OPTENET WEB FILTER Server 5.27.05 Guadalinex Manual de
Transcripción
OPTENET WEB FILTER Server 5.27.05 Guadalinex Manual de
OPTENET WEB FILTER Server 5.27.05 Guadalinex Manual de Usuario Rev 01-09-2008 2 ÍNDICE 1. introducción ................................................................................................................ 5 2. Nuevas características de la versión 5.27................................................................ 7 3. Instalación ................................................................................................................... 8 3.1. REQUISITOS DEL SISTEMA ............................................................................................................... 8 3.2. INSTALACIÓN .................................................................................................................................... 9 3.3. ARRANQUE Y PARADA .................................................................................................................... 22 3.4. ARRANQUE Y PARADA AUTOMÁTICOS JUNTO AL SISTEMA ............................................................. 25 3.5. CONFIGURACIÓN DE UN APPLIANCE BLUECOAT PARA QUE UTILICE OPTENET COMO SISTEMA DE FILTRADO (ICAP) ................................................................................................................................... 26 3.6. CONFIGURACIÓN DE UN NETCACHE PARA QUE UTILICE OPTENET COMO SISTEMA DE FILTRADO 32 4. Conceptos básicos................................................................................................... 36 4.1. USUARIO ........................................................................................................................................ 36 4.2. GRUPO ........................................................................................................................................... 36 4.3. DIRECCIÓN IP ................................................................................................................................ 36 4.4. URL ............................................................................................................................................... 36 4.5. CATEGORÍA .................................................................................................................................... 37 4.6. REGLA ............................................................................................................................................ 38 5. Administración ......................................................................................................... 39 5.1. INTRODUCCIÓN .............................................................................................................................. 39 5.2. DOCUMENTACIÓN .......................................................................................................................... 40 5.3. CONFIGURACIÓN ............................................................................................................................ 41 5.4. AUTENTICACIÓN ............................................................................................................................. 44 5.5. CATEGORÍAS .................................................................................................................................. 56 5.6. CLASIFICACIÓN URLS ................................................................................................................... 58 5.7. REGLAS DE FILTRADO ................................................................................................................... 62 5.8. ACTUALIZACIONES ......................................................................................................................... 72 5.9. INFORMES ...................................................................................................................................... 73 5.10. IDENTIFICACIÓN ADMINISTRADOR ................................................................................................. 75 5.11. CONFIGURACIÓN AVANZADA .......................................................................................................... 76 5.12. GESTIÓN EN CLUSTER ................................................................................................................... 82 5.13. LICENCIA ........................................................................................................................................ 89 5.14. INFORMACIÓN DEL SISTEMA ........................................................................................................... 89 6. Problemas mÁs COMUNES ..................................................................................... 91 6.1. APARECE EL MENSAJE OPTENET SERVER ERROR... CUANDO INTENTO NAVEGAR ........................ 91 6.2. NO SE LOGRA ARRANCAR EL FILTRO ............................................................................................. 91 6.3. NO APARECEN LOS USUARIOS AL PULSAR EL BOTÓN REFRESCAR ............................................... 91 6.4. NO PUEDO ENTRAR EN LA ADMINISTRACIÓN DEL FILTRO .............................................................. 92 6.5. DEP CIERRA OPTENET SERVER EN W2003 SP1 ..................................................................... 93 ANEXOS............................................................................................................................ 95 1. administración de optenet server a través de una conexión segura (solo plataforma Guadalinex) ................................................................................................... 96 2. Administración de optenet a través de la línea de comandos (optenet cli v1.0) 98 2.1. INTRODUCCIÓN .............................................................................................................................. 98 2.2. UTILIZACIÓN............................................................................................................................... 98 2.3. REFERENCIA DE COMANDOS ....................................................................................................... 101 2.4. PROBLEMAS MÁS COMUNES .............................................................................................. 108 3. CONFIGURACION DEL PROXY OPTENET ........................................................... 110 3.1. CONFIGURACIÓN DE UN PROXY ENCADENADO (CONFIGURACIÓN PROXY) ................................. 110 3.2. ADMINISTRACIÓN DEL OPTENET SERVER (ADMINISTRACIÓN OPTENET SERVER) ..................... 110 3.3. CONFIGURACIÓN DEL PUERTO (PUERTO PROXY) ....................................................................... 111 4. dESCRIPCIÓN DE LAS CATEGORÍAS DE OPTENET .......................................... 112 5. ICAP NOW ............................................................................................................... 116 6. Monitorización SNMP (Sólo plataforma Guadalinex) .......................................... 118 6.1. EJECUCIÓN DEL AGENTE SNMP ................................................................................................. 118 6.2. ARRANQUE AUTOMÁTICO ............................................................................................................. 119 3 6.3. CONFIGURACIÓN DEL AGENTE ..................................................................................................... 119 7. cgis de configuración avanzada ........................................................................... 119 7.1. RECARGAR ................................................................................................................................... 119 7.2. VOLCADO DE LOGS A DISCO (/CGI-BIN/FLUSHLOGS) .................................................................. 119 7.3. INFORMACIÓN DEL SISTEMA EN MODO TEXTO (/CGI-BIN/SYSINFOTXT) ....................................... 120 8. CONFIGURACIÓN DE MICROSOFT ISA 2004 ...................................................... 120 8.1. INTRODUCCIÓN ............................................................................................................................ 120 8.2. ACCESO A LOS SERVIDORES DE LICENCIAS Y ACTUALIZACIONES DE OPTENET 120 8.3. ACCESO A LA PÁGINA DE BLOQUEO POR DEFECTO ................................................... 123 4 1. INTRODUCCIÓN OPTENET es un sistema de filtrado que permite optimizar los recursos de Internet de la empresa y el tiempo empleado en su utilización. Instalándolo en el servidor que da conexión a su red conseguirá filtrar aquellas páginas de Internet que considere inadecuadas así como monitorizar los accesos de sus usuarios. Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre con un proxy. El proxy garantiza que todas las peticiones web de la red pasen por él por lo que OPTENET Server no tendrá más que acoplarse al proxy, para filtrar toda la red. Si la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el proxy dichas peticiones no se podrán filtrar de ninguna manera. El proceso mediante el cual OPTENET se comunica con el proxy se consigue instalando una extensión (a partir de este momento plugin) en dicho proxy o configurando su cliente ICAP si es que dicho proxy tiene implementado ese protocolo. Cuando un usuario intenta acceder a una página web éste solicita la página al proxy. Al llegar al proxy la petición es capturada por el plugin de OPTENET Server y decide si dicha petición debe permitirse o no. Para tomar esta decisión el servicio de OPTENET Server se basa en un conjunto de reglas que define el administrador según los siguientes criterios: Página solicitada (URL, tipo de archivo o tipo de contenido). Usuario que realiza la petición (nombre y dirección IP) y grupo/s al que pertenece. Momento en que se realiza la petición (día de la semana y hora). Tipo de ficheros (música, vídeo, ejecutables,...). Y también ofrece la posibilidad de definir manualmente las listas de URLs sobre las que podremos permitir o bloquear el acceso. Si el conjunto de reglas establece que la página solicitada debe permitirse la página se muestra tal cual en el navegador del usuario. Por el contrario, si se decide que la petición debe denegarse, al usuario se le muestra otra página que le advierte del bloqueo ocurrido. A su vez este bloqueo queda registrado para una posible monitorización del uso de la red. La característica principal de OPTENET Server consiste en la categorización de contenidos que ofrece el sistema. Mediante la combinación de una base de datos de URLs previamente clasificados y un analizador multilingüe de contenidos OPTENET Server es capaz de clasificar las páginas web en varias categorías que pueden combinarse a la hora de definir las reglas de filtrado. OPTENET Server puede funcionar como un servidor ICAP integrándose con todo tipo de appliances o caches que soporten dicho protocolo (instalándose en plataformas Windows, Guadalinex, Solaris y Aix), también puede instalarse junto con el proxy SQUID 2.5 en plataformas Guadalinex, Solaris y Aix también puede instalarse junto a un Microsoft ISA Server, Microsoft Proxy Server o con el proxy OPTENET en plataformas Windows. Su tecnología líder en la selección y filtrado de accesos a Internet va a permitir controlar al máximo el uso que de Internet realicen todos los puestos conectados a la red. Para gestionar el acceso a Internet OPTENET cuenta con cuatro niveles de filtrado: ♦ Filtrado en función de análisis semántico multilingüe del texto que aparece en la página web. OPTENET analiza cada página en el momento de su descarga desde Internet, permitiendo con ello un mayor nivel de seguridad. ♦ Filtrado basado en listas predefinidas con direcciones clasificadas manualmente por especialistas. 5 ♦ Filtrado basado en análisis de URL. ♦ Filtrado basado en listas predefinidas por el propio usuario. Además, OPTENET Server cuenta con las siguientes características: ♦ Actualización automática de las listas. ♦ Personalización de las listas predefinidas. ♦ Administración vía WWW multidioma (inglés, francés, español, italiano y portugués) 6 2. NUEVAS CARACTERÍSTICAS DE LA VERSIÓN 5.27 Estas son las nuevas características y mejoras que presenta la versión 5.27 respecto a su predecesora la 5.25 • • • • • • Añadidas las categorías: Guías y callejeros, Arte y cultura, Info, Jurídicas, Bancos y Entidades Financieras, Blogs, Pagar por navegar, Logos/Ringtones, Código malicioso, DNS Services, Telecomunicaciones. Posibilidad de funcionar con ICAP e ISA en LDAP cuando se utiliza un identificador de usuario diferente al "Distinguished name" Filtrado del protocolo skype (cuando está integrado con ICAP) Identificación de usuarios utilizando certificados digitales en caso de utilizar autenticación LDAP. Posibilidad de consultar a que categorías pertenece una determinada URL desde la administración Web. Posibilidad de aplicar reglas de filtrado sobre aquellas peticiones que no pertenecen a ninguna de las categorías soportadas por la herramienta de filtrado. 7 3. INSTALACIÓN En la presente sección se describe la instalación de OPTENET y los requisitos necesarios en el sistema Windows, Guadalinex o Solaris en los que se vaya a instalar OPTENET. 3.1. Requisitos del sistema 3.1.1. En sistemas Windows ♦ Microsoft Windows 98 / Me / NT / 2000 / XP / 2003. ♦ OPTENET recomienda la instalación en sistemas Windows Servidor (NT / 2000 / 2003) debido a la mayor estabilidad de estos últimos. Además en dichos sistemas el software se instala como servicio pudiéndose arrancar y parar con mayor facilidad. Último Service Pack de Windows recomendado. ♦ El equipo depende del número de usuarios, pero se recomienda una CPU de al menos 266Mhz y 128 Mbytes de memoria RAM. 3.1.2. En sistema Guadalinex ♦ Kernel Linux 2.4.0 o superior. ♦ Glibc 2.0.7 o superior, debido al soporte de threads. ♦ Servicio portmap, necesario para la comunicación RPC (si se instala para funcionar junto con SQUID) ♦ Recomendado Guadalinex. ♦ El equipo depende del número de usuarios, pero se recomienda una CPU de al menos 266Mhz y 128 Mbytes de memoria RAM. 3.1.3. En sistemas Solaris ♦ Solaris 2.6 o superior. ♦ Servicio rpcbind, necesario para la comunicación RPC (si se instala para funcionar junto con SQUID) ♦ El equipo depende del número de usuarios, pero se recomienda una Sun UltraSPARC de al menos 200Mhz y 128 Mbytes de memoria RAM. 3.1.4. En sistemas AIX ♦ AIX 4.3. ♦ Servicio portmap para comunicación RPC. ♦ El equipo depende del número de usuarios, pero se recomienda un PowerPC de al menos 200 MHz y 128 Mbytes de memoria RAM. ♦ GNU tar y gzip para descomprimir archivos. ♦ Librerías de runtime de gcc 3.2.1 para AIX. 3.1.5. Para Mac OS X ♦ Mac OS X 10.3.3 o posterior. ♦ Servicio portmap para la comunicación RPC (ya incluido en Mac OS X). ♦ El equipo depende del número de usuarios pero se recomienda la utilización de un procesador G4 y de 256 Mo de memoria RAM. 8 3.2. Instalación Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre con un proxy. El proxy centraliza el acceso a Internet de todos los usuarios que lo utilicen por lo que OPTENET Server no tendrá más que acoplarse al proxy para filtrar toda la red. Si la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el proxy dichas peticiones no se podrán filtrar de ninguna manera. OPTENET Server permite instalar su propio Proxy en entornos Windows, que es adecuado para dar servicio a redes de hasta 200 usuarios. En entornos Unix (Guadalinex, Solaris, Aix, MacOS) se distribuye el Proxy SQUID que es capaz de dar servicio a redes de mediano y gran tamaño. Además al final de la instalación de OPTENET Server se le da la posibilidad de instalar OPTENET Reporter, herramienta que le permite sacar informes del uso de Internet. 3.2.1. En sistemas Windows: Para instalar OPTENET Server en su servidor ejecute el programa OPTENET-5.27.XX2.03.XX.exe (o versión posterior). Por defecto el instalador arranca en el idioma de su sistema operativo, y en caso de no ser este uno de los 3 idiomas disponibles, arrancará en inglés. Este ejecutable incluye OPTENET Server y OPTENET Reporter. Una vez finalizada la instalación de OPTENET Server, se le da la posibilidad de instalar OPTENET Reporter. Puede utilizar este ejecutable para instalar únicamente uno de los dos productos. Para más información sobre OPTENET Reporter (instalación, configuración,...) consulte el manual correspondiente. A continuación se detalla el proceso de instalación de OPTENET Server únicamente. Se muestra a continuación una ventana donde se pregunta si desea instalar OPTENET Server. Conteste afirmativamente. A continuación debe seleccionar el tipo de instalación que desea: Demo: Instalación con licencia temporal. Es la instalación por defecto y no es necesario introducir ningún número de licencia. La limitación temporal se activa desde el momento de la instalación, no desde el momento de la descarga. Esta licencia Demo tendrá una duración de 30 días. De pago: Instalación indefinida. Seleccione esta opción y a continuación introduzca su código de licencia válido. Si desea una instalación indefinida pero aún no dispone de su código de licencia, instálelo en modo ‘demo’, ya que en cualquier momento podrá introducir el código de licencia desde la administración de OPTENET Server. Seguidamente se le pedirá el directorio de instalación del software (vea la siguiente figura). Por defecto se utiliza el directorio C:\Archivos de programa\OPTENET pero puede escoger cualquier otro. Si el directorio escogido no existe será creado por el programa de instalación. 9 Pulsando el botón siguiente se le permitirá seleccionar el protocolo de comunicación mediante el cual OPTENET Server se comunicará con el proxy. Para cada protocolo, se muestran los proxies que trabajan con dicho protocolo. Si ha seleccionado RPC en la pantalla anterior entonces puede configurar OPTENET Server para que trabaje con un proxy Microsoft (ISA Server, MS Proxy Server) o con OPTENET Proxy. 10 A continuación, debe seleccionar el idioma por defecto de OPTENET Server (Administración web, Herramienta de informes, logs,...). Pulsando el botón Siguiente el programa de instalación instalará todos los elementos de OPTENET Server y configurará el servidor para que ejecute OPTENET Server la próxima vez que se inicie (vea la siguiente figura). 11 Por último, el instalador le preguntará si desea instalar OPTENET Reporter. Si no lo desea se le pedirá reiniciar el ordenador. Es necesario reiniciarlo para el correcto funcionamiento de OPTENET Server. Grupo de programas OPTENET Server crea un nuevo Grupo de programas con sus elementos más característicos. • Contribución: Si escoge este elemento podrá enviar a OPTENET alguna página de Internet a la que cree que se debe restringir el acceso. • Desinstalar OPTENET Server: Este elemento desinstala OPTENET Server de su ordenador. • Administración: Si escoge este elemento se le abrirá un navegador y se conectará a la Administración WWW de OPTENET Server. • Home OPTENET: Este elemento le abrirá un navegador y se conectará a la página web de OPTENET: http://www.optenet.com • Manual de usuario:: Este elemento le permitirá acceder a la última versión online del manual de OPTENET Server. Registro de Windows Para el correcto funcionamiento de OPTENET Server el proceso de instalación realiza una serie de modificaciones al Registro de Windows. Para guardar los parámetros básicos de OPTENET Server el programa de instalación añade la clave HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\ 12 CheckData Si tiene instalado OPTENET Server, junto a un Proxy Server o ISA Server de Microsoft y además tiene instalado un antivirus que funciona como un plugin ISAPI de dichos proxies deberá actualizar esta clave con el valor FALSE. En el resto de los casos (valor por defecto) esta clave llevará el valor TRUE. DownloadContent Flag que indica a OPTENET Server si debe pedir contenido cuando está integrado con PIX, Border Manager y CheckPoint. Por defecto “TRUE”, es decir pide contenido. FilterServer Servidor donde se ejecuta el servicio de OPTENET Server y al que el plugin de OPTENET Server debe enviar los datos. El valor por defecto es 127.0.0.1 (máquina local). IcapClients Identifica el número de clientes icap a la hora de integrarse con un servidor ICAP (NetCache, BlueCoat). Por defecto 1. IcapPort Puerto de escucha del servidor ICAP. El puerto por defecto es 1344. IcapServices Indica el número de servicios ICAP que se van a utilizar del filtro. Su valor por defecto es 2. OPTENET Server lo utiliza junto al IcapClients para saber cuántos hilos necesitará lanzar en su servidor ICAP. InstallDir Directorio de instalación de OPTENET Server. Language Identificador del idioma de OPTENET Server y que se seleccionó durante el proceso de instalación. (eng, esp, fra, ita , por) ManagerPort Puerto de escucha de la Administración WWW de OPTENET Server Server. El puerto por defecto es 10237. Mode Modo de comunicación entre OPTENET Server y el proxy. Puede tener dos valores: RPC, ICAP, PIX, UFP, BM, OPT. Proxy Identificador del proxy con el que esta integrado OPTENET Server (ICA, PIX, BMA, OPT, MSP,UFP). RemoveDomain Flag que indica a OPTENET Server como identificar los usuarios y grupos. Con su nombre (“TRUE” por defecto) o utilizando el nombre del dominio por delante (“FALSE”, es decir nombredominio\nombreusuario) Version Identifica la versión de OPTENET Server que tiene actualmente instalada. SendIpUser Indica a OPTENET Server si debe enviar como parámetros de la página de stop el usuario y la ip del cliente a quién se le ha parado la página. Por defecto su valor es FALSE. LogServerPort Puerto de escucha de OPTENET Server para las petiones de logs que hace OPTENET Reporter. El puerto por defecto es 10239. LogServerClients Número de hilos que lanzará OPTENET Server para atender las petiones de logs que hace OPTENET Reporter. Por defecto es 5. WebserverThreads Número de hilos que lanzará OPTENET Server para atender las petiones de la administración. Por defecto 50. BindIpLocal Dirección ip local (interfaz de red) en la cual escucha OPTENET Server. Por defecto 0.0.0.0 (todas las interfaces de red). Este parámetro es útil cuando hay diversas interfaces de red y no queremos que OPTENET Server escuche en todas ellas. DiscardHeaders Cabeceras que el plugin de OPTENET Server para ISA debe ignorar. Se debe añadir la cabecera ‘X-Actual-URL’ en caso de que el tráfico del RealPlayer pase a través de Microsoft ISA. En el caso de añadir mas de una cabecera deben estar separadas por comas. Para guardar los parámetros básicos de OPTENET Proxy, el proceso de instalación añade la clave HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Proxy InstallDir Directorio de instalación de OPTENET Server. Datos del sistema Para que OPTENET Server, OPTENET Reporter y OPTENET Proxy puedan ejecutarse como un servicio de Windows, utilizar el Visor de sucesos y desinstalarse correctamente, 13 el proceso de instalación de OPTENET añade una serie de claves entre los datos del sistema que se almacenan en el Registro de Windows: - HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET Los datos necesarios para que OPTENET Server pueda ejecutarse como un servicio. En Windows98 y WindowsMe esta entrada del registro no se añade debido a que no hay servicios. - HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET Proxy Los datos necesarios para que OPTENET Proxy pueda ejecutarse como un servicio. En Windows98 y WindowsMe esta entrada del registro no se añade debido a que no hay servicios. - HKEY LOCAL MACHINE\SYSTEM\Current ControlSet\Services\ Eventlog\Application\OPTENET Los datos necesarios para que OPTENET Server pueda utilizar el Visor de sucesos para informar de sus problemas. - HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Current Version\ Uninstall\OPTENET Server Los datos necesarios para que OPTENET Server pueda desinstalarse correctamente. Elementos de OPTENET Server Los elementos instalados como OPTENET Server se dividen en dos partes principales: Una que se encarga de la captura de peticiones a Internet, y otra, que gestiona el filtrado de dichas peticiones. 14 El primer elemento depende del proxy que se utilice. En los siguientes apartados se detalla este tema. El segundo elemento de OPTENET Server es un servicio/proceso de Windows que analiza las peticiones que recibe del plugin de OPTENET Server instalado junto al proxy o del cliente ICAP del proxy y decide si dichas peticiones deben permitirse o no. En el caso de que se trate de un servicio (NT, XP, 2000, 2003), puede ver si se ha instalado correctamente en los Servicios de Windows (vea la siguiente figura) Puede realizar la misma comprobación para OPTENET Reporter y OPTENET Proxy. Integración con Microsoft ISA-Server El elemento encargado de la captura de peticiones es denominado OPTENET plugin, como ya se mencionó en la Introducción. Es un Filtro Web que se añade a Microsoft ISA Server. Puede ver si se ha instalado correctamente desde la Administración del servidor ISA (vea la siguiente figura). Si integra OPTENET Server con Microsoft ISA 2004 debe consultar el Anexo 8 Configuración de Microsoft ISA 2004 una vez haya finalizado el proceso de instalación de OPTENET Server. 15 Microsoft Web Proxy Microsoft Web Proxy es el proxy que se instala con Microsoft ISA Server. Es un servicio Windows y como tal puede manejarse mediante la administración de servicios de Windows. OPTENET Server trabaja en estrecha relación con Microsoft Web Proxy: sólo puede filtrar aquellas peticiones que pasen por el mismo. Por lo tanto, si tiene instalado Microsoft ISA Server pero no hace uso de Microsoft Web Proxy, OPTENET Server no realizará ningún tipo de filtrado. Para que los ordenadores utilicen Microsoft Web Proxy la forma más habitual consiste en configurar sus navegadores para este fin. Puede consultar la documentación de Microsoft ISA Server para establecer un navegador como cliente de Microsoft Web Proxy. Si no quiere configurar los navegadores para el uso de Microsoft Web Proxy pero utiliza Microsoft ISA Server como Servidor de seguridad o Servidor SecureNAT de su red puede encadenar el Servidor de seguridad y el Servidor SecureNAT Microsoft Web Proxy mediante el Filtro redirector de HTTP. De este modo también conseguirá que las peticiones web pasen por Microsoft Web Proxy y puedan filtrarse por OPTENET Server. Puede consultar la documentación de Microsoft ISA Server para obtener más información acerca de esta posibilidad. Comunicación entre Microsoft Web Proxy y OPTENET Server Para que se puedan filtrar las peticiones que pasan por Microsoft Web Proxy OPTENET Server añade un Filtro Web a Microsoft ISA Server. Dicho filtro Web consiste en un plugin de Microsoft Web Proxy que se encarga de capturar los datos de las peticiones que pasan por el mismo y enviárselos al servicio de filtrado de OPTENET Server. Los datos capturados son: • • • La dirección IP del ordenador del que procede la petición. El usuario que realiza la petición (sólo si Microsoft Web Proxy realiza autenticación) La URL de la página solicitada. 16 • El contenido de la página solicitada. Con estos datos el servicio de OPTENET Server comprueba las reglas de filtrado que tenga configuradas y decide si la petición debe permitirse o no. Dependiendo del resultado informa al plugin si debe dejar continuar la petición por su vía normal o por el contrario bloquearla. En caso de bloqueo el servicio de OPTENET Server indica al plugin la página de bloqueo a mostrar en lugar de la página solicitada. La comunicación entre el plugin y el servicio de OPTENET Server se realiza por medio de llamadas a procedimiento remoto (RPC) por lo que es necesario que el servicio RPC esté iniciado. 3.2.1.1. Integración con Microsoft Proxy Server Para el correcto funcionamiento de OPTENET Server con Microsoft Proxy Server, es importante instalar Proxy Server siguiendo los pasos de instalación recomendados por Microsoft: 1. Instalar Microsoft Windows NT 4.0 Service Pack 3 (No sustituirlo por Windows NT 4.0 Service Pack 4 o versión posterior.) 2. Instalar Microsoft Internet Explorer 4.01 Service Pack 2 sin la interfaz Active Desktop. 3. 4. 5. 6. 7. 8. NOTA: Windows NT Option Pack contiene Internet Explorer 4.01 Service Pack 1, sin embargo recomendamos que instale Internet Explorer 4.01 Service Pack 2 (No sustituirlo por Internet Explorer 5.0 o posterior). Instalar Microsoft Windows NT 4.0 Option Pack. Instalar Microsoft Proxy server 2.0. Instalar Microsoft Windows NT 4.0 Service Pack 4 o Service Pack 5 (No instalar las actualizaciones Y2K ya que son instaladas por MDAC 2.1 Service Pack 2.) (Opcional) Instalar Microsoft Internet Explorer 5. Instalar MDAC 2.1.2.4202.3, que también es conocido como MDAC 2.1 Service Pack 2. Instalar Microsoft Windows NT 4.0 Service Pack 6a o posterior. NOTA: Incluso instalando la última versión de Windows NT service pack en el paso 5, debe reinstalar el último service pack debido a que la instalación de Windows NT Option Pack reemplaza DLLs que son instaladas por el service pack. 9. Instalar Proxy 2.0 Service Pack 1. 3.2.1.2. Integración con proxy ICAP (modo ICAP) Una vez instalado OPTENET deberá configurar esas caches o appliances para que utilicen el servidor ICAP de OPTENET como sistema de filtrado. (Vea el apartado 3.5) 3.2.1.3. Sin proxy adicional (modo Stand-Alone) El elemento instalado para la captura de peticiones en la versión stand-alone es el denominado OPTENET Proxy. El OPTENET Proxy es un sencillo proxy distribuido por OPTENET que se lanza al iniciar el sistema operativo. De esta forma se permite el uso del filtro OPTENET sin productos adicionales. Los datos capturados por el OPTENET 17 Proxy son los mismos que los mencionados para el Microsoft Web Proxy. El OPTENET Proxy no necesita un plugin especial y se comunica directamente con el filtro OPTENET a través de llamadas a procedimiento remoto (RPC). Tenga en cuenta que el filtro sólo puede realizar el filtrado si se redirigen las peticiones HTTP a través del proxy. Para eso, hay que inscribir explícitamente el proxy en las configuraciones de los navegadores. Puede consultar el Anexo 4 para saber como configurar OPTENET Proxy. 3.2.1.4. Información específica para Windows 98 y WindowsMe Como en Windows 98 y Windows Me el concepto servicios de sistema es distinto, tanto OPTENET Server como OPTENET Proxy y OPTENET Reporter, se instalan como procesos habituales y se lanzan automáticamente al iniciar el sistema operativo. 3.2.2. En sistema Guadalinex, Solaris y AIX: La distribución de OPTENET consta de los siguientes archivos: ♦ optenet-5.27.XX-2.03.XX.tgz - El archivo con el software de OPTENET Server y OPTENET Reporter en sistemas Guadalinex y Aix o optenet-5.27.XX-2.03.XX.tar.Z en sistemas Solaris. ♦ install.sh - El script de instalación. ♦ OPTENETManual.pdf – Documentación de usuario. ♦ OptenetDCAgent2.00.xx.zip – Archivo con el software a instalar en su servidor Windows, si se está utilizando autenticación de usuarios contra un Dominio NT. install.sh es un shell script, por lo que puede abrirse y modificarse según sea necesario. Concretamente, durante la instalación, install.sh crea un usuario al que pertenecerá el software de OPTENET. Por defecto este usuario se llama optenet pero puede editar install.sh y cambiar el nombre. También puede modificar el directorio raíz del usuario, es decir, el directorio de instalación de OPTENET (/usr/local/optenet por defecto). El usuario se crea sin password pero puede asignarle una mediante la orden passwd. Lo mismo sucece si decide instalar también OPTENET Reporter. Por defecto se creará el usuario reporter con su directorio de instalación (/usr/local/reporter). Después de crear el usuario, el script de instalación descomprime el archivo optenet5.27.tgz en el directorio de instalación y personaliza los scripts de OPTENET. Durante el proceso de instalación, el instalador le preguntará si desea que OPTENET funcione como servidor ICAP para integrarse con Appliances que soporten dicho protocolo, o bien para integrarse con Border Manager de Novell o bien con Cisco PIX Firewall o que se integre con el SQUID que se distribuye junto con el mismo. Asimismo, si dispone del código de licencia correspondiente al producto el instalador le permitirá registrar dicho código. 18 3.2.2.1. Instalación de OPTENET como servidor ICAP (modo ICAP) La opción ICAP deben elegirla cuando OPTENET se va a instalar en una red que ya tiene caches o appliances (por ejemplo máquinas NetCache o BlueCoat) que soportan el protocolo ICAP 1.0. En este caso los scripts de arranque de OPTENET se crearán de forma que OPTENET arranque su servidor ICAP a la espera de recibir peticiones de filtrado a través del mismo. Una vez instalado OPTENET deberá configurar esas caches o appliances para que utilicen el servidor ICAP de OPTENET como sistema de filtrado. (Vea el apartado 3.5) 3.2.2.2. Instalación de OPTENET con SQUID (modo SQUID) La opción SQUID instala junto a OPTENET una versión del proxy SQUID modificada para que se comunique con OPTENET vía RPC (Remote Procedure Call) cada vez que atienda una petición de conexión a Internet. En este caso los scripts de arranque de OPTENET son modificados para que arranque simultáneamente a OPTENET y SQUID. Aunque SQUID escucha peticiones por defecto en el puerto 8080 puede cambiar este puerto editando el archivo squid/etc/squid.conf del directorio de instalación y modificando la etiqueta http_port. El archivo squid/etc/squid.conf permite configurar muchos aspectos del funcionamiento de SQUID. Le recomendamos que lo lea con detenimiento y que lo ajuste a sus necesidades. Una vez arrancado OPTENET deberá configurar los navegadores de su red para que utilice SQUID como proxy y de esta forma pueda llevar a cabo el filtrado. Con la instalación en modo SQUID por defecto, éste no reconoce usuarios. Para configurar Squid con la opción de reconocimiento de usuarios deberemos editar el archivo squid/etc/squid.conf, descomentar el tag auth_param con la autenticación que nos interese, añadir una entrada en las ACL (access control list) y permitir en el acceso dicha entrada. Por ejemplo, si se quiere activar el modelo de autenticación básica basada en un fichero de texto con los usuarios y sus claves hay que añadir las siguientes líneas al fichero de configuración: auth_param basic program /usr/local/optenet/squid/libexec/ncsa_auth /usr/local/optenet/squid/etc/passwd auth_param basic children 5 auth_param basic realm OPTENET Server auth_param basic credentialsttl 2 hours acl password proxy_auth REQUIRED http_access allow password http_access deny all A partir de este momento a cada usuario que quiera acceder a Internet a través del proxy, la primera vez le será requerida una identificación (usuario - password) para poder navegar. Este usuario será el que luego se podrá utilizar a la hora de formar reglas con OPTENET. Por defecto, no hay ningún usuario definido. Podemos crear usuarios utilizando el script de perl situado en el directorio tools/adduser.pl dentro del directorio de instalación, de la siguiente forma: perl adduser.pl usuario password fichero_password 19 por ejemplo: # perl adduser.pl luis clave_luis ../squid/etc/passwd 3.2.3. Sistema de archivos instalados por OPTENET OPTENET Server instala los siguientes archivos y directorios a partir de su directorio de instalación: manager.html Página HTML que redirige a la Administración WWW de OPTENET Server. optenet.html Página HTML que redirige a la WWW de la empresa OPTENET. - Directorio bin: donde se guardan DLLs y ejecutables de OPTENET Server. optenet.exe El ejecutable del servicio de OPTENET Server en Guadalinex. Optenet_service.exe El ejecutable del servicio de OPTENET Server en Windows NT, Windows 2000, Windows XP y Windows 2003. Optenet_process.exe El ejecutable del servicio de OPTENET Server en Windows 98 y Windows Me. messages.dll La DLL con los mensajes de los sucesos de OPTENET Server. Sólo en Windows. metabase.dll DLL con funciones auxiliares para instalación y desinstalación de OPTENET Server. Sólo en Windows. - Directorio etc: con archivos de configuración de OPTENET Server *.conf Archivos de configuración de OPTENET Server. Estos archivos no deben ser modificados. La configuración se debe realizar exclusivamente a través de la administración WWW de OPTENET. - Directorio files: con las Bases de datos de URLs y los analizadores de OPTENET Server. *useryes.edu Archivos con los URLs pertenecientes a las categorías de usuario. Son archivos de texto simple que pueden modificarse para añadir, modificar o eliminar URLs a mano. *usernot.edu Archivos con los URLs no pertenecientes a las categorías de usuario. Son archivos de texto plano que pueden modificarse para añadir, modificar o eliminar URLs a mano. Junto a los archivos *useryes.edu forman la Base de datos local de URLs. Inicialmente no existirán pero se irán creando según se añadan URLs. list.crp Archivo encriptado y comprimido con el conjunto de listas generales de URLs categorizadas. En el caso de la corrupción de uno de los ficheros *.edu se desempaqueta para recuperar los datos. Este archivo aparece a partir del 2º día. Listxxxx.crp Archivo con la actualización de la Base de datos general de URLs y analizadores de OPTENET Server. Es un archivo comprimido que sólo aparece durante el proceso de recarga de listas completas manual ya que se elimina una vez la actualización se ha completado. categoryuserex.edu Archivo con la descripción de las categorías añadidas por el administrador. - Directorio logs: donde, por defecto, se guardan los logs que genera OPTENET Server. updates.log Archivo con los resultados de las actualizaciones automáticas que realiza OPTENET Server. 20 requestYYYYMMDD.log Archivo con todas las peticiones y bloqueos HTTP realizadas a través de OPTENET Server que corresponden al día DD del mes MM del año YYYY. Por ejemplo request20040422.log contiene todas las peticiones y bloqueos que OPTENET Server analizó el 22 de abril de 2004. cluster.log Archivo con información referente a la gestión en cluster. actions.log Archivo que guarda el registro de acciones realizadas sobre la administración. - Directorio manager: Contiene los archivos necesarios para las páginas HTML que forman la Administración WWW de OPTENET Server. index.html Página por defecto de la Administración WWW de OPTENET Server. redirige a la Administración WWW. - - Directorio esp: Contiene las páginas de la Administración WWW de OPTENET en español. - - Directorio eng: Contiene las páginas de la Administración WWW de OPTENET en inglés. - - Directorio fra: Contiene las páginas de la Administración WWW de OPTENET en francés. - - Directorio deu: Contiene las páginas de la Administración WWW de OPTENET en alemán. - - Directorio ita: Contiene las páginas de la Administración WWW de OPTENET en italiano. - - Directorio por: Contiene las páginas de la Administración WWW de OPTENET en portugués. - - Directorio eus: Contiene las páginas de la Administración WWW de OPTENET en euskera. Server Server Server Server Server Server Server - - Directorio cgi-bin: Contiene código JavaScript utilizado por la Administración WWW de OPTENET Server. - - Directorio listclusters: guarda el ejecutable para la gestión en cluster. - - Directorio stop: donde se aloja la página de stop local. Deben existir tantas carpetas como idiomas en los que esté disponible. - Directorio tools con utilidades de OPTENET Server logrotate.bat Utilidad para la rotación de logs de OPTENET Server. Sólo en sistemas Guadalinex y Solaris. optenetcli (cli.conf) Aplicación para administrar OPTENET Server vía línea de comandos. backup.bat Utilidad para facilitar las copias de seguridad de OPTENET Server. restore.bat Utilidad para restaurar las copias de seguridad realizadas mediante la utilidad backup.bat. OptenetSnmp (snmp.conf): Ejecutable del Agente SNMP de OPTENET Server. Sólo en Guadalinex. stunnellauncher Ejecutable para administrar el filtro de forma segura, https. Sólo en Guadalinex. adduser.pl Script que añade un usuario para la Autenticación NCSA con Squid. Sólo con proxy Squid y sistemas Guadalinex. addplugin.vbs Script que añade el plugin de OPTENET Server a Microsoft ISA Server. Sólo en Windows para ISA Server o Proxy Server. delplugin.vbs Script que borra el plugin de OPTENET Server de Microsoft ISA Server. Sólo en Windows para ISA Server o Proxy Server. 21 Aparte de los archivos que se instalan a partir del directorio de instalación, OPTENET Server instala: - un archivo en el directorio de instalación de Microsoft ISA Server (por defecto C:\Archivos de programa\Microsoft ISA Server). Este archivo se llama optenet.dll y es la DLL que realiza las labores de plugin de captura de datos de OPTENET Server. 3.3. Arranque y parada 3.3.1. En sistemas Windows: 3.3.1.1. Inicio y parada del filtro bajo Windows NT, XP, 2000 y 2003 La parte principal de OPTENET Server consiste en su servicio de filtrado. Este servicio puede administrarse desde los Servicios de Windows como cualquier otro servicio: puede iniciarse, pararse, establecer su tipo de inicio, etc... El inicio del servicio de OPTENET Server requiere cierto tiempo (alrededor de 3 segundos) durante el cual la CPU del servidor se utiliza casi al 100%: se cargan las Bases de datos de URLs y los analizadores en memoria, se inicia el proceso de actualización automática y la Administración WWW de OPTENET Server. Si ocurre algún problema OPTENET Server escribe un mensaje en el Visor de sucesos del servidor. 3.3.1.2. Inicio y parada del filtro bajo Windows 98 Como en Windows 98 el concepto servicios de sistema es distinto ambas partes, el proxy OPTENET y OPTENET Server se instalan como procesos habituales. Se lanzan al iniciar el sistema operativo. 3.3.1.3. El plugin para Microsoft ISA Server La otra parte de OPTENET Server, el plugin para la captura de datos, se trata de un Filtro Web de Microsoft ISA Server y puede controlarse desde la Administración del servidor ISA. Al igual que cualquier otro Filtro Web puede habilitarse o deshabilitarse según se necesite (vea la siguiente figura). También podrá iniciarlo o detenerlo mediante el servicio Microsoft Web Proxy (vea la Sección 3.2.1.1). 22 Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse separadamente pero para que el filtrado tenga lugar ambas partes deben estar funcionando a la vez correctamente. 3.3.1.4. El plugin para Microsoft Proxy Server La otra parte de OPTENET Server, el plugin para la captura de datos, se trata de un filtro ISAPI instalado en su servidor Web donde está instalado el Proxy Server. Este puede controlarse desde la Consola de Administración de su Proxy Server. Al igual que cualquier otro filtro ISAPI puede habilitarse o deshabilitarse según se necesite (vea la siguiente figura). 23 Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse separadamente pero para que el filtrado tenga lugar ambas partes deben estar funcionando a la vez correctamente. 3.3.1.5. OPTENET Proxy En la versión stand-alone está integrado el propio proxy OPTENET que procesa las peticiones HTTP y HTTPS en lugar de Microsoft ISA Server. Está visible por icono en la barra de herramientas. Para el caso de que hay que usar un proxy adicional en cascada hay que introducir su dirección IP y puerto en la ventana de configuración del proxy. Note que para un uso normal sin proxy adicional no es necesario añadir ningún tipo de configuración en este apartado. Consulte el Anexo 4 si desea saber más sobre cómo configurar este proxy. 3.3.2. En sistemas Guadalinex, Solaris y AIX: Para iniciar OPTENET entre en el sistema como el nuevo usuario creado y ejecute el script filterinit. Dicho script admite los parámetros start, stop y restart. Para iniciar el filtro es preciso ejecutar: # ./filterinit start Para pararlo se debe ejecutar: # ./filterinit stop Puede reiniciar el filtro ejecutando: 24 # ./filterinit restart Si tiene algún problema con la instalación puede obtener asistencia técnica escribiendo a [email protected] 3.3.3. Para Mac OS X Para iniciar OPTENET, entre en el sistema a través del terminal de usuario. Deberá estar en administrador e introducir la orden siguiente : # sudo su - optenet Introduzca su contraseña. Este script admite los parámetros start, stop y restart. Para iniciar el filtro, deberá ejecutar : # ./filterinit start Para detenerlo, ejecute : # ./filterinit stop También puede volverlo a iniciar ejecutando: # ./filterinit restart Si tiene problemas durante la instalación, puede ponerse en contacto con el servicio técnico en [email protected] 3.4. Arranque y parada automáticos junto al sistema 3.4.1. En sistemas Windows: La configuración por defecto tras la instalación es que el arranque y parada se realicen automáticamente con el sistema. Si no se desea que arranque con el sistema debe ir a la Herramienta del Sistema "Administrador de equipos", y en la sección de "Servicios" hay que modificar el "Tipo de Inicio" del servicio "OPTENET Server" como 'Manual'. 3.4.2. En sistema Guadalinex: La configuración por defecto tras la instalación es que el arranque y parada de OPTENET se realicen automáticamente con el sistema. Para establecer OPTENET como un servicio en el servidor de forma manual y que de esta forma se arranque y se pare automáticamente cada vez que se arranque o se pare el sistema debe conectarse como usuario root y seguir estos pasos: En sistema Guadalinex con la herramienta chkconfig instalada (Red Hat): # cp /usr/local/optenet/tools/optenet /etc/rc.d/init.d 25 # chkconfig --add optenet Puede consultar que realmente OPTENET ha sido instalado como servicio con la orden: #chkconfig –list En sistema Guadalinex que no disponen de la herramienta chkconfig: # cp /usr/local/optenet/tools/optenet /etc/init.d # cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/S99optenet # cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/K99optenet 3.4.3. En sistemas Solaris La configuración por defecto tras la instalación es que el arranque y parada de OPTENET se realicen automáticamente con el sistema. Para establecer OPTENET como un servicio en el servidor de forma manual y que de esta forma se arranque y se pare automáticamente cada vez que se arranque o se pare el sistema debe conectarse como usuario root y seguir estos pasos: # cp /usr/local/optenet/tools/optenet /etc/init.d # link /etc/init.d/optenet /etc/rc2.d/S99optenet # link /etc/init.d/optenet /etc/rc2.d/K99optenet 3.4.4. En sistemas AIX La configuración por defecto tras la instalación es que el arranque y parada de OPTENET se realicen automáticamente con el sistema. Para establecer OPTENET como un servicio en el servidor de forma manual y que de esta forma se arranque y se pare automáticamente cada vez que se arranque o se pare el sistema debe conectarse como usuario root y seguir estos pasos: # cp /usr/local/optenet/tools/optenet /etc/rc.optenet # mkitab "optenet:2:once:/etc/rc.optenet. start" 3.4.5. Para Mac OS X En la configuración por defecto tras la instalación, OPTENET se inicia y se cierra automáticamente con el sistema. Mac OS X inicia automáticamente OPTENET gracias al script “Optenet” que se encuentra en /Library/StartupItems/Optenet. 3.5. Configuración de un Appliance BlueCoat para que utilice OPTENET como sistema de filtrado (ICAP) Para que OPTENET pueda comunicarse mediante el protocolo ICAP con su Appliance de BlueCoat éste debe tener instalado el Sistema Operativo Security Gateway 2.1.06 o posterior. A continuación se describe cómo se debe configurar un Appliance de BlueCoat 26 (antes CacheFlow) para que utilice OPTENET cómo sistema de filtrado. Para ello debe seguir estos pasos: 3.5.1. Crear un servicio de modificación de petición (REQMOD) Conéctese a la administración de su BlueCoat y vaya a la opción ICAP. En la solapa ICAP Services pulse el botón “New” y cree uno de acuerdo a la figura: En la casilla “ICAP version” debe asignarse la versión 1.0 de ICAP. En el apartado Service URL debe especificar la URL contra las que se enviarán las peticiones ICAP por ejemplo: icap://192.168.0.111/reqmod_bluecoat Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET, y que se utiliza como ruta /reqmod_bluecoat, es IMPORTANTE que mantenga esta nomenclatura para que el servidor ICAP de OPTENET se integre correctamente con su BlueCoat. Ahora debe marcar como método “request modification” y utilizar el botón “Sense settings” para forzar que el BlueCoat se conecte con OPTENET y así obtener automáticamente el resto de los parámetros de configuración del servidor ICAP. 27 Si por alguna razón la comunicación con el servidor ICAP fallase, puede configurar manualmente el resto de los campos. Deberá seleccionar también la casilla “Client address” (disponible a partir de la versión SG 2.1.07) para habilitar el envío en el mensaje ICAP de la dirección IP del cliente que realizó la petición. 3.5.2. Crear un servicio de modificación de respuesta (RESPMOD) Conéctese a la administración de su BlueCoat y vaya a la opción ICAP. En la solapa ICAP Services pulse el botón “New” y cree uno de acuerdo a la figura: En la casilla “ICAP version” debe asignarse la versión 1.0 de ICAP. En el apartado “Service URL” debe especificar la URL contra las que se enviarán las peticiones ICAP por ejemplo: icap://192.168.0.111/respmod_bluecoat Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET y que se utiliza como ruta /respmod_bluecoat, es IMPORTANTE que mantenga esta nomenclatura para que el servidor ICAP de OPTENET se integre correctamente con su BlueCoat. Ahora debe marcar como método “response modification” y utilizar el botón “Sense settings” para forzar que el BlueCoat se conecte con OPTENET y así obtener automáticamente el resto de los parámetros de configuración del servidor ICAP. Deberá seleccionar también la casilla “Client address” (disponible a partir de la versión SG 2.1.07) para habilitar el envío en el mensaje ICAP de la dirección IP del cliente que realizó la petición. 28 3.5.3. Establecer una política de acceso web Una vez definidos los servicios ICAP debemos indicar que todas las peticiones sean redirigidas contra OPTENET. Para ello debe ir a la opción Policy, solapa Visual Policy Manager y botón Start para iniciar el Visual Policy Manager. Una vez iniciado, seleccionamos el menú Edit -> Add Web Access Policy como indica la figura: Y configuramos la acción de esa nueva política para que a todas las peticiones de todos los clientes utilicen el servicio ICAP que hemos llamado optenetreqmod. De esta forma estamos indicando al BlueCoat que envíe a OPTENET Server todos los accesos web que 29 se realicen a través de él antes de satisfacerlos para que puedan ser analizados y determinar si deben ser permitidos o denegados. Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes de cerrar el Visual Policy Manager. 3.5.4. Establecer una política de contenidos web OPTENET a diferencia de la mayor parte de sistemas de filtrado analiza el contenido descargado de Internet permitiendo categorizar páginas por su contenido o detectar el verdadero tipo de archivos renombrados. Para ello es necesario que BlueCoat pase a OPTENET el contenido descargado antes de ser devuelto al cliente que lo ha solicitado. Esto se consigue definiendo una política de contenido web. Para ello debe ir a la opción Policy, solapa Visual Policy Manager y botón Start para iniciar el Visual Policy Manager. Una vez iniciado, seleccionamos el menú Edit -> Add Web Content Policy como indica la figura: Y configuramos la acción de esa nueva política para que los contenidos de todas las peticiones de todos los clientes utilicen el servicio ICAP que hemos llamado optenetrespmod. De esta forma estamos indicando al BlueCoat que todos los contenidos web que se descarguen a través del mismo antes de ser devueltos a los clientes sean enviados a OPTENET para que puedan ser analizadas y determinar si deben ser permitidos o denegados. 30 Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes de cerrar el Visual Policy Manager. Si desea activar la autenticación de usuarios debe lanzar el Visual Policy Manager y crear una Política de autenticación Web. Para más información consulte la documentación de su BlueCoat. Completado este último paso ya tiene configurado su BlueCoat para que utilice OPTENET como sistema de filtrado. 31 3.6. Configuración de un NetCache para que utilice OPTENET como sistema de filtrado A continuación se describe cómo se debe configurar un NetCache para que utilice OPTENET cómo sistema de filtrado. Para ello debe seguir estos pasos: 3.6.1. Crear un servicio de modificación de petición (REQMOD) Conéctese a la administración de NetCache y vaya a la opción SetupÆ ICAP Æ ICAP1.0 En la solapa ServiceFarm pulse el botón “New Service Farm” y cree uno de acuerdo a la Figura En la casilla services debe especificar la URL contra la que se enviarán las peticiones ICAP por ejemplo: icap://192.168.0.111:1344/reqmod_netcache on Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET y que se utiliza como ruta /reqmod_netcache, es IMPORTANTE que mantenga esta nomenclatura para que el servidor ICAP de OPTENET se integre correctamente con su NetCache. Pulse “Commit Changes” para salvar cambios. 3.6.2. Crear un servicio de modificación de respuesta (RESPMOD) Vuelva a crear un nuevo Service Farm de acuerdo a la siguiente. 32 En la casilla services debe especificar la URL contra la que se enviarán las peticiones ICAP por ejemplo: icap://192.168.0.111:1344/respmod_netcache on Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET y que se utiliza como ruta /respmod_netcache, es IMPORTANTE que mantenga esta nomenclatura para que el servidor ICAP de OPTENET se integre correctamente con su NetCache. La razón de tener que crear dos Service Farms es que OPTENET a diferencia de la mayor parte de sistemas de filtrado analiza el contenido descargado de Internet permitiendo categorizar páginas por su contenido o detectar el verdadero tipo de archivos que han sido renombrados. El primer Service Farm permitirá que cuando NetCache recibe una petición antes de atenderla le pase a OPTENET la URL solicitada para que este pueda decidir si el acceso está permitido. Esta decisión se toma en cuenta comprobando esa URL contra la base de datos de OPTENET y analizando la propia URL. El segundo Service Farm permite que cuando NetCache trae un contenido de Internet, antes de almacenarlo en su caché, le pase a OPTENET dicho contenido. OPTENET lo analizará y decidirá si está permitido o se debe bloquear. Una vez definidos los Services Farm debe indicar a qué peticiones se les aplica el filtro. Para ello debe ir a la opción Access Control List y configurarla de acuerdo a la figura: 33 Es decir, aplicando el filtro a todas las peticiones tanto http como https y ftp. Por último sólo queda habilitar el servicio ICAP desde la pestaña General de acuerdo a la figura. Si desea activar la autenticación de usuarios consulte la documentación de su NetCache. 34 35 4. CONCEPTOS BÁSICOS A continuación se van a explicar unos conceptos básicos que son necesarios para poder administrar correctamente OPTENET. Dichos conceptos aparecerán en la parte de administración. 4.1. Usuario Dado que OPTENET se comunica con un proxy (como Squid, ISA o proxy OPTENET), o con un appliance o cache que hacen las funciones de proxy (como BlueCoat o NetCache) el concepto de usuario es el mismo que el concepto de usuario para estos proxies. Es decir, OPTENET reconoce los usuarios que sean identificados por estos proxies. Atención, porque estos usuarios pueden ser independientes de los usuarios de los sistemas operativos de todos los equipos que acceden a Internet a través del proxy. Sin embargo, OPTENET también permite Autenticar Usuarios de dominios NT o servidores LDAP (vea apartado 5.4) 4.2. Grupo Normalmente los usuarios pueden formar parte de uno o varios grupos. Ni ISA, ni SQUID, ni tampoco versiones de BlueCoat anteriores a la 3 pasan a OPTENET la información de a qué grupos pertenece el usuario que está realizando una petición, sólo NetCache y BlueCoat a partir de la versión 3 inclusive aportan esta información. Eso implica que para que OPTENET pueda obtener esa información deberá comunicarse con algún dominio NT o servidor LDAP. Para la configuración de este servicio lea el apartado 5.4 de este manual. 4.3. Dirección IP TCP/IP son las siglas de Transmission Control Protocol/Internet Protocol, el lenguaje que rige todas las comunicaciones entre los ordenadores en Internet. Todos los ordenadores conectados a Internet tienen asignada una dirección que es única, con el siguiente formato: aaa.bbb.ccc.ddd Como parte de una regla de OPTENET va a ser posible incluir las direcciones IP de los ordenadores clientes que van a acceder a Internet. Sin embargo, hay que tener en cuenta que en ocasiones se coloca un proxy encadenado antes del filtro y esto puede provocar que todas las peticiones se identifiquen con la IP de este proxy; consulte la configuración de su proxy si este efecto le sucede de forma no deseada. 4.4. URL Siglas de Uniform Resource Locator. Es la dirección de un sitio o de una fuente, normalmente un directorio o un fichero, en el Word Wide Web y la convención que utilizan los navegadores para encontrar ficheros y otros recursos distantes. Una URL puede identificar un fichero, por ejemplo: 36 http://www.optenet.com/esp/index.htm o un sitio: http://www.optenet.com Con OPTENET podremos permitir o bloquear el acceso a páginas concretas indicando la URL o bien a sitios enteros o a parte de ellos indicando la URL seguida de un asterisco. Por ejemplo: http://www.sitioentero.com/* OPTENET funciona internamente con URLs sin protocolo (http, https, …). Si se introduce una url en una determinada categoría, todos los protocolos para esa url pertenecerán automáticamente a dicha categoría. Por ejemplo al introducir http://www.sitioentero.com en pornografía se van a categorizar en pornografía las siguientes urls: http://www.sitioentero.com https://www.sitioentero.com ftp://www.sitioentero.com 4.5. Categoría Una categoría es un conjunto que agrupa los ficheros del World Wide Web. Estos conjuntos pueden crearse mediante listas de URLs y analizadores de contenido y URLs. Se establecen cinco tipos de categorías: - Categorías de contenido: clasifican el World Wide Web en contenidos (por ejemplo pornografía, deportes, prensa, etc.) que se pueden permitir o denegar según lo establecido en las reglas de filtrado. - Categoría blanca: si un fichero pertenece a una categoría blanca no se tendrán en cuenta sus categorías de contenido; será como si no perteneciera a ninguna categoría de contenido. - Categoría negra: si un fichero pertenece a una categoría negra será como si perteneciera a todas y cada una de las categorías de contenido. - Categoría buscadores: los ficheros que pertenezcan a una categoría de buscadores no tendrán en cuenta el analizador de contenido multilingüe para establecer sus categorías de contenido. - Categoría redirectores: se trata de ficheros que redirigen o transforman a otros ficheros. Si un fichero pertenece a una categoría de redirector se trabajará directamente con ese otro fichero al que redirige o transforma. Una categoría podrá tener más de un tipo. A su vez, un fichero podrá pertenecer a más de una categoría. Cada categoría utiliza dos listas de URLs para su definición: Yes y Not. La lista Yes contiene todas aquellas direcciones que consideramos que pertenecen a una determinada categoría y la lista Not aquellas direcciones que consideramos que NO pertenecen a esa categoría. Al final de este manual tiene un anexo describiendo las categorías que proporciona OPTENET. 37 4.6. Regla Es el concepto fundamental en el que está basado el funcionamiento de OPTENET. Las reglas definen el nivel de filtrado que van a tener todos nuestros accesos a Internet. Con una regla podemos definir: ♦ ♦ ♦ ♦ ♦ ♦ ♦ Las categorías sobre las que actúa esa regla. Los usuarios afectados por esa regla. Los grupos de usuarios afectados por esa regla. Las direcciones IPs de los puestos afectados por esa regla. Los tipos de ficheros sobre los que puede actuar esa regla. Los horarios en que se debe aplicar dicha regla. URLs a los que se debe aplicar la regla, con independencia de su categoría y tipo de archivo por lo que si el resto de características se cumple (día y hora y usuario, grupo o IP) la regla cumplirá con su acción. ♦ URLs que nunca cumplirán la regla. Podemos de esta forma definir excepciones al funcionamiento de cada regla. 38 5. ADMINISTRACIÓN Una vez instalado OPTENET Server es necesario realizar una mínima configuración. OPTENET Server incorpora un servidor WWW para su configuración y administración. Este servidor WWW se instala en el puerto TCP 10237 y permite administrar y configurar OPTENET Server utilizando un navegador WEB. Si ha instalado OPTENET Server en Windows puede ir al elemento WWW Administración del Grupo de programas de OPTENET Server (Vea Sección 3.2.1) y le abrirá la Administración WWW en el navegador que tenga configurado por defecto en su sistema. También puede accederse remotamente desde cualquier ordenador conectado a la red accediendo a http://server:10237, donde server será el servidor con OPTENET Server. Si el equipo donde se ha instalado OPTENET Server es host.domain puede accederse al servidor WWW en la siguiente URL: http://host.domain:10237. Para poder acceder al servidor web es necesario haber arrancado previamente OPTENET. Para asegurar la privacidad de la configuración y administración, el servidor WWW requiere que el usuario sea autenticado, por lo que pedirá nombre de usuario y contraseña con una ventana como la de la Figura. Por defecto, el nombre de usuario es optenet y la contraseña 12345678. Estos valores pueden ser cambiados desde el mismo servidor WWW de Administración. Se recomienda cambiarlos nada más instalar OPTENET Server. Es posible que al introducir el usuario y la clave, su navegador muestre una página en blanco. Para poder acceder correctamente a la administración deberá añadir a la lista de sitios de confianza de su navegador la URL donde está instalado OPTENET. Por ejemplo, si OPTENET está instalado en http://192.168.0.240 y está utilizando Internet Explorer 6.0, deberá acceder al menú Herramientas -> Opciones de Internet -> Seguridad -> Sitios de confianza y añadir ahí la URL http://192.168.0.240. 5.1. Introducción Es la ventana que aparece por defecto al entrar en la administración, una vez que se haya autenticado correctamente el usuario. (vea siguiente figura) Presenta una breve introducción de lo que es OPTENET. Si se desea tener la administración web en otro idioma basta con pulsar sobre la bandera del idioma deseado (bajo el logotipo de OPTENET) y automáticamente aparecerá la administración en ese 39 otro idioma. Como ejemplo, en la Figura 5.3 se presenta la ventana de introducción en francés. Figura 5.3: Ventana de Introducción de la Administración WWW en francés. 5.2. Documentación Icono situado en la parte superior derecha de la ventana de administración que muestra la documentación en formato HTML. 40 5.3. Configuración Dentro de esta opción podemos configurar aspectos como el estado del filtro, establecer la página de bloqueo o establecer el directorio donde se generan los logs. Veamos cada una de estas opciones. 5.3.1. Estado Filtro El filtro permite actualmente tres estados: 41 ♦ ON: estado activo, el filtro procesa todas las peticiones aplicando las acciones de las reglas de filtrado. Es el estado configurado por defecto que le permite al filtro bloquear accesos. ♦ MONITOR: estado en el que se procesan todas las peticiones simulando la aplicación de las reglas de filtrado y posibilitando la escritura en los logs pero sin filtrar. Útil para aquellas instalaciones que desean hacer una fase de análisis de su navegación antes de aplicar filtrado. ♦ OFF: estado inactivo, el filtro responde inmediatamente a todas las peticiones recibidas dejándolas pasar, sin bloquear ningún acceso. No debemos equivocar OFF con la parada del filtro. Aunque seleccionemos el estado OFF, OPTENET Server sigue ejecutándose pero deja de vigilar los accesos a Internet. Si lo que deseamos es parar el filtro se debe hacer conectado como el usuario optenet en una sesión telnet contra el servidor Guadalinex, Solaris o AIX y tecleando ./filterinit stop o bien parando el servicio o proceso en sistemas Windows. 5.3.2. Página de bloqueo OPTENET Server permite personalizar los mensajes que se muestran a los usuarios cuando se les bloquea una página que han intentado acceder. Por defecto, el campo « Página de bloqueo » aparece la palabra clave « local ». De esta forma se muestra la página de bloqueo local ubicada bajo el directorio de instalación (vea apartado 3.2.3 Sistema de archivos instalados por OPTENET). Para que la página de bloqueo local se muestre correctamente es necesario que el filtro sea capaz de obtener la ip local del servidor donde se está ejecutando. Asegúrese que en el fichero de configuración "hosts" del servidor exista una entrada del tipo "ip nombre del servidor". También es necesario que desde todos los equipos que se vaya a navegar tengan acceso a esa página de bloqueo. En el caso de que con la configuración "local" no pueda ver la página de bloqueo pruebe a poner como página de bloqueo: http://ip_del_servidor_optenet:10237/cgi-bin/stop. Suponiendo que OPTENET se ejecuta en la ip 192.168.0.235 la página de bloqueo sería: http://192.168.0.235:10237/cgi-bin/stop La Figura muestra la página de bloqueo por defecto de OPTENET Server. Lo habitual es crear una página web propia y personalizada situarla en la Intranet de su organización y establecerla como la página de bloqueo de OPTENET Server. 42 Esta página Web de respuesta pueden generarse dinámicamente mediante un CGI un asp o un php. Si las páginas de respuesta se generan dinámicamente, se puede recoger la información que OPTENET Server envía a la página de bloqueo. El CGI/ASP de respuesta recibe en el query string (método GET) las siguientes variables: ♦ URL Æ indica la URL que ha sido bloqueada. ♦ DATETIME Æ fecha y hora en que se ha efectuado dicha petición. ♦ RULE Æ regla que ha bloqueado esa URL. ♦ CAT Æ categoría a la que pertenece la URL bloqueada. ♦ FILE Æ tipo de fichero de la URL bloqueada. Si además tiene activado el envío de usuario y de la ip como parámetro de la página de stop entonces recibirá dos parámetros más: ♦ USER Æ usuario que realizó la petición. ♦ IP Æ ip del equipo desde dónde se realizó la petición. En envío de estos parámetros está desactivado por defecto, por razones de seguridad. Si desea activarlo deberá establecer como valor TRUE en la clave del registro de windows: HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\SendIpUser Si tiene instalado OPTENET Server en un sistema Guadalinex, Solaris o Aix entonces deberá modificar el script /usr/local/optenet/RunOPTENET añadiendo como parámetro de optenet_server -send_ip_user TRUE. Después en ambas plataformas deberá reiniciar el filtro para que el cambio tenga efecto. Esta información puede ser muy útil, podemos utilizarla para enviar un e-mail al administrador o para recoger estadísticas. 5.3.3. Directorio logs En este apartado puede configurar el directorio donde OPTENET dejará sus logs. OPTENET Server guarda los siguientes tipos de logs: 43 5.3.4. Configuración de log 5.3.4.1. Encriptación de información sensible Activando esta opción forzará que OPTENET escriba en sus logs la ip, el usuario y los grupos a los que pertenece el usuario que realiza cada petición de forma encriptada. Por defecto esta opción está desactivada. 5.3.4.2. Registrar en log Desde aquí puede seleccionar la información que OPTENET va a registrar en sus ficheros de logs (requestYYYYMMDD.log). Los valores que puede seleccionar son: ♦ Nada, indica que el filtro no registrará en el log ninguna de las peticiones que le llegan para analizar, es decir, no se registran logs. ♦ Sólo bloqueos, indica que el filtro registrará en los logs únicamente aquellas peticiones que hayan sido bloqueadas. ♦ Accesos, indica que el filtro registrará todas las peticiones que le lleguen para analizar, tanto las que bloquee como las que permita pasar. 5.3.4.3. Número de días de información a guardar Aquí puede configurar el número de días completos de información de logs que desea que el filtro guarde. Por defecto, su valor es 1 lo que indica que el filtro mantendrá siempre los logs completos del día anterior además de los del día actual. Al realizar el cambio de día, el filtro borrará todos los logs anteriores al periodo de días especificado. A diferencia de versiones anteriores de OPTENET Server, dónde el módulo de informes iba integrado con el filtro y dónde los logs se iban acumulando en el directorio de logs del filtro, esta en está versión el filtro no realiza acumulación de logs. Es OPTENET Reporter el que una vez instalado y configurado le solicita al los filtros que tenga configurados los logs que poseen y va realizando en su propio directorio de logs la acumulación de los datos que va recibiendo de cada filtro. El hecho de que OPTENET Reporter deje de funcionar temporalmente y OPTENET Server siga funcionando no implica que los logs generados durante ese periodo se pierdan y no se puedan sacar informes sobre ellos. Ya que la siguiente vez que se arranque OPTENET Reporter comenzará a solicitar a OPTENET Server los logs desde la última parte que recibió. De esta forma si esos logs todavía no han sido borrados por el filtro entonces podrán ser recuperados por el Reporter. Un día de información a guardar debe ser suficiente para que el Reporter y el filtro sincronicen sin problemas sus logs. 5.3.4.4. Campos del log Desde este apartado puede seleccionar libremente los campos que desea que sean recogidos en los logs de OPTENET Server, tenga en cuenta que el desactivar algún campo impide que posteriormente pueda sacar informes con OPTENET Reporter utilizando esa información, por ejemplo si desactiva el campo usuario luego no podrá sacar informes ordenado o agrupadas por usuario. 5.4. Autenticación Si desea establecer reglas de filtrado por usuarios o por grupos de usuarios es necesario que su proxy o appliance esté configurado para realizar autenticación de usuarios o bien que dicha autenticación la realice directamente OPTENET. De lo contrario solamente podrá establecer reglas de filtrado por las IPs de los equipos que acceden a Internet. 44 5.4.1. Origen de datos(usuarios y/o grupos) En el caso de querer establecer reglas de filtrado por usuarios y/o por grupos OPTENET le puede facilitar el listado de los usuarios y los grupos desde los apartados usuarios/grupos dentro de cada regla de filtrado. Para que OPTENET sea capaz de mostrarle esta información es necesario que en el apartado "Autenticación" -> "origen de datos" seleccione cuál es la fuente de datos que utilizará OPTENET para conseguir los usuarios y grupos. Además como se comenta en la sección 4.2 la mayor parte de los proxies o caches (en realidad todos menos NetCache y BlueCoat a partir de la versión 3 inclusive) no envían al filtro los grupos a los que pertenece el usuario que está realizando la petición por lo que OPTENET necesita averiguar dicha información. Seleccionando el tipo de fuente de datos y configurando adecuadamente cada posible fuente, OPTENET será capaz de listar los usuarios, los grupos y preguntar los grupos de cada usuario. A continuación se describen los orígenes de datos con los que OPTENET es capaz de trabajar. 5.4.1.1. LDAP Seleccione la opción LDAP si en su organización se gestionan cuentas de usuarios y grupos con servidores LDAP. Ejemplos de estos servidores son Active Directory de Windows, Lotus Dominio, iPlanet. Después de seleccionar la opción LDAP y pulsar el botón Aceptar en la ventana "Autenticación de usuarios" deberá pulsar el botón LDAP para definir cuantos servidores LDAP sean necesarios. Pulsando el botón LDAP accederá a la ventana de configuración de los servidores LDAP. 45 5.4.1.1.1. Lista de servidores LDAP En este apartado se configuran los servidores LDAP con los que OPTENET Server se comunicará para obtener el listado de usuarios, de grupos y consultar los grupos de un usuario. OPTENET permite definir más de un servidor LDAP. A la hora de consultar los grupos de un usuario, OPTENET siempre consultará al primer servidor definido en la lista, y pasará a consultar a siguiente si este primero no responde o si ese usuario no está definido en el primero. Por ello es fundamental el orden en que se establezcan estos servidores. A la hora de listar todos los usuarios o grupos OPTENET consultará a todos los servidores y mostrará el total de usuarios y grupos obtenidos. Desde está opción podrá añadir un nuevo servidor LDAP, modificar o borrar uno existente, y también establecer el orden de los mismos. 5.4.1.1.2. Servidor LDAP En este apartado se configura el servidor LDAP elegido. Al agregar un servidor nuevo se crea una entrada nueva con un nombre aleatorio y con el puerto LDAP estándar 389. Para cada servidor LDAP deberá configurar los siguientes datos: • Nombre: nombre con el que va a identificar este servidor LDAP dentro de la lista, este nombre es simplemente simbólico pero debe ser único dentro de la lista de servidores LDAP que defina. • Servidor: nombre o dirección IP del servidor LDAP. Recomendamos insertar si es posible siempre la dirección IP para que las consultas LDAP sean más rápidas y no se tenga que resolver el nombre en cada una de ellas. • Puerto: puerto donde escucha el servidor LDAP. • Administrador: DN y clave de acceso al servidor LDAP. Si el servidor LDAP permite lecturas anónimas pueden dejarse vacías. • Base: base para las búsquedas de usuarios y grupos. • Tipo: tipo de servidor LDAP. 46 El tipo de servidor LDAP sirve para indicar al filtro la manera en la que debe obtener los usuarios, los grupos y las relaciones entre ambos. Para obtener esa información el filtro requiere los siguientes datos: • • • • • • • • Objetos de usuario: filtro LDAP para buscar los objetos con la información de los usuarios. Por ejemplo: (objectClass=inetOrgPerson), (objectClass=rvUser), etc. Nombres de usuario: atributo LDAP que se utilizará como nombre de los usuarios. Por ejemplo: uid, shortname, etc. Criterio de filtrado: Cuando se funciona con ICAP y se ha configurado en LDAP un identificador de usuario diferente al "Distinguished name" se debe activar la opción “consulta alias de usuario (LDAP)” y establecer un tiempo máximo para la caché como se describe más adelante en este manual. En este caso OPTENET realizará una consulta para obtener el identificador/es de usuario a partir del "Distinguished name". Para que OPTENET sepa cuál de todos los identificadores devueltos en esta consulta debe utilizar, se dispone de esta casilla donde se puede especificar un patrón de búsqueda (por ejemplo "U*"). De esta forma OPTENET únicamente considerará aquellos campos que comiencen por U. Por último para resolver posibles casos con más de una concordancia, se dispone del desplegable que permite seleccionar "primer valor" o "último valor". Miembros de usuario: condición que se aplica a los objetos de usuario para obtener los grupos a los que pertenecen. Por ejemplo: (memberOf=cn=%cn%), (ou=%ou%), etc. Nótese que puede indicarse entre % el atributo de los objetos de grupo que debe cumplir la condición para que el usuario se considere miembro de ese grupo. Objetos de grupo: filtro LDAP para obtener los objetos con la información de los grupos. Por ejemplo: (objectClass=groupOfUniqueNames), (objectClass=rvGroup), etc. Nombres de grupo: atributo LDAP que se utilizará como nombre de los grupos. Por ejemplo: cn, ou, etc. Miembros de grupo: condición que se aplica a los objetos de grupo para obtener los usuarios que pertenecen a los mismos. Por ejemplo: (uniqueMember=%dn%), (memberUid=%uid%), etc. Nótese que puede indicarse entre % el atributo de los objetos de usuario que debe cumplir la condición para que el grupo incluya a ese usuario como miembro suyo. Grupos anidados: nivel máximo de anidamiento de los grupos. Puede valer -1 en cuyo caso se buscarán todos los grupos de un usuario hasta que acaben todos los anidamientos. Si es 0 no se buscan los grupos anidados. Hay que utilizarlo con cuidado ya que se realizan más consultas LDAP por cada nivel y puede afectar negativamente al rendimiento. 47 A continuación se muestra un ejemplo de una configuración de un servidor LDAP. En este ejemplo los usuarios consisten en objetos de tipo inetOrgPerson y su nombre se extrae del atributo uid. Los grupos consisten en objetos de tipo groupOfUniqueNames y su nombre se extrae del atributo cn. Para conocer los grupos a los que pertenecen los usuarios sólo se consultan los objetos de grupo (el apartado Miembros de Usuarios está vacío) y como condición se establece que el atributo uniqueMember incluya el uid del usuario en el formato dado. No se buscan los grupos anidados. 48 5.4.1.2. Dominios Windows Seleccione la opción Dominios Windows si en su organización se gestionan las cuentas de usuarios y grupos con Dominios Windows, tanto NT como Windows 2000 o 2003 instalados en modo mixto. Como requisito deberá haber instalado previamente OPTENET DCAgent 2.xx. en un servidor Windows de su red que tenga acceso a los controladores de domino que desea consultar. Este software se encarga de consultar los controladores de dominios para extraer los usuarios, grupos y los grupos de cada usuario. A su vez, OPTENET server se comunica con OPTENET DCAgent para obtener esta información. * Puede descargar este software de la web de OPTENET. Se recomienda también que consulte su manual antes de proceder a la instalación. 5.4.1.2.1. Servidores de Dominios Windows En este apartado se configuran las máquinas Windows donde se ha instalado OPTENET DCAgent 2.xx con los que OPTENET Server se comunicará para obtener el listado de usuarios, de grupos y consultar los grupos de un usuario. OPTENET permite definir más de un DCAgent. A la hora de consultar los grupos de un usuario, OPTENET siempre consultará al primer servidor definido en la lista, y pasará a consultar a siguiente si este primero no responde o si ese usuario no está definido en el primero. Por ello es fundamental el orden en que se establezcan estos servidores. A la hora de listar todos los usuarios o grupos OPTENET consultará a todos los servidores y mostrará el total de usuarios y grupos obtenidos. 49 Desde está opción podrá añadir un nuevo OPTENET DCAgent, modificar o borrar uno existente, y también establecer el orden de los mismos. 5.4.1.2.2. Dominio Windows En este apartado se configuran los datos del OPTENET DCAgent seleccionado. Al agregar un servidor nuevo se crea una entrada nueva con un nombre aleatorio y con el puerto de escucha del DCAgent estándar 10240. Para cada servidor DCAgent deberá configurar los siguientes datos: • • • Nombre: nombre con el que va a identificar este servidor dentro de la lista, este nombre es simplemente simbólico pero debe ser único dentro de la lista de servidores que defina. Servidor: nombre o dirección IP donde está instalado y ejecutándose el DCAgent. Recomendamos insertar si es posible siempre la dirección IP para que las consultas sean más rápidas y no se tenga que resolver el nombre en cada una de ellas. Puerto: puerto donde escucha el DCAgent 50 5.4.1.3. OPTENET Proxy Seleccione la opción OPTENET proxy si ha instalado OPTENET Server en un sistema Windows y ha elegido el proxy OPTENET en la instalación. De esta forma OPTENET le mostrará en el apartado "Reglas de filtrado" -> "usuarios" los usuarios que OPTENET proxy es capaz de autenticar. OPTENET Proxy no trabaja con grupos de usuarios por lo que no será posible establecer reglas por grupos de usuario si su organización está navegando a través de OPTENET proxy. Pulsando el botón OPTENET Proxy accederá a la pantalla que se muestra en la Figura 5.13 desde donde se añaden o eliminan los usuarios junto a sus claves de acceso que OPTENET Proxy es capaz de reconocer. En el momento que se introduzca un primer usuario junto a su clave OPTENET proxy comenzará a solicitar autenticación a todo aquél que navegue a través suyo, cuando se elimine el último usuario OPTENET Proxy dejará de solicitar autenticación de usuarios. 51 5.4.1.4. Squid NCSA Seleccione la opción Squid NCSA si ha instalado OPTENET Server en entornos UNIX (Solaris, Aix, FreeBSD o Guadalinex), ha elegido la opción RPC que instala Squid junto con OPTENET y además ha configurado Squid para que solicite autenticación básica NCSA. De esta forma conseguirá que OPTENET le muestre en el apartado "Reglas de filtrado" -> "usuarios" la lista de usuarios de Squid es capaz de autenticar. En realidad OPTENET realiza una búsqueda del tag "auth_param basic program" del fichero de configuración de Squid (squid.conf) para obtener el fichero de usuarios, recorrerlo y de esta forma extraer la lista de usuarios. La autenticación NCSA de Squid no trabaja con grupos de usuarios por lo que no será posible establecer reglas por grupos de usuario si su organización está navegando a través de Squid en el que tiene configurado autenticación NCSA. 5.4.2. Activar autenticación propia Si su proxy o appliance no está configurado para realizar autenticación de usuarios, todos los usuarios podrán acceder a Internet sin necesidad de identificarse (introduciendo un nombre de usuario y una clave). Esto implica que OPTENET no recibe la información de qué usuario realiza cada petición no pudiendo aplicar reglas de filtrado basadas en usuarios o grupos,, y pudiendo establecer diferentes políticas únicamente por las IPs de los equipos que acceden a Internet. Para poder establecer políticas de filtrado por usuarios o grupos de usuarios tenemos dos opciones: • • A) Configurar su proxy o appliance para que realice autenticación de usuarios (opción recomendada) o B) Configurar OPTENET para que sea él mismo quién identifique a los usuarios que están navegando. 52 En el caso de la opción A) en la que es el proxy o cache quién está autenticando usuarios, dicho proxy envía a OPTENET con cada petición WEB el usuario que la solicita. OPTENET deberá en este caso obtener los grupos de dicho usuario para lo que utiliza el origen de datos que se haya configurado (LDAP o dominios Windows, recordemos que con el proxy OPTENET o Squid NCSA no se pueden establecer reglas de filtrado por grupos) La opción B) consiste en que sea OPTENET quién identifique a los usuarios que están navegando. Para activarla hay que marcar el tic de la casilla "Activar autenticación propia" de la ventana autenticación de usuarios. Esta opción puede ser útil para organizaciones dónde el proxy/cache no realiza autenticación de usuarios o que dicha cache no envía al filtro qué usuario está realizando cada petición. En este modo de funcionamiento OPTENET realiza una asociación entre las IPs que recibe en cada petición y los usuarios que están navegando desde dichas IPs por lo que es estrictamente necesario que al proxy/cache y por lo tanto a OPTENET lleguen las peticiones identificadas por su IP de origen y no por la IP de un router o gateway intermedio. A continuación se describe el proceso de identificación que realiza OPTENET: 1. Un usuario comienza a navegar por Internet, realiza las peticiones web al proxy y este se las pasa a OPTENET para que decida si deben pasar o ser bloqueadas. 2. OPTENET extrae la dirección IP de la petición y la comprueba contra su tabla interna que contiene pares IP y usuarios. 3. Como dicha IP es nueva OPTENET todavía no sabe qué usuario está detrás de dicha petición. Para averiguarlo tiene dos métodos: 3.1 Si está seleccionado como origen de datos "LDAP", OPTENET redirige dicha petición contra su servidor de autenticación exigiendo al usuario que está navegando que introduzca un usuario y una clave y lo contrastara con los datos de los servidores LDAP definidos. Para constrastarlo, el filtro podrá bien realizar una consulta sobre el campo “nombre de usuario” definido en el servidor LDAP, bien acceder directamente al directorio LDAP con las credenciales suministradas. Adicionalmente, y solo en el caso en que se seleccione “LDAP” como origen de datos, será posible la autenticación del usuario a través de los datos contenidos en un certificado de cliente, a través de una comunicación segura SSL. Para ello se deberá indicar el campo de la base de datos LDAP sobre el que se consultará el contendido del certificado. Si esta última opción está habilitada y la comprobación de los datos del certificado es errónea, se solicitará un usuario y una clave. Una vez comprobado se establece la relación entre esa IP y ese usuario de modo que todas las peticiones que provengan de esa misma IP serán consideradas de ese mismo usuario durante el "intervalo de petición de la autenticación" que se puede definir en la misma ventana. 3.2 Si está seleccionado como origen de datos "Dominios Windows", OPTENET realiza una petición a los DCAgents configurados preguntándoles que usuario entró en sesión contra los dominios Windows desde esa IP. De esta forma OPTENET es capaz de identificar a usuario sin necesidad de que éste introduzca un nombre y una clave. A esta modalidad también es denominada autenticación transparente y como se puede intuir es necesario que dicho usuario haya entrado en sesión previamente contra un Dominio Windows. Una vez recibida esa información del DCAgent OPTENET guarda esa la relación entre esa IP y ese usuario de modo que todas las peticiones que provengan de esa misma IP serán consideradas de ese mismo usuario durante el "intervalo de petición de la autenticación" que se puede definir en la misma ventana. 53 3.3 Si está seleccionado como origen de datos "OPTENET Proxy" la opción "activar autenticación propia" no tiene efecto y será desactivada. OPTENET extrae de la petición que le llega del proxy el usuario que este le pase y no hay posibilidad de obtener grupos ya que el proxy no se los envía. Para que OPTENET Proxy solicite autenticación de usuarios será necesario que haya creado uno o mas usuarios en el apartado "OPTENET Proxy". 3.4 Si está seleccionado como origen de datos "Squid NCSA" la opción "activar autenticación propia" no tiene efecto y será desactivada. OPTENET extrae de la petición que le llegua de Squid el usuario que este le pase y no hay posibilidad de obtener grupos ya que el proxy no se los envía. Para que Squid solicite autenticación de usuarios será necesario que lo haya configurado adecuadamente, consulte el ejemplo que aparece en la sección "Instalación de OPTENET con SQUID" de este manual. 4. Transcurrido el intervalo de "petición de la autenticación" se repite el paso 3 para comprobar si es el mismo usuario quién sigue navegando o por el contrario es otro diferente. Resumiendo este punto, OPTENET puede realizar autenticación de usuario siempre que reciba la IP que está realizando la petición y además los usuarios entren en sesión contra un dominio Windows o bien dispongamos de un servidor LDAP que pueda validar los usuarios con sus claves. No es aconsejable que tanto el proxy/cache como OPTENET realicen ambos la autenticación, ya que en este caso OPTENET desecha la información de usuario que le envía el proxy/cache e intenta establecer su propia autenticación. 5.4.3. Nombre o IP del servidor En esta casilla se debe introducir la IP o el nombre del servidor donde está instalado OPTENET. Si dicho servidor posee más de un interfaz de red debe insertarse el interfaz de red que sea accesible desde toda la Intranet. En el caso de dejar en blanco dicha casillas OPTENET obtiene la dirección IP consultando directamente al servidor. En el caso de tener varios interfaces de red OPTENET se queda con el primero que esté configurado que coincide con el primero mostrado por los comando (ifconfig o ipconfig). Esta casilla sólo es válida si se ha activado la autenticación de usuarios. Para que OPTENET pueda realizar autenticación de usuarios LDAP el servidor donde se está ejecutando OPTENET debe ser accesible desde todos los puestos de la Intranet (bien directamente o bien a través del proxy), en concreto el puerto donde se redirigirán las peticiones de autenticación. En esta opción puede escribir la IP "visible" de toda la Intranet de ese equipo, o el nombre "visible" de ese equipo desde toda la Intranet. Tenga en cuenta que es posible que tenga que añadir dicho nombre de equipo a su servidor DNS para que las peticiones de autenticación sean resueltas. 5.4.4. Puerto En este puerto se queda escuchando el servidor de autenticación de OPTENET. Una vez cambiado el valor de este puerto debe reiniciar OPTENET para que dicho cambio tenga efecto. Su valor por defecto es 10238. Esta casilla sólo es válida si se ha activado la autenticación de usuarios. 54 5.4.5. Intervalo de petición de la autenticación Es el tiempo indicado en segundos durante el cual OPTENET considera válidas las asociaciones que establece entre IPs y usuarios. Transcurrido dicho tiempo en segundos OPTENET intentará otra vez resolver el usuario como se indica en el tercer punto del proceso de autenticación explicado anteriormente. Este tiempo indica los segundos durante los cuales OPTENET considera válidos la asociación de un usuario con sus grupos. Transcurrido dicho tiempo cuando reciba la próxima petición de navegación de ese usuario OPTENET volverá a consultar los grupos de dicho usuario. 5.4.6. Realizar búsqueda del DN asociado al nombre de usuario Para autenticarse, el usuario debe suministrar un nombre de usuario y una clave para contrastar su identidad contra la base de datos de usuarios LDAP. Esta opción sirve para definir el modo de comprobación que realizará OPTENET con ese nombre de usuario y esa clave. Si la opción está habilitada, OPTENET realizará una búsqueda en la base de datos LDAP para recuperar el DN del registro que está asociado al nombre de usuario introducido por el mismo. Una vez recuperado el DN, OPTENET intentará validar dicho DN junto con la clave solicitada por el usuario. Si la opción está deshabilitada, OPTENET no buscará en la base de datos para conseguir el DN, sino que construirá el DN directamente a partir del nombre de usuario introducido por el cliente. Para ello, concatenará el campo “nombre d eusuario” configurado en el servidor LDAP con el valor introducido por el usuario y con la base del servidor LDAP. A continuación intentará la validación con el DN construido y la clave suministrada por el usuario, como en el caso anterior. La diferencia sustancial es que en el primer caso nos garantiza que el DN que utilizaremos es el adecuado, por lo que hace que la configuración sea flexible para cualquier base de datos LDAP. Por el contrario, esta opción consume un mayor tiempo de resolución, ya que se precisa una consulta previa sobre la base de datos. El segundo de ellos no nos garantiza que las búsquedas se realicen correctamente y solo es válido para estructuras LDAP rígidas, en las cuales todos los DN del mismo están formados pro el campo nombre de usuario y la base LDAP. Por ello, esta opción por defecto está habilitada. 5.4.7. Utilizar certificados de cliente Como hemos comentado anteriormente, es posible que OPTENET obtenga las credenciales de autenticación a partir de los datos de un certificado de cliente. Para ello debemos habilitar esta opción. Al hacerlo, el servidor de autenticación propio de OPTENET se convierte en un servidor seguro, al que habrá que acceder a través del protocolo https en vez del protocolo http. A partir de ese momento, la transmisión de datos entre OPTENET y el usuario se hará de forma segura, mediante el protocolo SSL. Aprovechando la posibilidad que ofrecen las comunicaciones SSL de enviar certificados de cliente, OPTENET solicita a los usuarios un certificado digital que contenga sus credenciales. Una vez recibido, OPTENET podrá validar la identidad de dicho usuario 55 utilizando la información contenida en el certificado, sin necesidad de que el usuario introduzca su nombre de acceso y su clave. 5.4.8. Campo LDAP para comprobar el certificado de cliente Para comprobar que un certificado digital proporcionado por un usuario coincide con alguno de los contenidos en la base de datos LDAP que hemos definido como origen de datos, OPTENET debe consultarlo a la base de datos LDAP. Para ello, OPTENET obtiene la huella digital del certificado del cliente y la compara con los valores del campo LDAP que definimos en este apartado. Si la consulta da un resultado negativo, bien porque no existe el campo configurado o porque no existe ningún usuario que tenga asociada la información del certificado digital, OPTENET dará al usuario la posibilidad de autenticarse introduciendo un nombre de usuario y una clave. 5.4.9. Activar consulta alias de usuario (LDAP) Cuando se funciona con ICAP o con ISA Server, habilitando esta opción OPTENET puede trabajar con un identificador de usuario LDAP que no sea el "Distinguished name". Sea cual sea el identificador de usuario que haya configurado en LDAP, OPTENET recibe del Appliance o el ISA el "Distinguished name" en la petición como identificador de usuario. Para solucionarlo OPTENET debe realizar una consulta para obtener el identificador de usuario configurado en LDAP y que corresponde al "Distinguished name" recibido. Por defecto esta opción se encuentra deshabilitada. Una vez habilitada esta opción se debe configurar la cache usuario-alias (apartado siguiente del presente manual) y se debe establecer el campo criterio de filtrado para cada servidor LDAP que se haya definido en la administración de OPTENET. 5.4.10. Tiempo de vida de la asociación usuario-alias Para evitar saturar los servidores LDAP haciendo una consulta por cada petición ICAP, OPTENET mantiene una cache interna que asocia un "Distinguished name" con el identificador de usuario configurado en LDAP. De esta forma la consulta LDAP se realiza únicamente la primera vez y luego se utiliza el valor almacenado en la caché. Dicha caché tiene un tiempo máximo de permanencia pasado el cual sus entradas caducan debiendo volverse a realizar la consulta LDAP. En esta casilla se debe introducir dicho tiempo máximo de permanencia en segundos. 5.5. Categorías OPTENET Server le permite crear y gestionar sus propias categorías. Para ello basta con indicar el nombre y los tipos de la categoría que quiera crear y tras un corto intervalo de tiempo la categoría estará disponible en todo el filtro. Los tipos posibles son: - content: categoría de contenido. Este tipo de categorías se tratarán como las categorías que por defecto incluye el filtro, es decir las categorías creadas por OPTENET. Una vez creada la categoría podrá añadir URLs a la misma en el apartado “Clasificación URLs” y posteriormente podrá utilizar esta categoría desde el apartado de reglas de filtrado. 56 - white: categoría blanca. En las categorías del tipo white, se podrán incluir URLs que nunca serán filtradas por pertenecer a alguna categoría. Puede haber casos en los que una URL pertenezca a más de una categoría, por ejemplo una pagina de prensa económica pertenecerá a la categoría “prensa” y a la categoría “economía” y por lo tanto podrá ser bloqueada en diferentes configuraciones de filtrado. Incluyendo la URL en el tipo categoría “white”, no se filtrara en ningún caso.Las categorías blancas son útiles para asegurarnos que las urls que insertemos no sean clasificadas por ninguna otra categoría. Una vez creada la categoría podrá añadir URLs a la misma en el apartado “Clasificación URLs”. - black: categoría negra. Las categorías del tipo black sirven para insertar URLs que deseamos que sean clasificadas como pertenecientes a todas las categorías de contenido existentes. Una vez creada la categoría podrá añadir URLs a la misma en el apartado “Clasificación URLs”. - search: categoría buscadores. OPTENET suministra esta categoría con la lista de buscadores. Adicionalmente se podrán incluir URLs que serán tratadas como buscadores. La diferencia para las URLs incluidas en este tipo de categorías será, que cuando OPTENET Server las analiza no se utilizara el análisis semántico, pero si el análisis de URL. Esto mejora la eficacia a la hora de permitir o denegar contenidos buscados por el usuario. Una vez creada la categoría podrá añadir URLs a la misma en el apartado “Clasificación URLs”. - redirect: categoría redirectores. OPTENET suministra esta categoría con la lista de redirectores, anonimizadores, etc. Adicionalmente se podrán incluir URLs para las cuales se prestará especial atención a funciones típicas de redirectores. La característica especial de estos tipos de categorías es que cuando OPTENET Server analiza las URLs que tienen incluidas además se hace una búsqueda especial en la url intentando extraer URLs contenidas en la misma, para luego buscar las categorías de estas URLs insertadas. Una vez creada la categoría podrá añadir URLs a la misma en el apartado “Clasificación URLs”. Tenga en cuenta que no se puede añadir una categoría con un nombre que ya exista de antes, así como borrar una categoría que no se haya añadido anteriormente. Por otro lado, entre las categorías preestablecidas del filtro y las añadidas por el administrador no se pueden tener más de 128 categorías en total. 57 El proceso de borrado de una categoría es costoso en tiempo y recursos en el servidor dónde está instalado OPTENET Server, pudiéndole llevar varios segundos. 5.6. Clasificación URLs En esta opción podremos añadir URLs a las diferentes categorías indicando si esa URL pertenece a una categoría o si no pertenece. Esta opción es muy útil a la hora de desbloquear URLs que OPTENET asocia a una determinada categoría pero que el administrador no considera que deban pertenecer a dicha categoría. Junto al nombre de cada categoría se muestra el tipo de la misma: • C: categoría de contenido. • W: categoría blanca. • B: categoría negra. • S: categoría buscadores. • R: categoría redirectores. 58 59 Desde esta pantalla podemos insertar una URL en varias categorías a la vez, esto puede suceder dado que las categorías no son conjuntos excluyentes. Por ejemplo, la prensa deportiva está categorizada a la vez como prensa y como deportes. La precedencia de estas listas de usuario es mayor que las listas predefinidas por OPTENET, esto permite desbloquear URLs que OPTENET filtre, o bloquear URLs que OPTENET no bloquea. Es posible indicar que una única página pertenece o no pertenece a una categoría introduciendo la URL completa, por ejemplo, http://www.dangerousplace.com/index.htm o por el contrario indicar que todo un sitio web pertenece o no a una categoría indicándolo con un * al final, por ejemplo, http://www.dangerousplace.com/* También es posible utilizar el asterisco como comodín al principio y en medio de la URL. De esta forma podemos indicar que todos los host pertenecientes a una organización pertenecen a una determinada categoría, por ejemplo, http://*.dangerousplace.com* Pulsando sobre el icono que hay a la derecha de cada categoría podemos editar la lista de las URLs que hemos ido añadiendo a esta categoría. Esta lista se presenta ordenada alfabéticamente para una mayor facilidad a la hora de localizar elementos concretos. En el caso de categorías de tipo redirector también permite añadir patrones de extracción de URLs, por ejemplo, http://www.google.com/search?q=cache:*:#+ donde la '#' indica el punto donde aparecerá la URL a la que se redirige. También se puede utilizar el comodín asterisco en URL pertenecientes categorías de tipo redirector. Es importante volver a recordar que OPTENET funciona internamente con URLs sin protocolo (http, https, …). Por ello al introducir http://www.sitioentero.com en pornografía se van a categorizar en pornografía las siguientes urls: http://www.sitioentero.com https://www.sitioentero.com ftp://www.sitioentero.com Desde la siguiente pantalla podemos añadir nuevas URLs a la lista de las que pertenecen a una categoría, eliminar alguna si la hemos introducido por error , o eliminar todas las URLs introducidas en esa categoría. También se pueden editar las listas de las URLs que no pertenecen a una categoría. 60 Además, en esta pantalla se ofrece la posibilidad de consultar a que categorías pertenece una determinada URL. Esta funcionalidad es muy útil para evitar inserciones de URLs en una determinada categoría cuando ya pertenecen a la misma. Para ello, el usuario debe introducir la URL en el cuadro de texto y pulsar el botón “Consultar”. En ese momento, debajo del cuadro de texto, aparecerá la lista de categorías a las que pertenece dicha URL. Si no pertenece a ninguna categoría, aparecerá el mensaje “No pertenece a ninguna categoría“. 61 5.7. Reglas de Filtrado Con las reglas de filtrado podemos personalizar cómodamente OPTENET Server para adaptarlo a las necesidades de nuestra red. En esta opción podrá definir esas reglas y todos su criterios: Grupos de IPs, Usuarios, Grupos de Usuarios, Categorías, URLs, Ficheros y Horarios. Debemos tener en cuenta que en el caso de conflicto entre reglas se tiene en cuenta su precedencia. Es decir, si al analizar si una petición debe bloquearse o no, a esa petición se le pueda aplicar más de una regla (porque ese usuario está incluido en más de una regla) la que decide es la que antes aparezca en el orden de precedencia. Una vez seleccionada la opción de Reglas de Filtrado aparece la siguiente ventana donde podemos ver todas las reglas que tenemos definidas en el sistema y su orden de precedencia. Desde aquí podemos crear una nueva regla, modificar o eliminar una existente, alterar su orden de precedencia y ver un resumen de lo que contiene esa regla. Para ello sólo tenemos que seleccionar la regla que deseamos modificar y pulsar sobre el botón correspondiente. Obtenemos entonces otra ventana donde aparece el nombre de la regla seleccionada y las operaciones que podemos hacer. 62 5.7.1. Cambiar Nombre Desde esta opción podremos cambiar el nombre a la regla. Por defecto, cuando se crea una regla nueva, aparece con el nombre Rnúmero. Desde aquí podremos darle un nombre significativo a esa regla. 63 5.7.2. Acción La acción indica si esa regla servirá para permitir o por el contrario para denegar los accesos a las categorías que se seleccionen en dicha regla. Esta opción se selecciona en la Ventana principal de Modificación de una Regla de Filtrado, 5.7.3. Categorías En esta opción podrá seleccionar las categorías de contenidos a las que se aplica dicha regla. Sólo se mostrarán aquellas categorías que entre sus tipos incluyan la de contenido. Es posible también crear reglas que se aplican sobre todas aquellas peticiones que el sistema de filtrado no es capaz de categorizar, ya que la URL solicitada no pertenece a ninguna de las categorías soportadas por la herramienta. Para ello, el usuario solo debe marcar la opción “Aplicar sobre peticiones no categorizadas (resto)”. Esta opción puede marcar simultáneamente junto con otras categorías. Así por ejemplo, si se marca esta opción y la categoría pornografía, la regla se aplicará sobre todas las peticiones pertenecientes a la categoría pornografía y además sobre todas las que no tengan ninguna categoría asociada. 64 5.7.4. Ficheros En este apartado podrá seleccionar los tipos de Ficheros a los que debe aplicarse la Regla, si no selecciona ninguno la regla no los tendrá en cuenta. OPTENET identifica los tipos de archivos mostrados en la columna de la izquierda (avi, exe, mp3, mpeg, zip) haciendo un análisis del contenido del fichero, siendo capaz de detectar la multitud de archivos renombrados que existen en Internet con el fin de evitar el filtrado por extensión. Esta característica que le diferencia de otros sistemas de filtrado es capaz de implementarla porque también analiza el contenido del fichero descargado de la red. Además de estos tipos de archivos también es posible incluir otros diferentes escribiendo su extensión en el cuadro de texto "no incluidos" y pulsando el botón ">>". Estos tipos de archivos se filtrarán únicamente extrayendo la extensión del archivo que está siendo descargado. 5.7.5. IPs En esta opción podemos definir grupos de IPs clientes sobre los que va a actuar la regla seleccionada. 65 Para ello debemos tener en cuenta lo siguiente: si no indicamos ninguna IP, entonces esta regla actuará sobre todas las peticiones que le lleguen desde cualquier IP. En el caso de indicar alguna dirección entonces la regla se aplica únicamente a las peticiones que le lleguen de esa o esas IPs clientes, para el resto de las peticiones se consideran que no es aplicable esta regla. Es posible indicar IPs sueltas, introduciendo únicamente la IP en el campo Desde: o bien indicar rangos de IPs, introduciendo la IP inicial en el campo Desde: y la IP final en el campo Hasta: 5.7.6. Usuarios En esta opción, podrá añadir y borrar Usuarios a los que se aplicará dicha regla. 66 Para poder establecer reglas por usuarios deberá configurar su proxy o appliance para que realice autenticación de usuarios o bien forzar que sea el propio OPTENET quien realice la autenticación, activando en el apartado configuración la opción "activar autenticación". Para que aparezcan en la lista de no incluidos los usuarios de su servidor LDAP, Domino Windows NT, OPTENET Proxy o NCSA de SQUID deberá previamente tener configurado dicho servidor desde la opción "autenticación". Pulsando el botón refrescar aparecerán todos los usuarios. Si no apareciese ninguno en el syslog del sistema (fichero /var/log/messages en Guadalinex o /var/adm/messages en Solaris o AIX) o bien en el visor de eventos en sistemas Windows aparecerá la causa por la que no se pudieron obtener los usuarios de dicho servidor. Al igual que sucede con las IPs, si no indicamos ningún usuario, esta regla se aplicará a todos, pero si indicamos alguno, la regla se aplicará sólo a los usuarios seleccionados. 5.7.7. Grupos de usuarios En esta opción, podrá añadir y borrar Grupos de usuarios a los que se aplicará dicha regla. Para que aparezcan en la lista de no incluidos los grupos de un determinado servidor LDAP o de un Dominio Windows previamente deberá tener configurado dicho servidor desde la opción "autenticación" y pulsar el botón refrescar. Si en una regla se indican usuarios de forma individual y además grupos de usuarios, esa regla se aplicará a un usuario si ese usuario está en la lista de los usuarios introducidos en la regla o si alguno de los grupos a los que pertenece ese usuario está en la lista de grupos a los que se debe aplicar dicha regla. Tenga en cuenta lo explicado en el apartado “5.4 Autenticación de usuarios” si desea asociar grupos de usuarios a las reglas de filtrado. 67 5.7.8. Tiempo máximo de navegación En esta opción, podrá incluir en la regla seleccionada, el número de horas máximas al día, que permite la navegación por Internet a los usuarios, IPs o grupos de usuarios definidos en dicha regla. Asimismo podrá cancelar esta opción pulsando el botón Borrar. 68 5.7.9. Horarios En esta opción, podrá añadir, borrar y modificar días de la semana e intervalos de horas en los que desea que se aplique dicha regla. Fuera de los intervalos indicados dicha regla no tendrá efecto. Si no se indica ningún intervalo dicha regla será efectiva las 24 horas del día los 7 días de la semana. 5.7.10. URLs Yes En esta opción, podrá añadir, borrar y modificar URLs Yes como criterio de una regla. La lista Yes contiene los URLs a los que se debe aplicar la regla, con independencia de su categoría y tipo de archivo por lo que si el resto de características se cumple (día y hora y usuario, grupo o IP) la regla cumplirá con su acción. Si la acción de la regla es permitir entonces estas URLs se permitirán explícitamente, si por el contrario la acción de la regla es denegar entonces estas URLs se bloquearán. Es posible indicar todo un sitio completo con un * al final. También es posible utilizar el asterisco como comodín al principio y en medio de la URL. 69 5.7.11. URLs Not En esta opción, podrá añadir, borrar y modificar URLs Not como criterio de una regla. La lista Not contiene los URLs a los que nunca se debe aplicar la regla, es decir las excepciones de la regla. Es posible indicar todo un sitio completo con un * al final. También es posible utilizar el asterisco como comodín al principio y en medio de la URL. 70 5.7.12. Ejemplo de utilización de reglas Veamos por medio de sencillos ejemplos su funcionamiento. Por defecto, con la instalación de OPTENET sólo existe una única regla, DenyPorn que bloquea los accesos a sitios con contenido pornográfico. Veamos cómo está configurada esta regla. En la opción de categorías esta regla tiene señaladas las categorías básicas de filtrado: pornografía, racismo, violencia, sectas, drogas y construcción de explosivos es decir, esta regla inhibe estas cinco categorías. ¿A quién se inhibe estos contenidos? Si miramos los usuarios, vemos que no hay usuarios definidos por lo que afecta a todos, lo mismo sucede con los grupos de usuarios. ¿A qué equipos? Tampoco hay direcciones IPs definidas por lo que esta regla es aplicable a todos, ¿en qué horarios? como no hay ninguno especificado es aplicable en todas las horas del día. ¿Hay alguna excepción a esa regla? Vemos que ni en la lista URL Yes (URL que directamente cumplen esta regla) ni en la lista URL NOT (URLs que nunca cumplen esta regla) aparece ninguna dirección, es decir, no hay excepciones a esta regla. Resumiendo, por defecto al instalar el filtro se bloquea el acceso a dichos contenidos a todos los usuarios y equipos que naveguen a través del proxy. 5.7.12.1. Regla para el jefe Imaginemos que ahora el jefe nos exige un acceso sin filtro. Esto significa que el jefe no debe ser afectado por ninguna regla de filtrado. La solución es fácil, crearemos una regla para el jefe, donde en los usuarios incluimos el usuario con el que se autentica el jefe, o si no hay autenticación de usuarios en la parte de IPs incluiremos la de su equipo. A continuación marcamos la acción de la regla como “Permitir” y no seleccionamos ninguna categoría. Es decir, hemos creado una regla que sólo se aplica al jefe que sirve para permitir, ¿el qué? cómo no hemos elegido ninguna categoría ni tipo de archivo permitirá todo ¿cuándo? cómo no hemos seleccionado ningún horario ni día permitirá siempre. Falta un detalle, debemos colocar esta regla como la más prioritaria. De esta forma cuando el jefe navegue por Internet OPTENET analizará sus peticiones empezando por la regla más prioritaria, verá que dichas peticiones cumplen esa regla y permitirá el acceso a todos los contenidos. 5.7.12.2. Regla para bloquear prensa y deportes en horario laboral Otro ejemplo: supongamos que ahora queremos bloquear que en horario laboral (de 9 a 14 y de 16 a 19) de lunes a viernes, se acceda a contenidos de deportes y de prensa. Fácil: creamos una nueva regla llamada PrensaEnTrabajo y seleccionamos que su horario sea de 9 a 14 y de 16 a 19 de lunes a viernes. Las categorías que filtra esa regla son Prensa y Deportes. ¿En qué posición la debemos colocar? Debemos pensar cuál de las tres reglas que tenemos hasta este momento es la más general y ponerla al final, e ir subiendo en la jerarquía hasta la más específica. De esta forma la más general es DenyPorn, que inhibe pornografía luego vendría PrensaEnTrabajo, y luego la del jefe. ¿Podríamos haber incluido en la regla DenyPorn también las categorías Prensa y Deportes y haber marcado como horario el laboral?. La respuesta es no. Si no creamos una nueva regla y en su lugar modificamos DenyPorn añadiendo más categorías y 71 modificando su horario estamos haciendo que fuera de dicho horario (a partir de las 19) se pueda acceder también a contenidos pornográficos. 5.8. Actualizaciones OPTENET Server se conecta de forma continua a los diferentes servidores de actualizaciones para ir completando su base de datos de URLs de forma incremental y de esta forma poder filtrar las nuevas direcciones categorizadas de Internet que van surgiendo día a día. Todas estas nuevas URLs son almacenadas en memoria para un eficiente funcionamiento y deberán ser guardadas en disco cada cierto tiempo. Desde esta opción podemos configurar los siguientes parámetros: 5.8.1. A través de proxy Seleccione esta opción si el servidor dónde está instalado OPTENET no puede acceder directamente a Internet y necesita salir a través de un proxy. Indique la dirección IP del proxy (o bien su nombre) y el puerto. Asegúrese de que dicho proxy no solicite autenticación para las peticiones de OPTENET. 5.8.2. Frecuencia de actualizaciones OPTENET solicita las nuevas URLs que se van categorizando de forma incremental y trozos de varios Kbytes para no saturar el tráfico de la red. El tiempo entre actualizaciones indica los segundos que OPTENET espera entre dos actualizaciones consecutivas suponiendo que tenga nuevas URLs para actualizarse. El tiempo entre chequeos indica los segundos que OPTENET espera cuando está completamente actualizado antes de realizar el nuevo chequeo. 72 Los valores por defecto (30 y 300 segundos) están pensados para que los desbloqueos que pueden ser solicitados desde la página de bloqueo lleguen al filtro en un corto periodo de tiempo. 5.8.3. Consolidación a disco Las nuevas direcciones que va recibiendo el filtro son almacenadas en memoria por razones de eficiencia y son guardas en disco en el proceso de consolidación. Dicho proceso puede ser programado de forma diaria, semanal o mensual indicando el intervalo de hora de comienzo. OPTENET recomienda una actualización diaria a disco coincidiendo con los periodos de actividad más bajos en la red, que normalmente se dan durante la noche. 5.8.4. Recarga absoluta de listas Es posible realizar una recarga completa de listas en el instante actual con solo pulsar sobre el botón “Recarga ahora” situado en la parte inferior de la ventana. Una vez lanzado el proceso de recarga podrá seguir la evolución de la recarga desde el apartado "Información del sistema", donde se indicarán los bytes descargados así como los totales y el resultado de la recarga. 5.9. Informes Al pulsar sobre esta opción se abre otra ventana de navegación que se conecta contra OPTENET Reporter. OPTENET Reporter es la herramienta que le permite sacar informes del uso de Internet. Por defecto se puede instalar con OPTENET Server ya que se distribuye de manera conjunta. Si cuando pulsa sobre esta opción OPTENET Reporter no está ejecutándose aparece un mensaje indicando que no es posible contactar con la herramienta de informes. Por favor, asegúrese de que OPTENET Reporter está en ejecución y que está instalado en la IP de la máquina y escuchando en el puerto indicando. Por defecto, OPTENET Server intenta contactar con un OPTENET Reporter instalado en su misma servidor. Una vez haya arrancado OPTENET Reporter y se haya asegurado de que está bien configurada su IP y puerto de administración en este apartado de OPTENET Server 73 vuelva a pulsar sobre la opción "Informes" y se abrirá en una nueva ventana de navegación la administración de OPTENET Reporter. Se recomienda leer el manual de usuario de OPTENET Reporter para obtener más información. 74 5.10. Identificación Administrador OPTENET Server establece varios niveles de administración como se muestra en la tabla adjunta: Introducción Documentación Configuración Autenticación Activar autenticación Tipo de autenticación Categorías Clasificación URLs Ver Añadir Quitar Reglas de filtrado Borrar Añadir Modificar Modificar URLs y categorías asociadas a una regla Actualizaciones Informes Bloquear Administrador Administradores Administradores Locales Administradores de categorías y URLs Operadores Informes Gestion en cluster Licencia Información del sistema Obtención de logs para el reporter Administrador Local Administrador X X X X X X X Categorias y Reports URLs operator Administrador X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Por defecto en la instalación existe un usuario de cada perfil y sólo está activado el nivel “Administrator”. El primero tiene control total sobre el filtro pudiendo realizar todas las operaciones de administración. Por defecto, el nombre del usuario de administración es optenet y la contraseña 12345678. Estos valores pueden ser cambiados desde la administración WWW mediante el botón Administrador del menú. Se recomienda cambiar su usuario de administración nada más instalar OPTENET Server. 75 Se pueden modificar los datos de los usuarios existentes por defecto en la instalación para cada perfil y añadir nuevos usuarios o borrar los que se deseen. Para ello al pulsar Administrador, se muestra la lista con todos los usuarios agrupados por perfil. Habrá que seleccionar el usuario para borrar o modificar y pulsar el botón correspondiente, o simplemente pulsar el botón “Nuevo” si se desea crear un nuevo usuario. Para activar los otros niveles de actualización deberá pulsar el botón asociado al nivel deseado en la siguiente pantalla, activar la opción “activar perfil”, introducir el nombre de usuario, la clave y pulsar el botón aceptar como muestra la siguiente figura: Merece mención especial el perfil Reports Operator OPTENET server guarda en sus logs todas las peticiones de Internet que analiza y aquellas que ha bloqueado. Si desea sacar informes de estos logs deberá instalar OPTENET Reporter en el mismo servidor u otro diferente. Seguidamente deberá configurar OPTENET Reporter indicándole dónde está OPTENET Server para que el Reporter consiga los logs y posteriormente pueda sacar informes. Para que no que el Reporter pueda solicitar al filtro los logs se debe identificar con un usuario y una clave válidos. Dicho usuario con dicha clave debe estar definido dentro del perfil Reports Operator del filtro y además estar activo. 5.11. Configuración avanzada Desde esta pantalla el administrador será capaz de realizar una serie de acciones de carácter avanzado, para personalizar de manera más especifica sus características de filtrado. Entre estas opciones podrá: • • • Configurar bloqueos por intentos repetidos. Configurar filtrado de servicios de mensajeria instantanea Skype. Volcar los logs de navegación que está generando OPTENET. 76 5.11.1. Configuración de bloqueos por intentos repetidos Con esta característica se puede bloquear el acceso a Internet completamente a un usuario que durante un determinado periodo de tiempo ha intentado acceder a más de un determinado número de sitios no permitidos. Se pretende con esta funcionalidad poder penalizar a los usuarios que intentan acceder a páginas no permitidas. Por defecto, la opción viene desactivada, para activarla simplemente hay que seleccionar si los usuarios se identificar por nombre (usuario autenticándose) o por IP, el tiempo que se les bloqueará como penalización y el número de bloqueos que se les permite tener en un determinado periodo de tiempo. Además en el caso de bloqueo se puede configurar la página de bloqueo que se le debe mostrar y la posibilidad de enviar un mail al administrador del sistema notificando esta situación. Si queremos desbloquear a alguna persona que ha sido bloqueada por esta causa, lo podemos hacer desde la siguiente pantalla que aparece al pulsar el botón Desbloquear. 77 Dicha pantalla muestra una lista con todos los usuarios bloqueados actualmente. Puede desbloquear un usuario en concreto seleccionándolo y pulsando el botón ‘Desbloquear’. También puede desbloquear todos los usuarios clickando únicamente el botón ‘Desbloquear todos’. 5.11.2. Detección de Skype Skype es una conocida aplicación de mensajería instantánea, que permite a sus usuarios hacer llamadas telefónicas vía Internet, establecimiento de comunicaciones vía Chat, envío de ficheros, etc. Lo más peculiar de esta aplicación es que no utiliza una serie de puertos predefinidos para establecer las comunicaciones entre los diferentes usuarios, sino que en caso de que los puertos por defecto no estén disponibles, las comunicaciones se realizan a través de los puertos destinados a las comunicaciones HTTP (80) y HTTPS (443). Esto da la posibilidad a los usuarios de Skype de evitar las posibles limitaciones introducidas en los cortafuegos, ya que estos funcionan cortando las comunicaciones que salen o entran a determinados puertos. Por lo tanto, cortar el acceso a dichos puertos no basta para impedir que los usuarios de nuestra organización no puedan utilizar el servicio Skype. Además de esto, Skype cifra con un algoritmo propietario absolutamente todo lo que transmite antes de lanzarlo a Internet, lo que hace que sea aún más difícil identificar los paquetes de datos que provienen de clientes Skype. Optenet utiliza para la detección de posibles comunicaciones Skype un análisis de la comunicación, de modo que se analizan todos los paquetes sospechosos de contener mensajes Skype, determinando si un determinado nodo utiliza los puertos HTTP o HTTPS para comunicaciones de ese tipo. Cuando acceda a la configuración de detección Skype, aparecerá una pantalla como la siguiente: 78 Veamos cada una de las opciones disponibles en la misma. 5.11.2.1. Activar detección Skype Por defecto, la opción de detección de Skype está deshabilitada. Para activarla, simplemente debe marcar la opción correspondiente. El resto de parámetros de configuración solo tendrán efecto si esta opción está habilitada. Además, la opción de detección Skype, actualmente solo está disponible para integraciones con sistemas ICAP. Número máximo de conexiones simultáneas Para realizar la detección de tráfico Skype, OPTENET analiza los mensajes sospechosos de pertenecer a comunicaciones SKype. Durante el análisis,,el hilo ICAP que está gestionando la petición queda ocupado. Con la definición de este parámetro podemos limitar el número de hilos ICAP simultáneos que vamos a utilizar para la detección Skype, de forma que podemos siempre dejar algunos hilos reservados para la navegación tradicional. La correcta definición de este parámetro es muy importante ya que los clientes Skype tradicionales, al conectarse, realizan múltiples peticiones en paralelo contra múltiples posibles servidores Skype. Si dejáramos que las detecciones Skype consumieran todas las conexiones ICAP disponibles, nos quedaríamos sin servicio WWW durante el tiempo que duren los análisis Skype. Por lo tanto, es recomendable no asignar un valor mayor o igual al 50% del total de hilos ICAP habilitados. Tiempo de vida de los nodos detectados como Skype Cuando un nodo es detectado como Skype por OPTENET; este nodo se guarda en una caché interna para evitar que futuras peticiones a este mismo nodo sean nuevamente analizadas. Las entradas de dicha caché tienen un determinado tiempo de vida que se define en este aparatado. El tiempo de vida mínimo de una entrada en esta caché es de 3600 segundos. 79 Es posible que deseemos que las entradas de la caché no caduquen nunca. Para ello, debemos introducir el valor cero en la casilla correspondiente. De esta manera las entradas estarán en la caché y se aplicarán permanentemente. Timeout de las conexiones de detección Skype Para realizar la detección Skype se llevan a cabo una serie de conexiones contra los posibles nodos Skype. Es posible que dichas conexiones sean rechazadas, como cualquier otra conexión. El tiempo que OPTENET esperará para recibir respuesta del servidor que se desea testear se define en este apartado. Por defecto, tiene un valor de 10 segundos. Activar detección en puertos OPTENET permite determinar sobre que puertos se quiere llevar a cabo el testeo de patrones Skype. Es posible activar la detección sobre los puertos 80 y 443 de manera independiente. De esta forma, un usuario podrá decidir testear las comunicaciones que se dirijan al puerto 80 únicamente, las que lo hagan al puerto 443, o las que lo hagan contra ambos. Si la detección de Skype está activada, es obligatorio que al menos uno de los puertos esté activado. Aún así, se recomienda que la detección se haga contra los dos puertos, ya que los clientes Skype usan indiferentemente uno u otro para encapsular sus comunicaciones. 5.11.2.2. Políticas de funcionamiento OPTNET permite al administrador definir las diferentes políticas de funcionamiento, dándole la opción de decidir que hacer en ciertos casos que pueden darse durante la detección SKype. Las políticas que puede definir el administrador son: • • • • Bloquear aquellas peticiones que no puedan ser analizadas por haber alcanzado el número máximo de conexiones simultáneas: Cuando una petición que es candidata de contener tráfico Skype no puede ser analizada porque todos los hilos destinados a la detección están ocupados, el administrador puede definir si quiere bloquear la petición o dejarla pasar. En este caso, haga lo que se haga, nunca se incluirá en la caché interna, por lo que si llega una nueva petición idéntica y hay hilos disponibles, será analizada. Por defecto está activada. Bloquear las nuevas peticiones dirigidas a sitios que están siendo analizados actualmente: Cuando llega una petición a un nodo que ya está siendo analizado, esta nueva petición puede ser nuevamente analizada o se puede bloquear momentáneamente. Por defecto, estas peticiones se bloquean, ya que así no se saturan los hilos de detección rápidamente. Bloquear aquellas peticiones que puedan ser comprobadas por haber agotado el timeout de la conexión: Cuando se está analizando una petición a un nodo sospechoso de ser Skype, es posible que este nodo no conteste en el tiempo definido por le administrador. Si este tiempo de conexión se agota, el administrador puede decidir bloquear o permitir la petición. Por defecto la opción de bloqueo está activada. Incluir en la caché de Skype las entradas que hayan sido descartadas como tráfico Skype: Cuando se ha llevado a cabo una detección Skype, el análisis de puede haber determinado que dicho nodo no contiene tráfico Skype. El administrador puede decidir si estas entradas se incluyen o no en la caché interna de nodos Skype, de forma que si no los incluye, cuando llegue una nueva petición a ese nodo se volverá a analizar. Por defecto está activada. 80 5.11.2.3. Gestión de caché de detecciones Skype Además, el administrador podrá gestionar la caché de detecciones Skype. Para ello deberá pulsar sobre el botón “Ver caché”. Le aparecerá una pantalla como la siguiente: En esta pantalla podrá ver dos listas. La lista de la derecha contiene una relación de todos los nodos que han sido detectados como pertenecientes a comunicaciones Skype y que cuyo tiempo de vida aún no ha expirado. En la lista de la izquierda aparecerán aquellos nodos que hayan sido descartados como pertenecientes a comunicaciones Skype. El administrador podrá pasar nodos de una lista a otra seleccionando una entrada de una de las listas y pulsando sobre el botón correspondiente. Así mismo, podrá borrar los elementos de la lista de nodos Skype, los de la lista de nodos No Skype, así como todos las entradas de la caché. Todas estas operaciones se realizan la sesión actual de OPTENET, de modo que si se desea que los cambios realizados se mantengan entre sesiones (si reiniciamos el filtro por ejemplo), el administrador deberá pulsar sobre el botón “Salvar a disco”. Además, el administrador podrá refrescar la lista en cualquier momento, ya que está pode cambiar dinámicamente si la detección está habilitada. 5.11.3. Volcado de logs OPTENET no escribe las entradas de los logs de navegación que va generando directamente sobre el disco, sino que va almacenando internamente dichas entradas para escribirlas en una sola acción. Esto hace que el proceso de escritura de logs sea más eficiente. Cuando el tamaño del espacio de almacenamiento temporal se termina o cuando pasa un intervalo de tiempo sin haber realizado ninguna escritura en disco, OPTENET vuelca los datos almacenados automáticamente. 81 Con esta opción, el administrador podrá provocar un volcado inmediato de las entradas que estén pendientes de escritura. 5.12. Gestión en cluster Esta versión de OPTENET Server permite manejar múltiples instancias* de OPTENET Server desde un único servidor WWW. Esta forma de trabajar se denomina ‘Gestión en cluster’. Una vez se hayan definido las instancias de OPTENET Server tal y como se describe en los siguientes apartados, cada cambio que se aplique a OPTENET Server, se replicará a todas las instancias automáticamente. Si OPTENET Server no puede conectar con una o varias de las instancias, entonces se mostrará el siguiente mensaje de alerta con la lista de instancias en las que no se ha podido aplicar el cambio. *Se entiende por instancia una instalación de OPTENET Server ejecutándose en una máquina. 5.12.1. Activar/Desactivar gestión en cluster El elemento más importante para trabajar en cluster, es el icono situado en la parte inferior izquierda de la pantalla y que sirve para activar o desactivar la gestión en cluster. 82 Cuando está desactivado, se trabaja de manera convencional, es decir, se maneja un único OPTENET Server y los cambios se aplican únicamente a esa instalación que se está administrando. Cuando se activa, todos los cambios que se realicen en la configuración de este filtro se replican a todas las instalaciones de OPTENET Server que estén configuradas dentro de la Gestión en cluster. Si nos encontramos en la opción de configuración o en la de actualizaciones, entonces se nos mostrará un mensaje indicando que los cambios se aplicarán a todas las instalaciones de OPTENET Server. En el resto de opciones los cambios se aplicarán sin mostrar mensaje alguno. Al activar la gestión en cluster, se muestra la pantalla en la cual se pueden editar instalaciones de OPTENET Server. Además el botón ‘Gestión en cluster’ es habilitado, y el icono que muestra el modo de trabajo (activado, desactivado) se actualiza. Al desactivar la gestión en cluster, se muestra la siguiente pantalla indicando que el modo de trabajo es el tradicional, y que los cambios sólo se aplican a un único OPTENET Server. El botón ‘Gestión en cluster’ y el icono se han actualizado nuevamente. 83 5.12.2. Clusters Bajo esta etiqueta, se encuentran los botones para editar clusters y en todo momento se muestra una lista actualizada con los clusters creados. Para todas las operaciones salvo ‘Insertar’ es necesario seleccionar previamente el cluster. 5.12.2.1. Nuevo Para insertar un nuevo cluster se muestra la siguiente ventana. Basta con introducir el nombre y automáticamente el cluster se mostrará en la lista. 5.12.2.2. Modificar Permite editar el nombre de un cluster. Se muestra la misma ventana que en la operación anterior pero con el nombre del cluster en la caja de texto. 84 5.12.2.3. Borrar Elimina de manera permanente el cluster seleccionado de la lista de clusters. 5.12.2.4. Conectar Establece conexiones a todos los servidores del cluster seleccionado y muestra la ventana de informe del apartado siguiente. 5.12.2.5. Informe Muestra el resultado de las conexiones realizadas a los servidores en la siguiente ventana. Los campos de la tabla son: IP/URL: IP de la instancia de OPTENET Server. Servidor: Nombre del servidor. Tipo: Tipo de OPTENET Server. Puerto: Puerto en el que escucha la instancia de OPTENET Server. Objeto: La petición que se hace a la instancia de OPTENET Server. Estado: ‘HTTP_OK’ (OPTENET Server está ejecutándose) ‘HTTP_ERROR’ (OPTENET Server no está ejecutándose o los parámetros introducidos son incorrectos) 5.12.3. Servidores Bajo esta etiqueta, se encuentran los botones para editar servidores. Se muestra en todo momento una lista actualizada con los servidores introducidos para un cluster seleccionado. Es importante señalar que la instalación de OPTENET Server a cuya administración WWW estemos conectados, NO se debe añadir a la lista de servidores, pues los cambios se le aplicarán siempre, indistintamente del modo de trabajo. 85 Para todas las operaciones es necesario seleccionar previamente el cluster. El servidor a editar pertenecerá a dicho cluster. Al seleccionar el cluster, se mostrarán todos los servidores pertenecientes al cluster. En la caja de texto, para cada servidor se muestra la siguiente información: IP – Nombre - IP:Puerto – Tipo 5.12.3.1. Nuevo Para insertar un nuevo servidor se muestra la siguiente ventana. Los parámetros para crear una nueva entrada de una instalación de OPTENET Server que deseamos controlar son los siguientes: Dir. IP: Dirección IP. Nombre: Nombre de la instancia. Puerto: Puerto de escucha. Usuario: Nombre de usuario para la identificación. Password: Password de usuario. Conexión: Tipo de conexión para manejar las demás instalaciones. ‘HTTP’ (por defecto) o ‘HTTPS’ (conexión segura). Para trabajar con conexiones seguras https, consulte antes el anexo 1 titulado ‘Administración de OPTENET Server a través de una conexión segura’, ya que en este caso el puerto que se debe introducir no es el puerto donde está escuchando OPTENET Server en la máquina remota sino el puerto en el que escucha el stunnel asociado al OPTENET Server que está introduciendo. No se debe confundir dicho stunnel con el stunnel asociado al filtro local, ya que son diferentes. Por último seleccione ‘HTTPS’ en ‘Conexión’ en lugar de ‘HTTP’. En la ventana se muestra una etiqueta que dice ‘Puerto Https’. Al insertar un servidor esta etiqueta está vacía. En posteriores apartados se verá que valores puede tomar. El nombre y el password de usuario son los mismos que se introducen a la hora de acceder a la administración WWW de OPTENET Server. 86 Es importante apuntar que al trabajar en cluster, si editamos el nombre y password del administrador introducido al definir servidor, este también se replica en todas las instalaciones. Además hay que señalar que si eliminamos el nombre y password del administrador introducido al definir servidores, estos dejarán de funcionar con la gestión en cluster. Esto se debe a que el nombre y password utilizado por la gestión en cluster para replicar un cambio a una instalación concreta, ya no existen en dicha instalación. En este caso para que la gestión en cluster vuelva a funcionar, hay que editar los parámetros del servidor e introducir el nuevo nombre y password. Otro modo de proceder consiste en editar el usuario en lugar de borrarlo y crearlo. 5.12.3.2. Modificar Se muestra la misma ventana que en la operación anterior pero con los parámetros del servidor en las cajas de texto. Si trabaja con http, vera que en la etiqueta ‘Puerto Https’, el valor que se muestra es el mismo que el introducido en ‘Puerto’. Esto es así, porque no hay un puerto asociado a conexiones https. Sin embargo si trabaja con conexiones seguras, verá que se le ha asignado un puerto. OPTENET Server ha buscado un puerto libre en el sistema y ha lanzado una instancia de stunnel en la máquina local, para poder comunicarse de forma segura. Por cada nuevo servidor creado, OPTENET Server lanzará una instancia de stunnel en su máquina local. 5.12.3.3. Borrar Elimina de manera permanente el servidor seleccionado de la lista de servidores. Si trabaja con conexiones seguras, al eliminar un servidor, se elimina la instancia de stunnel asociada a dicho servidor y que está en la máquina local. 87 5.12.3.4. Conectar Establece una conexión con el servidor seleccionado y se muestra la siguiente ventana: El resultado de la conexión puede ser: ‘Conexión Aceptada’: OPTENET Server está ejecutándose) ‘Error: Conexión no realizada’: OPTENET Server no está ejecutándose o los parámetros introducidos (usuario, password, dir. ip, ...) son incorrectos. 5.12.3.5. Informe Muestra la siguiente ventana con el resultado de la conexión realizada al servidor. Los campos de la tabla son los mismos que los de informes de cluster. 88 5.13. Licencia Si tiene un código de licencia que no ha podido registrar durante la instalación puede registrarlo en cualquier momento desde la administración web (opción Licencia). Si se ha excedido la licencia en uso, además de registrar una licencia válida deberá reiniciar el filtro para que el programa funcione correctamente. Si está usando una licencia válida y simplemente cambia a otra entonces será suficiente con introducir la nueva licencia, no hará falta reiniciar el filtro. 5.14. Información del sistema Esta pantalla muestra la información sobre el funcionamiento de OPTENET Server. A continuación describimos cada uno de los campos que aparecen en la misma. ♦ Versión: versión de OPTENET Server que está en ejecución. ♦ Identificador de ordenador: el código que identifica el ordenador de cara a los programas OPTENET. ♦ Código de licencia: el código de licencia que utiliza el programa. ♦ Estado de la licencia: indica el estado de la licencia. En el caso de que haya excedido el uso de su licencia póngase en contacto con [email protected] para su actualización. ♦ Arranque: fecha y hora en que se arrancó el filtro. ♦ Hora actual del servidor: fecha y hora del servidor dónde se ejecuta el filtro. ♦ Peticiones procesadas: indican el total de peticiones que el filtro ha recibido para su análisis. Aparecen cuatro números, el primero indica las peticiones ICAP REQMOD recibidas para el chequeo en listas, el segundo las peticiones ICAP RESPMOD recibidas para el análisis de contenido, el tercero las peticiones recibidas vía RPC (SQUID, ISA Server, OPTENET Proxy,…) y el cuarto las peticiones ICAP REQMOD_CATEGORY recibidas. 89 ♦ Peticiones bloqueadas: indican las peticiones que han sido bloqueadas, aparecen cuatro números y cuyo significado es análogo al de las peticiones procesadas. ♦ Hilos ICAP: el primer número representa los hilos del servidor ICAP que actualmente están siendo utilizados y el segundo número el total de hilos del servidor ICAP. Esto hilos incluyen todos los posibles servicios ICAP (reqmod, respmod y reqmod_category) ♦ Hilos administración: el primer número representa los hilos del servidor web que actualmente están siendo utilizados y el segundo número el total de hilos disponibles. Tenga en cuenta que si la página de stop local la sirve dicho servidor. ♦ Estado de la base de datos: Carece de significado para el usuario y pudiera ser requerido por el personal técnico de OPTENET. ♦ Servidor actual de base de datos: indica de qué servidor está actualizando la base de datos de URLs. ♦ Última conexión correcta con servidor de BD: fecha y hora de la última vez que el filtro contactó con éxito a un servidor de base de datos de URLs. ♦ Estado de la última actualización total: Indica el estado de la última recarga total de la base de datos de URLs que se lanzó desde el apartado Actualizaciones. Dependiendo de la conexión a Internet una recarga completa puede llevar entre varios segundos y varios minutos. Desde aquí puede hacer un seguimiento del progreso de la misma. ♦ Bytes recibidos/totales: muestra los bytes recibidos de la recarga total y los totales que deberá recibir además del porcentaje completado. ♦ Última actualización correcta desde que se arrancó: indica la fecha y hora de la última actualización total que se ha realizado con éxito desde que se arrancó el filtro. ♦ Hilos del servidor de logs: el primer número indica los hilos utilizados que están sirviendo logs a un OPTENET Reporter y el segundo el total de hilos disponibles. ♦ Peticiones al servidor de logs: el primer número indica el total de peticiones contestadas con éxito y el segundo las erróneas. 90 6. PROBLEMAS MÁS COMUNES En este apartado se describen los problemas más comunes y la forma de solucionarlos. 6.1. Aparece el mensaje optenet server error... cuando intento navegar Si al intentar navegar usando el filtro le aparece la siguiente pantalla: Es debido a que su licencia de OPTENET Server ha caducado. Póngase en contacto con nosotros a través: [email protected] +34 902 154 604 (España) +34 913579150 +33 (0) 1 73 03 90 60 (Francia) +44 (0) 870 099 0322 (Reino Unido) +1 305 249 7505 (Estados Unidos) para renovar o dar de alta su licencia. 6.2. No se logra arrancar el filtro Si cuando intenta arrancar el filtro éste no se logra poner en funcionamiento podemos consultar el motivo en el syslog del sistema. Para ello deberemos conectarnos como root y visualizar las últimas líneas de fichero /var/log/messages en Guadalinex o /var/adm/messages en Solaris o AIX o el visor de eventos de aplicación en sistemas Windows. OPTENET Server deja un evento informativo cada vez que es arrancado o el problema encontrado cuando no se pudo arrancar. 6.3. No aparecen los usuarios al pulsar el botón refrescar Para que aparezcan los usuarios al pulsar el botón refrescar debe estar previamente definido los servidores LDAP o los Dominios Windows de los que vamos a extraer dichos usuarios. Asegúrese de que dichos servidores estén bien definidos y que son accesibles desde el equipo donde está instalado OPTENET Server. Consulte el syslog del sistema (fichero /var/log/messages en Guadalinex o /var/log/messages en Solaris o AIX) o el visor de eventos de aplicación en sistemas Windows para ver la razón por la que OPTENET no pudo listar dichos usuarios. 91 6.4. No puedo entrar en la administración del filtro Se ha reportado que cuando Internet Explorer 6.0 está configurado en un nivel de seguridad alto es posible que al introducir el usuario y la clave, su navegador muestre una página en blanco. Para poder acceder correctamente a la administración deberá añadir a la lista de sitios de confianza de su navegador la URL donde está instalado OPTENET. Por ejemplo, si OPTENET está instalado en http://192.168.0.240 y está utilizando Internet Explorer 6.0, deberá acceder al menú Herramientas -> Opciones de Internet -> Seguridad -> Sitios de confianza y añadir la URL http://192.168.0.240. 92 6.5. DEP cierra OPTENET Server en W2003 SP1 Windows2003 SP1 distribuye la herramienta DEP. Es posible que en determinadas circunstancias DEP detenga OPTENET Server mostrando el siguiente mensaje. Para solucionar este problema haga clic en ‘Mi PC’ con el botón derecho y seleccione ‘Propiedades’. A continuación haga clic en la pestaña ‘Opciones avanzadas’ y en el grupo ‘Rendimiento’ haga clic en el botón ‘Configuración’. Por último seleccione la pestaña ‘Prevención de ejecución de datos’ y se le mostrará la siguiente pantalla: 93 Haga clic en la segunda opción; ‘Activar DEP para todos los programas y servicios excepto los seleccionados’. Por último seleccione optenet_service de la lista de servicios y programas y haga clic en ‘Aceptar’. 94 ANEXOS 95 1. ADMINISTRACIÓN DE OPTENET SERVER A TRAVÉS DE UNA CONEXIÓN SEGURA (SOLO PLATAFORMA GUADALINEX) Es posible administrar el filtro OPTENET a través de una conexión segura utilizando el protocolo HTTPS, accediendo a la siguiente URL: https://host.domain desde cualquier navegador. Para ello es necesario que en la máquina donde está instalado el filtro se encuentre ejecutado el programa stunnel. Si se quiere acceder de forma segura a la configuración WWW desde el navegador Internet Explorer es necesario que la versión de stunnel sea la 3.22-1 o superior. En caso de que stunnel no esté instalado o la versión instalada sea inferior a la 3.22-1, los pasos para la instalación son los siguientes: • Copiar el paquete stunnel-3.22-1.i386.rpm del ftp updates.redhat.com:/ 7.2/en/os/i386, accediendo por ejemplo como usuario anonymous, a la máquina donde se quiera instalar el stunnel. • Instalar el paquete. En el directorio donde se haya copiado el fichero stunnel-3.221.i386.rpm ejecutar como usuario root: rpm -i stunnel-3.22-1.i386.rpm (stunnel no instalado) rpm -U stunnel-3.22-1.i386.rpm (versión stunnel inferior 3.22-1) • Comprobar que la instalación se ha realizado correctamente: rpm -qa | grep stunnel Se debe mostrar: stunnel-3.22-1 • Generar el fichero de certificados. En el directorio /usr/share/ssl/certs ejecutar como usuario root: make stunnel.pem introduciendo los datos que se piden. • Edite el script stunnelinit que está en el directorio de instalación del filtro. Debe asegurarse de que la ruta de todos los ficheros a los que se hace referencia es la correcta teniendo en cuenta el directorio de instalación del filtro, y el parámetro –r de stunnel tiene por valor el puerto donde escucha el filtro (10237). Este script establece también el puerto de conexión con otras máquinas, por defecto este puerto es el 443 y de esta forma se podrá acceder a la administración web del filtro tecleando en su navegador "https://host_ip". Si se decide elegir otro puerto en vez del 443 el acceso a la administración web del filtro desde el navegador será "https://host_ip:Port". Es importante señalar también que si se decide utilizar un puerto menor del 1024 la ejecución del stunnel debe hacerse como root. • Para arrancar el stunnel ejecutar el script stunnelinit en el directorio de la instalación como usuario root: ./stunnelinit start • Para parar el stunnel ejecutar el script stunnelinit en el directorio de la instalación como usuario root: 96 ./stunnelinit stop Al reiniciar o iniciar el filtro, se debe volver a arrancar stunnel, pero es importante arrancarlo después de haber arrancado el filtro, ya que éste al arrancarse, elimina todas las instancias de stunnel que se estén ejecutando en la máquina local. Si trabaja con la gestión en cluster manejando varios OPTENET Server simultáneamente, no debe preocuparse de nada, pues el propio OPTENET Server se encarga de que todas las conexiones con las demás instancias de OPTENET Server sean seguras. 97 2. ADMINISTRACIÓN DE OPTENET A TRAVÉS DE LA LÍNEA DE COMANDOS (OPTENET CLI V1.0) 2.1. Introducción OPTENET CLI es una aplicación que permite administrar OPTENET Server a través de una línea de comandos. Es una vía alternativa a la administración web, con la ventaja de que OPTENET CLI es capaz de procesar ficheros de script que contengan múltiples peticiones. Otra de las características de OPTENET CLI es que permite administrar cualquier filtro, simplemente editando su fichero de configuración. OPTENET CLI hace un control exhaustivo de todo lo que se teclea en la línea de comandos con el objetivo de minimizar errores. La interfaz de comandos de OPTENET CLI es en Inglés, pero el manual de usuario está disponible en diferentes idiomas. OPTENET CLI se puede ejecutar en la máquina en la que se encuentra corriendo OPTENET Server o en cualquier otra. Hay que tener en cuenta que si OPTENET CLI administra un filtro remotamente, puede no funcionar correctamente si es necesario atravesar un proxy. Si administra con OPTENET CLI un OPTENET Server que es maestro en la gestión en cluster, debe tener en cuenta que los cambios que aplique vía CLI en el OPTENET Server maestro se propagarán a los OPTENET Servers esclavos. Los ficheros que vayan a ser utilizados por OPTENET CLI (fichero de configuración y ficheros de script) necesitan estar en el directorio donde se este ejecutando OPTENET CLI. Por ello, si OPTENET CLI se ejecuta remotamente hay que tener cuidado y copiar ambos ficheros al directorio donde se este ejecutando. OPTENET CLI se instala junto a OPTENET Server dentro del subdirectorio tools junto a su archivo de configuración cli.conf y el archivo de scripts por defecto script.txt por defecto script.txt donde podrá añadir múltiples peticiones. Este fichero de script se encuentra vacío. 2.2. UTILIZACIÓN A continuación se va a explicar como utilizar OPTENET CLI y aprovechar al máximo las características que ofrece. 2.2.1. Ejecución Para ejecutar OPTENET CLI, vaya al directorio donde lo haya instalado y teclee: optenetcli Mostrándose el mensaje de bienvenida de OPTENET CLI. Ahora ya se encuentra en la línea de comandos de OPTENET CLI, y los comandos que teclee serán interpretados y ejecutados. 2.2.2. Ayuda OPTENET CLI dispone de un completo sistema de ayuda en modo texto. Para ello teclee: 98 ? Mostrándose los nombres de todos los comandos de OPTENET CLI. Tenga en cuenta que estos son sólo los nombres de los comandos. Muchos de estos comandos tienen parámetros que también deberá especificar. 2.2.3. Comandos Para saber cuales son los parámetros de un comando, basta con teclear el nombre de dicho comando seguido de ‘?’. Ejemplo: saveconfig ? Todos los comandos de OPTENET CLI siguen alguno de los siguientes formatos: • addxxxxxx • savexxxxxx • delxxxxxx • sortxxxxxx Donde xxxxxx representa una cadena de caracteres. Ejemplo: saveconfig, delurlyes, sortrule,... Hay que tener cuidado con los caracteres en mayúsculas y minúsculas, ya que OPTENET CLI hace distinción entre ellos. Es decir no es lo mismo ‘saveconfig’ que ‘SaveConfig’. Para que el manejo de OPTENET CLI sea más sencillo, se ha optado por que todos los comandos sean en minúsculas. Sin embargo como podrá ver más adelante algunos parámetros tienen caracteres en mayúsculas. OPTENET CLI le mostrará la lista de comandos disponible cuando teclee: • ? • Un comando que no es interpretado por OPTENET CLI. • Un comando válido, pero con un número incorrecto de parámetros. Cuando teclee un comando con el número correcto de parámetros, y que sin embargo alguno de ellos sea incorrecto, OPTENET CLI le mostrará como utilizar dicho comando. Así pues un proceso lógico para ejecutar un comando puede ser: • Teclee ‘?’ para ver los comandos disponibles. • Teclee el nombre del comando elegido de la lista seguido del signo de interrogación. • Teclee el nombre del comando seguido de sus parámetros tal y como se lo muestra OPTENET CLI. Si el comando tecleado es correcto y además se ha ejecutado satisfactoriamente, OPTENET CLI le mostrará el siguiente mensaje: Configuration added successfully Si el comando tecleado es correcto pero no se ha podido ejecutar, se le mostrará: Error: Configuration couldn´t be added 99 Si el comando introducido no existe, verá la lista de comandos disponibles, y si por el contrario el comando existe pero el número de parámetros no es correcto, se le muestra como utilizar dicho comando. Si el comando y el número de parámetros son correctos, pero alguno de los parámetros no lo es, entonces verá como utilizar dicho comando y además se le muestra el siguiente mensaje: Error: Parameter XX is not correct Donde XX hace referencia al número de parámetro. En algunos parámetros concretos se mostrará un mensaje diferente al anterior. Por ejemplo, si uno de los parámetros es un día de la semana, y teclea “Catorce”, OPTENETCLI le mostrará: Error: Catorce is not a week day En el apartado 4 de este documento, se muestra una lista de todos los comandos válidos. Puede utilizar dicho apartado como una guía de consulta rápida. 2.2.4. Fichero de script Para que OPTENET CLI ejecute todos los comandos de un fichero de script, simplemente teclee el nombre del fichero de script con la extensión txt. Ejemplo: script.txt OPTENET CLI le mostrará el resultado de la ejecución de las peticiones de la siguiente forma. Si la petición se ha ejecutado correctamente: Line XXX added successfully Donde XXX hace referencia al número de línea del fichero. Si por el contrario una petición no es correcta, le mostrará la forma de construirla de forma adecuada. Ejemplo: USAGE: savekey PASSWORD PASSWORD: Password for protecting sensitive information Es importante que tenga en cuenta que el formato de las peticiones de un fichero de script, es exactamente el mismo que si lo tecleara. El formato de un fichero de script, consiste en tener una única petición por línea. De esta forma se consigue un fichero de script claro y fácilmente editable. Por ello si escribe dos peticiones en una misma línea, OPTENET CLI devolverá error en esa línea, y no podrá procesar ninguna de las dos peticiones. 2.2.5. Salida Para salir de OPTENET CLI, debe teclear el siguiente comando: 100 exit Este comando finaliza la ejecución de OPTENET CLI. 2.2.6. Fichero de configuración El fichero de configuración de OPTENET CLI es ‘cli.conf’ y debe estar en el directorio del ejecutable. Puede editar este fichero con cualquier editor. El formato es el siguiente: UserName Password Server IP Server Port Como puede ver, el fichero tan solo consta de 4 líneas, que le permiten seleccionar cualquier OPTENET Server que este ejecutando para poder así administrarlo. Las dos primeras líneas son el username y el password que necesita para administrar OPTENET Server, es decir el mismo que necesita para administrarlo vía web por ejemplo. Los valores por defecto para el username y el password son “optenet” y “12345678” respectivamente. Las dos siguientes líneas contienen la información necesaria para que OPTENET CLI sepa donde conectarse. La dirección IP de la máquina donde este ejecutándose OPTENET Server y el puerto en el que está escuchando. Los valores por defecto son la máquina local (“127.0.0.1”) y el puerto por defecto de la administración WWW (“10237”). Es importante señalar que el fichero debe tener siempre 4 líneas y que deben ser las que se señalan arriba. Si faltan o sobran líneas en el fichero, o intenta meter varios campos en una línea, OPTENET CLI le devolverá un mensaje de error al cargar el fichero de configuración. 2.3. Referencia de comandos En este apartado se muestra una completa lista de comandos con sus respectivos parámetros, que el usuario puede utilizar como guía rápida de consulta. Los comandos están agrupados en apartados de la misma forma que lo están en botones en el administrador WWW. 2.3.1. Configuración Dentro de esta opción podemos configurar: el estado del filtro, establecer la página de bloqueo o establecer el directorio donde se generan los logs. 2.3.1.1. Saveconfig Todas las características que acabamos de mencionar se configuran con un único comando. saveconfig FILTER_STATE URL_BLOCK LOGS_DIR FLAG1 BLOCKING_LOGS FLAG2 QUERY_LOGS CRYPT_STATUS FILTER_STATE: "Active", "Inactive" 101 URL_BLOCK: Url indicating the blocking page LOGS_DIR: Directory for logs output (local path) FLAG1: "0", "1" (Disable/Enable Blocking_Logs) BLOCKING_LOGS: IP USER DAY RULE CATEGORY FILETYPE URL Each Value is:"0","1" Example: 0100110 FLAG2: "0", "1" (Disable/Enable Query_Logs) QUERY_LOGS: IP CLIENT USER GROUP DAY URL TRAFFIC TIME ACCESSES RULE CATEGORY FILETYPE Each Value is:"0","1" Example: 010011010011 CRYPT_STATUS: "0", "1" (Disable/Enable encryption of personal information in log files) Este es el formato en el que OPTENET CLI nos muestra como utilizar un comando. “saveconfig” es el nombre del comando y ‘FILTER_STATE’, ‘URL_BLOCK’ y ‘LOGS_DIR’ son algunos de los parámetros de dicho comando. Si un parámetro sólo puede tomar unos valores concretos, entonces dichos valores se muestran entrecomillados tras el nombre del parámetro. Por ejemplo en el caso de “saveconfig”, FILTER_STATE sólo puede tomar los valores: “Active” o “Inactive”. Nótese que tanto “Active” e “Inactive” tienen el primer carácter en mayúscula y el resto en minúscula. 2.3.2. Autenticación En este apartado se puede configurar OPTENET para que realice explícitamente autenticación de usuarios. 2.3.2.1. Saveauthen saveauthen AUTENTICATION SERVER TIME PORT AUTENTICATION: "1" (Active), "0" (Inactive) SERVER: Server Ip or name TIME: Expiration time PORT: Server port 2.3.3. Autenticación LDAP En este apartado podrá definir nuevos servidores LDAP y modificar o borrar los existentes. A la hora de llevar a cabo la autenticación de usuarios se sigue el orden en el que los servidores han sido definidos. 2.3.3.1. Delauthencache delauthencache A este comando no se le pasan parámetros. 2.3.3.2. Sortldap sortldap SORT LDAP_SERVER SORT: "Up", "Down" LDAP_SERVER: LDAP Server name 102 2.3.3.3. Delldap delldap LDAP_SERVER LDAP_SERVER: LDAP Server name 2.3.3.4. Saveldap saveldap SERVER PORT BASE TYPE ADMIN PASSWORD LDAP_SERVER (OLD_LDAP_SERVER) SERVER: Server Ip or name PORT: Server port BASE_TYPE: Base to search for users and groups TYPE: "0"(Windows 2000) "1" (Lotus Domino) "2"(iPlanet) ADMIN: Username to log on to server Type if not administrator PASSWORD: Password for username Type if not administrator LDAP_SERVER: Server name OLD_LDAP_SERVER: Old server name or ip Use OLD_LDAP_SERVER when modifying server, not when creating El último parámetro va entre paréntesis y esto significa que dicho parámetro es opcional. Es decir, este comando se puede utilizar para realizar dos peticiones diferentes. Si no especificamos el último parámetro, crearemos un nuevo servidor LDAP, y si lo hacemos, entonces estaremos modificando un servidor LDAP existente, cuyo nombre se especifica mediante el último parámetro. 2.3.4. Clasificación Urls En esta opción podremos añadir URLs a las diferentes categorías indicando si esa URL pertenece a una categoría o si no pertenece. 2.3.4.1. Saveurlclas saveurlclas URL CATEGORIES URL: Url to be categorized CATEGORY: An Optenet Server category YES_NOT: "Yes" "Not" 2.3.4.2. Adduserurl adduserurl CATEGORY LIST URL CATEGORY: One of OPTENET Server categories LIST: "Yes", "Not" URL: The Url 2.3.4.3. Deluserurl deluserurl CATEGORY LIST URL CATEGORY: One of OPTENET Server categories LIST: "Yes", "Not" URL: The Url 103 2.3.5. Reglas de filtrado Con las reglas de filtrado podemos personalizar cómodamente OPTENET Server para adaptarlo a las necesidades de nuestra red. En esta opción podrá definir esas reglas y todos su criterios: Grupos de IPs, Usuarios, Grupos de Usuarios, Categorías, URLs, Ficheros y Horarios. 2.3.5.1. Addrule 2.3.5.2. Sortrules addrule sortrules SORT RULE_NAME SORT: "Up", "Down" RULE_NAME: Name of the rule to be sorted 2.3.5.3. Delrule delrule RULE_NAME RULE_NAME: Name of the rule to be deleted 2.3.5.4. Renrule renrule OLD_RULE_NAME NEW_RULE_NAME OLD_RULE_NAME: Old name of the rule NEW_RULE_NAME: New name of the rule 2.3.5.5. Addips addips RULE_NAME FROM_IP TO_IP RULE_NAME: Name of the rule FROM_IP: First ip of ip range TO_IP: Last ip of ip range 2.3.5.6. Delips delips RULE_NAME FROM_IP TO_IP RULE_NAME: Name of the rule FROM_IP: First ip of ip range TO_IP: Last ip of ip range 2.3.5.7. Savecat savecat RULE_NAME CAT1 CAT2 ... CATN RULE_NAME: Name of the rule CAT1,...CATN: An Optenet Server category Categories not typed will be disabled Este comando no tiene un número fijo de parámetros ya que se pueden pasar tantos nombres de categorías como queramos. Las categorías cuyo nombre no se pase como parámetro serán desactivadas, y aquellas que se pasen como parámetro serán activadas. 2.3.5.8. Addurlyes addurlyes RULE_NAME URL_YES RULE_NAME: Name of the rule URL_YES: The url to be added 104 2.3.5.9. Delurlyes delurlyes RULE_NAME URL_YES RULE_NAME: Name of the rule URL_YES: The url to be deleted 2.3.5.10. adduser adduser RULE_NAME USER RULE_NAME: Name of the rule USER: User affected by the rule 2.3.5.11. Deluser del user RULE_NAME USER RULE_NAME: Name of the rule USER: User affected by the rule 2.3.5.12. Addhours addhours RULE_NAME FIRST_HOUR LAST_HOUR FIRST_MINUTE LAST_MINUTE RULE_NAME: Name of the rule HOUR_INTERVAL: Hour range. Type XX:XX-XX:XX. Example: 08:30-19:37 Hours should be in range 0-59 Minutes should be in range 0-23 Todos los parámetros de este comando menos el primero, son enteros y están comprendidos en un rango. Si se teclean caracteres o un entero fuera del rango, OPTENET CLI devolverá error. 2.3.5.13. Delhours delhours RULE_NAME HOUR_INTERVAL RULE_NAME: Name of the rule HOUR_INTERVAL: Hour range (8:30-19:37) El segundo parámetro es un intervalo de hora, y es importante seguir el formato que se especifica, es decir: XX:XX-XX:XX Si se introduce el intervalo de horas con otro formato, OPTENET CLI devolverá error. 2.3.5.14. Saveday saveday RULE_NAME DAY1 DAY2 ... DAY7 RULE_NAME: Name of the rule DAY*: A valid week day "Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday", "Saturday" 2.3.5.15. Addurlnot addurlnot RULE_NAME URL_NOT RULE_NAME: Name of the rule URL_NOT: Url affected by the rule 2.3.5.16. delurlnot RULE_NAME URL_NOT RULE_NAME: Name of the rule URL_NOT: Url affected by the rule 105 Delurlnot 2.3.5.17. Savefile savefile RULE_NAME FILE_TYPE1 FILE_TYPE2 ... FILE_TYPE7 RULE_NAME: Name of the rule FILE_TYPE*: A valid file type (mp3, avi,...) 2.3.6. Actualizaciones OPTENET Server periódicamente se conecta a la WWW de OPTENET para actualizar sus listas, y poder filtrar las nuevas direcciones categorizadas de Internet que van surgiendo día a día. Con esta opción se trata de definir la frecuencia de actualización de las listas. 2.3.6.1. Saveact saveact FRECUENCY DAY_OF_WEEK DAY_OF_MONTH START_HOUR END_HOUR TRY_INTERVAL PROXY_ADDR PORT PROXY FRECUENCY: "Daily", "Weekly", "Monthly" DAY_OF_WEEK:"Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday", "Saturday" DAY_OF_MONTH: "1", "2", "...", "28" START_HOUR: "0", "1", "...", "23" END_HOUR: "1", "2", "...", "24" TIME_INTERVAL: Time between tries PROXY_ADDR: Proxy address PORT: Proxy port PROXY: "0", "1" Hay que tener cuidado con los caracteres en mayúsculas y minúsculas. 2.3.7. Identificación administrador Para asegurar la privacidad de la configuración y administración, el servidor WWW requiere que el usuario sea autenticado, por lo que pedirá nombre de usuario y contraseña. Por defecto, el nombre de usuario es optenet y la contraseña 12345678. Estos valores pueden ser cambiados desde la administración WWW mediante la opción Identificación Administrador. Debe tener en cuenta que la creación / edición de usuarios depende de ciertos permisos. Por defecto los permisos que tiene para realizar estas operaciones son los del perfil Administrator (“optenet”, “12345678”). Para cambiar dichos permisos, edite las dos primeras líneas del fichero cli.conf. 2.3.7.1. Addadmin addadmin NEW_USER_NAME NEW_PASSWORD ENABLED PROFILE NEW_USER_NAME: New user name NEW_PASSWORD: New password for new user name ENABLED: Profile enabled ("1") or disabled ("0") PROFILE: "1" (Ordinary administrator) "2" (Local administrator) "3" (Urls administrator) "4" (Reports administrator) "5" (Sensitive information administrator) 106 2.3.7.2. Saveadmin saveadmin OLD_USER_NAME NEW_USER_NAME NEW_PASSWORD ENABLED PROFILE OLD_USER_NAME: Old user name NEW_USER_NAME: New user name NEW_PASSWORD: New password for new user name ENABLED: Profile enabled ("1") or disabled ("0") PROFILE: "1" (Ordinary administrator) "2" (Local administrator) "3" (Urls administrator) "4" (Reports administrator) "5" (Sensitive information administrator) 2.3.7.3. Deladmin deladmin USER_NAME PROFILE USER_NAME: Administrator user name PROFILE: "1" (Ordinary administrator) "2" (Local administrator) "3" (Urls administrator) "4" (Reports administrator) "5" (Sensitive information administrator) 2.3.8. Gestión en cluster OPTENET Server permite manejar múltiples instancias de OPTENET Server que estén ejecutándose en diferentes máquinas. Podemos crear, editar, eliminar y conectarnos a tantas instancias de OPTENET Server como deseemos. 2.3.8.1. Cluster cluster FLAG FLAG: "1" (Enable 'Working with Clusters') "0" (Disable 'Working with Clusters') 2.3.8.2. Addcluster addcluster CLUSTER_NAME CLUSTER_NAME: Name of new cluster 2.3.8.3. Savecluster savecluster CLUSTER_NAME NEW_NAME CLUSTER_NAME: Name of cluster NEW_NAME: New Name for cluster 2.3.8.4. Delcluster delcluster CLUSTER_NAME CLUSTER_NAME: Name of cluster 2.3.8.5. Addserver addserver SERVER_NAME SERVER_IP SERVER_PORT HTTP_FLAG USERNAME PASSWORD CLUSTER_NAME SERVER_NAME: Name of new server SERVER_IP: Ip address of new server 107 SERVER_PORT: Port where server listens HTTP_FLAG: "1" (Http), "0" (Https) USERNAME: Username to log on to the server PASSWORD: Password to log on to the server CLUSTER_NAME: Server's cluster name 2.3.8.6. Saveserver saveserver SERVER_NAME SERVER_OLD_NAME SERVER_IP SERVER_PORT HTTP_FLAG USERNAME PASSWORD CLUSTER_NAME SERVER_NAME: New name for server SERVER_OLD_NAME: Server old name SERVER_IP: Ip address of server SERVER_PORT: Port where the server listens HTTP_FLAG: "1" (Http), "0" (Https) USERNAME: Username to log on to the server PASSWORD: Password to log on to the server CLUSTER_NAME: Server's cluster name 2.3.8.7. Delserver delserver SERVER_NAME CLUSTER_NAME SERVER_NAME: Name of server CLUSTER_NAME: Server's cluster name 2.3.9. Informes OPTENET Server permite configurar una herramienta de informes (OPTENET Reporter) la cual recibirá los logs. 2.3.9.1. StoreReporter storereporter REPORTER_IP REPORTER_PORT REPORTER_IP: Ip address where OPTENET Reporter is current running REPORTER_PORT: Port number where OPTENET Reporter is current listening 2.4. PROBLEMAS MÁS COMUNES En este apartado se describen los problemas más comunes y la forma de solucionarlos. 2.4.1. No logra arrancar OPTENET CLI Compruebe que el ejecutable de OPTENET CLI (optenetcli) se encuentra en el directorio actual. Verifique que el fichero de configuración (cli.conf) también lo está. 2.4.2. Se muestra un mensaje de error al ejecutar un comando Si recibe un mensaje de error en alguno de los parámetros, compruébelos uno a uno. Verifique también los caracteres en mayúsculas y minúsculas del comando y sus parámetros. 108 Si el error se refiere a que la configuración no pudo ser añadida, compruebe primero que OPTENET Server está ejecutándose. A continuación compruebe que los datos del fichero de configuración (user, password, ip, puerto) son correctos. Por último compruebe que no hay que atravesar ningún proxy para llegar a OPTENET Server. 2.4.3. Ejecuta un comando pero no se refleja su cambio en OPTENET Server Si ejecuta un comando de OPTENET CLI, no recibe ningún error sino un mensaje diciendo que la configuración ha sido añadida, y sin embargo comprueba que los cambios que esperaba al ejecutar dicho comando no se han producido, entonces el problema reside en que alguno de los parámetros hace referencia a un elemento que no existe. Dicho elemento puede ser: Una regla, Una categoría, Un tipo de archivo, Un nombre o Ip de servidor,... 109 3. CONFIGURACION DEL PROXY OPTENET El proxy Optenet tiene ciertos parámetros configurables como son el puerto en el que escucha, ( y en el caso de tener un proxy detrás) la opción de introducir los datos de ese proxy encadenado. Estas opciones son accesibles mediante el icono situado en la barra de tareas: Al hacer click sobre el icono con el botón derecho o izquierdo del ratón, aparecerá el siguiente menú contextual donde podremos seleccionar la opción deseada: 3.1. Configuración de un proxy encadenado (Configuración proxy) Si se desea configurar un proxy encadenado (chained proxy) mediante la siguiente pantalla se admiten los datos necesarios: la IP del proxy y el puerto en el que escucha: 3.2. Administración del Optenet Server (Administración Optenet Server) Haciendo click sobre esta opción se abrirá un navegador mostrando la página de administración del filtro de OPTENET. 110 3.3. Configuración del puerto (Puerto Proxy) Para modificar el puerto en el que escucha el proxy por defecto es posible hacer click sobre esta opción y modificarlo fácilmente: 111 4. DESCRIPCIÓN DE LAS CATEGORÍAS DE OPTENET A continuación se enumeran las categorías que ofrece OPTENET junto a una breve descripción de las mismas: 1. Administración Pública: Gobiernos, ayuntamientos, administración pública, etc... 2. Anonimizadores: Páginas web a través de las cuáles se evita el conocimiento por parte de terceros de las direcciones web a las que se está accediendo. 3. Anorexia y Bulimia: Sitios que fomentan la anorexia y la bulimia. 4. Arte y Cultura: Páginas web que aportan información relativa a las artes y las letras: museos, escultura, fotografía, literatura, etc... 5. Azar: Páginas web de casinos on-line y bingos. También incluye páginas donde se pueda apostar, por ejemplo quinielas, loterías, etc. 6. Bancos y Entidades Financieras: ... 7. Banners: Anuncios publicitarios insertados en páginas web, así como las URL de las empresas que se dedican a la elaboración de este tipo de anuncios en la web. 8. Blogs: Páginas gratuitas donde particulares publican en experiencias, comentarios, ideas, etc... que desean compartir. Internet, diarios, 9. Buscadores: Páginas web que se utilizan para realizar búsquedas de otras direcciones web en Internet, por ejemplo Google, Yahoo, Altavista, Alltheweb, etc. 10. Chat: Sitos web que proporcionan servicios para comunicarse (chat) con otros usuarios en tiempo real. 11. Código malicioso: Hardware, software o firmware que es introducido intencionadamente en un sistema con un fin malicioso o no autorizado. Un caballo de Troya es ejemplo de un código malicioso, etc... 12. Construcción de explosivos: Páginas web sobre cómo construir explosivos. 13. Compras: Páginas web dónde se puede comprar productos y servicios. 14. Correo web: Sitos web que proporcionan servicios para enviar mensajes de correo electrónico. 15. Deportes: Páginas web con contenidos relativos a equipos e información deportiva. 16. DNS Services: Categoría que abarca los casos de conexiones de equipos desde la red interna de la empresa a equipos de usuarios en Internet , vía http a un puerto destino configurable y variable, con el gravamen de que en el equipo de Internet de la empresa, se puede disponer de herramientas, como por ejemplo Remotely Anywhere, que permiten el control total del equipo de Internet al usuario de la red interna y por tanto tener una vía de escape, ejecutando http,ftp, etc... 112 17. Drogas: Páginas web con contenidos sobre drogas tanto animando a su consumo como facilitando lugares y contactos donde conseguirlas. No están incluidas las páginas que informan sobre los efectos perjudiciales de las drogas. 18. Economía: Páginas web relacionadas con la banca, mercados de valores, inversiones financieras, etc. 19. Educación: Páginas web relacionadas con colegios, institutos, universidades, academias y cursos en general. 20. Empleo: Páginas web relacionadas con ofertas de trabajo y demandas de empleo. También incluye páginas "caza - talentos". 21. Encuentros: Páginas web a través de las cuales se puede conocer a otras personas: hacer amigos, encontrar pareja, etc... 22. Entretenimiento: Páginas web con información relativa a películas, teatro, libros, restaurantes, hobbies, etc. Contenidos sobre cómo emplear el tiempo libre en general excepto contenidos pertenecientes a azar, deportes, juegos y viajes que están incluidos en sus propias categorías. 23. Foros: Páginas web de carácter temático donde se puede participar aportando opiniones personales. 24. Guías y callejeros: Páginas web donde se incluyen callejeros de ciudades, información acerca de direcciones, números de teléfono, etc... 25. Hackers: Páginas web que contienen software ilegal. Páginas que contienen herramientas de cómo piratear programas y documentación sobre cómo saltarse la seguridad informática en general. 26. Hosting domains: Websites of companies that host websites and from where Internet domains can be obtained. 27. Info: Páginas web que en general aportan información útil, como situación del estado de las carreteras, predicciones metereológicas, etc... 28. Informática: Páginas web con información relacionada con hardware, software, Internet, etc. 29. Juegos: Páginas web donde se puede jugar on-line o descargarse juegos informáticos. 30. Lista blanca: Páginas web que no pertenecen a ningún tipo de contenido. No se les aplican las reglas de filtrado que restrinjan el contenido. 31. Lista negra: Páginas web que se consideran como pertenecientes a todos los tipos de contenido. Se les aplican todas las reglas de filtrado que restrinjan el contenido. 32. Jurídicas: Páginas web que aportan información sobre temas legales. 33. Logos/Ringtones: Imágenes o Canciones (melodías monofónicas o polifónicas) que son descargadas por los usuarios de teléfonos móviles. 113 34. Modelos: Páginas web donde se pueden encontrar fotos de modelos (tanto masculinos como femeninos). Las páginas donde este tipo de fotos muestren modelos totalmente o parcialmente desnudos pueden estar incluidos en la categoría de pornografía. 35. Música: Páginas web donde se puede descargar o comprar música, páginas con información relacionada con cantantes y grupos de música en general. 36. Pagar por navegar: Páginas web que permiten ganar dinero en la red recibiendo correos, navegando por determinadas páginas, suscribiendo ofertas gratuitas, etc... 37. Páginas personales: Páginas creadas en hosting especializados para ello, y que no están incluidas en otras categorías 38. Pornografía: Páginas web de contenido pornográfico y erótico. También incluye el acceso a sitios de descarga dónde se encuentra material de este tipo. 39. Portales: Páginas web en las que se puede encontrar una amplia gama de contenidos: noticias, ocio, deportes, juegos, música, etc. 40. Prensa: Páginas web de periódicos y revistas virtuales. 41. Racismo: Páginas web con contenido abiertamente xenófobo o que incita al comportamiento racista por motivos de religión, cultura, raza, ideología, etc. 42. Redirectores: Páginas web que redirigen o transforman otras páginas web. 43. Rosa: Páginas web con contenidos relacionados con celebridades. También incluye contenidos relacionados con la moda, decoración, estética, etc. 44. Salud: Páginas web en las que se puede encontrar información de carácter divulgativo (no científico) acerca de enfermedades y sus remedios. 45. Sectas: Páginas web con contenidos relacionado con sectas peligrosas y que son aceptadas universalmente como tales. No se incluyen aquellas que por legislación de diferentes países son consideradas como sectas en unos y cómo asociaciones religiosas con todos sus derechos en otras. 46. Servidores P2P: Sitios donde se registran estos programas para dar el servicio y las páginas relacionadas con ellos. 47. Servidores Mensajería Instantánea: Sitios donde se registran estos programas para dar el servicio y las páginas relacionadas con ellos. 48. Sexualidad: Artículos sobre sexo, sexo destinado a adolescentes, educación sexual etc., que no contienen pornografía. 49. Spyware: Páginas que contengan Spyware. Se considera Spyware al software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. 50. Telecomunicaciones: Páginas web que facilitan información acerca de temas de telefonía fija, telefonía móvil, conexión a Internet, etc... 114 51. Viajes: Páginas web de agencias de viajes, información turística, hoteles y alojamientos, medios de transporte. 52. Violencia: Páginas web con contenidos abiertamente de naturaleza violenta o que incitan a la violencia o la defienden. * En algunas ocasiones una página web puede pertenecer a más de una categoría. 115 5. ICAP NOW NetCache implementa un método ICAP diferente denominado icap now. Se diferencian de los métodos icap habituales en que la petición ICAP es pasada al servidor ICAP en este caso OPTENET Server antes incluso de realizar la autenticación de usuario. Esto puede llegar a ser útil en el caso de que se quiera realizar operaciones diferentes dependiendo del resultado que devuelva el servidor ICAP decidiendo, por ejemplo, pedir únicamente autenticación a los usuarios que vayan a acceder a determinadas categorías. OPTENET Server tiene implementado un servicio ICAP denominado reqmod_category cuya única misión es categorizar los accesos que le llegan por ese servicio. A diferencia de los otros dos servicios (reqmod_netcache y respmod_netcache) OPTENET Server no bloquea ningún acceso, simplemente lo clasifica devolviendo la categoría a NetCache. Para evitar que un acceso pueda ser catalogado con más de una categoría, OPTENET Server utiliza el fichero de configuración etc/catpriority.txt que existe dentro de su directorio de instalación para que el caso de conflicto entre categorías se le asigne la que antes aparece en dicho fichero. Las categorías que no aparezcan se considerarán cómo las menos prioritarias, si ninguna de las posibles categoría está escrita (por estar ambas categorías creadas por el administrador) se elige la que primero se creó en el sistema. Puede editar catpriority.txt y ordenar las categorías a su gusto. Una vez guardado deberá rearrancar el filtro para que su ordenación tenga efecto. Además puede añadir nuevas categorías al fichero modificando también el primer número que aparece en el fichero ya que indica el número de categorías que tiene el mismo. A continuación se muestra un ejemplo de configuración de un NetCache en el que se ha definido el servicio reqmod_category con el fin de solicitar autenticación a todos los accesos que no pertenezcan a la categoría Intranet: 116 Para poder utilizar correctamente este nuevo servicio debemos indicarle a OPTENET Server que lance mas hilos con el fin de atender a las peticiones de este nuevo servicio. Ello se indica en las versiones Windows modificando la clave del registro: HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\IcapServices Escribiendo el valor 3. Para las versiones Unix, deberá modificar el script /usr/local/optenet/RunOPTENET anadiendo el parámetro -icap_services 3 En ambos casos deberá reiniciar el filtro para que la configuración tenga efecto. 117 6. MONITORIZACIÓN GUADALINEX) SNMP (SÓLO PLATAFORMA El filtro tiene la posibilidad de ser monitorizado mediante el protocolo SNMP, con lo cual es fácilmente integrable en los sistemas de monitorización del mercado. Para ello, la distribución del filtro incluye un Agente SNMP, que funciona como un servicio totalmente autónomo, y mantiene actualizados los valores de los parámetros sobre el estado del filtro en tiempo real. Por defecto, el agente escuchará en el puerto 161, aunque es configurable, con el fin de poder tener varios agentes en la misma máquina. Los parámetros que son susceptibles de ser monitorizados son los siguientes: • -Estado del filtro: ACTIVO / NO ACTIVO/APAGADO (ID: .1.3.6.1.4.1.2021.254.1.0) • ACTIVO: El filtro se encuentra activo en ese momento. (Valor 1) • NO ACTIVO: El filtro se encuentra encendido pero no activo. (Valor 0) • APAGADO: El filtro no está en ejecución. (Valor -1) • -Número de peticiones por segundo: X. (ID: .1.3.6.1.4.1.2021.254.2.0.0) • -Número de bloqueos por segundo: X. (ID: .1.3.6.1.4.1.2021.254.3.0.1849.0) Además se incluye completa información sobre el sistema, por ejemplo: • -Hora/fecha del sistema. (ID: .1.3.6.1.4.1.2021.4.0) • -Tiempo del agente en ejecución. (ID: .1.3.6.1.2.1.1.3) • -Nombre del servidor. (ID: .1.3.6.1.2.1.1.5) 6.1. Ejecución del agente SNMP Para activar el agente SNMP de Optenet debe ejecutarse el siguiente comando: OptenetSnmp [–h] [–v] [–f] [–p PORT] [–l LOG_FILE] • -h Muestra la ayuda en línea de comandos • -v Muestra la versión del producto • -f No se ejecuta en un hilo hijo • -p para establecer un puerto en el que escucha peticiones diferente al 161 -l para cambiar el fichero de log por defecto (/usr/local/optenet/logs/optenet_snmp.log) 118 6.2. Arranque automático Si se desea que el agente SNMP arranque junto con el filtro de manera automática, será necesario editar los ficheros: “RunOPTENET” y “filterinit”, y quitar los comentarios de las líneas indicadas, donde aparecen las llamadas necesarias para iniciar y apagar el agente OptenetSnmp. Por defecto, en el fichero de arranque aparece como puerto donde escucha el agente Snmp: 10237. 6.3. Configuración del agente El agente cuenta con un fichero de configuración cuyo nombre es: “snmp.conf”, con la siguiente información: Stat-url= 192.168.0.240 // URL o IP donde escucha el filtro Stat-port= 10234 // Puerto en el que escucha el servidor web del filtro (CGI de estadísticas) 7. CGIS DE CONFIGURACIÓN AVANZADA En este apartado se describen CGIs que tiene implementado el filtro de configuración avanzada y que sólo son accesibles tecleándolos directamente en la barras de direcciones del navegador. 7.1. Recargar Esta opción provoca que el filtro lea de nuevo todos sus ficheros de configuración así como la base de datos de URLs. Opción útil si desea "clonar" la configuración de un filtro a otro servidor que se ha incorporado recientemente a la gestión en cluster de organización, sin necesidad de parar y volver a arrancar el filtro. ATENCIÓN, utilice esta opción solamente en caso necesario, ya que la recarga de la base de datos es un proceso costoso en uso de CPU. Para lanzar al recarga debe ejecutar el siguiente cgi: http://ip_del_filtro:10237/cgi-bin/ResetConf? 7.2. Volcado de Logs a disco (/cgi-bin/FlushLogs) Esta opción provoca que el filtro volque a disco los logs de filtrado que actualmente tiene en memoria. Para optimizar el rendimiento el filtro en lugar de escribir directamente en sus logs a disco cada vez que se analiza una petición utiliza un sistema de buffering almacenando en memoria esos logs y volcándolos a disco cuando los buffers se llenan o cada 5 minutos. Esta opción provoca el volcado de los logs que tiene en ese momento en sus buffers de memoria. Para lanzar el volcado de logs a disco se debe ejecutar el siguiente cgi: http://ip_del_filtro:10237/cgi-bin/FlushLogs?LANG=esp 119 7.3. Información del sistema en modo texto (/cgi-bin/sysinfotxt) Esta opción provoca que el filtro devuelva información de su estado en formato de texto en lugar de ser una página html válida. Es muy útil en instalaciones unix donde se está administrando desde línea de comandos y se quiere ver el estado del filtro ya que se puede utilizar la herramienta wget como en el ejemplo siguiente: wget http://optuser:optpw@ip_del_filtro:10237/cgi-bin/sysinfotxt?LANG=fra -O sysinfo.txt 8. CONFIGURACIÓN DE MICROSOFT ISA 2004 8.1. Introducción Una vez realizada la instalación del producto sobre MICROSOFT ISA SERVER 2004 (compatible desde la versión 5.21.03) hay una serie de funcionalidades que por defecto no funcionan debido a que MICROSOFT ISA SERVER 2004 ya no es meramente un PROXY sino que es un FIREWALL con funciones de PROXY. Para que el producto funcione debemos establecer diversas reglas en la configuración de MICROSOFT ISA SERVER 2004. 8.2. ACCESO A LOS SERVIDORES ACTUALIZACIONES DE OPTENET DE LICENCIAS Y Por defecto el servidor MICROSOFT ISA SERVER 2004 debe tener todos los accesos cortados, por lo que si OPTENET WEB FILTERING intenta conectarse con la central de licencias de optenet (http://www.edunet.es) para saber el estado de la licencia nos avisará que no hay acceso al mismo mostrando como “Estado de la licencia” el valor “Desconocido”. 120 Del mismo modo si intentamos actualizar la base de datos del producto, ya sea manualmente como en cualquiera de los reintentos automáticos que realiza el producto nos avisará que no hay acceso a las bases de datos mostrando en “Estado de la actualización total” el valor “Error trayendo datos”. 121 Para que los accesos a la central de licencias se hagan correctamente hace falta autorizar al servidor MICROSOFT ISA SERVER 2004 hacia esa dirección: http://www.edunet.es/* Del mismo modo para que las actualizaciones puedan realizarse correctamente hace falta autorizar al servidor MICROSOFT ISA SERVER 2004 hacia las direcciones de bases de datos de OPTENET: http://cachem.optenet.com/* http://cachemiami.optenet.com/* http://cachess.optenet.com/* 122 Para ello creamos una regla que permita el acceso a todos estos servicios desde el servidor MICROSOFT ISA SERVER 2004. 8.3. ACCESO A LA PÁGINA DE BLOQUEO POR DEFECTO Por defecto el servidor MICROSOFT ISA SERVER 2004 tiene todos los accesos cortados, por lo que si desde un cliente que tiene permisos de navegación hacia el exterior, se produce el intento de acceso a una página no permitida, éste será redireccionado hacia la página de bloqueo por defecto. Ésta página se define en la pestaña de “Configuración” dentro de la administración web del producto OPTENET WEB FILTERING. El valor por defecto es “local” 123 y éste apunta hacia el propio servidor MICROSOFT ISA SERVER 2004 en el puerto 10237 donde el producto OPTENET WEB FILTERING tiene alojada ésta página. Debido a que no tenemos definida ninguna regla que permita llegar a éste puerto las peticiones de bloqueo no serán mostradas correctamente y se mostrará una página como esta: Para que esto no ocurra creamos una regla que permita el acceso a todos los usuarios con derecho de navegación hacía el puerto 10237 de la máquina donde está el servidor MICROSOFT ISA SERVER 2004. 124 Así podremos ser bloqueados y llegar a la página correcta de bloqueo. 125
Documentos relacionados
OPTENET Mail Filter Gateway
; La mayor enciclopedia de virus del sector con más de 100.000 registros. ; Para asegurar la máxima protección del correo de los usuarios ante amenazas de virus, la solución Mail Filter Gateway de...
Más detalles