificar los
paquetes de datos que provienen de clientes Skype.
Optenet utiliza para la detección de posibles comunicaciones Skype un análisis de la
comunicación, de modo que se analizan todos los paquetes sospechosos de contener
mensajes Skype, determinando si un determinado nodo utiliza los puertos HTTP o
HTTPS para comunicaciones de ese tipo.
Cuando acceda a la configuración de detección Skype, aparecerá una pantalla como la
siguiente:
78
Veamos cada una de las opciones disponibles en la misma.
5.11.2.1.
Activar detección Skype
Por defecto, la opción de detección de Skype está deshabilitada. Para activarla,
simplemente debe marcar la opción correspondiente. El resto de parámetros de
configuración solo tendrán efecto si esta opción está habilitada. Además, la opción de
detección Skype, actualmente solo está disponible para integraciones con sistemas ICAP.
Número máximo de conexiones simultáneas
Para realizar la detección de tráfico Skype, OPTENET analiza los mensajes sospechosos
de pertenecer a comunicaciones SKype.
Durante el análisis,,el hilo ICAP que está gestionando la petición queda ocupado. Con la
definición de este parámetro podemos limitar el número de hilos ICAP simultáneos que
vamos a utilizar para la detección Skype, de forma que podemos siempre dejar algunos
hilos reservados para la navegación tradicional.
La correcta definición de este parámetro es muy importante ya que los clientes Skype
tradicionales, al conectarse, realizan múltiples peticiones en paralelo contra múltiples
posibles servidores Skype. Si dejáramos que las detecciones Skype consumieran todas
las conexiones ICAP disponibles, nos quedaríamos sin servicio WWW durante el tiempo
que duren los análisis Skype. Por lo tanto, es recomendable no asignar un valor mayor o
igual al 50% del total de hilos ICAP habilitados.
Tiempo de vida de los nodos detectados como Skype
Cuando un nodo es detectado como Skype por OPTENET; este nodo se guarda en una
caché interna para evitar que futuras peticiones a este mismo nodo sean nuevamente
analizadas. Las entradas de dicha caché tienen un determinado tiempo de vida que se
define en este aparatado. El tiempo de vida mínimo de una entrada en esta caché es de
3600 segundos.
79
Es posible que deseemos que las entradas de la caché no caduquen nunca. Para ello,
debemos introducir el valor cero en la casilla correspondiente. De esta manera las
entradas estarán en la caché y se aplicarán permanentemente.
Timeout de las conexiones de detección Skype
Para realizar la detección Skype se llevan a cabo una serie de conexiones contra los
posibles nodos Skype. Es posible que dichas conexiones sean rechazadas, como
cualquier otra conexión. El tiempo que OPTENET esperará para recibir respuesta del
servidor que se desea testear se define en este apartado. Por defecto, tiene un valor de
10 segundos.
Activar detección en puertos
OPTENET permite determinar sobre que puertos se quiere llevar a cabo el testeo de
patrones Skype. Es posible activar la detección sobre los puertos 80 y 443 de manera
independiente. De esta forma, un usuario podrá decidir testear las comunicaciones que
se dirijan al puerto 80 únicamente, las que lo hagan al puerto 443, o las que lo hagan
contra ambos.
Si la detección de Skype está activada, es obligatorio que al menos uno de los puertos
esté activado. Aún así, se recomienda que la detección se haga contra los dos puertos,
ya que los clientes Skype usan indiferentemente uno u otro para encapsular sus
comunicaciones.
5.11.2.2.
Políticas de funcionamiento
OPTNET permite al administrador definir las diferentes políticas de funcionamiento,
dándole la opción de decidir que hacer en ciertos casos que pueden darse durante la
detección SKype. Las políticas que puede definir el administrador son:
•
•
•
•
Bloquear aquellas peticiones que no puedan ser analizadas por haber alcanzado
el número máximo de conexiones simultáneas: Cuando una petición que es
candidata de contener tráfico Skype no puede ser analizada porque todos los hilos
destinados a la detección están ocupados, el administrador puede definir si quiere
bloquear la petición o dejarla pasar. En este caso, haga lo que se haga, nunca se
incluirá en la caché interna, por lo que si llega una nueva petición idéntica y hay
hilos disponibles, será analizada. Por defecto está activada.
Bloquear las nuevas peticiones dirigidas a sitios que están siendo analizados
actualmente: Cuando llega una petición a un nodo que ya está siendo analizado,
esta nueva petición puede ser nuevamente analizada o se puede bloquear
momentáneamente. Por defecto, estas peticiones se bloquean, ya que así no se
saturan los hilos de detección rápidamente.
Bloquear aquellas peticiones que puedan ser comprobadas por haber agotado el
timeout de la conexión: Cuando se está analizando una petición a un nodo
sospechoso de ser Skype, es posible que este nodo no conteste en el tiempo
definido por le administrador. Si este tiempo de conexión se agota, el
administrador puede decidir bloquear o permitir la petición. Por defecto la opción
de bloqueo está activada.
Incluir en la caché de Skype las entradas que hayan sido descartadas como
tráfico Skype: Cuando se ha llevado a cabo una detección Skype, el análisis de
puede haber determinado que dicho nodo no contiene tráfico Skype. El
administrador puede decidir si estas entradas se incluyen o no en la caché interna
de nodos Skype, de forma que si no los incluye, cuando llegue una nueva petición
a ese nodo se volverá a analizar. Por defecto está activada.
80
5.11.2.3.
Gestión de caché de
detecciones Skype
Además, el administrador podrá gestionar la caché de detecciones Skype. Para ello
deberá pulsar sobre el botón “Ver caché”. Le aparecerá una pantalla como la siguiente:
En esta pantalla podrá ver dos listas. La lista de la derecha contiene una relación de
todos los nodos que han sido detectados como pertenecientes a comunicaciones Skype y
que cuyo tiempo de vida aún no ha expirado. En la lista de la izquierda aparecerán
aquellos nodos que hayan sido descartados como pertenecientes a comunicaciones
Skype.
El administrador podrá pasar nodos de una lista a otra seleccionando una entrada de una
de las listas y pulsando sobre el botón correspondiente. Así mismo, podrá borrar los
elementos de la lista de nodos Skype, los de la lista de nodos No Skype, así como todos
las entradas de la caché.
Todas estas operaciones se realizan la sesión actual de OPTENET, de modo que si se
desea que los cambios realizados se mantengan entre sesiones (si reiniciamos el filtro
por ejemplo), el administrador deberá pulsar sobre el botón “Salvar a disco”. Además, el
administrador podrá refrescar la lista en cualquier momento, ya que está pode cambiar
dinámicamente si la detección está habilitada.
5.11.3.
Volcado de logs
OPTENET no escribe las entradas de los logs de navegación que va generando
directamente sobre el disco, sino que va almacenando internamente dichas entradas
para escribirlas en una sola acción. Esto hace que el proceso de escritura de logs sea
más eficiente. Cuando el tamaño del espacio de almacenamiento temporal se termina o
cuando pasa un intervalo de tiempo sin haber realizado ninguna escritura en disco,
OPTENET vuelca los datos almacenados automáticamente.
81
Con esta opción, el administrador podrá provocar un volcado inmediato de las entradas
que estén pendientes de escritura.
5.12. Gestión en cluster
Esta versión de OPTENET Server permite manejar múltiples instancias* de OPTENET
Server desde un único servidor WWW. Esta forma de trabajar se denomina ‘Gestión en
cluster’.
Una vez se hayan definido las instancias de OPTENET Server tal y como se describe en
los siguientes apartados, cada cambio que se aplique a OPTENET Server, se replicará a
todas las instancias automáticamente.
Si OPTENET Server no puede conectar con una o varias de las instancias, entonces se
mostrará el siguiente mensaje de alerta con la lista de instancias en las que no se ha
podido aplicar el cambio.
*Se entiende por instancia una instalación de OPTENET Server ejecutándose en una
máquina.
5.12.1.
Activar/Desactivar gestión en cluster
El elemento más importante para trabajar en cluster, es el icono situado en la parte
inferior izquierda de la pantalla y que sirve para activar o desactivar la gestión en cluster.
82
Cuando está desactivado, se trabaja de manera convencional, es decir, se maneja un
único OPTENET Server y los cambios se aplican únicamente a esa instalación que se
está administrando. Cuando se activa, todos los cambios que se realicen en la
configuración de este filtro se replican a todas las instalaciones de OPTENET Server que
estén configuradas dentro de la Gestión en cluster.
Si nos encontramos en la opción de configuración o en la de actualizaciones, entonces se
nos mostrará un mensaje indicando que los cambios se aplicarán a todas las
instalaciones de OPTENET Server. En el resto de opciones los cambios se aplicarán sin
mostrar mensaje alguno.
Al activar la gestión en cluster, se muestra la pantalla en la cual se pueden editar
instalaciones de OPTENET Server. Además el botón ‘Gestión en cluster’ es habilitado, y
el icono que muestra el modo de trabajo (activado, desactivado) se actualiza.
Al desactivar la gestión en cluster, se muestra la siguiente pantalla indicando que el modo
de trabajo es el tradicional, y que los cambios sólo se aplican a un único OPTENET
Server. El botón ‘Gestión en cluster’ y el icono se han actualizado nuevamente.
83
5.12.2.
Clusters
Bajo esta etiqueta, se encuentran los botones para editar clusters y en todo momento se
muestra una lista actualizada con los clusters creados.
Para todas las operaciones salvo ‘Insertar’ es necesario seleccionar previamente el
cluster.
5.12.2.1.
Nuevo
Para insertar un nuevo cluster se muestra la siguiente ventana.
Basta con introducir el nombre y automáticamente el cluster se mostrará en la lista.
5.12.2.2.
Modificar
Permite editar el nombre de un cluster. Se muestra la misma ventana que en la operación
anterior pero con el nombre del cluster en la caja de texto.
84
5.12.2.3.
Borrar
Elimina de manera permanente el cluster seleccionado de la lista de clusters.
5.12.2.4.
Conectar
Establece conexiones a todos los servidores del cluster seleccionado y muestra la
ventana de informe del apartado siguiente.
5.12.2.5.
Informe
Muestra el resultado de las conexiones realizadas a los servidores en la siguiente
ventana.
Los campos de la tabla son:
IP/URL: IP de la instancia de OPTENET Server.
Servidor: Nombre del servidor.
Tipo: Tipo de OPTENET Server.
Puerto: Puerto en el que escucha la instancia de OPTENET Server.
Objeto: La petición que se hace a la instancia de OPTENET Server.
Estado: ‘HTTP_OK’ (OPTENET Server está ejecutándose)
‘HTTP_ERROR’ (OPTENET Server no está ejecutándose o los parámetros
introducidos son incorrectos)
5.12.3.
Servidores
Bajo esta etiqueta, se encuentran los botones para editar servidores.
Se muestra en todo momento una lista actualizada con los servidores introducidos para
un cluster seleccionado.
Es importante señalar que la instalación de OPTENET Server a cuya administración
WWW estemos conectados, NO se debe añadir a la lista de servidores, pues los cambios
se le aplicarán siempre, indistintamente del modo de trabajo.
85
Para todas las operaciones es necesario seleccionar previamente el cluster. El servidor a
editar pertenecerá a dicho cluster. Al seleccionar el cluster, se mostrarán todos los
servidores pertenecientes al cluster.
En la caja de texto, para cada servidor se muestra la siguiente información:
IP – Nombre - IP:Puerto – Tipo
5.12.3.1.
Nuevo
Para insertar un nuevo servidor se muestra la siguiente ventana.
Los parámetros para crear una nueva entrada de una instalación de OPTENET Server
que deseamos controlar son los siguientes:
Dir. IP: Dirección IP.
Nombre: Nombre de la instancia.
Puerto: Puerto de escucha.
Usuario: Nombre de usuario para la identificación.
Password: Password de usuario.
Conexión: Tipo de conexión para manejar las demás instalaciones. ‘HTTP’ (por defecto) o
‘HTTPS’ (conexión segura).
Para trabajar con conexiones seguras https, consulte antes el anexo 1 titulado
‘Administración de OPTENET Server a través de una conexión segura’, ya que en este
caso el puerto que se debe introducir no es el puerto donde está escuchando OPTENET
Server en la máquina remota sino el puerto en el que escucha el stunnel asociado al
OPTENET Server que está introduciendo. No se debe confundir dicho stunnel con el
stunnel asociado al filtro local, ya que son diferentes. Por último seleccione ‘HTTPS’ en
‘Conexión’ en lugar de ‘HTTP’.
En la ventana se muestra una etiqueta que dice ‘Puerto Https’. Al insertar un servidor esta
etiqueta está vacía. En posteriores apartados se verá que valores puede tomar.
El nombre y el password de usuario son los mismos que se introducen a la hora de
acceder a la administración WWW de OPTENET Server.
86
Es importante apuntar que al trabajar en cluster, si editamos el nombre y password del
administrador introducido al definir servidor, este también se replica en todas las
instalaciones.
Además hay que señalar que si eliminamos el nombre y password del administrador
introducido al definir servidores, estos dejarán de funcionar con la gestión en cluster. Esto
se debe a que el nombre y password utilizado por la gestión en cluster para replicar un
cambio a una instalación concreta, ya no existen en dicha instalación. En este caso para
que la gestión en cluster vuelva a funcionar, hay que editar los parámetros del servidor e
introducir el nuevo nombre y password.
Otro modo de proceder consiste en editar el usuario en lugar de borrarlo y crearlo.
5.12.3.2.
Modificar
Se muestra la misma ventana que en la operación anterior pero con los parámetros del
servidor en las cajas de texto.
Si trabaja con http, vera que en la etiqueta ‘Puerto Https’, el valor que se muestra es el
mismo que el introducido en ‘Puerto’. Esto es así, porque no hay un puerto asociado a
conexiones https.
Sin embargo si trabaja con conexiones seguras, verá que se le ha asignado un puerto.
OPTENET Server ha buscado un puerto libre en el sistema y ha lanzado una instancia de
stunnel en la máquina local, para poder comunicarse de forma segura.
Por cada nuevo servidor creado, OPTENET Server lanzará una instancia de stunnel en
su máquina local.
5.12.3.3.
Borrar
Elimina de manera permanente el servidor seleccionado de la lista de servidores.
Si trabaja con conexiones seguras, al eliminar un servidor, se elimina la instancia de
stunnel asociada a dicho servidor y que está en la máquina local.
87
5.12.3.4.
Conectar
Establece una conexión con el servidor seleccionado y se muestra la siguiente ventana:
El resultado de la conexión puede ser:
‘Conexión Aceptada’: OPTENET Server está ejecutándose)
‘Error: Conexión no realizada’: OPTENET Server no está ejecutándose o los parámetros
introducidos (usuario, password, dir. ip, ...) son incorrectos.
5.12.3.5.
Informe
Muestra la siguiente ventana con el resultado de la conexión realizada al servidor.
Los campos de la tabla son los mismos que los de informes de cluster.
88
5.13. Licencia
Si tiene un código de licencia que no ha podido registrar durante la instalación puede
registrarlo en cualquier momento desde la administración web (opción Licencia).
Si se ha excedido la licencia en uso, además de registrar una licencia válida deberá
reiniciar el filtro para que el programa funcione correctamente. Si está usando una
licencia válida y simplemente cambia a otra entonces será suficiente con introducir la
nueva licencia, no hará falta reiniciar el filtro.
5.14. Información del sistema
Esta pantalla muestra la información sobre el funcionamiento de OPTENET Server. A
continuación describimos cada uno de los campos que aparecen en la misma.
♦ Versión: versión de OPTENET Server que está en ejecución.
♦ Identificador de ordenador: el código que identifica el ordenador de cara a los
programas OPTENET.
♦ Código de licencia: el código de licencia que utiliza el programa.
♦ Estado de la licencia: indica el estado de la licencia. En el caso de que haya
excedido el uso de su licencia póngase en contacto con [email protected] para
su actualización.
♦ Arranque: fecha y hora en que se arrancó el filtro.
♦ Hora actual del servidor: fecha y hora del servidor dónde se ejecuta el filtro.
♦ Peticiones procesadas: indican el total de peticiones que el filtro ha recibido para su
análisis. Aparecen cuatro números, el primero indica las peticiones ICAP REQMOD
recibidas para el chequeo en listas, el segundo las peticiones ICAP RESPMOD
recibidas para el análisis de contenido, el tercero las peticiones recibidas vía RPC
(SQUID, ISA Server, OPTENET Proxy,…) y el cuarto las peticiones ICAP
REQMOD_CATEGORY recibidas.
89
♦ Peticiones bloqueadas: indican las peticiones que han sido bloqueadas, aparecen
cuatro números y cuyo significado es análogo al de las peticiones procesadas.
♦ Hilos ICAP: el primer número representa los hilos del servidor ICAP que actualmente
están siendo utilizados y el segundo número el total de hilos del servidor ICAP. Esto
hilos incluyen todos los posibles servicios ICAP (reqmod, respmod y
reqmod_category)
♦ Hilos administración: el primer número representa los hilos del servidor web que
actualmente están siendo utilizados y el segundo número el total de hilos disponibles.
Tenga en cuenta que si la página de stop local la sirve dicho servidor.
♦ Estado de la base de datos: Carece de significado para el usuario y pudiera ser
requerido por el personal técnico de OPTENET.
♦ Servidor actual de base de datos: indica de qué servidor está actualizando la base
de datos de URLs.
♦ Última conexión correcta con servidor de BD: fecha y hora de la última vez que el
filtro contactó con éxito a un servidor de base de datos de URLs.
♦ Estado de la última actualización total: Indica el estado de la última recarga total de
la base de datos de URLs que se lanzó desde el apartado Actualizaciones.
Dependiendo de la conexión a Internet una recarga completa puede llevar entre
varios segundos y varios minutos. Desde aquí puede hacer un seguimiento del
progreso de la misma.
♦ Bytes recibidos/totales: muestra los bytes recibidos de la recarga total y los totales
que deberá recibir además del porcentaje completado.
♦ Última actualización correcta desde que se arrancó: indica la fecha y hora de la
última actualización total que se ha realizado con éxito desde que se arrancó el filtro.
♦ Hilos del servidor de logs: el primer número indica los hilos utilizados que están
sirviendo logs a un OPTENET Reporter y el segundo el total de hilos disponibles.
♦ Peticiones al servidor de logs: el primer número indica el total de peticiones
contestadas con éxito y el segundo las erróneas.
90
6.
PROBLEMAS MÁS COMUNES
En este apartado se describen los problemas más comunes y la forma de solucionarlos.
6.1.
Aparece el mensaje optenet server error... cuando intento
navegar
Si al intentar navegar usando el filtro le aparece la siguiente pantalla:
Es debido a que su licencia de OPTENET Server ha caducado. Póngase en contacto con
nosotros a través:
[email protected]
+34 902 154 604 (España)
+34 913579150
+33 (0) 1 73 03 90 60 (Francia)
+44 (0) 870 099 0322 (Reino Unido)
+1 305 249 7505 (Estados Unidos)
para renovar o dar de alta su licencia.
6.2.
No se logra arrancar el filtro
Si cuando intenta arrancar el filtro éste no se logra poner en funcionamiento podemos
consultar el motivo en el syslog del sistema. Para ello deberemos conectarnos como root
y visualizar las últimas líneas de fichero /var/log/messages en Guadalinex o
/var/adm/messages en Solaris o AIX o el visor de eventos de aplicación en sistemas
Windows.
OPTENET Server deja un evento informativo cada vez que es arrancado o el problema
encontrado cuando no se pudo arrancar.
6.3.
No aparecen los usuarios al pulsar el botón refrescar
Para que aparezcan los usuarios al pulsar el botón refrescar debe estar previamente
definido los servidores LDAP o los Dominios Windows de los que vamos a extraer dichos
usuarios. Asegúrese de que dichos servidores estén bien definidos y que son accesibles
desde el equipo donde está instalado OPTENET Server. Consulte el syslog del sistema
(fichero /var/log/messages en Guadalinex o /var/log/messages en Solaris o AIX) o el visor
de eventos de aplicación en sistemas Windows para ver la razón por la que OPTENET no
pudo listar dichos usuarios.
91
6.4.
No puedo entrar en la administración del filtro
Se ha reportado que cuando Internet Explorer 6.0 está configurado en un nivel de
seguridad alto es posible que al introducir el usuario y la clave, su navegador muestre
una página en blanco. Para poder acceder correctamente a la administración deberá
añadir a la lista de sitios de confianza de su navegador la URL donde está instalado
OPTENET. Por ejemplo, si OPTENET está instalado en http://192.168.0.240 y está
utilizando Internet Explorer 6.0, deberá acceder al menú Herramientas -> Opciones de
Internet -> Seguridad -> Sitios de confianza y añadir la URL http://192.168.0.240.
92
6.5.
DEP cierra OPTENET Server en W2003 SP1
Windows2003 SP1 distribuye la herramienta DEP. Es posible que en determinadas
circunstancias DEP detenga OPTENET Server mostrando el siguiente mensaje.
Para solucionar este problema haga clic en ‘Mi PC’ con el botón derecho y seleccione
‘Propiedades’. A continuación haga clic en la pestaña ‘Opciones avanzadas’ y en el grupo
‘Rendimiento’ haga clic en el botón ‘Configuración’. Por último seleccione la pestaña
‘Prevención de ejecución de datos’ y se le mostrará la siguiente pantalla:
93
Haga clic en la segunda opción; ‘Activar DEP para todos los programas y servicios
excepto los seleccionados’. Por último seleccione optenet_service de la lista de servicios
y programas y haga clic en ‘Aceptar’.
94
ANEXOS
95
1.
ADMINISTRACIÓN DE OPTENET SERVER A TRAVÉS DE
UNA
CONEXIÓN
SEGURA
(SOLO
PLATAFORMA
GUADALINEX)
Es posible administrar el filtro OPTENET a través de una conexión segura utilizando el
protocolo HTTPS, accediendo a la siguiente URL: https://host.domain desde cualquier
navegador. Para ello es necesario que en la máquina donde está instalado el filtro se
encuentre ejecutado el programa stunnel. Si se quiere acceder de forma segura a la
configuración WWW desde el navegador Internet Explorer es necesario que la versión de
stunnel sea la 3.22-1 o superior. En caso de que stunnel no esté instalado o la versión
instalada sea inferior a la 3.22-1, los pasos para la instalación son los siguientes:
•
Copiar el paquete stunnel-3.22-1.i386.rpm del ftp updates.redhat.com:/
7.2/en/os/i386, accediendo por ejemplo como usuario anonymous, a la máquina
donde se quiera instalar el stunnel.
•
Instalar el paquete. En el directorio donde se haya copiado el fichero stunnel-3.221.i386.rpm ejecutar como usuario root:
rpm -i stunnel-3.22-1.i386.rpm (stunnel no instalado)
rpm -U stunnel-3.22-1.i386.rpm (versión stunnel inferior 3.22-1)
•
Comprobar que la instalación se ha realizado correctamente:
rpm -qa | grep stunnel
Se debe mostrar:
stunnel-3.22-1
•
Generar el fichero de certificados. En el directorio /usr/share/ssl/certs ejecutar
como usuario root:
make stunnel.pem
introduciendo los datos que se piden.
•
Edite el script stunnelinit que está en el directorio de instalación del filtro. Debe
asegurarse de que la ruta de todos los ficheros a los que se hace referencia es la
correcta teniendo en cuenta el directorio de instalación del filtro, y el parámetro –r
de stunnel tiene por valor el puerto donde escucha el filtro (10237). Este script
establece también el puerto de conexión con otras máquinas, por defecto este
puerto es el 443 y de esta forma se podrá acceder a la administración web del
filtro tecleando en su navegador "https://host_ip". Si se decide elegir otro puerto
en vez del 443 el acceso a la administración web del filtro desde el navegador
será "https://host_ip:Port". Es importante señalar también que si se decide utilizar
un puerto menor del 1024 la ejecución del stunnel debe hacerse como root.
•
Para arrancar el stunnel ejecutar el script stunnelinit en el directorio de la
instalación como usuario root:
./stunnelinit start
•
Para parar el stunnel ejecutar el script stunnelinit en el directorio de la instalación
como usuario root:
96
./stunnelinit stop
Al reiniciar o iniciar el filtro, se debe volver a arrancar stunnel, pero es importante
arrancarlo después de haber arrancado el filtro, ya que éste al arrancarse, elimina todas
las instancias de stunnel que se estén ejecutando en la máquina local.
Si trabaja con la gestión en cluster manejando varios OPTENET Server simultáneamente,
no debe preocuparse de nada, pues el propio OPTENET Server se encarga de que
todas las conexiones con las demás instancias de OPTENET Server sean seguras.
97
2.
ADMINISTRACIÓN DE OPTENET A TRAVÉS DE LA LÍNEA DE
COMANDOS (OPTENET CLI V1.0)
2.1.
Introducción
OPTENET CLI es una aplicación que permite administrar OPTENET Server a través de
una línea de comandos. Es una vía alternativa a la administración web, con la ventaja de
que OPTENET CLI es capaz de procesar ficheros de script que contengan múltiples
peticiones. Otra de las características de OPTENET CLI es que permite administrar
cualquier filtro, simplemente editando su fichero de configuración.
OPTENET CLI hace un control exhaustivo de todo lo que se teclea en la línea de
comandos con el objetivo de minimizar errores. La interfaz de comandos de OPTENET
CLI es en Inglés, pero el manual de usuario está disponible en diferentes idiomas.
OPTENET CLI se puede ejecutar en la máquina en la que se encuentra corriendo
OPTENET Server o en cualquier otra. Hay que tener en cuenta que si OPTENET CLI
administra un filtro remotamente, puede no funcionar correctamente si es necesario
atravesar un proxy.
Si administra con OPTENET CLI un OPTENET Server que es maestro en la gestión en
cluster, debe tener en cuenta que los cambios que aplique vía CLI en el OPTENET
Server maestro se propagarán a los OPTENET Servers esclavos.
Los ficheros que vayan a ser utilizados por OPTENET CLI (fichero de configuración y
ficheros de script) necesitan estar en el directorio donde se este ejecutando OPTENET
CLI. Por ello, si OPTENET CLI se ejecuta remotamente hay que tener cuidado y copiar
ambos ficheros al directorio donde se este ejecutando.
OPTENET CLI se instala junto a OPTENET Server dentro del subdirectorio tools junto a
su archivo de configuración cli.conf y el archivo de scripts por defecto script.txt por
defecto script.txt donde podrá añadir múltiples peticiones. Este fichero de script se
encuentra vacío.
2.2.
UTILIZACIÓN
A continuación se va a explicar como utilizar OPTENET CLI y aprovechar al máximo las
características que ofrece.
2.2.1. Ejecución
Para ejecutar OPTENET CLI, vaya al directorio donde lo haya instalado y teclee:
optenetcli
Mostrándose el mensaje de bienvenida de OPTENET CLI.
Ahora ya se encuentra en la línea de comandos de OPTENET CLI, y los comandos que
teclee serán interpretados y ejecutados.
2.2.2. Ayuda
OPTENET CLI dispone de un completo sistema de ayuda en modo texto. Para ello teclee:
98
?
Mostrándose los nombres de todos los comandos de OPTENET CLI. Tenga en cuenta
que estos son sólo los nombres de los comandos. Muchos de estos comandos tienen
parámetros que también deberá especificar.
2.2.3. Comandos
Para saber cuales son los parámetros de un comando, basta con teclear el nombre de
dicho comando seguido de ‘?’.
Ejemplo:
saveconfig ?
Todos los comandos de OPTENET CLI siguen alguno de los siguientes formatos:
• addxxxxxx
• savexxxxxx
• delxxxxxx
• sortxxxxxx
Donde xxxxxx representa una cadena de caracteres.
Ejemplo: saveconfig, delurlyes, sortrule,...
Hay que tener cuidado con los caracteres en mayúsculas y minúsculas, ya que
OPTENET CLI hace distinción entre ellos. Es decir no es lo mismo ‘saveconfig’ que
‘SaveConfig’.
Para que el manejo de OPTENET CLI sea más sencillo, se ha optado por que todos los
comandos sean en minúsculas. Sin embargo como podrá ver más adelante algunos
parámetros tienen caracteres en mayúsculas.
OPTENET CLI le mostrará la lista de comandos disponible cuando teclee:
• ?
• Un comando que no es interpretado por OPTENET CLI.
• Un comando válido, pero con un número incorrecto de parámetros.
Cuando teclee un comando con el número correcto de parámetros, y que sin embargo
alguno de ellos sea incorrecto, OPTENET CLI le mostrará como utilizar dicho comando.
Así pues un proceso lógico para ejecutar un comando puede ser:
• Teclee ‘?’ para ver los comandos disponibles.
• Teclee el nombre del comando elegido de la lista seguido del signo de
interrogación.
• Teclee el nombre del comando seguido de sus parámetros tal y como se lo
muestra OPTENET CLI.
Si el comando tecleado es correcto y además se ha ejecutado satisfactoriamente,
OPTENET CLI le mostrará el siguiente mensaje:
Configuration added successfully
Si el comando tecleado es correcto pero no se ha podido ejecutar, se le mostrará:
Error: Configuration couldn´t be added
99
Si el comando introducido no existe, verá la lista de comandos disponibles, y si por el
contrario el comando existe pero el número de parámetros no es correcto, se le muestra
como utilizar dicho comando.
Si el comando y el número de parámetros son correctos, pero alguno de los parámetros
no lo es, entonces verá como utilizar dicho comando y además se le muestra el siguiente
mensaje:
Error: Parameter XX is not correct
Donde XX hace referencia al número de parámetro.
En algunos parámetros concretos se mostrará un mensaje diferente al anterior. Por
ejemplo, si uno de los parámetros es un día de la semana, y teclea “Catorce”,
OPTENETCLI le mostrará:
Error: Catorce is not a week day
En el apartado 4 de este documento, se muestra una lista de todos los comandos válidos.
Puede utilizar dicho apartado como una guía de consulta rápida.
2.2.4. Fichero de script
Para que OPTENET CLI ejecute todos los comandos de un fichero de script, simplemente
teclee el nombre del fichero de script con la extensión txt.
Ejemplo: script.txt
OPTENET CLI le mostrará el resultado de la ejecución de las peticiones de la siguiente
forma. Si la petición se ha ejecutado correctamente:
Line XXX added successfully
Donde XXX hace referencia al número de línea del fichero.
Si por el contrario una petición no es correcta, le mostrará la forma de construirla de
forma adecuada.
Ejemplo:
USAGE: savekey PASSWORD
PASSWORD: Password for protecting sensitive information
Es importante que tenga en cuenta que el formato de las peticiones de un fichero de
script, es exactamente el mismo que si lo tecleara.
El formato de un fichero de script, consiste en tener una única petición por línea. De esta
forma se consigue un fichero de script claro y fácilmente editable. Por ello si escribe dos
peticiones en una misma línea, OPTENET CLI devolverá error en esa línea, y no podrá
procesar ninguna de las dos peticiones.
2.2.5. Salida
Para salir de OPTENET CLI, debe teclear el siguiente comando:
100
exit
Este comando finaliza la ejecución de OPTENET CLI.
2.2.6. Fichero de configuración
El fichero de configuración de OPTENET CLI es ‘cli.conf’ y debe estar en el directorio del
ejecutable. Puede editar este fichero con cualquier editor. El formato es el siguiente:
UserName
Password
Server IP
Server Port
Como puede ver, el fichero tan solo consta de 4 líneas, que le permiten seleccionar
cualquier OPTENET Server que este ejecutando para poder así administrarlo.
Las dos primeras líneas son el username y el password que necesita para administrar
OPTENET Server, es decir el mismo que necesita para administrarlo vía web por
ejemplo. Los valores por defecto para el username y el password son “optenet” y
“12345678” respectivamente.
Las dos siguientes líneas contienen la información necesaria para que OPTENET CLI
sepa donde conectarse. La dirección IP de la máquina donde este ejecutándose
OPTENET Server y el puerto en el que está escuchando. Los valores por defecto son la
máquina local (“127.0.0.1”) y el puerto por defecto de la administración WWW (“10237”).
Es importante señalar que el fichero debe tener siempre 4 líneas y que deben ser las que
se señalan arriba. Si faltan o sobran líneas en el fichero, o intenta meter varios campos
en una línea, OPTENET CLI le devolverá un mensaje de error al cargar el fichero de
configuración.
2.3.
Referencia de comandos
En este apartado se muestra una completa lista de comandos con sus respectivos
parámetros, que el usuario puede utilizar como guía rápida de consulta. Los comandos
están agrupados en apartados de la misma forma que lo están en botones en el
administrador WWW.
2.3.1. Configuración
Dentro de esta opción podemos configurar: el estado del filtro, establecer la página de
bloqueo o establecer el directorio donde se generan los logs.
2.3.1.1.
Saveconfig
Todas las características que acabamos de mencionar se configuran con un único
comando.
saveconfig FILTER_STATE URL_BLOCK LOGS_DIR FLAG1 BLOCKING_LOGS
FLAG2 QUERY_LOGS CRYPT_STATUS
FILTER_STATE: "Active", "Inactive"
101
URL_BLOCK: Url indicating the blocking page
LOGS_DIR: Directory for logs output (local path)
FLAG1: "0", "1" (Disable/Enable Blocking_Logs)
BLOCKING_LOGS: IP USER DAY RULE CATEGORY FILETYPE URL
Each Value is:"0","1" Example: 0100110
FLAG2: "0", "1" (Disable/Enable Query_Logs)
QUERY_LOGS: IP CLIENT USER GROUP DAY URL TRAFFIC TIME ACCESSES
RULE CATEGORY FILETYPE
Each Value is:"0","1" Example: 010011010011
CRYPT_STATUS: "0", "1" (Disable/Enable encryption of personal information in log
files)
Este es el formato en el que OPTENET CLI nos muestra como utilizar un comando.
“saveconfig” es el nombre del comando y ‘FILTER_STATE’, ‘URL_BLOCK’ y ‘LOGS_DIR’
son algunos de los parámetros de dicho comando.
Si un parámetro sólo puede tomar unos valores concretos, entonces dichos valores se
muestran entrecomillados tras el nombre del parámetro. Por ejemplo en el caso de
“saveconfig”, FILTER_STATE sólo puede tomar los valores: “Active” o “Inactive”.
Nótese que tanto “Active” e “Inactive” tienen el primer carácter en mayúscula y el resto en
minúscula.
2.3.2. Autenticación
En este apartado se puede configurar OPTENET para que realice explícitamente
autenticación de usuarios.
2.3.2.1.
Saveauthen
saveauthen AUTENTICATION SERVER TIME PORT
AUTENTICATION: "1" (Active), "0" (Inactive)
SERVER: Server Ip or name
TIME: Expiration time
PORT: Server port
2.3.3. Autenticación LDAP
En este apartado podrá definir nuevos servidores LDAP y modificar o borrar los
existentes.
A la hora de llevar a cabo la autenticación de usuarios se sigue el orden en el que los
servidores han sido definidos.
2.3.3.1.
Delauthencache
delauthencache
A este comando no se le pasan parámetros.
2.3.3.2.
Sortldap
sortldap SORT LDAP_SERVER
SORT: "Up", "Down"
LDAP_SERVER: LDAP Server name
102
2.3.3.3.
Delldap
delldap LDAP_SERVER
LDAP_SERVER: LDAP Server name
2.3.3.4.
Saveldap
saveldap SERVER PORT BASE TYPE ADMIN PASSWORD LDAP_SERVER
(OLD_LDAP_SERVER)
SERVER: Server Ip or name
PORT: Server port
BASE_TYPE: Base to search for users and groups
TYPE: "0"(Windows 2000) "1" (Lotus Domino) "2"(iPlanet)
ADMIN: Username to log on to server
Type if not administrator
PASSWORD: Password for username
Type if not administrator
LDAP_SERVER: Server name
OLD_LDAP_SERVER: Old server name or ip
Use OLD_LDAP_SERVER when modifying server, not when creating
El último parámetro va entre paréntesis y esto significa que dicho parámetro es opcional.
Es decir, este comando se puede utilizar para realizar dos peticiones diferentes. Si no
especificamos el último parámetro, crearemos un nuevo servidor LDAP, y si lo hacemos,
entonces estaremos modificando un servidor LDAP existente, cuyo nombre se especifica
mediante el último parámetro.
2.3.4. Clasificación Urls
En esta opción podremos añadir URLs a las diferentes categorías indicando si esa URL
pertenece a una categoría o si no pertenece.
2.3.4.1.
Saveurlclas
saveurlclas URL CATEGORIES
URL: Url to be categorized
CATEGORY: An Optenet Server category
YES_NOT: "Yes" "Not"
2.3.4.2.
Adduserurl
adduserurl CATEGORY LIST URL
CATEGORY: One of OPTENET Server categories
LIST: "Yes", "Not"
URL: The Url
2.3.4.3.
Deluserurl
deluserurl CATEGORY LIST URL
CATEGORY: One of OPTENET Server categories
LIST: "Yes", "Not"
URL: The Url
103
2.3.5. Reglas de filtrado
Con las reglas de filtrado podemos personalizar cómodamente OPTENET Server para
adaptarlo a las necesidades de nuestra red.
En esta opción podrá definir esas reglas y todos su criterios: Grupos de IPs, Usuarios,
Grupos de Usuarios, Categorías, URLs, Ficheros y Horarios.
2.3.5.1.
Addrule
2.3.5.2.
Sortrules
addrule
sortrules SORT RULE_NAME
SORT: "Up", "Down"
RULE_NAME: Name of the rule to be sorted
2.3.5.3.
Delrule
delrule RULE_NAME
RULE_NAME: Name of the rule to be deleted
2.3.5.4.
Renrule
renrule OLD_RULE_NAME NEW_RULE_NAME
OLD_RULE_NAME: Old name of the rule
NEW_RULE_NAME: New name of the rule
2.3.5.5.
Addips
addips RULE_NAME FROM_IP TO_IP
RULE_NAME: Name of the rule
FROM_IP: First ip of ip range
TO_IP: Last ip of ip range
2.3.5.6.
Delips
delips RULE_NAME FROM_IP TO_IP
FROM_IP: First ip of ip range
TO_IP: Last ip of ip range
2.3.5.7.
Savecat
savecat RULE_NAME CAT1 CAT2 ... CATN
CAT1,...CATN: An Optenet Server category
Categories not typed will be disabled
Este comando no tiene un número fijo de parámetros ya que se pueden pasar tantos
nombres de categorías como queramos. Las categorías cuyo nombre no se pase como
parámetro serán desactivadas, y aquellas que se pasen como parámetro serán activadas.
2.3.5.8.
Addurlyes
addurlyes RULE_NAME URL_YES
URL_YES: The url to be added
104
2.3.5.9.
Delurlyes
delurlyes RULE_NAME URL_YES
URL_YES: The url to be deleted
2.3.5.10.
adduser
adduser RULE_NAME USER
USER: User affected by the rule
2.3.5.11.
Deluser
del user RULE_NAME USER
USER: User affected by the rule
2.3.5.12.
Addhours
addhours RULE_NAME FIRST_HOUR LAST_HOUR FIRST_MINUTE LAST_MINUTE
HOUR_INTERVAL: Hour range. Type XX:XX-XX:XX. Example: 08:30-19:37
Hours should be in range 0-59
Minutes should be in range 0-23
Todos los parámetros de este comando menos el primero, son enteros y están
comprendidos en un rango. Si se teclean caracteres o un entero fuera del rango,
OPTENET CLI devolverá error.
2.3.5.13.
Delhours
delhours RULE_NAME HOUR_INTERVAL
HOUR_INTERVAL: Hour range (8:30-19:37)
El segundo parámetro es un intervalo de hora, y es importante seguir el formato que se
especifica, es decir: XX:XX-XX:XX
Si se introduce el intervalo de horas con otro formato, OPTENET CLI devolverá error.
2.3.5.14.
Saveday
saveday RULE_NAME DAY1 DAY2 ... DAY7
DAY*: A valid week day
"Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday", "Saturday"
2.3.5.15.
Addurlnot
addurlnot RULE_NAME URL_NOT
URL_NOT: Url affected by the rule
2.3.5.16.
delurlnot RULE_NAME URL_NOT
URL_NOT: Url affected by the rule
105
Delurlnot
2.3.5.17.
Savefile
savefile RULE_NAME FILE_TYPE1 FILE_TYPE2 ... FILE_TYPE7
FILE_TYPE*: A valid file type (mp3, avi,...)
2.3.6. Actualizaciones
OPTENET Server periódicamente se conecta a la WWW de OPTENET para actualizar
sus listas, y poder filtrar las nuevas direcciones categorizadas de Internet que van
surgiendo día a día. Con esta opción se trata de definir la frecuencia de actualización de
las listas.
2.3.6.1.
Saveact
saveact FRECUENCY DAY_OF_WEEK DAY_OF_MONTH START_HOUR
END_HOUR TRY_INTERVAL PROXY_ADDR PORT PROXY
FRECUENCY: "Daily", "Weekly", "Monthly"
DAY_OF_WEEK:"Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday",
"Saturday"
DAY_OF_MONTH: "1", "2", "...", "28"
START_HOUR: "0", "1", "...", "23"
END_HOUR: "1", "2", "...", "24"
TIME_INTERVAL: Time between tries
PROXY_ADDR: Proxy address
PORT: Proxy port
PROXY: "0", "1"
Hay que tener cuidado con los caracteres en mayúsculas y minúsculas.
2.3.7. Identificación administrador
Para asegurar la privacidad de la configuración y administración, el servidor WWW
requiere que el usuario sea autenticado, por lo que pedirá nombre de usuario y
contraseña. Por defecto, el nombre de usuario es optenet y la contraseña 12345678.
Estos valores pueden ser cambiados desde la administración WWW mediante la opción
Identificación Administrador.
Debe tener en cuenta que la creación / edición de usuarios depende de ciertos permisos.
Por defecto los permisos que tiene para realizar estas operaciones son los del perfil
Administrator (“optenet”, “12345678”). Para cambiar dichos permisos, edite las dos
primeras líneas del fichero cli.conf.
2.3.7.1.
Addadmin
addadmin NEW_USER_NAME NEW_PASSWORD ENABLED PROFILE
NEW_USER_NAME: New user name
NEW_PASSWORD: New password for new user name
ENABLED: Profile enabled ("1") or disabled ("0")
PROFILE: "1" (Ordinary administrator)
"2" (Local administrator)
"3" (Urls administrator)
"4" (Reports administrator)
"5" (Sensitive information administrator)
106
2.3.7.2.
Saveadmin
saveadmin OLD_USER_NAME NEW_USER_NAME NEW_PASSWORD ENABLED
PROFILE
OLD_USER_NAME: Old user name
NEW_USER_NAME: New user name
NEW_PASSWORD: New password for new user name
ENABLED: Profile enabled ("1") or disabled ("0")
2.3.7.3.
Deladmin
deladmin USER_NAME PROFILE
USER_NAME: Administrator user name
2.3.8. Gestión en cluster
OPTENET Server permite manejar múltiples instancias de OPTENET Server que estén
ejecutándose en diferentes máquinas. Podemos crear, editar, eliminar y conectarnos a
tantas instancias de OPTENET Server como deseemos.
2.3.8.1.
Cluster
cluster FLAG
FLAG: "1" (Enable 'Working with Clusters')
"0" (Disable 'Working with Clusters')
2.3.8.2.
Addcluster
addcluster CLUSTER_NAME
CLUSTER_NAME: Name of new cluster
2.3.8.3.
Savecluster
savecluster CLUSTER_NAME NEW_NAME
CLUSTER_NAME: Name of cluster
NEW_NAME: New Name for cluster
2.3.8.4.
Delcluster
delcluster CLUSTER_NAME
CLUSTER_NAME: Name of cluster
2.3.8.5.
Addserver
addserver SERVER_NAME SERVER_IP SERVER_PORT HTTP_FLAG USERNAME
PASSWORD CLUSTER_NAME
SERVER_NAME: Name of new server
SERVER_IP: Ip address of new server
107
SERVER_PORT: Port where server listens
HTTP_FLAG: "1" (Http), "0" (Https)
USERNAME: Username to log on to the server
PASSWORD: Password to log on to the server
CLUSTER_NAME: Server's cluster name
2.3.8.6.
Saveserver
saveserver SERVER_NAME SERVER_OLD_NAME SERVER_IP SERVER_PORT
HTTP_FLAG USERNAME PASSWORD CLUSTER_NAME
SERVER_NAME: New name for server
SERVER_OLD_NAME: Server old name
SERVER_IP: Ip address of server
SERVER_PORT: Port where the server listens
HTTP_FLAG: "1" (Http), "0" (Https)
USERNAME: Username to log on to the server
PASSWORD: Password to log on to the server
2.3.8.7.
Delserver
delserver SERVER_NAME CLUSTER_NAME
SERVER_NAME: Name of server
2.3.9. Informes
OPTENET Server permite configurar una herramienta de informes (OPTENET Reporter)
la cual recibirá los logs.
2.3.9.1.
StoreReporter
storereporter REPORTER_IP REPORTER_PORT
REPORTER_IP: Ip address where OPTENET Reporter is current running
REPORTER_PORT: Port number where OPTENET Reporter is current listening
2.4.
PROBLEMAS MÁS COMUNES
En este apartado se describen los problemas más comunes y la forma de solucionarlos.
2.4.1. No logra arrancar OPTENET CLI
Compruebe que el ejecutable de OPTENET CLI (optenetcli) se encuentra en el directorio
actual. Verifique que el fichero de configuración (cli.conf) también lo está.
2.4.2. Se muestra un mensaje de error al ejecutar un comando
Si recibe un mensaje de error en alguno de los parámetros, compruébelos uno a uno.
Verifique también los caracteres en mayúsculas y minúsculas del comando y sus
parámetros.
108
Si el error se refiere a que la configuración no pudo ser añadida, compruebe primero que
OPTENET Server está ejecutándose. A continuación compruebe que los datos del fichero
de configuración (user, password, ip, puerto) son correctos.
Por último compruebe que no hay que atravesar ningún proxy para llegar a OPTENET
Server.
2.4.3. Ejecuta un comando pero no se refleja su cambio en OPTENET
Server
Si ejecuta un comando de OPTENET CLI, no recibe ningún error sino un mensaje
diciendo que la configuración ha sido añadida, y sin embargo comprueba que los cambios
que esperaba al ejecutar dicho comando no se han producido, entonces el problema
reside en que alguno de los parámetros hace referencia a un elemento que no existe.
Dicho elemento puede ser: Una regla, Una categoría, Un tipo de archivo, Un nombre o Ip
de servidor,...
109
3.
CONFIGURACION DEL PROXY OPTENET
El proxy Optenet tiene ciertos parámetros configurables como son el puerto en el que
escucha, ( y en el caso de tener un proxy detrás) la opción de introducir los datos de ese
proxy encadenado.
Estas opciones son accesibles mediante el icono situado en la barra de tareas:
Al hacer click sobre el icono con el botón derecho o izquierdo del ratón, aparecerá el
siguiente menú contextual donde podremos seleccionar la opción deseada:
3.1.
Configuración de un proxy encadenado (Configuración proxy)
Si se desea configurar un proxy encadenado (chained proxy) mediante la siguiente
pantalla se admiten los datos necesarios: la IP del proxy y el puerto en el que escucha:
3.2.
Administración del Optenet Server (Administración Optenet
Server)
Haciendo click sobre esta opción se abrirá un navegador mostrando la página de
administración del filtro de OPTENET.
110
3.3.
Configuración del puerto (Puerto Proxy)
Para modificar el puerto en el que escucha el proxy por defecto es posible hacer click
sobre esta opción y modificarlo fácilmente:
111
4.
DESCRIPCIÓN DE LAS CATEGORÍAS DE OPTENET
A continuación se enumeran las categorías que ofrece OPTENET junto a una breve
descripción de las mismas:
1. Administración Pública: Gobiernos, ayuntamientos, administración pública, etc...
2. Anonimizadores: Páginas web a través de las cuáles se evita el conocimiento por
parte de terceros de las direcciones web a las que se está accediendo.
3. Anorexia y Bulimia: Sitios que fomentan la anorexia y la bulimia.
4. Arte y Cultura: Páginas web que aportan información relativa a las artes y las letras:
museos, escultura, fotografía, literatura, etc...
5. Azar: Páginas web de casinos on-line y bingos. También incluye páginas donde se
pueda apostar, por ejemplo quinielas, loterías, etc.
6. Bancos y Entidades Financieras: ...
7. Banners: Anuncios publicitarios insertados en páginas web, así como las URL de las
empresas que se dedican a la elaboración de este tipo de anuncios en la web.
8. Blogs: Páginas gratuitas donde particulares publican en
experiencias, comentarios, ideas, etc... que desean compartir.
Internet,
diarios,
9. Buscadores: Páginas web que se utilizan para realizar búsquedas de otras
direcciones web en Internet, por ejemplo Google, Yahoo, Altavista, Alltheweb, etc.
10. Chat: Sitos web que proporcionan servicios para comunicarse (chat) con otros
usuarios en tiempo real.
11. Código malicioso: Hardware, software o firmware que es introducido
intencionadamente en un sistema con un fin malicioso o no autorizado. Un caballo de
Troya es ejemplo de un código malicioso, etc...
12. Construcción de explosivos: Páginas web sobre cómo construir explosivos.
13. Compras: Páginas web dónde se puede comprar productos y servicios.
14. Correo web: Sitos web que proporcionan servicios para enviar mensajes de correo
electrónico.
15. Deportes: Páginas web con contenidos relativos a equipos e información deportiva.
16. DNS Services: Categoría que abarca los casos de conexiones de equipos desde la
red interna de la empresa a equipos de usuarios en Internet , vía http a un puerto
destino configurable y variable, con el gravamen de que en el equipo de Internet de la
empresa, se puede disponer de herramientas, como por ejemplo Remotely Anywhere,
que permiten el control total del equipo de Internet al usuario de la red interna y por
tanto tener una vía de escape, ejecutando http,ftp, etc...
112
17. Drogas: Páginas web con contenidos sobre drogas tanto animando a su consumo
como facilitando lugares y contactos donde conseguirlas. No están incluidas las
páginas que informan sobre los efectos perjudiciales de las drogas.
18. Economía: Páginas web relacionadas con la banca, mercados de valores,
inversiones financieras, etc.
19. Educación: Páginas web relacionadas con colegios, institutos, universidades,
academias y cursos en general.
20. Empleo: Páginas web relacionadas con ofertas de trabajo y demandas de empleo.
También incluye páginas "caza - talentos".
21. Encuentros: Páginas web a través de las cuales se puede conocer a otras
personas: hacer amigos, encontrar pareja, etc...
22. Entretenimiento: Páginas web con información relativa a películas, teatro, libros,
restaurantes, hobbies, etc. Contenidos sobre cómo emplear el tiempo libre en general
excepto contenidos pertenecientes a azar, deportes, juegos y viajes que están
incluidos en sus propias categorías.
23. Foros: Páginas web de carácter temático donde se puede participar aportando
opiniones personales.
24. Guías y callejeros: Páginas web donde se incluyen callejeros de ciudades,
información acerca de direcciones, números de teléfono, etc...
25. Hackers: Páginas web que contienen software ilegal. Páginas que contienen
herramientas de cómo piratear programas y documentación sobre cómo saltarse la
seguridad informática en general.
26. Hosting domains: Websites of companies that host websites and from where Internet
domains can be obtained.
27. Info: Páginas web que en general aportan información útil, como situación del estado
de las carreteras, predicciones metereológicas, etc...
28. Informática: Páginas web con información relacionada con hardware, software,
Internet, etc.
29. Juegos: Páginas web donde se puede jugar on-line o descargarse juegos
informáticos.
30. Lista blanca: Páginas web que no pertenecen a ningún tipo de contenido. No se les
aplican las reglas de filtrado que restrinjan el contenido.
31. Lista negra: Páginas web que se consideran como pertenecientes a todos los tipos
de contenido. Se les aplican todas las reglas de filtrado que restrinjan el contenido.
32. Jurídicas: Páginas web que aportan información sobre temas legales.
33. Logos/Ringtones: Imágenes o Canciones (melodías monofónicas o polifónicas) que
son descargadas por los usuarios de teléfonos móviles.
113
34. Modelos: Páginas web donde se pueden encontrar fotos de modelos (tanto
masculinos como femeninos). Las páginas donde este tipo de fotos muestren
modelos totalmente o parcialmente desnudos pueden estar incluidos en la categoría
de pornografía.
35. Música: Páginas web donde se puede descargar o comprar música, páginas con
información relacionada con cantantes y grupos de música en general.
36. Pagar por navegar: Páginas web que permiten ganar dinero en la red recibiendo
correos, navegando por determinadas páginas, suscribiendo ofertas gratuitas, etc...
37. Páginas personales: Páginas creadas en hosting especializados para ello, y que no
están incluidas en otras categorías
38. Pornografía: Páginas web de contenido pornográfico y erótico. También incluye el
acceso a sitios de descarga dónde se encuentra material de este tipo.
39. Portales: Páginas web en las que se puede encontrar una amplia gama de
contenidos: noticias, ocio, deportes, juegos, música, etc.
40. Prensa: Páginas web de periódicos y revistas virtuales.
41. Racismo: Páginas web con contenido abiertamente xenófobo o que incita al
comportamiento racista por motivos de religión, cultura, raza, ideología, etc.
42. Redirectores: Páginas web que redirigen o transforman otras páginas web.
43. Rosa: Páginas web con contenidos relacionados con celebridades. También incluye
contenidos relacionados con la moda, decoración, estética, etc.
44. Salud: Páginas web en las que se puede encontrar información de carácter
divulgativo (no científico) acerca de enfermedades y sus remedios.
45. Sectas: Páginas web con contenidos relacionado con sectas peligrosas y que son
aceptadas universalmente como tales. No se incluyen aquellas que por legislación de
diferentes países son consideradas como sectas en unos y cómo asociaciones
religiosas con todos sus derechos en otras.
46. Servidores P2P: Sitios donde se registran estos programas para dar el servicio y las
páginas relacionadas con ellos.
47. Servidores Mensajería Instantánea: Sitios donde se registran estos programas para
dar el servicio y las páginas relacionadas con ellos.
48. Sexualidad: Artículos sobre sexo, sexo destinado a adolescentes, educación sexual
etc., que no contienen pornografía.
49. Spyware: Páginas que contengan Spyware. Se considera Spyware al software que
recopila información de un ordenador y después transmite esta información a una
entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.
50. Telecomunicaciones: Páginas web que facilitan información acerca de temas de
telefonía fija, telefonía móvil, conexión a Internet, etc...
114
51. Viajes: Páginas web de agencias de viajes, información turística, hoteles y
alojamientos, medios de transporte.
52. Violencia: Páginas web con contenidos abiertamente de naturaleza violenta o que
incitan a la violencia o la defienden.
* En algunas ocasiones una página web puede pertenecer a más de una categoría.
115
5.
ICAP NOW
NetCache implementa un método ICAP diferente denominado icap now. Se diferencian
de los métodos icap habituales en que la petición ICAP es pasada al servidor ICAP en
este caso OPTENET Server antes incluso de realizar la autenticación de usuario. Esto
puede llegar a ser útil en el caso de que se quiera realizar operaciones diferentes
dependiendo del resultado que devuelva el servidor ICAP decidiendo, por ejemplo, pedir
únicamente autenticación a los usuarios que vayan a acceder a determinadas categorías.
OPTENET Server tiene implementado un servicio ICAP denominado reqmod_category
cuya única misión es categorizar los accesos que le llegan por ese servicio. A diferencia
de los otros dos servicios (reqmod_netcache y respmod_netcache) OPTENET Server no
bloquea ningún acceso, simplemente lo clasifica devolviendo la categoría a NetCache.
Para evitar que un acceso pueda ser catalogado con más de una categoría, OPTENET
Server utiliza el fichero de configuración etc/catpriority.txt que existe dentro de su
directorio de instalación para que el caso de conflicto entre categorías se le asigne la que
antes aparece en dicho fichero. Las categorías que no aparezcan se considerarán cómo
las menos prioritarias, si ninguna de las posibles categoría está escrita (por estar ambas
categorías creadas por el administrador) se elige la que primero se creó en el sistema.
Puede editar catpriority.txt y ordenar las categorías a su gusto. Una vez guardado deberá
rearrancar el filtro para que su ordenación tenga efecto. Además puede añadir nuevas
categorías al fichero modificando también el primer número que aparece en el fichero ya
que indica el número de categorías que tiene el mismo.
A continuación se muestra un ejemplo de configuración de un NetCache en el que se ha
definido el servicio reqmod_category con el fin de solicitar autenticación a todos los
accesos que no pertenezcan a la categoría Intranet:
116
Para poder utilizar correctamente este nuevo servicio debemos indicarle a OPTENET
Server que lance mas hilos con el fin de atender a las peticiones de este nuevo servicio.
Ello se indica en las versiones Windows modificando la clave del registro:
HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\IcapServices
Escribiendo el valor 3.
Para las versiones Unix, deberá modificar el script /usr/local/optenet/RunOPTENET
anadiendo el parámetro -icap_services 3
En ambos casos deberá reiniciar el filtro para que la configuración tenga efecto.
117
6.
MONITORIZACIÓN
GUADALINEX)
SNMP
(SÓLO
PLATAFORMA
El filtro tiene la posibilidad de ser monitorizado mediante el protocolo SNMP, con lo cual
es fácilmente integrable en los sistemas de monitorización del mercado.
Para ello, la distribución del filtro incluye un Agente SNMP, que funciona como un servicio
totalmente autónomo, y mantiene actualizados los valores de los parámetros sobre el
estado del filtro en tiempo real.
Por defecto, el agente escuchará en el puerto 161, aunque es configurable, con el fin de
poder tener varios agentes en la misma máquina.
Los parámetros que son susceptibles de ser monitorizados son los siguientes:
•
-Estado del filtro: ACTIVO / NO ACTIVO/APAGADO
(ID: .1.3.6.1.4.1.2021.254.1.0)
• ACTIVO: El filtro se encuentra activo en ese momento. (Valor 1)
• NO ACTIVO: El filtro se encuentra encendido pero no activo. (Valor 0)
• APAGADO: El filtro no está en ejecución. (Valor -1)
•
-Número de peticiones por segundo: X.
(ID: .1.3.6.1.4.1.2021.254.2.0.0)
•
-Número de bloqueos por segundo: X.
(ID: .1.3.6.1.4.1.2021.254.3.0.1849.0)
Además se incluye completa información sobre el sistema, por ejemplo:
•
-Hora/fecha del sistema.
(ID: .1.3.6.1.4.1.2021.4.0)
•
-Tiempo del agente en ejecución.
(ID: .1.3.6.1.2.1.1.3)
•
-Nombre del servidor.
(ID: .1.3.6.1.2.1.1.5)
6.1.
Ejecución del agente SNMP
Para activar el agente SNMP de Optenet debe ejecutarse el siguiente comando:
OptenetSnmp [–h] [–v] [–f] [–p PORT] [–l LOG_FILE]
• -h Muestra la ayuda en línea de comandos
• -v Muestra la versión del producto
• -f No se ejecuta en un hilo hijo
• -p para establecer un puerto en el que escucha peticiones diferente al 161
-l para cambiar el fichero de log por defecto (/usr/local/optenet/logs/optenet_snmp.log)
118
6.2.
Arranque automático
Si se desea que el agente SNMP arranque junto con el filtro de manera automática, será
necesario editar los ficheros: “RunOPTENET” y “filterinit”, y quitar los comentarios de las
líneas indicadas, donde aparecen las llamadas necesarias para iniciar y apagar el agente
OptenetSnmp.
Por defecto, en el fichero de arranque aparece como puerto donde escucha el agente
Snmp: 10237.
6.3.
Configuración del agente
El agente cuenta con un fichero de configuración cuyo nombre es: “snmp.conf”, con la
siguiente información:
Stat-url= 192.168.0.240 // URL o IP donde escucha el filtro
Stat-port= 10234 // Puerto en el que escucha el servidor web del filtro (CGI de
estadísticas)
7.
CGIS DE CONFIGURACIÓN AVANZADA
En este apartado se describen CGIs que tiene implementado el filtro de configuración
avanzada y que sólo son accesibles tecleándolos directamente en la barras de
direcciones del navegador.
7.1.
Recargar
Esta opción provoca que el filtro lea de nuevo todos sus ficheros de configuración así
como la base de datos de URLs. Opción útil si desea "clonar" la configuración de un filtro
a otro servidor que se ha incorporado recientemente a la gestión en cluster de
organización, sin necesidad de parar y volver a arrancar el filtro. ATENCIÓN, utilice esta
opción solamente en caso necesario, ya que la recarga de la base de datos es un
proceso costoso en uso de CPU. Para lanzar al recarga debe ejecutar el siguiente cgi:
http://ip_del_filtro:10237/cgi-bin/ResetConf?
7.2.
Volcado de Logs a disco (/cgi-bin/FlushLogs)
Esta opción provoca que el filtro volque a disco los logs de filtrado que actualmente tiene
en memoria. Para optimizar el rendimiento el filtro en lugar de escribir directamente en
sus logs a disco cada vez que se analiza una petición utiliza un sistema de buffering
almacenando en memoria esos logs y volcándolos a disco cuando los buffers se llenan o
cada 5 minutos. Esta opción provoca el volcado de los logs que tiene en ese momento en
sus buffers de memoria. Para lanzar el volcado de logs a disco se debe ejecutar el
siguiente cgi:
http://ip_del_filtro:10237/cgi-bin/FlushLogs?LANG=esp
119
7.3.
Información del sistema en modo texto (/cgi-bin/sysinfotxt)
Esta opción provoca que el filtro devuelva información de su estado en formato de texto
en lugar de ser una página html válida. Es muy útil en instalaciones unix donde se está
administrando desde línea de comandos y se quiere ver el estado del filtro ya que se
puede utilizar la herramienta wget como en el ejemplo siguiente:
wget http://optuser:optpw@ip_del_filtro:10237/cgi-bin/sysinfotxt?LANG=fra -O sysinfo.txt
8.
CONFIGURACIÓN DE MICROSOFT ISA 2004
8.1.
Introducción
Una vez realizada la instalación del producto sobre MICROSOFT ISA SERVER 2004
(compatible desde la versión 5.21.03) hay una serie de funcionalidades que por defecto
no funcionan debido a que MICROSOFT ISA SERVER 2004 ya no es meramente un
PROXY sino que es un FIREWALL con funciones de PROXY. Para que el producto
funcione debemos establecer diversas reglas en la configuración de MICROSOFT ISA
SERVER 2004.
8.2.
ACCESO
A
LOS
SERVIDORES
ACTUALIZACIONES DE OPTENET
DE
LICENCIAS
Y
Por defecto el servidor MICROSOFT ISA SERVER 2004 debe tener todos los accesos
cortados, por lo que si OPTENET WEB FILTERING intenta conectarse con la central de
licencias de optenet (http://www.edunet.es) para saber el estado de la licencia nos
avisará que no hay acceso al mismo mostrando como “Estado de la licencia” el valor
“Desconocido”.
120
Del mismo modo si intentamos actualizar la base de datos del producto, ya sea
manualmente como en cualquiera de los reintentos automáticos que realiza el producto
nos avisará que no hay acceso a las bases de datos mostrando en “Estado de la
actualización total” el valor “Error trayendo datos”.
121
Para que los accesos a la central de licencias se hagan correctamente hace falta
autorizar al servidor MICROSOFT ISA SERVER 2004 hacia esa dirección:
http://www.edunet.es/*
Del mismo modo para que las actualizaciones puedan realizarse correctamente hace falta
autorizar al servidor MICROSOFT ISA SERVER 2004 hacia las direcciones de bases de
datos de OPTENET:
http://cachem.optenet.com/*
http://cachemiami.optenet.com/*
http://cachess.optenet.com/*
122
Para ello creamos una regla que permita el acceso a todos estos servicios desde el
servidor MICROSOFT ISA SERVER 2004.
8.3.
ACCESO A LA PÁGINA DE BLOQUEO POR DEFECTO
Por defecto el servidor MICROSOFT ISA SERVER 2004 tiene todos los accesos
cortados, por lo que si desde un cliente que tiene permisos de navegación hacia el
exterior, se produce el intento de acceso a una página no permitida, éste será
redireccionado hacia la página de bloqueo por defecto. Ésta página se define en la
pestaña de “Configuración” dentro de la administración web del producto OPTENET WEB
FILTERING. El valor por defecto es “local”
123
y éste apunta hacia el propio servidor MICROSOFT ISA SERVER 2004 en el puerto
10237 donde el producto OPTENET WEB FILTERING tiene alojada ésta página.
Debido a que no tenemos definida ninguna regla que permita llegar a éste puerto las
peticiones de bloqueo no serán mostradas correctamente y se mostrará una página como
esta:
Para que esto no ocurra creamos una regla que permita el acceso a todos los usuarios
con derecho de navegación hacía el puerto 10237 de la máquina donde está el servidor
MICROSOFT ISA SERVER 2004.
124
Así podremos ser bloqueados y llegar a la página correcta de bloqueo.
125

OPTENET WEB FILTER Server 5.27.05 Guadalinex Manual de

Transcripción

Documentos relacionados

OPTENET Mail Filter Gateway

Analizar y Mantener el código PowerBuilder