MANUAL DE OPTENET -FILTRADOR DE WEBS EN SERVIDORES-

OPTENET Server 5.21

Windows/Linux/Solaris/Aix/MacOS

Manual de Usuario

Versión de documento Creado por Optenet Dpto. de I + D y Marketing Última actualización: 01.09.2004

Manual de Usuario Optenet Server. Versión 5.21 2

ÍNDICE

1. INTRODUCCIÓN.......................................................................................... 6

2. NUEVAS CARACTERÍSTICAS DE LA VERSIÓN 5.21 ................................................. 8

3. INSTALACIÓN ............................................................................................ 9

3.1. REQUISITOS DEL SISTEMA ............................................................................... 9 3.1.1. En sistemas Windows ........................................................................ 9 3.1.2. En sistemas Linux ............................................................................ 9 3.1.3. En sistemas Solaris ........................................................................... 9 3.1.4. En sistemas AIX ............................................................................... 9 3.1.5. Para Mac OS X................................................................................. 9

3.2. INSTALACIÓN..........................................................................................10 3.2.1. En sistemas Windows: ......................................................................10

3.2.1.1. Integración con Microsoft ISA-Server ..................................................17 3.2.1.2. Integración con Microsoft Proxy Server ...............................................19 3.2.1.3. Integración con proxy ICAP (modo ICAP)..............................................19 3.2.1.4. Sin proxy adicional (modo Stand-Alone) ..............................................20 3.2.1.5. Información específica para Windows 98 y WindowsMe............................20

3.2.2. En sistemas Linux, Solaris y AIX: .........................................................20 3.2.2.1. Instalación de OPTENET como servidor ICAP (modo ICAP) .........................21 3.2.2.2. Instalación de OPTENET con SQUID (modo SQUID) ..................................21

3.2.3. Para Mac OS X................................................................................22 3.2.4. Sistema de archivos instalados por OPTENET ..........................................26

3.3. ARRANQUE Y PARADA..................................................................................28 3.3.1. En sistemas Windows: ......................................................................28

3.3.1.1. Inicio y parada del filtro bajo Windows NT, XP, 2000 y2003 ......................28 3.3.1.2. Inicio y parada del filtro bajo Windows 98 ...........................................28 3.3.1.3. El plugin para Microsoft ISA Server....................................................28 3.3.1.4. El plugin para Microsoft Proxy Server .................................................29 3.3.1.5. OPTENET Proxy............................................................................30

3.3.2. En sistemas Linux, Solaris y AIX: .........................................................30 3.3.3. Para Mac OS X : ..............................................................................31

3.4. ARRANQUE Y PARADA AUTOMÁTICOS JUNTO AL SISTEMA ................................................31 3.4.1. En sistemas Windows: ......................................................................31 3.4.2. En sistemas Linux: ..........................................................................32 3.4.3. En sistemas Solaris ..........................................................................32 3.4.4. En sistemas AIX ..............................................................................32 3.4.5. Para Mac OS X : ..............................................................................33

3.5. CONFIGURACIÓN DE UN APPLIANCE BLUECOAT PARA QUE UTILICE OPTENET COMO SISTEMA DE FILTRADO

(ICAP) 33 3.5.1. Crear un servicio de modificación de petición (REQMOD)............................33 3.5.2. Crear un servicio de modificación de respuesta (RESPMOD).........................34 3.5.3. Establecer una política de acceso web ..................................................35 3.5.4. Establecer una política de contenidos web .............................................36

3.6. CONFIGURACIÓN DE UN NETCACHE PARA QUE UTILICE OPTENET COMO SISTEMA DE FILTRADO .........38 3.6.1. Crear un servicio de modificación de petición (REQMOD)............................38 3.6.2. Crear un servicio de modificación de respuesta (RESPMOD).........................38

4. CONCEPTOS BÁSICOS................................................................................. 42


4.1. USUARIO..............................................................................................42 4.2. GRUPO ...............................................................................................42 4.3. DIRECCIÓN IP .........................................................................................42 4.4. URL..................................................................................................43 4.5. CATEGORÍA ...........................................................................................43 4.6. REGLA ................................................................................................43

5. ADMINISTRACIÓN...................................................................................... 44

5.1. INTRODUCCIÓN........................................................................................44 5.2. DOCUMENTACIÓN .....................................................................................46 5.3. CONFIGURACIÓN ......................................................................................47

5.3.1. Estado Filtro .................................................................................48 5.3.2. Página de bloqueo...........................................................................48 5.3.3. Directorio logs ...............................................................................50 5.3.4. Configuración de log........................................................................50

5.3.4.1. Encriptación de información sensible .................................................50 5.3.4.2. Registrar en log ...........................................................................50 5.3.4.3. Número de días de información a guardar............................................50 5.3.4.4. Campos del log............................................................................51

5.4. AUTENTICACIÓN.......................................................................................51 5.4.1. Origen de datos(usuarios y/o grupos) ...................................................52

5.4.1.1. LDAP ........................................................................................52 5.4.1.2. Dominios Windows........................................................................55 5.4.1.3. OPTENET Proxy............................................................................57 5.4.1.4. Squid NCSA.................................................................................58

5.4.2. Activar autenticación propia ..............................................................58 5.4.3. Nombre o IP del servidor...................................................................60 5.4.4. Puerto .........................................................................................60 5.4.5. Intervalo de petición de la autenticación...............................................61

5.5. CATEGORÍAS ..........................................................................................61 5.6. CLASIFICACIÓN URLS .................................................................................62 5.7. REGLAS DE FILTRADO .................................................................................64

5.7.1. Cambiar Nombre ............................................................................65 5.7.2. Acción .........................................................................................66 5.7.3. Categorías ....................................................................................66 5.7.4. Ficheros .......................................................................................67 5.7.5. IPs..............................................................................................68 5.7.6. Usuarios.......................................................................................69 5.7.7. Grupos de usuarios..........................................................................70 5.7.8. Tiempo máximo de navegación ...........................................................70 5.7.9. Horarios.......................................................................................71 5.7.10. URLs Yes ......................................................................................72 5.7.11. URLs Not ......................................................................................72 5.7.12. Ejemplo de utilización de reglas .........................................................73

5.7.12.1. Regla para el jefe ........................................................................74 5.7.12.2. Regla para bloquear prensa y deportes en horario laboral .......................74

5.8. ACTUALIZACIONES.....................................................................................74 5.8.1. A través de proxy ...........................................................................75 5.8.2. Frecuencia de actualizaciones ............................................................75 5.8.3. Consolidación a disco .......................................................................75 5.8.4. Recarga absoluta de listas .................................................................76

5.9. INFORMES.............................................................................................76 5.10. IDENTIFICACIÓN ADMINISTRADOR ......................................................................78 5.11. BLOQUEOS POR INTENTOS REPETIDOS ..................................................................80 5.12. GESTIÓN EN CLUSTER .................................................................................81

5.12.1. Activar/Desactivar gestión en cluster ...................................................81


5.12.2. Clusters .......................................................................................84 5.12.2.1. Nuevo.......................................................................................84 5.12.2.2. Modificar ...................................................................................85 5.12.2.3. Borrar.......................................................................................85 5.12.2.4. Conectar ...................................................................................85 5.12.2.5. Informe.....................................................................................85

5.12.3. Servidores ....................................................................................86 5.12.3.1. Nuevo.......................................................................................86 5.12.3.2. Modificar ...................................................................................88 5.12.3.3. Borrar.......................................................................................88 5.12.3.4. Conectar ...................................................................................89 5.12.3.5. Informe.....................................................................................89

5.13. INFORMACIÓN DEL SISTEMA ............................................................................90

6. PROBLEMAS MÁS COMUNES ......................................................................... 92

6.1. APARECE EL MENSAJE OPTENET SERVER ERROR... CUANDO INTENTO NAVEGAR ..........................92 6.2. NO SE LOGRA ARRANCAR EL FILTRO....................................................................92 6.3. NO APARECEN LOS USUARIOS AL PULSAR EL BOTÓN REFRESCAR .........................................93

ANEXOS ......................................................................................................... 94

1. ADMINISTRACIÓN DE OPTENET SERVER A TRAVÉS DE UNA CONEXIÓN SEGURA (SOLO PLATAFORMA LINUX)......................................................................................... 95

2. ADMINISTRACIÓN DE OPTENET A TRAVÉS DE LA LÍNEA DE COMANDOS (OPTENET CLI V1.0) 97

2.1. INTRODUCCIÓN........................................................................................97 2.2. UTILIZACIÓN .......................................................................................97

2.2.1. Ejecución .....................................................................................97 2.2.2. Ayuda..........................................................................................98 2.2.3. Comandos.....................................................................................98 2.2.4. Fichero de script ............................................................................99 2.2.5. Salida........................................................................................ 100 2.2.6. Fichero de configuración................................................................. 100

2.3. REFERENCIA DE COMANDOS.......................................................................... 101 2.3.1. Configuración .............................................................................. 101

2.3.1.1. Saveconfig ............................................................................... 101 2.3.2. Autenticación .............................................................................. 101

2.3.2.1. Saveauthen .............................................................................. 101 2.3.3. Autenticación LDAP ....................................................................... 102

2.3.3.1. Delauthencache......................................................................... 102 2.3.3.2. Sortldap .................................................................................. 102 2.3.3.3. Delldap ................................................................................... 102 2.3.3.4. Saveldap.................................................................................. 102

2.3.4. Clasificación Urls.......................................................................... 103 2.3.4.1. Saveurlclas............................................................................... 103 2.3.4.2. Adduserurl ............................................................................... 103 2.3.4.3. Deluserurl ................................................................................ 103

2.3.5. Reglas de filtrado ......................................................................... 103 2.3.5.1. Addrule ................................................................................... 103 2.3.5.2. Sortrules.................................................................................. 103 2.3.5.3. Delrule.................................................................................... 103 2.3.5.4. Renrule ................................................................................... 103 2.3.5.5. Addips .................................................................................... 104


2.3.5.6. Delips ..................................................................................... 104 2.3.5.7. Savecat ................................................................................... 104 2.3.5.8. Addurlyes ................................................................................ 104 2.3.5.9. Delurlyes ................................................................................. 104 2.3.5.10. adduser................................................................................... 104 2.3.5.11. Deluser ................................................................................... 104 2.3.5.12. Addhours ................................................................................. 104 2.3.5.13. Delhours.................................................................................. 105 2.3.5.14. Saveday................................................................................... 105 2.3.5.15. Addurlnot ................................................................................ 105 2.3.5.16. Delurlnot ................................................................................. 105 2.3.5.17. Savefile................................................................................... 105

2.3.6. Actualizaciones ............................................................................ 105 2.3.6.1. Saveact ................................................................................... 105

2.3.7. Identificación administrador ............................................................ 106 2.3.7.1. Addadmin ................................................................................ 106 2.3.7.2. Saveadmin ............................................................................... 106 2.3.7.3. Deladmin ................................................................................. 106

2.3.8. Gestión en cluster......................................................................... 107 2.3.8.1. Cluster.................................................................................... 107 2.3.8.2. Addcluster ............................................................................... 107 2.3.8.3. Savecluster .............................................................................. 107 2.3.8.4. Delcluster ................................................................................ 107 2.3.8.5. Addserver ................................................................................ 107 2.3.8.6. Saveserver ............................................................................... 107 2.3.8.7. Delserver ................................................................................. 108

2.3.9. Informes .................................................................................... 108 2.3.9.1. StoreReporter ........................................................................... 108

2.4. PROBLEMAS MÁS COMUNES .................................................................... 108 2.4.1. No logra arrancar OPTENET CLI......................................................... 108 2.4.2. Se muestra un mensaje de error al ejecutar un comando ......................... 108 2.4.3. Ejecuta un comando pero no se refleja su cambio en OPTENET Server.......... 109

3. CONFIGURACION DEL PROXY OPTENET .........................................................109

3.1. CONFIGURACIÓN DE UN PROXY ENCADENADO (CONFIGURACIÓN PROXY) .............................. 110 3.2. ADMINISTRACIÓN DEL OPTENET SERVER (ADMINISTRACIÓN OPTENET SERVER) ........................ 110 3.3. CONFIGURACIÓN DEL PUERTO (PUERTO PROXY) ..................................................... 111

4. DESCRIPCIÓN DE LAS CATEGORÍAS DE OPTENET ..............................................112

5. ICAP NOW .............................................................................................114

6. MONITORIZACIÓN SNMP (SÓLO PLATAFORMA LINUX) ........................................116

6.1.1. Ejecución del agente SNMP .............................................................. 116 6.1.2. Arranque automático ..................................................................... 117 6.1.3. Configuración del agente ................................................................ 117

7. RECARGAR.............................................................................................117


1. INTRODUCCIÓN OPTENET es un sistema de filtrado que permite optimizar los recursos de Internet de la empresa y el tiempo empleado en su utilización. Instalándolo en el servidor que da conexión a su red conseguirá filtrar aquellas páginas de Internet que considere inadecuadas así como monitorizar los accesos de sus usuarios. Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre con un proxy. El proxy garantiza que todas las peticiones web de la red pasen por él por lo que OPTENET Server no tendrá más que acoplarse al proxy, para filtrar toda la red. Si la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el proxy dichas peticiones no se podrán filtrar de ninguna manera. El proceso mediante el cual OPTENET se comunica con el proxy se consigue instalando una extensión (a partir de este momento plugin) en dicho proxy o configurando su cliente ICAP si es que dicho proxy tiene implementado ese protocolo. Cuando un usuario intenta acceder a una página web éste solicita la página al proxy. Al llegar al proxy la petición es capturada por el plugin de OPTENET Server y decide si dicha petición debe permitirse o no. Para tomar esta decisión el servicio de OPTENET Server se basa en un conjunto de reglas que define el administrador según los siguientes criterios:

Página solicitada (URL, tipo de archivo o tipo de contenido). Usuario que realiza la petición (nombre y dirección IP) y grupo/s al que

pertenece. Momento en que se realiza la petición (día de la semana y hora). Tipo de ficheros (música, vídeo, ejecutables,...). Y también ofrece la posibilidad de definir manualmente las listas de URLs sobre

las que podremos permitir o bloquear el acceso. Si el conjunto de reglas establece que la página solicitada debe permitirse la página se muestra tal cual en el navegador del usuario. Por el contrario, si se decide que la petición debe denegarse, al usuario se le muestra otra página que le advierte del bloqueo ocurrido. A su vez este bloqueo queda registrado para una posible monitorización del uso de la red. La característica principal de OPTENET Server consiste en la categorización de contenidos que ofrece el sistema. Mediante la combinación de una base de datos de URLs previamente clasificados y un analizador de contenidos OPTENET Server es capaz de clasificar las páginas web en varias categorías que pueden combinarse a la hora de definir las reglas de filtrado. OPTENET Server puede funcionar como un servidor ICAP integrándose con todo tipo de appliances o caches que soporten dicho protocolo (instalándose en plataformas Windows, Linux, Solaris y Aix), también puede instalarse junto con el proxy SQUID 2.5 en plataformas Linux, Solaris y Aix también puede instalarse junto a un Microsoft ISA Server, Microsoft Proxy Server o con el proxy OPTENET en plataformas Windows. Su tecnología líder en la selección y filtrado de accesos a Internet va a permitir controlar al máximo el uso que de Internet realicen todos los puestos conectados a la red.


Para gestionar el acceso a Internet OPTENET cuenta con cuatro niveles de filtrado: ♦ Filtrado en función de análisis semántico del texto que aparece en la página web.

OPTENET analiza cada página en el momento de su descarga desde Internet, permitiendo con ello un mayor nivel de seguridad.

♦ Filtrado basado en listas predefinidas con direcciones clasificadas manualmente por especialistas.

♦ Filtrado basado en análisis de URL. ♦ Filtrado basado en listas predefinidas por el propio usuario. Además, OPTENET Server cuenta con las siguientes características: ♦ Actualización automática de las listas. ♦ Personalización de las listas predefinidas. ♦ Administración vía WWW multidioma (inglés, francés, español)


2. NUEVAS CARACTERÍSTICAS DE LA VERSIÓN 5.21 Estas son las nuevas características y mejoras que presenta la versión 5.21 respecto a su predecesora la 5.20 • Distribuye la nueva versión de la herramienta de informes (OPTENET Reporter

2.10.). Dicha herramienta puede instalarse en el mismo servidor del filtro o en otro diferentes (opción recomendada para instalaciones con gran volumen de tráfico) siendo capaz de recopilar los logs de varios filtros. Para más información leer el manual del Optenet Reporter.

• Integración con Firewall One. • El número de categorías pre-establecidas en el filtro más aquellas añadidas por el

administrador ha sido incrementado hasta 128 categorías en total.


3. INSTALACIÓN

En la presente sección se describe la instalación de OPTENET y los requisitos necesarios en el sistema Windows, Linux o Solaris en los que se vaya a instalar OPTENET.

3.1. Requisitos del sistema

3.1.1. En sistemas Windows

♦ Microsoft Windows 98 / Me / NT / 2000 / XP / 2003. ♦ OPTENET recomienda la instalación en sistemas Windows Servidor (NT / 2000 / 2003)

debido a la mayor estabilidad de estos últimos. Además en dichos sistemas el software se instala como servicio pudiéndose arrancar y parar con mayor facilidad. Último Service Pack de Windows recomendado.

♦ El equipo depende del número de usuarios, pero se recomienda una CPU de al menos 266Mhz y 128 Mbytes de memoria RAM.

3.1.2. En sistemas Linux

♦ Kernel Linux 2.4.0 o superior. ♦ Glibc 2.0.7 o superior, debido al soporte de threads. ♦ Servicio portmap, necesario para la comunicación RPC (si se instala para funcionar

junto con SQUID) ♦ Recomendado Red Hat Linux 7.0 o superior. ♦ El equipo depende del número de usuarios, pero se recomienda una CPU de al menos

266Mhz y 128 Mbytes de memoria RAM.

3.1.3. En sistemas Solaris

♦ Solaris 2.6 o superior ♦ Servicio rpcbind, necesario para la comunicación RPC (si se instala para funcionar

junto con SQUID). ♦ El equipo depende del número de usuarios, pero se recomienda una Sun UltraSPARC

de al menos 200Mhz y 128 Mbytes de memoria RAM.

3.1.4. En sistemas AIX

♦ AIX 4.3. ♦ Servicio portmap para comunicación RPC. ♦ El equipo depende del número de usuarios, pero se recomienda un PowerPC de al

menos 200 MHz y 128 Mbytes de memoria RAM. ♦ GNU tar y gzip para descomprimir archivos. ♦ Librerías de runtime de gcc 3.2.1 para AIX.

3.1.5. Para Mac OS X

♦ Mac OS X 10.3.3 o posterior.


♦ Servicio portmap para la comunicación RPC (ya incluido en Mac OS X). ♦ El equipo depende del número de usuarios pero se recomienda la utilización de un

procesador G4 y de 256 Mo de memoria RAM.

3.2. Instalación

Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre con un proxy. El proxy centraliza el acceso a Internet de todos los usuarios que lo utilicen por lo que OPTENET Server no tendrá más que acoplarse al proxy para filtrar toda la red. Si la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el proxy dichas peticiones no se podrán filtrar de ninguna manera. Además al final de la instalación de OPTENET Server se le da la posibilidad de instalar OPTENET Reporter, herramienta que le permite sacar informes del uso de Internet.

3.2.1. En sistemas Windows:

Para instalar OPTENET Server en su servidor ejecute el programa OPTENET-5.21.00-2.10.00.exe (o versión posterior). Por defecto el instalador arranca en el idioma de su sistema operativo, y en caso de no ser este uno de los 3 idiomas disponibles, arrancará en inglés. Este ejecutable incluye OPTENET Server y OPTENET Reporter. Una vez finalizada la instalación de OPTENET Server, se le da la posibilidad de instalar OPTENET Reporter. Puede utilizar este ejecutable para instalar únicamente uno de los dos productos. Para más información sobre OPTENET Reporter (instalación, configuración,...) consulte el manual correspondiente. A continuación se detalla el proceso de instalación de OPTENET Server únicamente. La primera pantalla que se le muestra es para seleccionar el idioma durante la instalación tal y como se ve en la siguiente figura.


Figura 3.1: Idioma de la instalación de OPTENET Server.

Se muestra a continuación una ventana donde se pregunta si desea instalar OPTENET Server. Conteste afirmativamente. Seguidamente se le pedirá el directorio de instalación del software (vea la Figura 3.2). Por defecto se utiliza el directorio C:\Archivos de programa\OPTENET pero puede escoger cualquier otro. Si el directorio escogido no existe será creado por el programa de instalación.

Figura 3.2: Directorio de instalación de OPTENET Server.

Pulsando el botón siguiente se le permitirá seleccionar el protocolo de comunicación mediante el cual OPTENET Server se comunicará con el proxy. Para cada protocolo, se muestran los proxies que trabajan con dicho protocolo.


Figura 3.3: Protocolo de comunicación entre OPTENET Server y el proxy.

Si ha seleccionado RPC en la pantalla anterior entonces puede configurar OPTENET Server para que trabaje con un proxy Microsoft (ISA Server, MS Proxy Server) o con OPTENET Proxy.

Figura 3.4: Proxies de Microsoft u OPTENET proxy.

A continuación, debe seleccionar el idioma por defecto de OPTENET Server (Administración web, Herramienta de informes, logs,...).


Figura 3.5: idioma por defecto de OPTENET Server.

Pulsando el botón Siguiente el programa de instalación instalará todos los elementos de OPTENET Server y configurará el servidor para que ejecute OPTENET Server la próxima vez que se inicie (vea la siguiente figura).

Figura 3.6: Copiando OPTENET Server.

Por último, el instalador le preguntará si desea instalar OPTENET Reporter. Si no lo desea se le pedirá reiniciar el ordenador. Es necesario reiniciarlo para el correcto funcionamiento de OPTENET Server.

Grupo de programas

OPTENET Server crea un nuevo Grupo de programas con sus elementos más característicos.


• Contribución: Si escoge este elemento podrá enviar a OPTENET alguna página de Internet a la que cree que se debe restringir el acceso.

• Desinstalar OPTENET Server: Este elemento desinstala OPTENET Server de su

ordenador. • Administración: Si escoge este elemento se le abrirá un navegador y se

conectará a la Administración WWW de OPTENET Server.

• Home OPTENET: Este elemento le abrirá un navegador y se conectará a la página web de OPTENET: http://www.optenet.com.

• Manual de usuario:: Este elemento le permitirá acceder a la última versión

online del manual de OPTENET Server.

Registro de Windows

Para el correcto funcionamiento de OPTENET Server el proceso de instalación realiza una serie de modificaciones al Registro de Windows. Para guardar los parámetros básicos de OPTENET Server el programa de instalación añade la clave HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\ CheckData Si tiene instalado OPTENET Server, junto a un Proxy Server o ISA Server de Microsoft y además tiene instalado un antivirus que funciona como un plugin ISAPI de dichos proxies deberá actualizar esta clave con el valor FALSE. En el resto de los casos (valor por defecto) esta clave llevará el valor TRUE. DownloadContent Flag que indica a OPTENET Server si debe pedir contenido cuando está integrado con PIX, Border Manager y CheckPoint. Por defecto “TRUE”, es decir pide contenido. FilterServer Servidor donde se ejecuta el servicio de OPTENET Server y al que el plugin de OPTENET Server debe enviar los datos. El valor por defecto es 127.0.0.1 (máquina local). IcapClients Identifica el número de clientes icap a la hora de integrarse con un servidor ICAP (NetCache, BlueCoat). Por defecto 1. IcapPort Puerto de escucha del servidor ICAP. El puerto por defecto es 1344. IcapServices Indica el número de servicios ICAP que se van a utilizar del filtro. Su valor por defecto es 2. OPTENET Server lo utiliza junto al IcapClients para saber cuántos hilos necesitará lanzar en su servidor ICAP. InstallDir Directorio de instalación de OPTENET Server.. Language Identificador del idioma de OPTENET Server y que se seleccionó durante el proceso de instalación. (eng, esp, fra) ManagerPort Puerto de escucha de la Administración WWW de OPTENET Server Server. El puerto por defecto es 10237. Mode Modo de comunicación entre OPTENET Server y el proxy. Puede tener dos valores: RPC, ICAP, PIX, UFP, BM, OPT. Proxy Identificador del proxy con el que esta integrado OPTENET Server (ICA, PIX, BMA, OPT, MSP,UFP).


RemoveDomain Flag que indica a OPTENET Server como identificar los usuarios y grupos. Con su nombre (“TRUE” por defecto) o utilizando el nombre del dominio por delante (“FALSE”, es decir nombredominio\nombreusuario) Version Identifica la versión de OPTENET Server que tiene actualmente instalada. SendIpUser Indica a OPTENET Server si debe enviar como parámetros de la página de stop el usuario y la ip del cliente a quién se le ha parado la página. Por defecto su valor es FALSE. LogServerPort Puerto de escucha de OPTENET Server para las petiones de logs que hace OPTENET Reporter. El puerto por defecto es 10239. LogServerClients Número de hilos que lanzará OPTENET Server para atender las petiones de logs que hace OPTENET Reporter. Por defecto es 5. Para guardar los parámetros básicos de OPTENET Proxy, el proceso de instalación añade la clave HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Proxy InstallDir Directorio de instalación de OPTENET Server..

Datos del sistema

Para que OPTENET Server, OPTENET Reporter y OPTENET Proxy puedan ejecutarse como un servicio de Windows, utilizar el Visor de sucesos y desinstalarse correctamente, el proceso de instalación de OPTENET añade una serie de claves entre los datos del sistema que se almacenan en el Registro de Windows: - HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET Los datos necesarios para que OPTENET Server pueda ejecutarse como un servicio. En Windows98 y WindowsMe esta entrada del registro no se añade debido a que no hay servicios. - HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET Proxy Los datos necesarios para que OPTENET Proxy pueda ejecutarse como un servicio. En Windows98 y WindowsMe esta entrada del registro no se añade debido a que no hay servicios. - HKEY LOCAL MACHINE\SYSTEM\Current ControlSet\Services\ Eventlog\Application\OPTENET Los datos necesarios para que OPTENET Server pueda utilizar el Visor de sucesos para informar de sus problemas. - HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Current Version\ Uninstall\OPTENET Server Los datos necesarios para que OPTENET Server pueda desinstalarse correctamente.


Figura 3.8: Parámetros de OPTENET Server en el Registro de Windows.

Elementos de OPTENET Server

Los elementos instalados como OPTENET Server se dividen en dos partes principales: Una que se encarga de la captura de peticiones a Internet, y otra, que gestiona el filtrado de dichas peticiones. El primer elemento depende del proxy que se utilice. En los siguientes apartados se detalla este tema. El segundo elemento de OPTENET Server es un servicio/proceso de Windows que analiza las peticiones que recibe del plugin de OPTENET Server instalado junto al proxy o del cliente ICAP del proxy y decide si dichas peticiones deben permitirse o no. En el caso de que se trate de un servicio (NT, XP, 2000, 2003), puede ver si se ha instalado correctamente en los Servicios de Windows (vea la Figura 3.9) Puede realizar la misma comprobación para OPTENET Reporter y OPTENET Proxy.


Figura 3.9: Servicio de OPTENET Server.

3.2.1.1. Integración con Microsoft ISA-Server

El elemento encargado de la captura de peticiones es denominado OPTENET plugin, como ya se mencionó en la Introducción. Es un Filtro Web que se añade a Microsoft ISA Server. Puede ver si se ha instalado correctamente desde la Administración del servidor ISA (vea la Figura 3.10).


Figura 3.10: Plugin de captura de datos de OPTENET Server.

Microsoft Web Proxy

Microsoft Web Proxy es el proxy que se instala con Microsoft ISA Server. Es un servicio Windows y como tal puede manejarse mediante la administración de servicios de Windows. OPTENET Server trabaja en estrecha relación con Microsoft Web Proxy: sólo puede filtrar aquellas peticiones que pasen por el mismo. Por lo tanto, si tiene instalado Microsoft ISA Server pero no hace uso de Microsoft Web Proxy, OPTENET Server no realizará ningún tipo de filtrado. Para que los ordenadores utilicen Microsoft Web Proxy la forma más habitual consiste en configurar sus navegadores para este fin. Puede consultar la documentación de Microsoft ISA Server para establecer un navegador como cliente de Microsoft Web Proxy. Si no quiere configurar los navegadores para el uso de Microsoft Web Proxy pero utiliza Microsoft ISA Server como Servidor de seguridad o Servidor SecureNAT de su red puede encadenar el Servidor de seguridad y el Servidor SecureNAT Microsoft Web Proxy mediante el Filtro redirector de HTTP. De este modo también conseguirá que las peticiones web pasen por Microsoft Web Proxy y puedan filtrarse por OPTENET Server. Puede consultar la documentación de Microsoft ISA Server para obtener más información acerca de esta posibilidad.

Comunicación entre Microsoft Web Proxy y OPTENET Server

Para que se puedan filtrar las peticiones que pasan por Microsoft Web Proxy OPTENET Server añade un Filtro Web a Microsoft ISA Server (vea la Figura 3.10). Dicho filtro Web consiste en un plugin de Microsoft Web Proxy que se encarga de capturar los datos de las peticiones que pasan por el mismo y enviárselos al servicio de filtrado de OPTENET Server. Los datos capturados son:

• La dirección IP del ordenador del que procede la petición


• El usuario que realiza la petición (sólo si Microsoft Web Proxy realiza autenticación)

• La URL de la página solicitada • El contenido de la página solicitada.

Con estos datos el servicio de OPTENET Server comprueba las reglas de filtrado que tenga configuradas y decide si la petición debe permitirse o no. Dependiendo del resultado informa al plugin si debe dejar continuar la petición por su vía normal o por el contrario bloquearla. En caso de bloqueo el servicio de OPTENET Server indica al plugin la página de bloqueo a mostrar en lugar de la página solicitada. La comunicación entre el plugin y el servicio de OPTENET Server se realiza por medio de llamadas a procedimiento remoto (RPC) por lo que es necesario que el servicio RPC esté iniciado.

3.2.1.2. Integración con Microsoft Proxy Server

Para el correcto funcionamiento de OPTENET Server con Microsoft Proxy Server, es importante instalar Proxy Server siguiendo los pasos de instalación recomendados por Microsoft:

1. Instalar Microsoft Windows NT 4.0 Service Pack 3 (No sustituirlo por Windows NT 4.0 Service Pack 4 o versión posterior.)

2. Instalar Microsoft Internet Explorer 4.01 Service Pack 2 sin la interfaz Active Desktop. NOTA: Windows NT Option Pack contiene Internet Explorer 4.01 Service Pack 1, sin embargo recomendamos que instale Internet Explorer 4.01 Service Pack 2 (No sustituirlo por Internet Explorer 5.0 o posterior).

3. Instalar Microsoft Windows NT 4.0 Option Pack. 4. Instalar Microsoft Proxy server 2.0. 5. Instalar Microsoft Windows NT 4.0 Service Pack 4 o Service Pack 5 (No instalar las

actualizaciones Y2K ya que son instaladas por MDAC 2.1 Service Pack 2.) 6. (Opcional) Instalar Microsoft Internet Explorer 5. 7. Instalar MDAC 2.1.2.4202.3, que también es conocido como MDAC 2.1 Service

Pack 2. 8. Instalar Microsoft Windows NT 4.0 Service Pack 6a o posterior.

NOTA: Incluso instalando la última versión de Windows NT service pack en el paso 5, debe reinstalar el último service pack debido a que la instalación de Windows NT Option Pack reemplaza DLLs que son instaladas por el service pack.

9. Instalar Proxy 2.0 Service Pack 1.

3.2.1.3. Integración con proxy ICAP (modo ICAP)

Una vez instalado OPTENET deberá configurar esas caches o appliances para que utilicen el servidor ICAP de OPTENET como sistema de filtrado. (Vea el apartado 3.5)


3.2.1.4. Sin proxy adicional (modo Stand-Alone)

El elemento instalado para la captura de peticiones en la versión stand-alone es el denominado OPTENET Proxy. El OPTENET Proxy es un sencillo proxy distribuido por OPTENET que se lanza al iniciar el sistema operativo. De esta forma se permite el uso del filtro OPTENET sin productos adicionales. Los datos capturados por el OPTENET Proxy son los mismos que los mencionados para el Microsoft Web Proxy. El OPTENET Proxy no necesita un plugin especial y se comunica directamente con el filtro OPTENET a través de llamadas a procedimiento remoto (RPC). Tenga en cuenta que el filtro sólo puede realizar el filtrado si se redirigen las peticiones HTTP a través del proxy. Para eso, hay que inscribir explícitamente el proxy en las configuraciones de los navegadores. Puede consultar el Anexo 4 para saber como configurar OPTENET Proxy.

3.2.1.5. Información específica para Windows 98 y WindowsMe

Como en Windows 98 y Windows Me el concepto servicios de sistema es distinto, tanto OPTENET Server como OPTENET Proxy y OPTENET Reporter, se instalan como procesos habituales y se lanzan automáticamente al iniciar el sistema operativo.

3.2.2. En sistemas Linux, Solaris y AIX:

La distribución de OPTENET consta de los siguientes archivos: ♦ optenet-5.21-00-2.10.00.tgz - El archivo con el software de OPTENET Server y

OPTENET Reporter en sistemas Linux y Aix o optenet-5.21.00-2.10.00.tar.Z en sistemas Solaris.

♦ instalar.sh - El script de instalación. ♦ OPTENETManual.pdf – Documentación de usuario. ♦ OptenetDCAgent2.00.xx.zip – Archivo con el software a instalar en su servidor

Windows, si se está utilizando autenticación de usuarios contra un Dominio NT. instalar.sh es un shell script, por lo que puede abrirse y modificarse según sea necesario. Concretamente, durante la instalación, instalar.sh crea un usuario al que pertenecerá el software de OPTENET. Por defecto este usuario se llama optenet pero puede editar instalar.sh y cambiar el nombre. También puede modificar el directorio raíz del usuario, es decir, el directorio de instalación de OPTENET (/usr/local/optenet por defecto). El usuario se crea sin password pero puede asignarle una mediante la orden passwd. Lo mismo sucece si decide instalar también OPTENET Reporter. Por defecto se creará el usuario reporter con su directorio de instalación (/usr/local/reporter).


Después de crear el usuario, el script de instalación descomprime el archivo optenet-5.21.tgz en el directorio de instalación y personaliza los scripts de OPTENET. Durante el proceso de instalación, el instalador le preguntará si desea que OPTENET funcione como servidor ICAP para integrarse con Appliances que soporten dicho protocolo, o bien para integrarse con Border Manager de Novell o bien con Cisco PIX Firewall o que se integre con el SQUID que se distribuye junto con el mismo.

3.2.2.1. Instalación de OPTENET como servidor ICAP (modo ICAP)

La opción ICAP deben elegirla cuando OPTENET se va a instalar en una red que ya tiene caches o appliances (por ejemplo máquinas NetCache o BlueCoat) que soportan el protocolo ICAP 1.0. En este caso los scripts de arranque de OPTENET se crearán de forma que OPTENET arranque su servidor ICAP a la espera de recibir peticiones de filtrado a través del mismo. Una vez instalado OPTENET deberá configurar esas caches o appliances para que utilicen el servidor ICAP de OPTENET como sistema de filtrado. (Vea el apartado 3.5)

3.2.2.2. Instalación de OPTENET con SQUID (modo SQUID)

La opción SQUID instala junto a OPTENET una versión del proxy SQUID modificada para que se comunique con OPTENET vía RPC (Remote Procedure Call) cada vez que atienda una petición de conexión a Internet. En este caso los scripts de arranque de OPTENET son modificados para que arranque simultáneamente a OPTENET y SQUID. Aunque SQUID escucha peticiones por defecto en el puerto 8080 puede cambiar este puerto editando el archivo squid/etc/squid.conf del directorio de instalación y modificando la etiqueta http_port. El archivo squid/etc/squid.conf permite configurar muchos aspectos del funcionamiento de SQUID. Le recomendamos que lo lea con detenimiento y que lo ajuste a sus necesidades. Una vez arrancado OPTENET deberá configurar los navegadores de su red para que utilice SQUID como proxy y de esta forma pueda llevar a cabo el filtrado. Con la instalación en modo SQUID por defecto, éste no reconoce usuarios. Para configurar Squid con la opción de reconocimiento de usuarios deberemos editar el archivo squid/etc/squid.conf, descomentar el tag auth_param con la autenticación que nos interese, añadir una entrada en las ACL (access control list) y permitir en el acceso dicha entrada. Por ejemplo, si se quiere activar el modelo de autenticación básica basada en un fichero de texto con los usuarios y sus claves hay que añadir las siguientes líneas al fichero de configuración: auth_param basic program /usr/local/optenet/squid/libexec/ncsa_auth /usr/local/optenet/squid/etc/passwd auth_param basic children 5 auth_param basic realm OPTENET Server auth_param basic credentialsttl 2 hours acl password proxy_auth REQUIRED http_access allow password http_access deny all


A partir de este momento a cada usuario que quiera acceder a Internet a través del proxy, la primera vez le será requerida una identificación (usuario - password) para poder navegar. Este usuario será el que luego se podrá utilizar a la hora de formar reglas con OPTENET. Por defecto, no hay ningún usuario definido. Podemos crear usuarios utilizando el script de perl situado en el directorio tools/adduser.pl dentro del directorio de instalación, de la siguiente forma:

perl adduser.pl usuario password fichero_password por ejemplo:

# perl adduser.pl luis clave_luis ../squid/etc/passwd

3.2.3. Para Mac OS X

Para Mac OS X, la distribución de OPTENET cuenta con los siguientes ficheros: ♦ optenet-5.21.dmg ♦ OPTENETManual.pdf – Manual de usuario. ♦ OptenetDCAgent2.00.xx.zip –Fichero del software a instalar en el servidor Windows

si se utiliza la autentificación de los usuarios con un dominio NT. Para instalar OPTNET Server en su servidor, haga doble clic sobre optenet-5.21.dmg. Aparecerá un nuevo volumen en el Zinder. Haga doble clic en Optenet.mpkg para iniciar el procedimiento de instalación. El asistente de la instalación se inicia, por defecto, en el mismo idioma que su sistema operativo, y en caso de no ser una de los 3 idiomas disponibles, se iniciará en inglés. A continuación, aparecerá la ventana de bienvenida del software de instalación. Haga clic en Continuar para ver las condiciones generales de utilización.


Figura 3.11: Ventana de bienvenida del software de instalación

Aquí, puede imprimir o grabar las condiciones generales de utilización. Al hacer clic sobre Continuar, se le solicitará la aceptación o el rechazo de estas condiciones de utilización.

Figura 3.12: Ventana de condiciones generales de utilización


Figura 3.13: Ventana de selección del volumen de destino

A continuación, deberá seleccionar el volumen de destino. OPTENET se debe instalar en el volumen del sistema operativo, este volumen está indicado con una flecha verde.

Figura 3.14: Instalación de OPTENET Server y de OPTENET Reporter


Seguidamente podrá iniciar la instalación de OPTENET Server y OPTENET Reporter haciendo clic sobre el botón Instalar. Si sólo desea instalar uno de los componentes, haga clic sobre el botón Personalizar y seleccione el componente deseado.

Figura 3.15: Personalización de la Instalación

Figura 3.16: Fin de la instalación de OPTENET


La instalación del software ha finalizado. OPTENET y su proxy Squid se abren automáticamente al iniciar el sistema.

3.2.4. Sistema de archivos instalados por OPTENET

OPTENET Server instala los siguientes archivos y directorios a partir de su directorio de instalación: manager.html Página HTML que redirige a la Administración WWW de OPTENET Server. optenet.html Página HTML que redirige a la WWW de la empresa OPTENET. - Directorio bin: donde se guardan DLLs y ejecutables de OPTENET Server. optenet.exe El ejecutable del servicio de OPTENET Server en Linux. Optenet_service.exe El ejecutable del servicio de OPTENET Server en Windows NT, Windows 2000, Windows XP y Windows 2003. Optenet_process.exe El ejecutable del servicio de OPTENET Server en Windows 98 y Windows Me. messages.dll La DLL con los mensajes de los sucesos de OPTENET Server. Sólo en Windows. metabase.dll DLL con funciones auxiliares para instalación y desinstalación de OPTENET Server. Sólo en Windows. - Directorio etc: con archivos de configuración de OPTENET Server *.conf Archivos de configuración de OPTENET Server. Estos archivos no deben ser modificados. La configuración se debe realizar exclusivamente a través de la administración WWW de OPTENET. - Directorio files: con las Bases de datos de URLs y los analizadores de OPTENET Server. *useryes.edu Archivos con los URLs pertenecientes a las categorías de usuario. Son archivos de texto simple que pueden modificarse para añadir, modificar o eliminar URLs a mano. *usernot.edu Archivos con los URLs no pertenecientes a las categorías de usuario. Son archivos de texto plano que pueden modificarse para añadir, modificar o eliminar URLs a mano. Junto a los archivos *useryes.edu forman la Base de datos local de URLs. Inicialmente no existirán pero se irán creando según se añadan URLs. list.crp Archivo encriptado y comprimido con el conjunto de listas generales de URLs categorizadas. En el caso de la corrupción de uno de los ficheros *.edu se desempaqueta para recuperar los datos. Este archivo aparece a partir del 2º día. Listxxxx.crp Archivo con la actualización de la Base de datos general de URLs y analizadores de OPTENET Server. Es un archivo comprimido que sólo aparece durante el proceso de recarga de listas completas manual ya que se elimina una vez la actualización se ha completado. - Directorio logs: donde, por defecto, se guardan los logs que genera OPTENET Server. updates.log Archivo con los resultados de las actualizaciones automáticas que realiza OPTENET Server.


requestYYYYMMDD.log Archivo con todas las peticiones y bloqueos HTTP realizadas a través de OPTENET Server que corresponden al día DD del mes MM del año YYYY. Por ejemplo request20040422.log contiene todas las peticiones y bloqueos que OPTENET Server analizó el 22 de abril de 2004. cluster.log Archivo con información referente a la gestión en cluster. actions.log Archivo que guarda el registro de acciones realizadas sobre la administración. - Directorio manager: Contiene los archivos necesarios para las páginas HTML que forman la Administración WWW de OPTENET Server. index.html Página por defecto de la Administración WWW de OPTENET Server. redirige a la Administración WWW. - - Directorio esp: Contiene las páginas de la Administración WWW de OPTENET Server en español. - - Directorio eng: Contiene las páginas de la Administración WWW de OPTENET Server en inglés. - - Directorio fra: Contiene las páginas de la Administración WWW de OPTENET Server en francés. - - Directorio deu: Contiene las páginas de la Administración WWW de OPTENET Server en alemán. - - Directorio ita: Contiene las páginas de la Administración WWW de OPTENET Server en italiano. - - Directorio por: Contiene las páginas de la Administración WWW de OPTENET Server en portugués. - - Directorio eus: Contiene las páginas de la Administración WWW de OPTENET Server en euskera. - - Directorio cgibin: Contiene código JavaScript utilizado por la Administración WWW de OPTENET Server. - - Directorio listclusters: guarda el ejecutable para la gestión en cluster. - - Directorio stop: donde se aloja la página de stop local. Deben existir tantas carpetas como idiomas en los que esté disponible. - Directorio tools con utilidades de OPTENET Server logrotate.bat Utilidad para la rotación de logs de OPTENET Server. Sólo en sistemas Linux y Solaris. optenetcli (cli.conf) Aplicación para administrar OPTENET Server vía línea de comandos. backup.bat Utilidad para facilitar las copias de seguridad de OPTENET Server. restore.bat Utilidad para restaurar las copias de seguridad realizadas mediante la utilidad backup.bat. OptenetSnmp (snmp.conf): Ejecutable del Agente SNMP de OPTENET Server. Sólo en Linux. stunnellauncher Ejecutable para administrar el filtro de forma segura, https. Sólo en Linux. adduser.pl Script que añade un usuario para la Autenticación NCSA con Squid. Sólo con proxy Squid y sistemas Linux.


addplugin.vbs Script que añade el plugin de OPTENET Server a Microsoft ISA Server. Sólo en Windows para ISA Server o Proxy Server. delplugin.vbs Script que borra el plugin de OPTENET Server de Microsoft ISA Server. Sólo en Windows para ISA Server o Proxy Server. Aparte de los archivos que se instalan a partir del directorio de instalación, OPTENET Server instala: - un archivo en el directorio de instalación de Microsoft ISA Server (por defecto C:\Archivos de programa\Microsoft ISA Server). Este archivo se llama optenet.dll y es la DLL que realiza las labores de plugin de captura de datos de OPTENET Server.

3.3. Arranque y parada


3.3.1.1. Inicio y parada del filtro bajo Windows NT, XP, 2000 y2003

La parte principal de OPTENET Server consiste en su servicio de filtrado. Este servicio puede administrarse desde los Servicios de Windows como cualquier otro servicio: puede iniciarse, pararse, establecer su tipo de inicio, etc. (vea la Figura 3.9). El inicio del servicio de OPTENET Server requiere cierto tiempo (alrededor de 3 segundos) durante el cual la CPU del servidor se utiliza casi al 100%: se cargan las Bases de datos de URLs y los analizadores en memoria, se inicia el proceso de actualización automática y la Administración WWW de OPTENET Server. Si ocurre algún problema OPTENET Server escribe un mensaje en el Visor de sucesos del servidor.

3.3.1.2. Inicio y parada del filtro bajo Windows 98

Como en Windows 98 el concepto servicios de sistema es distinto ambas partes, el proxy OPTENET y OPTENET Server se instalan como procesos habituales. Se lanzan al iniciar el sistema operativo.

3.3.1.3. El plugin para Microsoft ISA Server

La otra parte de OPTENET Server, el plugin para la captura de datos, se trata de un Filtro Web de Microsoft ISA Server y puede controlarse desde la Administración del servidor ISA. Al igual que cualquier otro Filtro Web puede habilitarse o deshabilitarse según se necesite (vea la siguiente figura). También podrá iniciarlo o detenerlo mediante el servicio Microsoft Web Proxy (vea la Sección 3.2.1.1).


Figura 3.17: Administración del plugin de captura de datos de OPTENET Server.

Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse separadamente pero para que el filtrado tenga lugar ambas partes deben estar funcionando a la vez correctamente.

3.3.1.4. El plugin para Microsoft Proxy Server

La otra parte de OPTENET Server, el plugin para la captura de datos, se trata de un filtro ISAPI instalado en su servidor Web donde está instalado el Proxy Server. Este puede controlarse desde la Consola de Administración de su Proxy Server. Al igual que cualquier otro filtro ISAPI puede habilitarse o deshabilitarse según se necesite (vea la siguiente figura).


Figura 3.18: Administración del plugin de captura de datos de OPTENET Server para Proxy Server.

Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse separadamente pero para que el filtrado tenga lugar ambas partes deben estar funcionando a la vez correctamente.

3.3.1.5. OPTENET Proxy

En la versión stand-alone está integrado el propio proxy OPTENET que procesa las peticiones HTTP y HTTPS en lugar de Microsoft ISA Server. Está visible por icono en la barra de herramientas. Para el caso de que hay que usar un proxy adicional en cascada hay que introducir su dirección IP y puerto en la ventana de configuración del proxy. Note que para un uso normal sin proxy adicional no es necesario añadir ningún tipo de configuración en este apartado. Consulte el Anexo 4 si desea saber más sobre cómo configurar este proxy.

3.3.2. En sistemas Linux, Solaris y AIX:

Para iniciar OPTENET entre en el sistema como el nuevo usuario creado y ejecute el script filterinit. Dicho script admite los parámetros start, stop y restart. Para iniciar el filtro es preciso ejecutar:


# ./filterinit start

Para pararlo se debe ejecutar:

# ./filterinit stop

Puede reiniciar el filtro ejecutando: # ./filterinit restart

Si tiene algún problema con la instalación puede obtener asistencia técnica escribiendo a [email protected]

3.3.3. Para Mac OS X :

Para iniciar OPTENET, entre en el sistema a través del terminal de usuario. Deberá estar en administrador e introducir la orden siguiente :

# sudo su - optenet Introduzca su contraseña. Este script admite los parámetros start, stop y restart. Para iniciar el filtro, deberá ejecutar :

# ./filterinit start

Para detenerlo, ejecute :

# ./filterinit stop

También puede volverlo a iniciar ejecutando: # ./filterinit restart

Si tiene problemas durante la instalación, puede ponerse en contacto con el servicio técnico en [email protected]

3.4. Arranque y parada automáticos junto al sistema


La configuración por defecto tras la instalación es que el arranque y parada se realicen automáticamente con el sistema. Si no se desea que arranque con el sistema debe ir a la Herramienta del Sistema "Administrador de equipos", y en la sección de "Servicios" hay que modificar el "Tipo de Inicio" del servicio "OPTENET Server" como 'Manual'. (Vea la Figura 3.6)


3.4.2. En sistemas Linux:

La configuración por defecto tras la instalación es que el arranque y parada de OPTENET se realicen automáticamente con el sistema. Para establecer OPTENET como un servicio en el servidor de forma manual y que de esta forma se arranque y se pare automáticamente cada vez que se arranque o se pare el sistema debe conectarse como usuario root y seguir estos pasos: En sistemas Linux con la herramienta chkconfig instalada (Red Hat): # cp /usr/local/optenet/tools/optenet /etc/rc.d/init.d # chkconfig --add optenet Puede consultar que realmente OPTENET ha sido instalado como servicio con la orden:

#chkconfig –list En sistemas Linux que no disponen de la herramienta chkconfig:

# cp /usr/local/optenet/tools/optenet /etc/init.d # cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/S99optenet # cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/K99optenet

3.4.3. En sistemas Solaris

La configuración por defecto tras la instalación es que el arranque y parada de OPTENET se realicen automáticamente con el sistema. Para establecer OPTENET como un servicio en el servidor de forma manual y que de esta forma se arranque y se pare automáticamente cada vez que se arranque o se pare el sistema debe conectarse como usuario root y seguir estos pasos:

# cp /usr/local/optenet/tools/optenet /etc/init.d # link /etc/init.d/optenet /etc/rc2.d/S99optenet # link /etc/init.d/optenet /etc/rc2.d/K99optenet

3.4.4. En sistemas AIX

La configuración por defecto tras la instalación es que el arranque y parada de OPTENET se realicen automáticamente con el sistema. Para establecer OPTENET como un servicio en el servidor de forma manual y que de esta forma se arranque y se pare automáticamente cada vez que se arranque o se pare el sistema debe conectarse como usuario root y seguir estos pasos:

# cp /usr/local/optenet/tools/optenet /etc/rc.optenet # mkitab "optenet:2:once:/etc/rc.optenet. start"


3.4.5. Para Mac OS X :

En la configuración por defecto tras la instalación, OPTENET se inicia y se cierra automáticamente con el sistema. Mac OS X inicia automáticamente OPTENET gracias al script “Optenet” que se encuentra en /Library/StartupItems/Optenet.

3.5. Configuración de un Appliance BlueCoat para que utilice OPTENET como sistema de filtrado (ICAP)

Para que OPTENET pueda comunicarse mediante el protocolo ICAP con su Appliance de BlueCoat éste debe tener instalado el Sistema Operativo Security Gateway 2.1.06 o posterior. A continuación se describe cómo se debe configurar un Appliance de BlueCoat (antes CacheFlow) para que utilice OPTENET cómo sistema de filtrado. Para ello debe seguir estos pasos:

3.5.1. Crear un servicio de modificación de petición (REQMOD)

Conéctese a la administración de su BlueCoat y vaya a la opción ICAP. En la solapa ICAP Services pulse el botón “New” y cree uno de acuerdo a la figura:

Figura 3.19: Creación de un servicio “request modification”en BlueCoat.


En la casilla “ICAP version” debe asignarse la versión 1.0 de ICAP. En el apartado Service URL debe especificar la URL contra las que se enviarán las peticiones ICAP por ejemplo: icap://192.168.0.111/reqmod_bluecoat Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET, y que se utiliza como ruta /reqmod_bluecoat, es IMPORTANTE que mantenga esta nomenclatura para que el servidor ICAP de OPTENET se integre correctamente con su BlueCoat. Ahora debe marcar como método “request modification” y utilizar el botón “Sense settings” para forzar que el BlueCoat se conecte con OPTENET y así obtener automáticamente el resto de los parámetros de configuración del servidor ICAP.

Figura 3.20: Notificación de éxito de obtención de parámetros automática.

Si por alguna razón la comunicación con el servidor ICAP fallase, puede configurar manualmente el resto de los campos. Deberá seleccionar también la casilla “Client address” (disponible a partir de la versión SG 2.1.07) para habilitar el envío en el mensaje ICAP de la dirección IP del cliente que realizó la petición.

3.5.2. Crear un servicio de modificación de respuesta (RESPMOD)

Conéctese a la administración de su BlueCoat y vaya a la opción ICAP. En la solapa ICAP Services pulse el botón “New” y cree uno de acuerdo a la figura: En la casilla “ICAP version” debe asignarse la versión 1.0 de ICAP. En el apartado “Service URL” debe especificar la URL contra las que se enviarán las peticiones ICAP por ejemplo: icap://192.168.0.111/respmod_bluecoat Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET y que se utiliza como ruta /respmod_bluecoat, es IMPORTANTE que mantenga esta nomenclatura para que el servidor ICAP de OPTENET se integre correctamente con su BlueCoat. Ahora debe marcar como método “response modification” y utilizar el botón “Sense settings” para forzar que el BlueCoat se conecte con OPTENET y así obtener automáticamente el resto de los parámetros de configuración del servidor ICAP. Deberá seleccionar también la casilla “Client address” (disponible a partir de la versión SG 2.1.07) para habilitar el envío en el mensaje ICAP de la dirección IP del cliente que realizó la petición.


Figura 3.21: Creación de un servicio “response modification” en BlueCoat.

3.5.3. Establecer una política de acceso web

Una vez definidos los servicios ICAP debemos indicar que todas las peticiones sean redirigidas contra OPTENET. Para ello debe ir a la opción Policy, solapa Visual Policy Manager y botón Start para iniciar el Visual Policy Manager. Una vez iniciado, seleccionamos el menú Edit -> Add Web Access Policy como indica la figura:

Figura 3.22: Creación de una política de acceso en BlueCoat.

Y configuramos la acción de esa nueva política para que a todas las peticiones de todos los clientes utilicen el servicio ICAP que hemos llamado optenetreqmod. De esta forma


estamos indicando al BlueCoat que envíe a OPTENET Server todos los accesos web que se realicen a través de él antes de satisfacerlos para que puedan ser analizados y determinar si deben ser permitidos o denegados.

Figura 3.23: Conexión de la política y el servicio en BlueCoat

Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes de cerrar el Visual Policy Manager.

3.5.4. Establecer una política de contenidos web

OPTENET a diferencia de la mayor parte de sistemas de filtrado analiza el contenido descargado de Internet permitiendo categorizar páginas por su contenido o detectar el verdadero tipo de archivos renombrados. Para ello es necesario que BlueCoat pase a OPTENET el contenido descargado antes de ser devuelto al cliente que lo ha solicitado. Esto se consigue definiendo una política de contenido web. Para ello debe ir a la opción Policy, solapa Visual Policy Manager y botón Start para iniciar el Visual Policy Manager. Una vez iniciado, seleccionamos el menú Edit -> Add Web Content Policy como indica la figura:

Figura 3.24: Creación de una política de contenido en BlueCoat.


Y configuramos la acción de esa nueva política para que los contenidos de todas las peticiones de todos los clientes utilicen el servicio ICAP que hemos llamado optenetrespmod. De esta forma estamos indicando al BlueCoat que todos los contenidos web que se descarguen a través del mismo antes de ser devueltos a los clientes sean enviados a OPTENET para que puedan ser analizadas y determinar si deben ser permitidos o denegados.

Figura 3.25: Conexión de la política y el servicio en BlueCoat.

Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes de cerrar el Visual Policy Manager. Si desea activar la autenticación de usuarios debe lanzar el Visual Policy Manager y crear una Política de autenticación Web. Para más información consulte la documentación de su BlueCoat. Completado este último paso ya tiene configurado su BlueCoat para que utilice OPTENET como sistema de filtrado.


3.6. Configuración de un NetCache para que utilice OPTENET como sistema de filtrado

A continuación se describe cómo se debe configurar un NetCache para que utilice OPTENET cómo sistema de filtrado. Para ello debe seguir estos pasos:

3.6.1. Crear un servicio de modificación de petición (REQMOD)

Conéctese a la administración de NetCache y vaya a la opción Setup ICAP ICAP1.0 En la solapa ServiceFarm pulse el botón “New Service Farm” y cree uno de acuerdo a la Figura 3.20

Figura 3.26: Creación de un servicio REQMOD en NetCache.

En la casilla services debe especificar la URL contra la que se enviarán las peticiones ICAP por ejemplo: icap://192.168.0.111:1344/reqmod_netcache on Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET y que se utiliza como ruta /reqmod_netcache, es IMPORTANTE que mantenga esta nomenclatura para que el servidor ICAP de OPTENET se integre correctamente con su NetCache. Pulse “Commit Changes” para salvar cambios.

3.6.2. Crear un servicio de modificación de respuesta (RESPMOD)

Vuelva a crear un nuevo Service Farm de acuerdo a la siguiente Figura 3.21.


Figura 3.27: Creación de un servicio RESPMOD en NetCache

En la casilla services debe especificar la URL contra la que se enviarán las peticiones ICAP por ejemplo: icap://192.168.0.111:1344/respmod_netcache on Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET y que se utiliza como ruta /respmod_netcache, es IMPORTANTE que mantenga esta nomenclatura para que el servidor ICAP de OPTENET se integre correctamente con su NetCache. La razón de tener que crear dos Service Farms es que OPTENET a diferencia de la mayor parte de sistemas de filtrado analiza el contenido descargado de Internet permitiendo categorizar páginas por su contenido o detectar el verdadero tipo de archivos que han sido renombrados. El primer Service Farm permitirá que cuando NetCache recibe una petición antes de atenderla le pase a OPTENET la URL solicitada para que este pueda decidir si el acceso está permitido. Esta decisión se toma en cuenta comprobando esa URL contra la base de datos de OPTENET y analizando la propia URL. El segundo Service Farm permite que cuando NetCache trae un contenido de Internet, antes de almacenarlo en su caché, le pase a OPTENET dicho contenido. OPTENET lo analizará y decidirá si está permitido o se debe bloquear. Una vez definidos los Services Farm debe indicar a qué peticiones se les aplica el filtro. Para ello debe ir a la opción Access Control List y configurarla de acuerdo a la figura:


Figura 3.28: Configuración de control de accesos conectados a los servicios creados en NetCache.

Es decir, aplicando el filtro a todas las peticiones tanto http como https y ftp. Por último sólo queda habilitar el servicio ICAP desde la pestaña General de acuerdo a la figura 3.29.


Si desea activar la autenticación de usuarios consulte la documentación de su NetCache.

Figura 3.29: Habilitado de los servicios creados en NetCache.


4. CONCEPTOS BÁSICOS

A continuación se van a explicar unos conceptos básicos que son necesarios para poder administrar correctamente OPTENET. Dichos conceptos aparecerán en la parte de administración.

4.1. Usuario

Dado que OPTENET se comunica con un proxy (como Squid, ISA o proxy OPTENET), o con un appliance o cache que hacen las funciones de proxy (como BlueCoat o NetCache) el concepto de usuario es el mismo que el concepto de usuario para estos proxies. Es decir, OPTENET reconoce los usuarios que sean identificados por estos proxies. Atención, porque estos usuarios pueden ser independientes de los usuarios de los sistemas operativos de todos los equipos que acceden a Internet a través del proxy. Sin embargo, OPTENET también permite Autenticar Usuarios de dominios NT o servidores LDAP (Vea apartado 5.4)

4.2. Grupo

Normalmente los usuarios pueden formar parte de uno o varios grupos. Ni ISA, ni SQUID, ni tampoco BlueCoat pasan a OPTENET la información de a qué grupos pertenece el usuario que está realizando una petición, sólo NetCache aporta esta información. Eso implica que para que OPTENET pueda obtener esa información deberá comunicarse con algún dominio NT o servidor LDAP. Para la configuración de este servicio lea el apartado 5.4 de este manual.

4.3. Dirección IP

TCP/IP son las siglas de Transmission Control Protocol/Internet Protocol, el lenguaje que rige todas las comunicaciones entre los ordenadores en Internet. Todos los ordenadores conectados a Internet tienen asignada una dirección que es única, con el siguiente formato: aaa.bbb.ccc.ddd Como parte de una regla de OPTENET va a ser posible incluir las direcciones IP de los ordenadores clientes que van a acceder a Internet. Sin embargo, hay que tener en cuenta que en ocasiones se coloca un proxy encadenado antes del filtro y esto puede provocar que todas las peticiones se identifiquen con la IP de este proxy; consulte la configuración de su proxy si este efecto le sucede de forma no deseada.


4.4. URL

Siglas de Uniform Resource Locator. Es la dirección de un sitio o de una fuente, normalmente un directorio o un fichero, en el Word Wide Web y la convención que utilizan los navegadores para encontrar ficheros y otros recursos distantes. Una URL puede identificar un fichero, por ejemplo:

http://www.optenet.com/esp/index.htm o un sitio:

http://www.optenet.com Con OPTENET podremos permitir o bloquear el acceso a páginas concretas indicando la URL o bien a sitios enteros o a parte de ellos indicando la URL seguida de un asterisco. Por ejemplo:

http://www.sitioentero.com/*

4.5. Categoría

Las categorías agrupan los diferentes tipos de contenidos de Internet, por ejemplo, pornografía, deportes, prensa, etc. Para ello se utiliza dos tipos de listas, además de un analizador de contenidos y de URLs. Las dos listas utilizadas son Yes y Not. La lista Yes contiene todas aquellas direcciones que consideramos que pertenecen a una determinada categoría y la lista Not aquellas direcciones que consideramos que NO pertenecen a esa categoría. Al final de este manual tiene un anexo describiendo las categorías de contenidos que proporciona OPTNET.

4.6. Regla

Es el concepto fundamental en el que está basado el funcionamiento de OPTENET. Las reglas definen el nivel de filtrado que van a tener todos nuestros accesos a Internet. Con una regla podemos definir: ♦ Las categorías sobre las que actúa esa regla. ♦ Los usuarios afectados por esa regla. ♦ Los grupos de usuarios afectados por esa regla ♦ Las direcciones IPs de los puestos afectados por esa regla. ♦ Los tipos de ficheros sobre los que puede actuar esa regla. ♦ Los horarios en que se debe aplicar dicha regla. ♦ URLs que queremos que permita directamente esa regla. ♦ URLs que queramos que filtre directamente esa regla. Podemos de esta forma

definir excepciones al funcionamiento de cada regla.


5. ADMINISTRACIÓN Una vez instalado OPTENET Server es necesario realizar una mínima configuración. OPTENET Server incorpora un servidor WWW para su configuración y administración. Este servidor WWW se instala en el puerto TCP 10237 y permite administrar y configurar OPTENET Server utilizando un navegador WEB. Si ha instalado OPTENET Server en Windows puede ir al elemento WWW Administración del Grupo de programas de OPTENET Server (Vea Sección 3.2.1) y le abrirá la Administración WWW en el navegador que tenga configurado por defecto en su sistema. También puede accederse remotamente desde cualquier ordenador conectado a la red accediendo a http://server:10237, donde server será el servidor con OPTENET Server. Si el equipo donde se ha instalado OPTENET Server es host.domain puede accederse al servidor WWW en la siguiente URL: http://host.domain:10237. Para poder acceder al servidor web es necesario haber arrancado previamente OPTENET. Para asegurar la privacidad de la configuración y administración, el servidor WWW requiere que el usuario sea autenticado, por lo que pedirá nombre de usuario y contraseña con una ventana como la de la Figura 5.1. Por defecto, el nombre de usuario es optenet y la contraseña 12345678. Estos valores pueden ser cambiados desde el mismo servidor WWW de Administración. Se recomienda cambiarlos nada más instalar OPTENET Server.

Figura 5.1: Ventana de autenticación de usuario para acceder a la Administración WWW

5.1. Introducción

Es la ventana que aparece por defecto al entrar en la administración, una vez que se haya autenticado correctamente el usuario. (Vea Figura 5.2) Presenta una breve introducción de lo que es OPTENET. Si se desea tener la administración web en otro idioma basta con pulsar sobre la bandera del idioma deseado (bajo el logotipo de OPTENET) y automáticamente aparecerá la administración en ese otro idioma. Como ejemplo, en la Figura 5.3 se presenta la ventana de introducción en alemán.


Figura 5.2: Ventana de Introducción de la Administración WWW.


Figura 5.3: Ventana de Introducción de la Administración WWW en francés.

5.2. Documentación

Icono situado en la parte superior derecha de la ventana de administración que muestra la documentación en formato HTML.


Figura 5.4: Ventana de Documentación de la Administración WWW.

5.3. Configuración

Dentro de esta opción podemos configurar aspectos como el estado del filtro, establecer la página de bloqueo o establecer el directorio donde se generan los logs. Veamos cada una de estas opciones.


Figura 5.5: Ventana de Configuración de la Administración WWW.

5.3.1. Estado Filtro

Seleccionando OFF dejamos OPTENET en estado inactivo, es decir, sin bloquear ningún acceso, seleccionando ON el filtro estará activo. No debemos equivocar OFF con la parada del filtro. Aunque seleccionemos el estado OFF, OPTENET Server sigue ejecutándose pero deja de vigilar los accesos a Internet. Si lo que deseamos es parar el filtro se debe hacer conectado como el usuario optenet en una sesión telnet contra el servidor linux, Solaris o AIX y tecleando ./filterinit stop o bien parando el servicio o proceso en sistemas Windows.

5.3.2. Página de bloqueo

OPTENET Server permite personalizar los mensajes que se muestran a los usuarios cuando se les bloquea una página que han intentado acceder. Por defecto, el campo « Página de bloqueo » aparece la palabra clave « local ». De esta forma se muestra la página de bloqueo local ubicada bajo el directorio de instalación (vea apartado 3.2.3 Sistema de archivos instalados por OPTENET). Para que la página de bloqueo local se muestre correctamente es necesario que el filtro sea capaz de obtener la ip local del servidor donde se está ejecutando. Asegúrese que en el fichero de configuración "hosts" del servidor exista una entrada del tipo "ip nombre del servidor". También es necesario


que desde todos los equipos que se vaya a navegar tengan acceso a esa página de bloqueo. En el caso de que con la configuración "local" no pueda ver la página de bloqueo pruebe a poner como página de bloqueo: http://ip_del_servidor_optenet:10237/cgi-bin/stop. Suponiendo que OPTENET se ejecuta en la ip 192.168.0.235 la página de bloqueo sería:

http://192.168.0.235:10237/cgi-bin/stop

La Figura 5.6 muestra la página de bloqueo por defecto de OPTENET Server. Lo habitual es crear una página web propia y personalizada situarla en la Intranet de su organización y establecerla como la página de bloqueo de OPTENET Server.

Figura 5.6: Página de bloqueo de OPTENET Server.

Esta página Web de respuesta pueden generarse dinámicamente mediante un CGI un asp o un php... Encontrará dos páginas de bloqueo de ejemplo en el directorio tools (stop.asp y stop.php) que podrá personalizar a su gusto y colocar en su Intranet configurándolas posteriormente como páginas de bloqueo. Si las páginas de respuesta se generan dinámicamente, se puede recoger la información que OPTENET Server envía a la página de bloqueo. El CGI/ASP de respuesta recibe en el query string (método GET) las siguientes variables: ♦ URL indica la URL que ha sido bloqueada. ♦ DATETIME fecha y hora en que se ha efectuado dicha petición. ♦ RULE regla que ha bloqueado esa URL. ♦ CAT categoría a la que pertenece la URL bloqueada. ♦ FILE tipo de fichero de la URL bloqueada.


Si además tiene ha activado el envío de usuario y de la ip como parámetro de la página de stop entonces recibirá dos parámetros más: ♦ USER usuario que realizó la petición. ♦ IP ip del equipo desde dónde se realizó la petición. En envío de estos parámetros está desactivado por defecto, por razones de seguridad. Si desea activarlo deberá establecer como valor TRUE en la clave del registro de windows: HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\SendIpUser Si tiene instalado OPTENET Server en un sistema Linux, Solaris o Aix entonces deberá modificar el script /usr/local/optenet/RunOPTENET añadiendo como parámetro de optenet_server -send_ip_user TRUE. Después en ambas plataformas deberá reiniciar el filtro para que el cambio tenga efecto. Esta información puede ser muy útil, podemos utilizarla para enviar un e-mail al administrador o para recoger estadísticas.

5.3.3. Directorio logs

En este apartado puede configurar el directorio donde OPTENET dejará sus logs. OPTENET Server guarda los siguientes tipos de logs:

5.3.4. Configuración de log

5.3.4.1. Encriptación de información sensible

Activando esta opción forzará que OPTENET escriba en sus logs la ip, el usuario y los grupos a los que pertenece el usuario que realiza cada petición de forma encriptada. Por defecto esta opción está desactivada.

5.3.4.2. Registrar en log

Desde aquí puede seleccionar la información que OPTENET va a registrar en sus ficheros de logs (requestYYYYMMDD.log). Los valores que puede seleccionar son: ♦ Nada, indica que el filtro no registrará en el log ninguna de las peticiones que le

llegan para analizar, es decir, no se registran logs. ♦ Sólo bloqueos, indica que el filtro registrará en los logs únicamente aquellas

peticiones que hayan sido bloqueadas. ♦ Accesos, indica que el filtro registrará todas las peticiones que le lleguen para

analizar, tanto las que bloquee como las que permita pasar.

5.3.4.3. Número de días de información a guardar

Aquí puede configurar el número de días completos de información de logs que desea que el filtro guarde. Por defecto, su valor es 1 lo que indica que el filtro mantendrá siempre los logs completos del día anterior además de los del día actual. Al realizar el cambio de día, el filtro borrará todos los logs anteriores al periodo de días especificado. A diferencia de versiones anteriores de OPTENET Server, dónde el módulo de informes iba integrado con el filtro y dónde los logs se iban acumulando en el directorio de logs del filtro, esta en está versión el filtro no realiza acumulación de logs. Es OPTENET Reporter el que una vez instalado y configurado le solicita al los filtros que tenga configurados los logs que poseen y va realizando en su propio directorio de logs la acumulación de los datos que va recibiendo de cada filtro. El hecho de que OPTENET Reporter deje de funcionar temporalmente y OPTENET Server siga funcionando no


implica que los logs generados durante ese periodo se pierdan y no se puedan sacar informes sobre ellos. Ya que la siguiente vez que se arranque OPTENET Reporter comenzará a solicitar a OPTENET Server los logs desde la última parte que recibió. De esta forma si esos logs todavía no han sido borrados por el filtro entonces podrán ser recuperados por el Reporter. Un día de información a guardar debe ser suficiente para que el Reporter y el filtro sincronicen sin problemas sus logs.

5.3.4.4. Campos del log

Desde este apartado puede seleccionar libremente los campos que desea que sean recogidos en los logs de OPTENET Server, tenga en cuenta que el desactivar algún campo impide que posteriormente pueda sacar informes con OPTENET Reporter utilizando esa información, por ejemplo si desactiva el campo usuario luego no podrá sacar informes ordenado o agrupadas por usuario.

5.4. Autenticación

Si desea establecer reglas de filtrado por usuarios o por grupos de usuarios es necesario que su proxy o appliance esté configurado para realizar autenticación de usuarios o bien que dicha autenticación la realice directamente OPTENET. De lo contrario solamente podrá establecer reglas de filtrado por las IPs de los equipos que acceden a Internet.

Figura 5.7: Ventana de Autenticación de la Administración WWW.


5.4.1. Origen de datos(usuarios y/o grupos)

En el caso de querer establecer reglas de filtrado por usuarios y/o por grupos OPTENET le puede facilitar el listado de los usuarios y los grupos desde los apartados usuarios/grupos dentro de cada regla de filtrado. Para que OPTENET sea capaz de mostrarle esta información es necesario que en el apartado "Autenticación" -> "origen de datos" seleccione cuál es la fuente de datos que utilizará OPTENET para conseguir los usuarios y grupos. Además como se comenta en la sección 4.2 la mayor parte de los proxies o caches (en realidad todos menos NetCache) no envían al filtro los grupos a los que pertenece el usuario que está realizando la petición por lo que OPTENET necesita averiguar dicha información. Seleccionando el tipo de fuente de datos y configurando adecuadamente cada posible fuente, OPTENET será capaz de listar los usuarios, los grupos y preguntar los grupos de cada usuario. A continuación se describen los orígenes de datos con los que OPTENET es capaz de trabajar.

5.4.1.1. LDAP

Seleccione la opción LDAP si en su organización se gestionan cuentas de usuarios y grupos con servidores LDAP. Ejemplos de estos servidores son Active Director de Windows, Lotus Dominio, implante. Después de seleccionar la opción LDAP y pulsar el botón Aceptar en la ventana "Autenticación de usuarios" deberá pulsar el botón LDAP para definir cuantos servidores LDAP sean necesarios. Pulsando el botón LDAP accederá a la ventana de configuración de los servidores LDAP.

Figura 5.8 Configuración de los Servidores LDAP.


5.4.1.1.1. Lista de servidores LDAP

En este apartado se configuran los servidores LDAP con los que OPTENET Server se comunicará para obtener el listado de usuarios, de grupos y consultar los grupos de un usuario. OPTENET permite definir más de un servidor LDAP. A la hora de consultar los grupos de un usuario, OPTENET siempre consultará al primer servidor definido en la lista, y pasará a consultar a siguiente si este primero no responde o si ese usuario no está definido en el primero. Por ello es fundamental el orden en que se establezcan estos servidores. A la hora de listar todos los usuarios o grupos OPTENET consultará a todos los servidores y mostrará el total de usuarios y grupos obtenidos. Desde está opción podrá añadir un nuevo servidor LDAP, modificar o borrar uno existente, y también establecer el orden de los mismos.

5.4.1.1.2.Servidor LDAP

En este apartado se configura el servidor LDAP elegido. Al agregar un servidor nuevo se crea una entrada nueva con un nombre aleatorio y con el puerto LDAP estándar 389. Para cada servidor LDAP deberá configurar los siguientes datos:

• Nombre: nombre con el que va a identificar este servidor LDAP dentro de la lista, este nombre es simplemente simbólico pero debe ser único dentro de la lista de servidores LDAP que defina.

• Servidor: nombre o dirección IP del servidor LDAP. Recomendamos insertar si es posible siempre la dirección IP para que las consultas LDAP sean más rápidas y no se tenga que resolver el nombre en cada una de ellas.

• Puerto: puerto donde escucha el servidor LDAP. • Administrador: DN y clave de acceso al servidor LDAP. Si el servidor LDAP

permite lecturas anónimas pueden dejarse vacías. • Base: base para las búsquedas de usuarios y grupos. • Tipo: tipo de servidor LDAP.

El tipo de servidor LDAP sirve para indicar al filtro la manera en la que debe obtener los usuarios, los grupos y las relaciones entre ambos. Para obtener esa información el filtro requiere los siguientes datos: • Objetos de usuario: filtro LDAP para buscar los objetos con la información de los

usuarios. Por ejemplo: (objectClass=inetOrgPerson), (objectClass=rvUser), etc. • Nombres de usuario: atributo LDAP que se utilizará como nombre de los usuarios. Por

ejemplo: uid, shortname, etc. • Miembros de usuario: condición que se aplica a los objetos de usuario para obtener

los grupos a los que pertenecen. Por ejemplo: (memberOf=cn=%cn%), (ou=%ou%), etc. Nótese que puede indicarse entre % el atributo de los objetos de grupo que debe cumplir la condición para que el usuario se considere miembro de ese grupo.

• Objetos de grupo: filtro LDAP para obtener los objetos con la información de los grupos. Por ejemplo: (objectClass=groupOfUniqueNames), (objectClass=rvGroup), etc.

• Nombres de grupo: atributo LDAP que se utilizará como nombre de los grupos. Por ejemplo: cn, ou, etc.

• Miembros de grupo: condición que se aplica a los objetos de grupo para obtener los usuarios que pertenecen a los mismos. Por ejemplo: (uniqueMember=%dn%), (memberUid=%uid%), etc. Nótese que puede indicarse entre % el atributo de los


objetos de usuario que debe cumplir la condición para que el grupo incluya a ese usuario como miembro suyo.

Figura 5.9 Configuración de un servidor LDAP ActiveDirectory

A continuación se muestra un ejemplo de una configuración de un servidor LDAP. En este ejemplo los usuarios consisten en objetos de tipo inetOrgPerson y su nombre se extrae del atributo uid. Los grupos consisten en objetos de tipo groupOfUniqueNames y su nombre se extrae del atributo cn. Para conocer los grupos a los que pertenecen los usuarios sólo se consultan los objetos de grupo (el apartado Miembros de Usuarios está vacío) y como condición se establece que el atributo uniqueMember incluya el uid del usuario en el formato dado.


Figura 5.10 Configuración de un servidor LDAP iPlanet

5.4.1.2. Dominios Windows

Seleccione la opción Dominios Windows si en su organización se gestionan las cuentas de usuarios y grupos con Dominios Windows, tanto NT como Windows 2000 o 2003 instalados en modo mixto. Como requisito deberá haber instalado previamente OPTENET DCAgent 2.xx. en un servidor Windows de su red que tenga acceso a los controladores de domino que desea consultar. Este software se encarga de consultar los controladores de dominios para extraer los usuarios, grupos y los grupos de cada usuario. A su vez, OPTENET server se comunica con OPTENET DCAgent para obtener esta información. * Puede descargar este software de la web de OPTENET. Se recomienda también que consulte su manual antes de proceder a la instalación.

5.4.1.2.1.Servidores de Dominios Windows

En este apartado se configuran las máquinas Windows donde se ha instalado OPTENET DCAgent 2.xx con los que OPTENET Server se comunicará para obtener el listado de usuarios, de grupos y consultar los grupos de un usuario. OPTENET permite definir más de un DCAgent. A la hora de consultar los grupos de un usuario, OPTENET siempre consultará al primer servidor definido en la lista, y pasará a consultar a siguiente si este primero no responde


o si ese usuario no está definido en el primero. Por ello es fundamental el orden en que se establezcan estos servidores. A la hora de listar todos los usuarios o grupos OPTENET consultará a todos los servidores y mostrará el total de usuarios y grupos obtenidos.

Figura 5.11 Configuración de Servidores Windows.

Desde está opción podrá añadir un nuevo OPTENET DCAgent, modificar o borrar uno existente, y también establecer el orden de los mismos.

5.4.1.2.2. Dominio Windows

En este apartado se configuran los datos del OPTENET DCAgent seleccionado. Al agregar un servidor nuevo se crea una entrada nueva con un nombre aleatorio y con el puerto de escucha del DCAgent estándar 10240. Para cada servidor DCAgent deberá configurar los siguientes datos:

• Nombre: nombre con el que va a identificar este servidor dentro de la lista, este nombre es simplemente simbólico pero debe ser único dentro de la lista de servidores que defina.

• Servidor: nombre o dirección IP donde está instalado y ejecutándose el DCAgent. Recomendamos insertar si es posible siempre la dirección IP para que las consultas sean más rápidas y no se tenga que resolver el nombre en cada una de ellas.

• Puerto: puerto donde escucha el DCAgent


.

Figura 5.12 Configuración de un Servidor Windows.

5.4.1.3. OPTENET Proxy

Seleccione la opción OPTENET proxy si ha instalado OPTENET Server en un sistema Windows y ha elegido el proxy OPTENET en la instalación. De esta forma OPTENET le mostrará en el apartado "Reglas de filtrado" -> "usuarios" los usuarios que OPTENET proxy es capaz de autenticar. OPTENET Proxy no trabaja con grupos de usuarios por lo que no será posible establecer reglas por grupos de usuario si su organización está navegando a través de OPTENET proxy. Pulsando el botón OPTENET Proxy accederá a la pantalla que se muestra en la Figura 5.13 desde donde se añaden o eliminan los usuarios junto a sus claves de acceso que OPTENET Proxy es capaz de reconocer. En el momento que se introduzca un primer usuario junto a su clave OPTENET proxy comenzará a solicitar autenticación a todo aquél que navegue a través suyo, cuando se elimine el último usuario OPTENET Proxy dejará de solicitar autenticación de usuarios.


Figura 5.13 Configuración de OPTENET Proxy.

5.4.1.4. Squid NCSA

Seleccione la opción Squid NCSA si ha instalado OPTENET Server en entornos UNIX (Solaris, Aix, FreeBSD o Linux), ha elegido la opción RPC que instala Squid junto con OPTENET y además ha configurado Squid para que solicite autenticación básica NCSA. De esta forma conseguirá que OPTENET le muestre en el apartado "Reglas de filtrado" -> "usuarios" la lista de usuarios de Squid es capaz de autenticar. En realidad OPTENET realiza una búsqueda del tag "auth_param basic program" del fichero de configuración de Squid (squid.conf) para obtener el fichero de usuarios, recorrerlo y de esta forma extraer la lista de usuarios. La autenticación NCSA de Squid no trabaja con grupos de usuarios por lo que no será posible establecer reglas por grupos de usuario si su organización está navegando a través de Squid en el que tiene configurado autenticación NCSA.

5.4.2. Activar autenticación propia

Si su proxy o appliance no está configurado para realizar autenticación de usuarios, todos los usuarios podrán acceder a Internet sin necesidad de identificarse (introduciendo un nombre de usuario y una clave). Esto implica que OPTENET no recibe la información de qué usuario realiza cada petición no pudiendo aplicar reglas de filtrado basadas en usuarios o grupos,, y pudiendo establecer diferentes políticas únicamente por las IPs de los equipos que acceden a Internet.


Para poder establecer políticas de filtrado por usuarios o grupos de usuarios tenemos dos opciones: • A) Configurar su proxy o appliance para que realice autenticación de usuarios

(opción recomendada) o • B) Configurar OPTENET para que sea él mismo quién identifique a los usuarios que

están navegando. En el caso de la opción A) en la que es el proxy o cache quién está autenticando usuarios, dicho proxy envía a OPTENET con cada petición WEB el usuario que la solicita. OPTENET deberá en este caso obtener los grupos de dicho usuario para lo que utiliza el origen de datos que se haya configurado (LDAP o dominios Windows, recordemos que con el proxy OPTENET o Squid NCSA no se pueden establecer reglas de filtrado por grupos) La opción B) consiste en que sea OPTENET quién identifique a los usuarios que están navegando. Para activarla hay que marcar el tic de la casilla "Activar autenticación propia" de la ventana autenticación de usuarios. Esta opción puede ser útil para organizaciones dónde el proxy/cache no realiza autenticación de usuarios o que dicha cache no envía al filtro qué usuario está realizando cada petición. En este modo de funcionamiento OPTENET realiza una asociación entre las IPs que recibe en cada petición y los usuarios que están navegando desde dichas IPs por lo que es estrictamente necesario que al proxy/cache y por lo tanto a OPTENET lleguen las peticiones identificadas por su IP de origen y no por la IP de un router o gateway intermedio. A continuación se describe el proceso de identificación que realiza OPTENET: 1. Un usuario comienza a navegar por Internet, realiza las peticiones web al proxy y

este se las pasa a OPTENET para que decida si deben pasar o ser bloqueadas. 2. OPTENET extrae la dirección IP de la petición y la comprueba contra su tabla interna

que contiene pares IP y usuarios. 3. Como dicha IP es nueva OPTENET todavía no sabe qué usuario está detrás de dicha

petición. Para averiguarlo tiene dos métodos: 3.1 Si está seleccionado como origen de datos "LDAP", OPTENET redirige dicha petición contra su servidor de autenticación exigiendo al usuario que está navegando que introduzca un usuario y una clave y lo contrastara con los datos de los servidores LDAP definidos. Una vez comprobado se establece la relación entre esa IP y ese usuario de modo que todas las peticiones que provengan de esa misma IP serán consideradas de ese mismo usuario durante el "intervalo de petición de la autenticación" que se puede definir en la misma ventana. 3.2 Si está seleccionado como origen de datos "Dominios Windows", OPTENET realiza una petición a los DCAgents configurados preguntándoles que usuario entró en sesión contra los dominios Windows desde esa IP. De esta forma OPTENET es capaz de identificar a usuario sin necesidad de que éste introduzca un nombre y una clave. A esta modalidad también es denominada autenticación transparente y como se puede intuir es necesario que dicho usuario haya entrado en sesión previamente contra un Dominio Windows. Una vez recibida esa información del DCAgent OPTENET guarda esa la relación entre esa IP y ese usuario de modo que todas las peticiones que provengan de esa misma IP serán consideradas de ese mismo usuario durante el "intervalo de petición de la autenticación" que se puede definir en la misma ventana.


3.3 Si está seleccionado como origen de datos "OPTENET Proxy" la opción "activar autenticación propia" no tiene efecto. OPTENET extrae de la petición que le llegua del proxy el usuario que este le pase y no hay posibilidad de obtener grupos ya que el proxy no se los envía. Para que OPTENET Proxy solicite autenticación de usuarios será necesario que haya creado uno o mas usuarios en el apartado "OPTENET Proxy". 3.4 Si está seleccionado como origen de datos "Squid NCSA" la opción "activar autenticación propia" no tiene efecto. OPTENET extrae de la petición que le llegua de Squid el usuario que este le pase y no hay posibilidad de obtener grupos ya que el proxy no se los envía. Para que Squid solicite autenticación de usuarios será necesario que lo haya configurado adecuadamente, consulte el ejemplo que aparece en la sección "Instalación de OPTENET con SQUID" de este manual.

4. Transcurrido el intervalo de "petición de la autenticación" se repite el paso 3 para comprobar si es el mismo usuario quién sigue navegando o por el contrario es otro diferente.

Resumiendo este punto, OPTENET puede realizar autenticación de usuario siempre que reciba la IP que está realizando la petición y además los usuarios entren en sesión contra un dominio Windows o bien dispongamos de un servidor LDAP que pueda validar los usuarios con sus claves. No es aconsejable que tanto el proxy/cache como OPTENET realicen ambos ya que en este caso OPTENET desecha la información de usuario que le envía el proxy/cache e intenta establecer su propia autenticación.

5.4.3. Nombre o IP del servidor

En esta casilla se debe introducir la IP o el nombre del servidor donde está instalado OPTENET. Si dicho servidor posee más de un interfaz de red debe insertarse el interfaz de red que sea accesible desde toda la Intranet. En el caso de dejar en blanco dicha casillas OPTENET obtiene la dirección IP consultando directamente al servidor. En el caso de tener varios interfaces de red OPTENET se queda con el primero que esté configurado que coincide con el primero mostrado por los comando (ifconfig o ipconfig). Esta casilla sólo es válida si se ha activado la autenticación de usuarios. Para que OPTENET pueda realizar autenticación de usuarios LDAP el servidor donde se está ejecutando OPTENET debe ser accesible desde todos los puestos de la Intranet (bien directamente o bien a través del proxy), en concreto el puerto donde se redirigirán las peticiones de autenticación. En esta opción puede escribir la IP "visible" de toda la Intranet de ese equipo, o el nombre "visible" de ese equipo desde toda la Intranet. Tenga en cuenta que es posible que tenga que añadir dicho nombre de equipo a su servidor DNS para que las peticiones de autenticación sean resueltas.

5.4.4. Puerto

En este puerto se queda escuchando el servidor de autenticación de OPTENET. Una vez cambiado el valor de este puerto debe reiniciar OPTENET para que dicho cambio tenga


efecto. Su valor por defecto es 10238. Esta casilla sólo es válida si se ha activado la autenticación de usuarios.

5.4.5. Intervalo de petición de la autenticación

Es el tiempo indicado en segundos durante el cual OPTENET considera válidas las asociaciones que establece entre IPs y usuarios. Transcurrido dicho tiempo en segundos OPTENET intentará otra vez resolver el usuario como se indica en el tercer punto del proceso de autenticación explicado anteriormente. Este tiempo indica los segundos durante los cuales OPTENET considera válidos la asociación de un usuario con sus grupos. Transcurrido dicho tiempo cuando reciba la próxima petición de navegación de ese usuario OPTENET volverá a consultar los grupos de dicho usuario.

5.5. Categorías

OPTENET Server le permite crear y gestionar sus propias categorías. Para ello basta con indicar el nombre de la categoría que quiera crear y tras un corto intervalo de tiempo la categoría estará disponible en todo el filtro. Tenga en cuenta que no se puede añadir una categoría con un nombre que ya exista de antes, así como borrar una categoría que no se haya añadido anteriormente. Por otro lado, entre las categorías preestablecidas del filtro y las añadidas por el administrador no se pueden tener más de 128 categorías en total. El proceso de borrado de una categoría es costoso en tiempo y recursos en el servidor dónde está instalado OPTENET Server, pudiéndole llevar varios segundos.


Figura 5.14: Ventana para añadir Categorías de la Administración WWW.

5.6. Clasificación URLs

En esta opción podremos añadir URLs a las diferentes categorías indicando si esa URL pertenece a una categoría o si no pertenece.

Figura 5.15: Ventana para Clasificación de URLs de la Administración WWW.

Esta opción es muy útil a la hora de desbloquear URLs que OPTENET asocia a una determinada categoría pero que el administrador no considera que deben pertenecer a dicha categoría.


Figura 5.16: Clasificación de URLs como pornografía.

Desde esta pantalla podemos insertar una URL en varias categorías a la vez, esto puede suceder dado que las categorías no son conjuntos excluyentes. Por ejemplo, la prensa deportiva está categorizada a la vez como prensa y como deportes. La precedencia de estas listas de usuario es mayor que las listas predefinidas por OPTENET, esto permite desbloquear URLs que OPTENET filtre, o bloquear URLs que OPTENET no bloquea. Es posible indicar que una única página pertenece o no pertenece a una categoría introduciendo la URL completa, por ejemplo,

http://www.dangerousplace.com/index.htm

o por el contrario indicar que todo un sitio web pertenece o no a una categoría indicándolo con un * al final, por ejemplo,

http://www.dangerousplace.com/*

También es posible utilizar el asterisco como comodín al principio y en medio de la URL. De esta forma podemos indicar que todos los host pertenecientes a una organización pertenecen a una determinada categoría, por ejemplo,

http://*.dangerousplace.com* Pulsando sobre el icono que hay a la derecha de cada categoría podemos editar la lista de las URLs que hemos ido añadiendo a esta categoría. Esta lista se presenta ordenada alfabéticamente para una mayor facilidad a la hora de localizar elementos concretos. Desde la siguiente pantalla podemos añadir nuevas URLs a la lista de las que pertenecen


a una categoría, eliminar alguna si la hemos introducido por error. También se pueden editar las listas de las URLs que no pertenecen a una categoría.

5.7. Reglas de Filtrado

Con las reglas de filtrado podemos personalizar cómodamente OPTENET Server para adaptarlo a las necesidades de nuestra red. En esta opción podrá definir esas reglas y todos su criterios: Grupos de IPs, Usuarios, Grupos de Usuarios, Categorías, URLs, Ficheros y Horarios. Debemos tener en cuenta que en el caso de conflicto entre reglas se tiene en cuenta su precedencia. Es decir, si al analizar si una petición debe bloquearse o no, a esa petición se le pueda aplicar más de una regla (porque ese usuario está incluido en más de una regla) la que decide es la que antes aparezca en el orden de precedencia.

Figura 5.17: Ventana Reglas de Filtrado de la Administración WWW.

Una vez seleccionada la opción de Reglas de Filtrado aparece la siguiente ventana donde podemos ver todas las reglas que tenemos definidas en el sistema y su orden de precedencia. Desde aquí podemos crear una nueva regla, modificar o eliminar una existente, alterar su orden de precedencia y ver un resumen de lo que contiene esa regla. Para ello sólo tenemos que seleccionar la regla que deseamos modificar y pulsar sobre el botón correspondiente. Obtenemos entonces otra ventana donde aparece el nombre de la regla seleccionada y las operaciones que podemos hacer.


Figura 5.18: Ventana principal de Modificación de una Regla de Filtrado.

5.7.1. Cambiar Nombre

Desde esta opción podremos cambiar el nombre a la regla. Por defecto, cuando se crea una regla nueva, aparece con el nombre Rnúmero. Desde aquí podremos darle un nombre significativo a esa regla.


Figura 5.19: Ventana para Cambiar el Nombre de una Regla de Filtrado.

5.7.2. Acción

La acción indica si esa regla servirá para permitir o por el contrario para denegar los accesos a las categorías que se seleccionen en dicha regla. Esta opción se selecciona en la Ventana principal de Modificación de una Regla de Filtrado, Figura 5.18.

5.7.3. Categorías

En esta opción podrá seleccionar las categorías de contenidos a las que se aplica dicha regla.


Figura 5.20: Ventana para Seleccionar las Categorías que debe tener en cuenta una Regla.

5.7.4. Ficheros

En este apartado podrá seleccionar los tipos de Ficheros a los que debe aplicarse la Regla, si no selecciona ninguno la regla no los tendrá en cuenta. OPTENET identifica los tipos de archivos mostrados en la columna de la izquierda (avi, exe, mp3, mpeg, zip) haciendo un análisis del contenido del fichero, siendo capaz de detectar la multitud de archivos renombrados que existen en Internet con el fin de evitar el filtrado por extensión. Esta característica que le diferencia de otros sistemas de filtrado es capaz de implementarla porque también analiza el contenido del fichero descargado de la red. Además de estos tipos de archivos también es posible incluir otros diferentes escribiendo su extensión en el cuadro de texto "no incluidos" y pulsando el botón ">>". Estos tipos de archivos se filtrarán únicamente extrayendo la extensión del archivo que está siendo descargado.


Figura 5.21: Ventana para Seleccionar los tipos de Fichero a tener en cuenta por una Regla.

5.7.5. IPs

En esta opción podemos definir grupos de IPs clientes sobre los que va a actuar la regla seleccionada.

Figura 5.22: Ventana para Seleccionar las IPs a tener en cuenta por una Regla.


Para ello debemos tener en cuenta lo siguiente: si no indicamos ninguna IP, entonces esta regla actuará sobre todas las peticiones que le lleguen desde cualquier IP. En el caso de indicar alguna dirección entonces la regla se aplica únicamente a las peticiones que le lleguen de esa o esas IPs clientes, para el resto de las peticiones se consideran que no es aplicable esta regla. Es posible indicar IPs sueltas, introduciendo únicamente la IP en el campo Desde: o bien indicar rangos de IPs, introduciendo la IP inicial en el campo Desde: y la IP final en el campo Hasta: .

5.7.6. Usuarios

En esta opción, podrá añadir y borrar Usuarios a los que se aplicará dicha regla.

Figura 5.23: Ventana para Seleccionar los Usuarios a tener en cuenta por una Regla.

Para poder establecer reglas por usuarios deberá configurar su proxy o appliance para que realice autenticación de usuarios o bien forzar que sea el propio OPTENET quien realice la autenticación, activando en el apartado configuración la opción "activar autenticación". Para que aparezcan en la lista de no incluidos los usuarios de su servidor LDAP, Domino Windows NT, OPTENET Proxy o NCSA de SQUID deberá previamente tener configurado dicho servidor desde la opción "autenticación". Pulsando el botón refrescar aparecerán todos los usuarios. Si no apareciese ninguno en el syslog del sistema (fichero /var/log/messages en Linux o /var/adm/messages en Solaris o AIX) o bien en el visor de eventos en sistemas Windows aparecerá la causa por la que no se pudieron obtener los usuarios de dicho servidor.


Al igual que sucede con las IPs, si no indicamos ningún usuario, esta regla se aplicará a todos, pero si indicamos alguno, la regla se aplicará sólo a los usuarios seleccionados.

5.7.7. Grupos de usuarios

En esta opción, podrá añadir y borrar Grupos de usuarios a los que se aplicará dicha regla. Para que aparezcan en la lista de no incluidos los grupos de un determinado servidor LDAP o de un Dominio Windows previamente deberá tener configurado dicho servidor desde la opción "autenticación" y pulsar el botón refrescar. Si en una regla se indican usuarios de forma individual y además grupos de usuarios, esa regla se aplicará a un usuario si ese usuario está en la lista de los usuarios introducidos en la regla o si alguno de los grupos a los que pertenece ese usuario está en la lista de grupos a los que se debe aplicar dicha regla. Tenga en cuenta lo explicado en el apartado “5.4 Autenticación de usuarios” si desea asociar grupos de usuarios a las reglas de filtrado.

Figura 5.24: Ventana para Seleccionar los Grupos de Usuarios a tener en cuenta por una Regla.

5.7.8. Tiempo máximo de navegación

En esta opción, podrá incluir en la regla seleccionada, el número de horas máximas al día, que permite la navegación por Internet a los usuarios, IPs o grupos de usuarios definidos en dicha regla. Asimismo podrá cancelar esta opción pulsando el botón Borrar.


Figura 5.25: Ventana para establecer el número máximo de horas a tener en cuenta por una Regla.

5.7.9. Horarios

En esta opción, podrá añadir, borrar y modificar días de la semana e intervalos de horas en los que desea que se aplique dicha regla. Fuera de los intervalos indicados dicha regla no tendrá efecto. Si no se indica ningún intervalo dicha regla será efectiva las 24 horas del día los 7 días de la semana.

Figura 5.26: Ventana para Establecer los Horarios a tener en cuenta por una Regla


5.7.10.URLs Yes

En esta opción, podrá añadir, borrar y modificar URLs Yes como criterio de una regla. La lista Yes contiene los URLs a los que se debe aplicar la regla, con independencia de su categoría y tipo de archivo por lo que si el resto de características se cumple (día y hora y usuario, grupo o IP) la regla cumplirá con su acción. Si la acción de la regla es permitir entonces estas URLs se permitirán explícitamente, si por el contrario la acción de la regla es denegar entonces estas URLs se bloquearán. Es posible indicar todo un sitio completo con un * al final. También es posible utilizar el asterisco como comodín al principio y en medio de la URL.

Figura 5.27: Ventana para Asociar URLs a una Regla con independencia de su categorización.

5.7.11.URLs Not

En esta opción, podrá añadir, borrar y modificar URLs Not como criterio de una regla.


Figura 5.28: Ventana para Desligar URLs da una Regla con independencia de su categorización

La lista Not contiene los URLs a los que nunca se debe aplicar la regla, es decir las excepciones de la regla. Es posible indicar todo un sitio completo con un * al final. También es posible utilizar el asterisco como comodín al principio y en medio de la URL.

5.7.12.Ejemplo de utilización de reglas

Veamos por medio de sencillos ejemplos su funcionamiento. Por defecto, con la instalación de OPTENET sólo existe una única regla, DenyPorn que bloquea los accesos a sitios con contenido pornográfico. Veamos cómo está configurada esta regla. En la opción de categorías esta regla tiene señaladas las categorías básicas de filtrado: pornografía, racismo, violencia, sectas, drogas y construcción de explosivos es decir, esta regla inhibe estas cinco categorías. ¿A quién se inhibe estos contenidos? Si miramos los usuarios, vemos que no hay usuarios definidos por lo que afecta a todos, lo mismo sucede con los grupos de usuarios. ¿A qué equipos? Tampoco hay direcciones IPs definidas por lo que esta regla es aplicable a todos, ¿en qué horarios? como no hay ninguno especificado es aplicable en todas las horas del día. ¿Hay alguna excepción a esa regla? Vemos que ni en la lista URL Yes (URL que directamente cumplen esta regla) ni en la lista URL NOT (URLs que nunca cumplen esta regla) aparece ninguna dirección, es decir, no hay excepciones a esta regla. Resumiendo, por defecto al instalar el filtro se bloquea el acceso a dichos contenidos a todos los usuarios y equipos que naveguen a través del proxy.


5.7.12.1. Regla para el jefe

Imaginemos que ahora el jefe nos exige un acceso sin filtro. Esto significa que el jefe no debe ser afectado por ninguna regla de filtrado. La solución es fácil, crearemos una regla para el jefe, donde en los usuarios incluimos el usuario con el que se autentica el jefe, o si no hay autenticación de usuarios en la parte de IPs incluiremos la de su equipo. A continuación marcamos la acción de la regla como “Permitir” y no seleccionamos ninguna categoría. Es decir, hemos creado una regla que sólo se aplica al jefe que sirve para permitir, ¿el qué? cómo no hemos elegido ninguna categoría ni tipo de archivo permitirá todo ¿cuándo? cómo no hemos seleccionado ningún horario ni día permitirá siempre. Falta un detalle, debemos colocar esta regla como la más prioritaria. De esta forma cuando el jefe navegue por Internet OPTENET analizará sus peticiones empezando por la regla más prioritaria, verá que dichas peticiones cumplen esa regla y permitirá el acceso a todos los contenidos.

5.7.12.2.Regla para bloquear prensa y deportes en horario laboral

Otro ejemplo: supongamos que ahora queremos bloquear que en horario laboral (de 9 a 14 y de 16 a 19) de lunes a viernes, se acceda a contenidos de deportes y de prensa. Fácil: creamos una nueva regla llamada PrensaEnTrabajo y seleccionamos que su horario sea de 9 a 14 y de 16 a 19 de lunes a viernes. Las categorías que filtra esa regla son Prensa y Deportes. ¿En qué posición la debemos colocar? Debemos pensar cuál de las tres reglas que tenemos hasta este momento es la más general y ponerla al final, e ir subiendo en la jerarquía hasta la más específica. De esta forma la más general es DenyPorn, que inhibe pornografía luego vendría PrensaEnTrabajo, y luego la del jefe. ¿Podríamos haber incluido en la regla DenyPorn también las categorías Prensa y Deportes y haber marcado como horario el laboral?. La respuesta es no. Si no creamos una nueva regla y en su lugar modificamos DenyPorn añadiendo más categorías y modificando su horario estamos haciendo que fuera de dicho horario (a partir de las 19) se pueda acceder también a contenidos pornográficos.

5.8. Actualizaciones

OPTENET Server se conecta de forma continua a los diferentes servidores de actualizaciones para ir completando su base de datos de URLs de forma incremental y de esta forma poder filtrar las nuevas direcciones categorizadas de Internet que van surgiendo día a día. Todas estas nuevas URLs son almacenadas en memoria para un eficiente funcionamiento y deberán ser guardadas en disco cada cierto tiempo. Desde esta opción podemos configurar los siguientes parámetros:


Figura 5.29: Ventana de Actualizaciones de la Administración WWW

5.8.1. A través de proxy

Seleccione esta opción si el servidor dónde está instalado OPTENET no puede acceder directamente a Internet y necesita salir a través de un proxy. Indique la dirección IP del proxy (o bien su nombre) y el puerto. Asegúrese de que dicho proxy no solicite autenticación para las peticiones de OPTENET.

5.8.2. Frecuencia de actualizaciones

OPTENET solicita las nuevas URLs que se van categorizando de forma incremental y trozos de varios Kbytes para no saturar el tráfico de la red. El tiempo entre actualizaciones indica los segundos que OPTENET espera entre dos actualizaciones consecutivas suponiendo que tenga nuevas URLs para actualizarse. El tiempo entre chequeos indica los segundos que OPTENET espera cuando está completamente actualizado antes de realizar el nuevo chequeo. Los valores por defecto (30 y 300 segundos) están pensados para que los desbloqueos que pueden ser solicitados desde la página de bloqueo lleguen al filtro en un corto periodo de tiempo.

5.8.3. Consolidación a disco

Las nuevas direcciones que va recibiendo el filtro son almacenadas en memoria por razones de eficiencia y son guardas en disco en el proceso de consolidación. Dicho proceso puede ser programado de forma diaria, semanal o mensual indicando el intervalo de hora de comienzo. OPTENET recomienda una actualización diaria a disco


coincidiendo con los periodos de actividad más bajos en la red, que normalmente se dan durante la noche.

5.8.4. Recarga absoluta de listas

Es posible realizar una recarga completa de listas en el instante actual con solo pulsar sobre el botón “Recarga ahora” situado en la parte inferior de la ventana. Una vez lanzado el proceso de recarga podrá seguir la evolución de la recarga desde el apartado "Información del sistema", donde se indicarán los bytes descargados así como los totales y el resultado de la recarga.

5.9. Informes

Al pulsar sobre esta opción se abre otra ventana de navegación que se conecta contra OPTENET Reporter. OPTENET Reporter es la herramienta que le permite sacar informes del uso de Internet. Por defecto se puede instalar con OPTENET Server ya que se distribuye de manera conjunta. Si cuando pulsa sobre esta opción OPTENET Reporter no está ejecutándose aparece un mensaje indicando que no es posible contactar con la herramienta de informes. Por favor, asegúrese de que OPTENET Reporter está en ejecución y que está instalado en la IP de la máquina y escuchando en el puerto indicando. Por defecto, OPTENET Server intenta contactar con un OPTENET Reporter instalado en su misma servidor.

Figura 5.30. Ventana indicando que no es posible contactar con OPTENET Reporter

. Una vez haya arrancado OPTENET Reporter y se haya asegurado de que está bien configurada su IP y puerto de adminstración en este apartado de OPTENET Server vuelva


a pulsar sobre la opción "Informes" y se abrirá en una nueva ventana de navegación la administración de OPTENET Reporter. Se recomienda leer el manual de usuario de OPTENET Reporter para obtener más información.


5.10. Identificación Administrador

OPTENET Server establece varios niveles de administración como se muestra en la tabla adjunta: Administrator Local

Administrator Categories and URLs

Administrator

Reports operato

r

Introducción X X X X Documentación X X X X Configuración X Autenticación X

Activar autenticación

X

Tipo de autenticación

X

Categorías X X X Clasificación URLs X X X

Ver X X X Añadir X X X Quitar X X X

Reglas de filtrado X Borrar X Añadir X Modificar X Modificar URLs y

categorías asociadas a una regla

X X

Actualizaciones X Informes X X X Bloquear X X Administrador X X

Administradores X Administradores

Locales X X

Administradores de categorías y URLs

X X

Operadores Informes

X X

Gestion en cluster X Información del sistema

X X X

Obtención de logs para el reporter

X

Por defecto en la instalación existe un usuario de cada perfil y sólo está activado el nivel “Administrator”. El primero tiene control total sobre el filtro pudiendo realizar todas las operaciones de administración. Por defecto, el nombre del usuario de


administración es optenet y la contraseña 12345678. Estos valores pueden ser cambiados desde la administración WWW mediante el botón Administrador del menú. Se recomienda cambiar su usuario de administración nada más instalar OPTENET Server. Se pueden modificar los datos de los usuarios existentes por defecto en la instalación para cada perfil y añadir nuevos usuarios o borrar los que se deseen. Para ello al pulsar Administrador, se muestra la lista con todos los usuarios agrupados por perfil. Habrá que seleccionar el usuario para borrar o modificar y pulsar el botón correspondiente, o simplemente pulsar el botón “Nuevo” si se desea crear un nuevo usuario. Para activar los otros niveles de actualización deberá pulsar el botón asociado al nivel deseado en la siguiente pantalla, activar la opción “activar perfil”, introducir el nombre de usuario, la clave y pulsar el botón aceptar como muestra la siguiente figura:

Figura 5. 31: Ventana de Modificación de Perfil de Administrador.

Merece mención especial el perfil Reports Operator OPTENET server guarda en sus logs todas las peticiones de Internet que analiza y aquellas que ha bloqueado. Si desea sacar informes de estos logs deberá instalar OPTENET Reporter en el mismo servidor u otro diferente. Seguidamente deberá configurar OPTENET Reporter indicándole dónde está OPTENET Server para que el Reporter consiga los logs y posteriormente pueda sacar informes. Para que no que el Reporter pueda solicitar al filtro los logs se debe identificar con un usuario y una clave válidos. Dicho usuario con dicha clave debe estar definido dentro del perfil Reports Operator del filtro y además estar activo.


5.11. Bloqueos por intentos repetidos

Con esta característica se puede bloquear el acceso a Internet completamente a un usuario que durante un determinado periodo de tiempo ha intentado acceder a más de un determinado número de sitios no permitidos. Se pretende con esta funcionalidad poder penalizar a los usuarios que intentan acceder a páginas no permitidas.

Figura 5.32: Ventana de Configuración de Bloqueo por intentos repetidos a URLs con acceso denegado.

Por defecto, la opción viene desactivada, para activarla simplemente hay que seleccionar si los usuarios se identificar por nombre (usuario autenticándose) o por IP, el tiempo que se les bloqueará como penalización y el número de bloqueos que se les permite tener en un determinado periodo de tiempo. Además en el caso de bloqueo se puede configurar la página de bloqueo que se le debe mostrar y la posibilidad de enviar un mail al administrador del sistema notificando esta situación. Si queremos desbloquear a alguna persona que ha sido bloqueada por esta causa, lo podemos hacer desde la siguiente pantalla que aparece al pulsar el botón Desbloquear.


Figura 5.33: Ventana para Desbloquear Usuarios anteriormente bloqueados.

5.12. Gestión en cluster

Esta versión de OPTENET Server permite manejar múltiples instancias* de OPTENET Server desde un único servidor WWW. Esta forma de trabajar se denomina ‘Gestión en cluster’. *Se entiende por instancia una instalación de OPTENET Server ejecutándose en una máquina.

5.12.1. Activar/Desactivar gestión en cluster

El elemento más importante para trabajar en cluster, es el icono situado en la parte inferior izquierda de la pantalla y que sirve para activar o desactivar la gestión en cluster.


Figura 5.34: Vista principal de la Administración WEB.

Cuando está desactivado, se trabaja de manera convencional, es decir, se maneja un único OPTENET Server y los cambios se aplican únicamente a esa instalación que se está administrando. Cuando se activa, todos los cambios que se realicen en la configuración de este filtro se replican a todas las instalaciones de OPTENET Server que estén configuradas dentro de la Gestión en cluster. Si nos encontramos en la opción de configuración o en la de actualizaciones, entonces se nos mostrará un mensaje indicando que los cambios se aplicarán a todas las instalaciones de OPTENET Server. En el resto de opciones los cambios se aplicarán sin mostrar mensaje alguno.


Figura 5.35: Ventana de administración de la Gestión en Cluster.

Al activar la gestión en cluster, se muestra la pantalla en la cual se pueden editar instalaciones de OPTENET Server. Además el botón ‘Gestión en cluster’ es habilitado, y el icono que muestra el modo de trabajo (activado, desactivado) se actualiza. Al desactivar la gestión en cluster, se muestra la siguiente pantalla indicando que el modo de trabajo es el tradicional, y que los cambios sólo se aplican a un único OPTENET Server. El botón ‘Gestión en cluster’ y el icono se han actualizado nuevamente.


Figura 5.36: Ventana que aparece al desactivar la Gestión en Cluster.

5.12.2.Clusters

Bajo esta etiqueta, se encuentran los botones para editar clusters y en todo momento se muestra una lista actualizada con los clusters creados. Para todas las operaciones salvo ‘Insertar’ es necesario seleccionar previamente el cluster.

5.12.2.1.Nuevo

Para insertar un nuevo cluster se muestra la siguiente ventana.

Figura 5.37: Ventana de Inserción del Nombre del Cluster.


Basta con introducir el nombre y automáticamente el cluster se mostrará en la lista.

5.12.2.2.Modificar

Permite editar el nombre de un cluster. Se muestra la misma ventana que en la operación anterior pero con el nombre del cluster en la caja de texto.

5.12.2.3.Borrar

Elimina de manera permanente el cluster seleccionado de la lista de clusters.

5.12.2.4.Conectar

Establece conexiones a todos los servidores del cluster seleccionado y muestra la ventana de informe del apartado siguiente.

5.12.2.5.Informe

Muestra el resultado de las conexiones realizadas a los servidores en la siguiente ventana.

Figura 5.38: Ventana de Informe de las comunicaciones con los Servidores de un Cluster.

Los campos de la tabla son: IP/URL: IP de la instancia de OPTENET Server. Servidor: Nombre del servidor. Tipo: Tipo de OPTENET Server.. Puerto: Puerto en el que escucha la instancia de OPTENET Server. Objeto: La petición que se hace a la instancia de OPTENET Server. Estado: ‘HTTP_OK’ (OPTENET Server está ejecutándose) ‘HTTP_ERROR’ (OPTENET Server no está ejecutándose o los parámetros introducidos son incorrectos)


5.12.3.Servidores

Bajo esta etiqueta, se encuentran los botones para editar servidores. Se muestra en todo momento una lista actualizada con los servidores introducidos para un cluster seleccionado. Es importante señalar que la instalación de OPTENET Server a cuya administración WWW estemos conectados, NO se debe añadir a la lista de servidores, pues los cambios se le aplicarán siempre, indistintamente del modo de trabajo. Para todas las operaciones es necesario seleccionar previamente el cluster. El servidor a editar pertenecerá a dicho cluster. Al seleccionar el cluster, se mostrarán todos los servidores pertenecientes al cluster. En la caja de texto, para cada servidor se muestra la siguiente información: IP – Nombre - IP:Puerto – Tipo

Figura 5.39: Ventana de Inserción de Parámetros de un Servidor del Cluster.

5.12.3.1.Nuevo

Para insertar un nuevo servidor se muestra la siguiente ventana. Los parámetros para crear una nueva entrada de una instalación de OPTENET Server que deseamos controlar son los siguientes: Dir. IP: Dirección IP Nombre: Nombre de la instancia. Puerto: Puerto de escucha. Usuario: Nombre de usuario para la identificación.


Password: Password de usuario. Conexión: Tipo de conexión para manejar las demás instalaciones. ‘HTTP’ (por defecto) o ‘HTTPS’ (conexión segura). Para trabajar con conexiones seguras https, consulte antes el anexo 1 titulado ‘Administración de OPTENET Server a través de una conexión segura’, ya que en este caso el puerto que se debe introducir no es el puerto donde está escuchando OPTENET Server en la máquina remota sino el puerto en el que escucha el stunnel asociado al OPTENET Server que está introduciendo. No se debe confundir dicho stunnel con el stunnel asociado al filtro local, ya que son diferentes. Por último seleccione ‘HTTPS’ en ‘Conexión’ en lugar de ‘HTTP’. En la ventana se muestra una etiqueta que dice ‘Puerto Https’. Al insertar un servidor esta etiqueta está vacía. En posteriores apartados se verá que valores puede tomar. El nombre y el password de usuario son los mismos que se introducen a la hora de acceder a la administración WWW de OPTENET Server. Es importante apuntar que al trabajar en cluster, si editamos el nombre y password del administrador introducido al definir servidor, este también se replica en todas las instalaciones. Además hay que señalar que si eliminamos el nombre y password del administrador introducido al definir servidores, estos dejarán de funcionar con la gestión en cluster. Esto se debe a que el nombre y password utilizado por la gestión en cluster para replicar un cambio a una instalación concreta, ya no existen en dicha instalación. En este caso para que la gestión en cluster vuelva a funcionar, hay que editar los parámetros del servidor e introducir el nuevo nombre y password. Otro modo de proceder consiste en editar el usuario en lugar de borrarlo y crearlo.


FiFigura 5.40: Ventana de Parámetros de un Servidor del Cluster completada.

5.12.3.2.Modificar

Se muestra la misma ventana que en la operación anterior pero con los parámetros del servidor en las cajas de texto. Si trabaja con http, vera que en la etiqueta ‘Puerto Https’, el valor que se muestra es el mismo que el introducido en ‘Puerto’. Esto es así, porque no hay un puerto asociado a conexiones https. Sin embargo si trabaja con conexiones seguras, verá que se le ha asignado un puerto. OPTENET Server ha buscado un puerto libre en el sistema y ha lanzado una instancia de stunnel en la máquina local, para poder comunicarse de forma segura. Por cada nuevo servidor creado, OPTENET Server lanzará una instancia de stunnel en su máquina local.

5.12.3.3.Borrar

Elimina de manera permanente el servidor seleccionado de la lista de servidores. Si trabaja con conexiones seguras, al eliminar un servidor, se elimina la instancia de stunnel asociada a dicho servidor y que está en la máquina local.


5.12.3.4.Conectar

Establece una conexión con el servidor seleccionado y se muestra la siguiente ventana:

Figura 5.41: Ventana que aparece tras conectar correctamente con un servidor.

El resultado de la conexión puede ser: ‘Conexión Aceptada’: OPTENET Server está ejecutándose) ‘Error: Conexión no realizada’: OPTENET Server no está ejecutándose o los parámetros introducidos (usuario, password, dir. ip, ...) son incorrectos.

5.12.3.5.Informe

Muestra la siguiente ventana con el resultado de la conexión realizada al servidor. Los campos de la tabla son los mismos que los de informes de cluster.

Figura 5.41: Ventana de Informe de las comunicaciones con un Servidor.


5.13. Información del sistema

Esta pantalla muestra la información sobre el funcionamiento de OPTENET Server. A continuación describimos cada uno de los campos que aparecen en la misma. ♦ Versión: versión de OPTENET Server que está en ejecución. ♦ Arranque: fecha y hora en que se arrancó el filtro. ♦ Hora actual del servidor: fecha y hora del servidor dónde se ejecuta el filtro. ♦ Estado de la licencia: indica el estado de la licencia. En el caso de que su licencia

haya caducado póngase en contacto con [email protected] para su renovación. ♦ Peticiones procesadas: indican el total de peticiones que el filtro ha recibido para

su análisis. Aparecen cuatro números, el primero indica las peticiones ICAP REQMOD recibidas para el chequeo en listas, el segundo las peticiones ICAP RESPMOD recibidas para el análisis de contenido, el tercero las peticiones recibidas vía RPC (SQUID, ISA Server, OPTENET Proxy,…) y el cuarto las peticiones ICAP REQMOD_CATEGORY recibidas.

♦ Peticiones bloqueadas: indican las peticiones que han sido bloqueadas, aparecen cuatro números y cuyo significado es análogo al de las peticiones procesadas.

♦ Hilos ICAP: el primer número representa los hilos del servidor ICAP que actualmente están siendo utilizados y el segundo número el total de hilos del servidor ICAP. Esto hilos incluyen todos los posibles servicios ICAP (reqmod, respmod y reqmod_category)

♦ Hilos administración: el primer número representa los hilos del servidor web que actualmente están siendo utilizados y el segundo número el total de hilos disponibles. Tenga en cuenta que si la página de stop local la sirve dicho servidor.

♦ Estado de la base de datos: Carece de significado para el usuario y pudiera ser requerido por el personal técnico de OPTENET.

♦ Servidor actual de base de datos: indica de qué servidor está actualizando la base de datos de URLs

♦ Última conexión correcta con servidor de BD: fecha y hora de la última vez que el filtro contactó con éxito a un servidor de base de datos de URLs.

♦ Estado de la última actualización total: Indica el estado de la última recarga total de la base de datos de URLs que se lanzó desde el apartado Actualizaciones. Dependiendo de la conexión a Internet una recarga completa puede llevar entre varios segundos y varios minutos. Desde aquí puede hacer un seguimiento del progreso de la misma.

♦ Bytes recibidos/totales: muestra los bytes recibidos de la recarga total y los totales que deberá recibir además del porcentaje completado.

♦ Última actualización correcta desde que se arrancó: indica la fecha y hora de la última actualización total que se ha realizado con éxito desde que se arrancó el filtro.

♦ Hilos del servidor de logs: el primer número indica los hilos utilizados que están sirviendo logs a un OPTENET Reporter y el segundo el total de hilos disponibles.

♦ Peticiones al servidor de logs: el primer número indica el total de peticiones contestadas con éxito y el segundo las erróneas.


Figura 5.42 Ventana de información del Sistema


6. PROBLEMAS MÁS COMUNES En este apartado se describen los problemas más comunes y la forma de solucionarlos.

6.1. Aparece el mensaje optenet server error... cuando intento navegar

Si al intentar navegar usando el filtro le aparece la siguiente pantalla:

Figura 6.1: Ventana de información de OPTENET Server de licencia caducada. Es debido a que su licencia de OPTENET Server ha caducado. Póngase en contacto con nosotros a través:

[email protected] +34 902 154 604 (España) +34 913579150 +33 (0) 144836101 (Francia) +44 (0) 8700990322 (Reino Unido) +1 3055737272 (Estados Unidos)

para renovar o dar de alta su licencia.

6.2. No se logra arrancar el filtro

Si cuando intenta arrancar el filtro éste no se logra poner en funcionamiento podemos consultar el motivo en el syslog del sistema. Para ello deberemos conectarnos como root y visualizar las últimas líneas de fichero /var/log/messages en Linux o /var/adm/messages en Solaris o AIX o el visor de eventos de aplicación en sistemas Windows. OPTENET Server deja un evento informativo cada vez que es arrancado o el problema encontrado cuando no se pudo arrancar.


6.3. No aparecen los usuarios al pulsar el botón refrescar

Para que aparezcan los usuarios al pulsar el botón refrescar debe estar previamente definido los servidores LDAP o los Dominios Windows de los que vamos a extraer dichos usuarios. Asegúrese de que dichos servidores estén bien definidos y que son accesibles desde el equipo donde está instalado OPTENET Server. Consulte el syslog del sistema (fichero /var/log/messages en Linux o /var/log/messages en Solaris o AIX) o el visor de eventos de aplicación en sistemas Windows para ver la razón por la que OPTENET no pudo listar dichos usuarios.


ANEXOS


1. ADMINISTRACIÓN DE OPTENET SERVER A TRAVÉS DE UNA

CONEXIÓN SEGURA (SOLO PLATAFORMA LINUX) Es posible administrar el filtro OPTENET a través de una conexión segura utilizando el protocolo HTTPS, accediendo a la siguiente URL: https://host.domain desde cualquier navegador. Para ello es necesario que en la máquina donde está instalado el filtro se encuentre ejecutado el programa stunnel. Si se quiere acceder de forma segura a la configuración WWW desde el navegador Internet Explorer es necesario que la versión de stunnel sea la 3.22-1 o superior. En caso de que stunnel no esté instalado o la versión instalada sea inferior a la 3.22-1, los pasos para la instalación son los siguientes: • Copiar el paquete stunnel-3.22-1.i386.rpm del ftp updates.redhat.com:/

7.2/en/os/i386, accediendo por ejemplo como usuario anonymous, a la máquina donde se quiera instalar el stunnel.

• Instalar el paquete. En el directorio donde se haya copiado el fichero stunnel-3.22-1.i386.rpm ejecutar como usuario root:

rpm -i stunnel-3.22-1.i386.rpm (stunnel no instalado) rpm -U stunnel-3.22-1.i386.rpm (versión stunnel inferior 3.22-1)

• Comprobar que la instalación se ha realizado correctamente:

rpm -qa | grep stunnel

Se debe mostrar: stunnel-3.22-1

• Generar el fichero de certificados. En el directorio /usr/share/ssl/certs

ejecutar como usuario root: make stunnel.pem introduciendo los datos que se piden. • Edite el script stunnelinit que está en el directorio de instalación del filtro.

Debe asegurarse de que la ruta de todos los ficheros a los que se hace referencia es la correcta teniendo en cuenta el directorio de instalación del filtro, y el parámetro –r de stunnel tiene por valor el puerto donde escucha el filtro (10237). Este script establece también el puerto de conexión con otras máquinas, por defecto este puerto es el 443 y de esta forma se podrá acceder a la administración web del filtro tecleando en su navegador "https://host_ip". Si se decide elegir otro puerto en vez del 443 el acceso a la


administración web del filtro desde el navegador será "https://host_ip:Port". Es importante señalar también que si se decide utilizar un puerto menor del 1024 la ejecución del stunnel debe hacerse como root.

• Para arrancar el stunnel ejecutar el script stunnelinit en el directorio de la

instalación como usuario root: ./stunnelinit start • Para parar el stunnel ejecutar el script stunnelinit en el directorio de la

instalación como usuario root:

./stunnelinit stop Al reiniciar o iniciar el filtro, se debe volver a arrancar stunnel, pero es importante arrancarlo después de haber arrancado el filtro, ya que éste al arrancarse, elimina todas las instancias de stunnel que se estén ejecutando en la máquina local. Si trabaja con la gestión en cluster manejando varios OPTENET Server simultáneamente, no debe preocuparse de nada, pues el propio OPTENET Server se encarga de que todas las conexiones con las demás instancias de OPTENET Server sean seguras.


2. ADMINISTRACIÓN DE OPTENET A TRAVÉS DE LA LÍNEA DE COMANDOS (OPTENET CLI V1.0)

2.1. Introducción

OPTENET CLI es una aplicación que permite administrar OPTENET Server a través de una línea de comandos. Es una vía alternativa a la administración web, con la ventaja de que OPTENET CLI es capaz de procesar ficheros de script que contengan múltiples peticiones. Otra de las características de OPTENET CLI es que permite administrar cualquier filtro, simplemente editando su fichero de configuración. OPTENET CLI hace un control exhaustivo de todo lo que se teclea en la línea de comandos con el objetivo de minimizar errores. La interfaz de comandos de OPTENET CLI es en Inglés, pero el manual de usuario está disponible en diferentes idiomas. OPTENET CLI se puede ejecutar en la máquina en la que se encuentra corriendo OPTENET Server o en cualquier otra. Hay que tener en cuenta que si OPTENET CLI administra un filtro remotamente, puede no funcionar correctamente si es necesario atravesar un proxy. Si administra con OPTENET CLI un OPTENET Server que es maestro en la gestión en cluster, debe tener en cuenta que los cambios que aplique vía CLI en el OPTENET Server maestro se propagarán a los OPTENET Servers esclavos. Los ficheros que vayan a ser utilizados por OPTENET CLI (fichero de configuración y ficheros de script) necesitan estar en el directorio donde se este ejecutando OPTENET CLI. Por ello, si OPTENET CLI se ejecuta remotamente hay que tener cuidado y copiar ambos ficheros al directorio donde se este ejecutando. OPTENET CLI se instala junto a OPTENET Server dentro del subdirectorio tools junto a su archivo de configuración cli.conf y el archivo de scripts por defecto script.txt por defecto script.txt donde podrá añadir múltiples peticiones. Este fichero de script se encuentra vacío.

2.2. UTILIZACIÓN

A continuación se va a explicar como utilizar OPTENET CLI y aprovechar al máximo las características que ofrece.

2.2.1. Ejecución

Para ejecutar OPTENET CLI, vaya al directorio donde lo haya instalado y teclee:

optenetcli Mostrándose el mensaje de bienvenida de OPTENET CLI.


Ahora ya se encuentra en la línea de comandos de OPTENET CLI, y los comandos que teclee serán interpretados y ejecutados.

2.2.2. Ayuda

OPTENET CLI dispone de un completo sistema de ayuda en modo texto. Para ello teclee:

? Mostrándose los nombres de todos los comandos de OPTENET CLI. Tenga en cuenta que estos son sólo los nombres de los comandos. Muchos de estos comandos tienen parámetros que también deberá especificar.

2.2.3. Comandos

Para saber cuales son los parámetros de un comando, basta con teclear el nombre de dicho comando seguido de ‘?’. Ejemplo:

saveconfig ? Todos los comandos de OPTENET CLI siguen alguno de los siguientes formatos:

• addxxxxxx • savexxxxxx • delxxxxxx • sortxxxxxx

Donde xxxxxx representa una cadena de caracteres. Ejemplo: saveconfig, delurlyes, sortrule,... Hay que tener cuidado con los caracteres en mayúsculas y minúsculas, ya que OPTENET CLI hace distinción entre ellos. Es decir no es lo mismo ‘saveconfig’ que ‘SaveConfig’. Para que el manejo de OPTENET CLI sea más sencillo, se ha optado por que todos los comandos sean en minúsculas. Sin embargo como podrá ver más adelante algunos parámetros tienen caracteres en mayúsculas. OPTENET CLI le mostrará la lista de comandos disponible cuando teclee:

• ? • Un comando que no es interpretado por OPTENET CLI. • Un comando válido, pero con un número incorrecto de parámetros.

Cuando teclee un comando con el número correcto de parámetros, y que sin embargo alguno de ellos sea incorrecto, OPTENET CLI le mostrará como utilizar dicho comando. Así pues un proceso lógico para ejecutar un comando puede ser:

• Teclee ‘?’ para ver los comandos disponibles. • Teclee el nombre del comando elegido de la lista seguido del signo de

interrogación. • Teclee el nombre del comando seguido de sus parámetros tal y como se lo

muestra OPTENET CLI.


Si el comando tecleado es correcto y además se ha ejecutado satisfactoriamente, OPTENET CLI le mostrará el siguiente mensaje:

Configuration added successfully Si el comando tecleado es correcto pero no se ha podido ejecutar, se le mostrará:

Error: Configuration couldn´t be added Si el comando introducido no existe, verá la lista de comandos disponibles, y si por el contrario el comando existe pero el número de parámetros no es correcto, se le muestra como utilizar dicho comando. Si el comando y el número de parámetros son correctos, pero alguno de los parámetros no lo es, entonces verá como utilizar dicho comando y además se le muestra el siguiente mensaje: Error: Parameter XX is not correct Donde XX hace referencia al número de parámetro. En algunos parámetros concretos se mostrará un mensaje diferente al anterior. Por ejemplo, si uno de los parámetros es un día de la semana, y teclea “Catorce”, OPTENETCLI le mostrará: Error: Catorce is not a week day En el apartado 4 de este documento, se muestra una lista de todos los comandos válidos. Puede utilizar dicho apartado como una guía de consulta rápida.

2.2.4. Fichero de script

Para que OPTENET CLI ejecute todos los comandos de un fichero de script, simplemente teclee el nombre del fichero de script con la extensión txt. Ejemplo: script.txt OPTENET CLI le mostrará el resultado de la ejecución de las peticiones de la siguiente forma. Si la petición se ha ejecutado correctamente: Line XXX added successfully Donde XXX hace referencia al número de línea del fichero. Si por el contrario una petición no es correcta, le mostrará la forma de construirla de forma adecuada. Ejemplo:

USAGE: savekey PASSWORD PASSWORD: Password for protecting sensitive information


Es importante que tenga en cuenta que el formato de las peticiones de un fichero de script, es exactamente el mismo que si lo tecleara. El formato de un fichero de script, consiste en tener una única petición por línea. De esta forma se consigue un fichero de script claro y fácilmente editable. Por ello si escribe dos peticiones en una misma línea, OPTENET CLI devolverá error en esa línea, y no podrá procesar ninguna de las dos peticiones.

2.2.5. Salida

Para salir de OPTENET CLI, debe teclear el siguiente comando: exit Este comando finaliza la ejecución de OPTENET CLI.

2.2.6. Fichero de configuración

El fichero de configuración de OPTENET CLI es ‘cli.conf’ y debe estar en el directorio del ejecutable. Puede editar este fichero con cualquier editor. El formato es el siguiente: UserName Password Server IP Server Port Como puede ver, el fichero tan solo consta de 4 líneas, que le permiten seleccionar cualquier OPTENET Server que este ejecutando para poder así administrarlo. Las dos primeras líneas son el username y el password que necesita para administrar OPTENET Server, es decir el mismo que necesita para administrarlo vía web por ejemplo. Los valores por defecto para el username y el password son “optenet” y “12345678” respectivamente. Las dos siguientes líneas contienen la información necesaria para que OPTENET CLI sepa donde conectarse. La dirección IP de la máquina donde este ejecutándose OPTENET Server y el puerto en el que está escuchando. Los valores por defecto son la máquina local (“127.0.0.1”) y el puerto por defecto de la administración WWW (“10237”). Es importante señalar que el fichero debe tener siempre 4 líneas y que deben ser las que se señalan arriba. Si faltan o sobran líneas en el fichero, o intenta meter varios campos en una línea, OPTENET CLI le devolverá un mensaje de error al cargar el fichero de configuración.


2.3. Referencia de comandos

En este apartado se muestra una completa lista de comandos con sus respectivos parámetros, que el usuario puede utilizar como guía rápida de consulta. Los comandos están agrupados en apartados de la misma forma que lo están en botones en el administrador WWW.

2.3.1. Configuración

Dentro de esta opción podemos configurar: el estado del filtro, establecer la página de bloqueo o establecer el directorio donde se generan los logs.

2.3.1.1. Saveconfig

Todas las características que acabamos de mencionar se configuran con un único comando.

saveconfig FILTER_STATE URL_BLOCK LOGS_DIR FLAG1 BLOCKING_LOGS FLAG2 QUERY_LOGS CRYPT_STATUS FILTER_STATE: "Active", "Inactive" URL_BLOCK: Url indicating the blocking page LOGS_DIR: Directory for logs output (local path) FLAG1: "0", "1" (Disable/Enable Blocking_Logs) BLOCKING_LOGS: IP USER DAY RULE CATEGORY FILETYPE URL Each Value is:"0","1" Example: 0100110 FLAG2: "0", "1" (Disable/Enable Query_Logs) QUERY_LOGS: IP CLIENT USER GROUP DAY URL TRAFFIC TIME ACCESSES RULE CATEGORY FILETYPE Each Value is:"0","1" Example: 010011010011 CRYPT_STATUS: "0", "1" (Disable/Enable encryption of personal information in log files)

Este es el formato en el que OPTENET CLI nos muestra como utilizar un comando. “saveconfig” es el nombre del comando y ‘FILTER_STATE’, ‘URL_BLOCK’ y ‘LOGS_DIR’ son algunos de los parámetros de dicho comando. Si un parámetro sólo puede tomar unos valores concretos, entonces dichos valores se muestran entrecomillados tras el nombre del parámetro. Por ejemplo en el caso de “saveconfig”, FILTER_STATE sólo puede tomar los valores: “Active” o “Inactive”. Nótese que tanto “Active” e “Inactive” tienen el primer carácter en mayúscula y el resto en minúscula.

2.3.2. Autenticación

En este apartado se puede configurar OPTENET para que realice explícitamente autenticación de usuarios.

2.3.2.1. Saveauthen

saveauthen AUTENTICATION SERVER TIME PORT


AUTENTICATION: "1" (Active), "0" (Inactive) SERVER: Server Ip or name TIME: Expiration time PORT: Server port

2.3.3. Autenticación LDAP

En este apartado podrá definir nuevos servidores LDAP y modificar o borrar los existentes. A la hora de llevar a cabo la autenticación de usuarios se sigue el orden en el que los servidores han sido definidos.

2.3.3.1. Delauthencache

delauthencache A este comando no se le pasan parámetros.

2.3.3.2. Sortldap

sortldap SORT LDAP_SERVER SORT: "Up", "Down" LDAP_SERVER: LDAP Server name

2.3.3.3. Delldap

delldap LDAP_SERVER LDAP_SERVER: LDAP Server name

2.3.3.4. Saveldap

saveldap SERVER PORT BASE TYPE ADMIN PASSWORD LDAP_SERVER (OLD_LDAP_SERVER) SERVER: Server Ip or name PORT: Server port BASE_TYPE: Base to search for users and groups TYPE: "0"(Windows 2000) "1" (Lotus Domino) "2"(iPlanet) ADMIN: Username to log on to server Type if not administrator PASSWORD: Password for username Type if not administrator LDAP_SERVER: Server name OLD_LDAP_SERVER: Old server name or ip Use OLD_LDAP_SERVER when modifying server, not when creating El último parámetro va entre paréntesis y esto significa que dicho parámetro es opcional. Es decir, este comando se puede utilizar para realizar dos peticiones diferentes. Si no especificamos el último parámetro, crearemos un nuevo servidor LDAP, y si lo hacemos, entonces estaremos modificando un servidor LDAP existente, cuyo nombre se especifica mediante el último parámetro.


2.3.4. Clasificación Urls

En esta opción podremos añadir URLs a las diferentes categorías indicando si esa URL pertenece a una categoría o si no pertenece.

2.3.4.1. Saveurlclas

saveurlclas URL CATEGORIES URL: Url to be categorized CATEGORY: An Optenet Server category YES_NOT: "Yes" "Not"

2.3.4.2. Adduserurl

adduserurl CATEGORY LIST URL CATEGORY: One of OPTENET Server categories LIST: "Yes", "Not" URL: The Url

2.3.4.3. Deluserurl

deluserurl CATEGORY LIST URL CATEGORY: One of OPTENET Server categories LIST: "Yes", "Not" URL: The Url

2.3.5. Reglas de filtrado

Con las reglas de filtrado podemos personalizar cómodamente OPTENET Server para adaptarlo a las necesidades de nuestra red. En esta opción podrá definir esas reglas y todos su criterios: Grupos de IPs, Usuarios, Grupos de Usuarios, Categorías, URLs, Ficheros y Horarios.

2.3.5.1. Addrule

addrule

2.3.5.2. Sortrules

sortrules SORT RULE_NAME SORT: "Up", "Down" RULE_NAME: Name of the rule to be sorted

2.3.5.3. Delrule

delrule RULE_NAME RULE_NAME: Name of the rule to be deleted

2.3.5.4. Renrule

renrule OLD_RULE_NAME NEW_RULE_NAME OLD_RULE_NAME: Old name of the rule NEW_RULE_NAME: New name of the rule


2.3.5.5. Addips

addips RULE_NAME FROM_IP TO_IP RULE_NAME: Name of the rule FROM_IP: First ip of ip range TO_IP: Last ip of ip range

2.3.5.6. Delips

delips RULE_NAME FROM_IP TO_IP RULE_NAME: Name of the rule FROM_IP: First ip of ip range TO_IP: Last ip of ip range

2.3.5.7. Savecat

savecat RULE_NAME CAT1 CAT2 ... CATN RULE_NAME: Name of the rule CAT1,...CATN: An Optenet Server category Categories not typed will be disabled Este comando no tiene un número fijo de parámetros ya que se pueden pasar tantos nombres de categorías como queramos. Las categorías cuyo nombre no se pase como parámetro serán desactivadas, y aquellas que se pasen como parámetro serán activadas.

2.3.5.8. Addurlyes

addurlyes RULE_NAME URL_YES RULE_NAME: Name of the rule URL_YES: The url to be added

2.3.5.9. Delurlyes

delurlyes RULE_NAME URL_YES RULE_NAME: Name of the rule URL_YES: The url to be deleted

2.3.5.10.adduser

adduser RULE_NAME USER RULE_NAME: Name of the rule USER: User affected by the rule

2.3.5.11.Deluser

del user RULE_NAME USER RULE_NAME: Name of the rule USER: User affected by the rule

2.3.5.12.Addhours

addhours RULE_NAME FIRST_HOUR LAST_HOUR FIRST_MINUTE LAST_MINUTE RULE_NAME: Name of the rule HOUR_INTERVAL: Hour range. Type XX:XX-XX:XX. Example: 08:30-19:37 Hours should be in range 0-59


Minutes should be in range 0-23 Todos los parámetros de este comando menos el primero, son enteros y están comprendidos en un rango. Si se teclean caracteres o un entero fuera del rango, OPTENET CLI devolverá error.

2.3.5.13.Delhours

delhours RULE_NAME HOUR_INTERVAL RULE_NAME: Name of the rule HOUR_INTERVAL: Hour range (8:30-19:37) El segundo parámetro es un intervalo de hora, y es importante seguir el formato que se especifica, es decir: XX:XX-XX:XX Si se introduce el intervalo de horas con otro formato, OPTENET CLI devolverá error.

2.3.5.14.Saveday

saveday RULE_NAME DAY1 DAY2 ... DAY7 RULE_NAME: Name of the rule DAY*: A valid week day "Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday", "Saturday"

2.3.5.15.Addurlnot

addurlnot RULE_NAME URL_NOT RULE_NAME: Name of the rule URL_NOT: Url affected by the rule

2.3.5.16.Delurlnot

delurlnot RULE_NAME URL_NOT RULE_NAME: Name of the rule URL_NOT: Url affected by the rule

2.3.5.17.Savefile

savefile RULE_NAME FILE_TYPE1 FILE_TYPE2 ... FILE_TYPE7 RULE_NAME: Name of the rule FILE_TYPE*: A valid file type (mp3, avi,...)

2.3.6. Actualizaciones

OPTENET Server periódicamente se conecta a la WWW de OPTENET para actualizar sus listas, y poder filtrar las nuevas direcciones categorizadas de Internet que van surgiendo día a día. Con esta opción se trata de definir la frecuencia de actualización de las listas.

2.3.6.1. Saveact

saveact FRECUENCY DAY_OF_WEEK DAY_OF_MONTH START_HOUR END_HOUR TRY_INTERVAL PROXY_ADDR PORT PROXY FRECUENCY: "Daily", "Weekly", "Monthly" DAY_OF_WEEK:"Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday", "Saturday" DAY_OF_MONTH: "1", "2", "...", "28"


START_HOUR: "0", "1", "...", "23" END_HOUR: "1", "2", "...", "24" TIME_INTERVAL: Time between tries PROXY_ADDR: Proxy address PORT: Proxy port PROXY: "0", "1" Hay que tener cuidado con los caracteres en mayúsculas y minúsculas.

2.3.7. Identificación administrador

Para asegurar la privacidad de la configuración y administración, el servidor WWW requiere que el usuario sea autenticado, por lo que pedirá nombre de usuario y contraseña. Por defecto, el nombre de usuario es optenet y la contraseña 12345678. Estos valores pueden ser cambiados desde la administración WWW mediante la opción Identificación Administrador. Debe tener en cuenta que la creación / edición de usuarios depende de ciertos permisos. Por defecto los permisos que tiene para realizar estas operaciones son los del perfil Administrator (“optenet”, “12345678”). Para cambiar dichos permisos, edite las dos primeras líneas del fichero cli.conf.

2.3.7.1. Addadmin

addadmin NEW_USER_NAME NEW_PASSWORD ENABLED PROFILE NEW_USER_NAME: New user name NEW_PASSWORD: New password for new user name ENABLED: Profile enabled ("1") or disabled ("0") PROFILE: "1" (Ordinary administrator) "2" (Local administrator) "3" (Urls administrator) "4" (Reports administrator) "5" (Sensitive information administrator)

2.3.7.2. Saveadmin

saveadmin OLD_USER_NAME NEW_USER_NAME NEW_PASSWORD ENABLED PROFILE OLD_USER_NAME: Old user name NEW_USER_NAME: New user name NEW_PASSWORD: New password for new user name ENABLED: Profile enabled ("1") or disabled ("0") PROFILE: "1" (Ordinary administrator) "2" (Local administrator) "3" (Urls administrator) "4" (Reports administrator) "5" (Sensitive information administrator)

2.3.7.3. Deladmin

deladmin USER_NAME PROFILE USER_NAME: Administrator user name PROFILE: "1" (Ordinary administrator)


"2" (Local administrator) "3" (Urls administrator) "4" (Reports administrator) "5" (Sensitive information administrator)

2.3.8. Gestión en cluster

OPTENET Server permite manejar múltiples instancias de OPTENET Server que estén ejecutándose en diferentes máquinas. Podemos crear, editar, eliminar y conectarnos a tantas instancias de OPTENET Server como deseemos.

2.3.8.1. Cluster

cluster FLAG FLAG: "1" (Enable 'Working with Clusters') "0" (Disable 'Working with Clusters')

2.3.8.2. Addcluster

addcluster CLUSTER_NAME CLUSTER_NAME: Name of new cluster

2.3.8.3. Savecluster

savecluster CLUSTER_NAME NEW_NAME CLUSTER_NAME: Name of cluster NEW_NAME: New Name for cluster

2.3.8.4. Delcluster

delcluster CLUSTER_NAME CLUSTER_NAME: Name of cluster

2.3.8.5. Addserver

addserver SERVER_NAME SERVER_IP SERVER_PORT HTTP_FLAG USERNAME PASSWORD CLUSTER_NAME SERVER_NAME: Name of new server SERVER_IP: Ip address of new server SERVER_PORT: Port where server listens HTTP_FLAG: "1" (Http), "0" (Https) USERNAME: Username to log on to the server PASSWORD: Password to log on to the server CLUSTER_NAME: Server's cluster name

2.3.8.6. Saveserver

saveserver SERVER_NAME SERVER_OLD_NAME SERVER_IP SERVER_PORT HTTP_FLAG USERNAME PASSWORD CLUSTER_NAME SERVER_NAME: New name for server SERVER_OLD_NAME: Server old name SERVER_IP: Ip address of server


SERVER_PORT: Port where the server listens HTTP_FLAG: "1" (Http), "0" (Https) USERNAME: Username to log on to the server PASSWORD: Password to log on to the server CLUSTER_NAME: Server's cluster name

2.3.8.7. Delserver

delserver SERVER_NAME CLUSTER_NAME SERVER_NAME: Name of server CLUSTER_NAME: Server's cluster name

2.3.9. Informes

OPTENET Server permite configurar una herramienta de informes (OPTENET Reporter) la cual recibirá los logs.

2.3.9.1. StoreReporter

storereporter REPORTER_IP REPORTER_PORT REPORTER_IP: Ip address where OPTENET Reporter is current running REPORTER_PORT: Port number where OPTENET Reporter is current listening

2.4. PROBLEMAS MÁS COMUNES

En este apartado se describen los problemas más comunes y la forma de solucionarlos.

2.4.1. No logra arrancar OPTENET CLI

Compruebe que el ejecutable de OPTENET CLI (optenetcli) se encuentra en el directorio actual. Verifique que el fichero de configuración (cli.conf) también lo está.

2.4.2. Se muestra un mensaje de error al ejecutar un comando

Si recibe un mensaje de error en alguno de los parámetros, compruébelos uno a uno. Verifique también los caracteres en mayúsculas y minúsculas del comando y sus parámetros. Si el error se refiere a que la configuración no pudo ser añadida, compruebe primero que OPTENET Server está ejecutándose. A continuación compruebe que los datos del fichero de configuración (user, password, ip, puerto) son correctos. Por último compruebe que no hay que atravesar ningún proxy para llegar a OPTENET Server.


2.4.3. Ejecuta un comando pero no se refleja su cambio en OPTENET Server

Si ejecuta un comando de OPTENET CLI, no recibe ningún error sino un mensaje diciendo que la configuración ha sido añadida, y sin embargo comprueba que los cambios que esperaba al ejecutar dicho comando no se han producido, entonces el problema reside en que alguno de los parámetros hace referencia a un elemento que no existe. Dicho elemento puede ser: Una regla, Una categoría, Un tipo de archivo, Un nombre o Ip de servidor,...

3. CONFIGURACION DEL PROXY OPTENET El proxy Optenet tiene ciertos parámetros configurables como son el puerto en el que escucha, ( y en el caso de tener un proxy detrás) la opción de introducir los datos de ese proxy encadenado. Estas opciones son accesibles mediante el icono situado en la barra de tareas:


Figura Anexo 1: Icono de administración del proxy

Al hacer click sobre el icono con el botón derecho o izquierdo del ratón, aparecerá el siguiente menú contextual donde podremos seleccionar la opción deseada:

Figura Anexo 2: Menú contextual del proxy Optenet

3.1. Configuración de un proxy encadenado (Configuración proxy)

Si se desea configurar un proxy encadenado (chained proxy) mediante la siguiente pantalla se admiten los datos necesarios: la IP del proxy y el puerto en el que escucha:

Figura Anexo 3: Menú de configuración del proxy encadenado

3.2. Administración del Optenet Server (Administración Optenet Server)


Haciendo click sobre esta opción se abrirá un navegador mostrando la página de administración del filtro de OPTENET.

3.3. Configuración del puerto (Puerto Proxy)

Para modificar el puerto en el que escucha el proxy por defecto es posible hacer click sobre esta opción y modificarlo fácilmente:

Figura Anexo 4: Menú de configuración del puerto en el que escucha el proxy Optenet


4. DESCRIPCIÓN DE LAS CATEGORÍAS DE OPTENET A continuación se enumeran las categorías que ofrece OPTENET junto a una breve descripción de las mismas: 1. Azar: Páginas web de casinos on-line y bingos. También incluye páginas donde se

pueda apostar, por ejemplo quinielas, loterías, etc. 2. Construcción de explosivos: Páginas web sobre cómo construir explosivos. 3. Compras: Páginas web dónde se puede comprar productos y servicios. 4. Deportes: Páginas web con contenidos relativos a equipos e información deportiva. 5. Drogas: Páginas web con contenidos sobre drogas tanto animando a su consumo

como facilitando lugares y contactos donde conseguirlas. No están incluidas las páginas que informan sobre los efectos perjudiciales de las drogas.

6. Economía: Páginas web relacionadas con la banca, mercados de valores, inversiones

financieras, etc. 7. Educación: Páginas web relacionadas con colegios, institutos, universidades,

academias y cursos en general. 8. Empleo: Páginas web relacionadas con ofertas de trabajo y demandas de empleo.

También incluye páginas "caza - talentos". 9. Entretenimiento: Páginas web con información relativa a películas, teatro, libros,

restaurantes, hobbies, etc. Contenidos sobre cómo emplear el tiempo libre en general excepto contenidos pertenecientes a azar, deportes, juegos y viajes que están incluidos en sus propias categorías.

10. Hackers: Páginas web que contienen software ilegal. Páginas que contienen

herramientas de cómo piratear programas y documentación sobre cómo saltarse la seguridad informática en general.

11. Informática: Páginas web con información relacionada con hardware, software,

Internet, etc. 12. Juegos: Páginas web donde se puede jugar on-line o descargarse juegos

informáticos. 13. Modelos: Páginas web donde se pueden encontrar fotos de modelos (tanto

masculinos como femeninos). Las páginas donde este tipo de fotos muestren modelos totalmente o parcialmente desnudos pueden estar incluidos en la categoría de pornografía.

14. Música: Páginas web donde se puede descargar o comprar música, páginas con

información relacionada con cantantes y grupos de música en general.


15. Racismo: Páginas web con contenido abiertamente xenófobo o que incita al comportamiento racista por motivos de religión, cultura, raza, ideología, etc.

16. Pornografía: Páginas web de contenido pornográfico y erótico. También incluye el

acceso a sitios de descarga dónde se encuentra material de este tipo. 17. Prensa: Páginas web de periódicos y revistas virtuales. 18. Rosa: Páginas web con contenidos relacionados con celebridades. También incluye

contenidos relacionados con la moda, decoración, estética, etc. 19. Sectas: Páginas web con contenidos relacionado con sectas peligrosas y que son

aceptadas universalmente como tales. No se incluyen aquellas que por legislación de diferentes países son consideradas como sectas en unos y cómo asociaciones religiosas con todos sus derechos en otras.

20. Viajes: Páginas web de agencias de viajes, información turística, hoteles y

alojamientos, medios de transporte. 21. Violencia: Páginas web con contenidos abiertamente de naturaleza violenta o que

incitan a la violencia o la defienden. 22. Correo web: Sitos web que proporcionan servicios para enviar mensajes de correo

electrónico. 23. Chat: Sitos web que proporcionan servicios para comunicarse (chat) con otros

usuarios en tiempo real. * En algunas ocasiones una página web puede pertenecer a más de una categoría.


5. ICAP NOW NetCache implementa un método ICAP diferente denominado icap now. Se diferencian de los métodos icap habituales en que la petición ICAP es pasada al servidor ICAP en este caso OPTENET Server antes incluso de realizar la autenticación de usuario. Esto puede llegar a ser útil en el caso de que se quiera realizar operaciones diferentes dependiendo del resultado que devuelva el servidor ICAP decidiendo, por ejemplo, pedir únicamente autenticación a los usuarios que vayan a acceder a determinadas categorías. OPTENET Server tiene implementado un servicio ICAP denominado reqmod_category cuya única misión es categorizar los accesos que le llegan por ese servicio. A diferencia de los otros dos servicios (reqmod_netcache y respmod_netcache) OPTENET Server no bloquea ningún acceso, simplemente lo clasifica devolviendo la categoría a NetCache. Para evitar que un acceso pueda ser catalogado con más de una categoría, OPTENET Server utiliza el fichero de configuración etc/catpriority.txt que existe dentro de su directorio de instalación para que el caso de conflicto entre categorías se le asigne la que antes aparece en dicho fichero. Las categorías que no aparezcan se considerarán cómo las menos prioritarias, si ninguna de las posibles categoría está escrita (por estar ambas categorías creadas por el administrador) se elige la que primero se creó en el sistema. Puede editar catpriority.txt y ordenar las categorías a su gusto. Una vez guardado deberá rearrancar el filtro para que su ordenación tenga efecto. Además puede añadir nuevas categorías al fichero modificando también el primer número que aparece en el fichero ya que indica el número de categorías que tiene el mismo. A continuación se muestra un ejemplo de configuración de un NetCache en el que se ha definido el servicio reqmod_category con el fin de solicitar autenticación a todos los accesos que no pertenezcan a la categoría Intranet:


Figura Anexo 5: Configuración del servicio reqmod_category

Figura Anexo 6: Configuración de NetCache utilizando icap_now

Para poder utilizar correctamente este nuevo servicio debemos indicarle a OPTENET Server que lance mas hilos con el fin de atender a las peticiones de este nuevo servicio. Ello se indica en las versiones Windows modificando la clave del registro: HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\IcapServices Escribiendo el valor 3. Para las versiones Unix, deberá modificar el script /usr/local/optenet/RunOPTENET anadiendo el parámetro -icap_services 3 En ambos casos deberá reiniciar el filtro para que la configuración tenga efecto.


6. MONITORIZACIÓN SNMP (SÓLO PLATAFORMA LINUX) El filtro tiene la posibilidad de ser monitorizado mediante el protocolo SNMP, con lo cual es fácilmente integrable en los sistemas de monitorización del mercado. Para ello, la distribución del filtro incluye un Agente SNMP, que funciona como un servicio totalmente autónomo, y mantiene actualizados los valores de los parámetros sobre el estado del filtro en tiempo real. Por defecto, el agente escuchará en el puerto 161, aunque es configurable, con el fin de poder tener varios agentes en la misma máquina. Los parámetros que son susceptibles de ser monitorizados son los siguientes: • -Estado del filtro: ACTIVO / NO ACTIVO/APAGADO

(ID: .1.3.6.1.4.1.2021.254.1.0) • ACTIVO: El filtro se encuentra activo en ese momento. (Valor 1) • NO ACTIVO: El filtro se encuentra encendido pero no activo. (Valor 0) • APAGADO: El filtro no está en ejecución. (Valor -1)

• -Número de peticiones por segundo: X.

(ID: .1.3.6.1.4.1.2021.254.2.0.0) • -Número de bloqueos por segundo: X.

(ID: .1.3.6.1.4.1.2021.254.3.0.1849.0) Además se incluye completa información sobre el sistema, por ejemplo: • -Hora/fecha del sistema.

(ID: .1.3.6.1.4.1.2021.4.0) • -Tiempo del agente en ejecución.

(ID: .1.3.6.1.2.1.1.3) • -Nombre del servidor.

(ID: .1.3.6.1.2.1.1.5)

6.1.1. Ejecución del agente SNMP

Para activar el agente SNMP de Optenet debe ejecutarse el siguiente comando:

OptenetSnmp [–h] [–v] [–f] [–p PORT] [–l LOG_FILE] -h Muestra la ayuda en línea de comandos -v Muestra la versión del producto


-f No se ejecuta en un hilo hijo -p para establecer un puerto en el que escucha peticiones diferente al 161 -l para cambiar el fichero de log por defecto (/usr/local/optenet/logs/optenet_snmp.log)

6.1.2. Arranque automático

Si se desea que el agente SNMP arranque junto con el filtro de manera

automática, será necesario editar los ficheros: “RunOPTENET” y “filterinit”, y quitar los comentarios de las líneas indicadas, donde aparecen las llamadas necesarias para iniciar y apagar el agente OptenetSnmp. Por defecto, en el fichero de arranque aparece como puerto donde escucha el agente Snmp: 10237.

6.1.3. Configuración del agente

El agente cuenta con un fichero de configuración cuyo nombre es: “snmp.conf”,

con la siguiente información: Stat-url= 192.168.0.240 // URL o IP donde escucha el filtro Stat-port= 10234 // Puerto en el que escucha el servidor web del filtro (CGI de estadísticas)

7. RECARGAR Esta opción provoca que el filtro lea de nuevo todos sus ficheros de configuración así como la base de datos de URLs. Opción útil si desea "clonar" la configuración de un filtro a otro servidor que se ha incorporado recientemente a la gestión en cluster de organización, sin necesidad de parar y volver a arrancar el filtro. ATENCIÓN, utilice esta opción solamente en caso necesario, ya que la recarga de la base de datos es un proceso costoso en uso de CPU. Para lanzar al recarga debe ejecutar el siguiente cgi:

http://ip_del_filtro:10237/cgi-bin/resetconf?


INDICE DE FIGURAS

Figura 3.1: Idioma de la instalación de OPTENET Server............................................................. 11 Figura 3.2: Directorio de instalación de OPTENET Server............................................................ 11 Figura 3.3: Protocolo de comunicación entre OPTENET Server y el proxy......................................... 12 Figura 3.4: Proxies de Microsoft u OPTENET proxy.................................................................... 12 Figura 3.5: idioma por defecto de OPTENET Server................................................................... 13 Figura 3.6: Copiando OPTENET Server................................................................................... 13 Figura 3.8: Parámetros de OPTENET Server en el Registro de Windows........................................... 16 Figura 3.9: Servicio de OPTENET Server. ............................................................................... 17 Figura 3.10: Plugin de captura de datos de OPTENET Server........................................................ 18 Figura 3.11: Ventana de bienvenida del software de instalación................................................... 23 Figura 3.12: Ventana de condiciones generales de utilización ..................................................... 23 Figura 3.13: Ventana de selección del volumen de destino.......................................................... 24 Figura 3.14: Instalación de OPTENET Server y de OPTENET Reporter.............................................. 24 Figura 3.15: Personalización de la Instalación ......................................................................... 25 Figura 3.16: Fin de la instalación de OPTENET ........................................................................ 25 Figura 3.17: Administración del plugin de captura de datos de OPTENET Server................................ 29 Figura 3.18: Administración del plugin de captura de datos de OPTENET Server para Proxy Server. ........ 30 Figura 3.20: Notificación de éxito de obtención de parámetros automática. .................................... 34 Figura 3.21: Creación de un servicio “response modification” en BlueCoat. ..................................... 35 Figura 3.22: Creación de una política de acceso en BlueCoat....................................................... 35 Figura 3.23: Conexión de la política y el servicio en BlueCoat...................................................... 36 Figura 3.24: Creación de una política de contenido en BlueCoat................................................... 36 Figura 3.25: Conexión de la política y el servicio en BlueCoat...................................................... 37 Figura 3.26: Creación de un servicio REQMOD en NetCache. ........................................................ 38 Figura 3.27: Creación de un servicio RESPMOD en NetCache ........................................................ 39 Figura 3.28: Configuración de control de accesos conectados a los servicios creados en NetCache. ......... 40 Figura 3.29: Habilitado de los servicios creados en NetCache. ..................................................... 41 Figura 5.1: Ventana de autenticación de usuario para acceder a la Administración WWW .................... 44 Figura 5.2: Ventana de Introducción de la Administración WWW. ................................................. 45 Figura 5.3: Ventana de Introducción de la Administración WWW en francés. .................................... 46 Figura 5.4: Ventana de Documentación de la Administración WWW. .............................................. 47 Figura 5.5: Ventana de Configuración de la Administración WWW................................................. 48 Figura 5.6: Página de bloqueo de OPTENET Server.................................................................... 49 Figura 5.7: Ventana de Autenticación de la Administración WWW................................................. 51 Figura 5.8 Configuración de los Servidores LDAP...................................................................... 52 Figura 5.9 Configuración de un servidor LDAP ActiveDirectory ..................................................... 54 Figura 5.10 Configuración de un servidor LDAP iPlanet .............................................................. 55 Figura 5.11 Configuración de Servidores Windows. ................................................................... 56 Figura 5.12 Configuración de un Servidor Windows. .................................................................. 57 Figura 5.13 Configuración de OPTENET Proxy.......................................................................... 58 Figura 5.14: Ventana para añadir Categorías de la Administración WWW. ....................................... 62 Figura 5.15: Ventana para Clasificación de URLs de la Administración WWW.................................... 62 Figura 5.16: Clasificación de URLs como pornografía................................................................. 63 Figura 5.17: Ventana Reglas de Filtrado de la Administración WWW.............................................. 64 Figura 5.18: Ventana principal de Modificación de una Regla de Filtrado. ....................................... 65 Figura 5.19: Ventana para Cambiar el Nombre de una Regla de Filtrado. ........................................ 66 Figura 5.20: Ventana para Seleccionar las Categorías que debe tener en cuenta una Regla. ................. 67 Figura 5.21: Ventana para Seleccionar los tipos de Fichero a tener en cuenta por una Regla................. 68 Figura 5.22: Ventana para Seleccionar las IPs a tener en cuenta por una Regla. ................................ 68 Figura 5.23: Ventana para Seleccionar los Usuarios a tener en cuenta por una Regla. ......................... 69 Figura 5.24: Ventana para Seleccionar los Grupos de Usuarios a tener en cuenta por una Regla............. 70 Figura 5.25: Ventana para establecer el número máximo de horas a tener en cuenta por una Regla. ...... 71 Figura 5.26: Ventana para Establecer los Horarios a tener en cuenta por una Regla ........................... 71 Figura 5.27: Ventana para Asociar URLs a una Regla con independencia de su categorización................ 72 Figura 5.28: Ventana para Desligar URLs da una Regla con independencia de su categorización ............. 73 Figura 5.29: Ventana de Actualizaciones de la Administración WWW ............................................. 75 Figura 5.30. Ventana indicando que no es posible contactar con OPTENET Reporter ........................... 76


Figura 5. 31: Ventana de Modificación de Perfil de Administrador. ............................................... 79 Figura 5.32: Ventana de Configuración de Bloqueo por intentos repetidos a URLs con acceso denegado. .. 80 Figura 5.33: Ventana para Desbloquear Usuarios anteriormente bloqueados. ................................... 81 Figura 5.34: Vista principal de la Administración WEB............................................................... 82 Figura 5.35: Ventana de administración de la Gestión en Cluster.................................................. 83 Figura 5.36: Ventana que aparece al desactivar la Gestión en Cluster............................................ 84 Figura 5.37: Ventana de Inserción del Nombre del Cluster. ......................................................... 84 Figura 5.38: Ventana de Informe de las comunicaciones con los Servidores de un Cluster..................... 85 Figura 5.39: Ventana de Inserción de Parámetros de un Servidor del Cluster.................................... 86 Figura 5.41: Ventana que aparece tras conectar correctamente con un servidor. .............................. 89 Figura 5.41: Ventana de Informe de las comunicaciones con un Servidor. ........................................ 89 Figura 5.42 Ventana de información del Sistema...................................................................... 91 Figura Anexo 1: Icono de administración del proxy .................................................................. 110 Figura Anexo 2: Menú contextual del proxy Optenet ................................................................ 110 Figura Anexo 3: Menú de configuración del proxy encadenado .................................................... 110 Figura Anexo 4: Menú de configuración del puerto en el que escucha el proxy Optenet...................... 111 Figura Anexo 5: Configuración del servicio reqmod_category...................................................... 115 Figura Anexo 6: Configuración de NetCache utilizando icap_now................................................. 115

MANUAL DE OPTENET -FILTRADOR DE WEBS EN SERVIDORES-

Documents

Transcript of MANUAL DE OPTENET -FILTRADOR DE WEBS EN SERVIDORES-