Tutorial del Proxy WingateDisclaimerPuedes distribuir este texto libremente siempre que mantengas la cabecera donde

se dice quien lo ha escrito, de donde lo has sacado etc... También si lo vas a

incluir en tu página web, por favor, mándame un mail, simplemente para saberlo.

También quiero apuntar que he utilizado un lenguaje muy poco técnico, bastante

llano ya que se supone que este tutorial va dirigido a los neófitos en la materia, así

que, si crees que no he sido pedantemente riguroso en el tutorial, no sigas

leyendo.

En este texto se va a tratar básicamente de la configuración del wingate en PCs

con Windows 9x. En otros tipos de Windows es similar, tan sólo tienes que mirar la

ayuda del programa que uses, la del WinGate en concreto está bastante bien en

cuanto a que las cosas están explicadas con suficiente profundidad, lo que pasa

es que te pierdes. Al ser programas que se distribuyen por Internet suelen tener en

la ayuda todo lo necesario. Es una buena costumbre mirarla, de hecho, parte de

este tutorial está documentado en esa ayuda, aunque no todo, también aporto mis

sabios conocimientos (jejeje).

Una cosa que también quiero hacer notar es que no me he remitido a escribir

simplemente como se configura el wingate, sino que he intentado introducir

algunos conceptos básicos en el estudio de redes como la explicación de lo que

es el DNS, el funcionamiento de un proxy, el wingate como firewall y algunas

cosillas más, de forma que si lees el tutorial comprendas un poco que es lo que

estás haciendo y para qué, es un poco estúpido seguir las instrucciones de

configuración de un programa sin saber que estás haciendo ¿¿no??

Por último, me gustaría que si hay algo que no quede claro en el tutorial, alguna

errata o algo mejorable no lo dudes y mándame un correo electrónico dándome tu

opinión a la dirección natasab @ merlos. org . Si te queda alguna duda de como

se hace algo que explico aquí y no lo has podido resolver mirando en la ayuda del

programa pásate por el #redes del irc-hispano o escribe un mensaje en el foro de

la página del canal. No me mandes emails pidiendo ayuda para configurar el

wingate, ni siquiera los leeré e irán directos a /dev/null . Intenta sacarte las

castañas del fuego TU MISMO, y si realmente estás desesperado recurre a ayuda,

pero haz un esfuerzo por hacerlo tu mismo.

Wingate, ¿¿qué es eso??Pues un wingate es nada más y nada menos que un programa, ohhhhh!! qué te

esperabas, qué fuera una tía buena??? Pues no, es simplemente un PROXY para

Windows, en realidad, wingate es como el PAN BIMBO, se llama vulgarmente así

a los proxies de Windows, aunque realmente tan sólo es un PROXY.

Ahora, posiblemente te estarás preguntando, si no lo sabes, qué es un proxy???

Pues, un proxy sólo es un programa que te permite utilizar los servicios de Internet

(léase WWW, e-mail, ftp, IRC ... etc) con tan sólo una conexión a Internet, es

decir, que supongamos que tienes una pequeña red instalada en tu casa o en una

pequeña empresa, y tienes un ordenador con modem con el cual accedes a

Internet, pero quieres que el resto de los ordenadores también tengan acceso al

www, correo... etc, pero no quieres gastarte mucho más dinero, pues existe una

solución por software que te permite que mediante tu actual acceso a Internet el

resto de ordenadores de tu intranet (red privada, o LAN [Local area network])

puedas utilizar tales servicios in necesidad de comprar ningún "cacharro"

adicionalmente, en definitiva, acceso compartido a Internet.

Pero, ¿cómo lo hace? Bien, lo que hace el wingate para las aplicaciones que lo

soportan es coger todos los paquetes que van para los ordenadores externos a la

intranet y se los envía (porque la máquina con el wingate si que tiene acceso

directo a Internet), y los paquetes que vayan para algún ordenador de la red local

y que han sido enviados por un servidor de Internet los envía a ese PC de tu red

Local, pero tanto el ordenador cliente de tu LAN como el ordenador externo a la

red tratan con el WinGate, y este se encarga de pasar los mensajes de uno a otro,

es decir, para el ordenador local es como si el ordenador Wingate fuera el servidor

de Internet al que se quiere conectar y para el servidor de Internet, el wingate es el

cliente que le solicita un servicio. Qué hace el wingate cuando recibe un paquete

de un servidor de Internet? En una tabla de conexiones que máquina de la red ha

establecido una conexión con ese servidor, y por la interfaz de red (tarjeta de red)

se lo envía, de ahí que a los wingates se les llame pasarelas o gateways. Por otra,

como hemos dicho anteriormente, para todas las máquinas cliente el wingate es

Internet, y ningún otro ordenador externo a la red local puede acceder a estos

clientes, de ahí que los wingates sean considerados como firewalls o cortafuegos,

aunque realmente no sea un cortafuegos en toda regla, o por lo menos yo no lo

considero así ya que no trata con la misma exaustividad la auditoria y filtrado de

paquetes. Sin embargo, si que sería un cortafuegos eficaz ante cualquier tipo de

servidor-troyano instalado en las máquinas clientes, ya que el cliente del servidor-

troyano no podría acceder a estos PCs al tener al proxy entre ambos.

Otro uso que se le suele dar a los Proxies es la de usarlo como caché de archivos

para así mejorar la velocidad del acceso a internet. Generalmente, los usuarios de

internet suelen ir con cierta frecuencia a las mismas páginas web, como yahoo,

terra, servidores de webmail, etc... entonces, el proxy almacena en disco duro

esas páginas y si alguien quiere acceder a una página ya visitada, si no hace

mucho tiempo que se visitó pues el proxy te envía la página que tiene en disco

duro, de esa forma no tiene que conectarse al servidor http, bajar todos los

archivos, ahorrando tiempo y ancho de banda para otros usuarios. Esta

característica de los proxies también está contemplada por el Wingate de

Deerfield.

Concretando un poco más los principales servicios que da el Wingate son:

Base de Datos de usuarios extendida Caché HTTP

Control Remoto (GateKeeper)

Ejecutarse Como Un Servicio MS Windows

Enlaces Predefinidos

Gateway FTP

Gateway Telnet

Gestión De Cuentas

Auditoría e Histórico

Llamada Bajo Demanda (WinGate Dialer)

Soporte para Múltiples Interfaces

Planificador (Scheduler)

Políticas y Derechos

Políticas de seguridad

Proxy POP3

Proxy Real Audio

Proxy VDOLive

Proxy WWW

Reglas de servicios

Servidor SOCKS V5

Supervisión / Registro

Non-Proxy Requests

Wingate Internet Client

Winsock Redirection protocol

¿Dónde puedo descargar el Wingate?Lo puedes obtener, en su versión de prueba en www.wingate.com, si quieres

registrarlo en teoría tienes que pagar :_(

También hay otros programas de este tipo como son:

SyGate http://www.sygate.com Winproxy http://www.winroute.com

Winroute http://www.winroute.com

Pero en este tutorial se tratará del wingate. De todas formas, los conceptos que se

traten pueden ser aplicados a otros proxies, una vez que conoces uno, el resto es

casi igual.

InstalaciónPartimos de una red Windows QUE FUNCIONA y que tiene instalado el TCP/IP, si

eso todavía no lo tienes hecho busca un tutorial de como instalar la red en

Windows, en las páginas de la cabecera es posible que encuentres alguno,

además, a veces da algunos problemas al instalarla, así que échale un vistazo y te

ahorrarás algunos quebraderos de cabeza.

Instala el programa WinGate en el ordenador con acceso a internet. Durante la

instalación te hará algunas preguntas. Yo, lo único que te recomiendo, es que no

uses el DHCP, esta opción simplemente asigna direcciones IP dinámicamente. Si

tienes una intranet pequeña, la verdad esto es algo innecesario y es mejor tener

cada ordenador con una IP fija, asignada por ti "a mano", de esta forma tendrás un

control mayor sobre tu pequeña red.

Si ya te funciona el compartir recursos y esas cosas bajo TCP/IP entonces ahora

necesitarás cambiar algunas cosillas a la configuración del Entorno de Red. Los

cambios del servidor, la máquina wingate, es decir, el que tiene el acceso directo a

internet son los siguientes: Pinchas sobre el icono de entorno de red con el botón

derecho, vas a propiedades y en el cuadro de diálogo seleccionas TCP/IP

asociado a tu tarjeta de red y le das al botón propiedades. Pinchas en la carpeta

CONFIGURACION DNS activas DNS y añades los números IP de los DNS de tu

proveedor de internet en cuanto al nombre del HOST y DOMINIO puedes poner lo

que quieras, en Windows 9x no afecta para nada. Ya está, sencillo no?

En cuanto a las máquinas Clientes, es decir, los ordenadores sin acceso directo a

internet, también tienes que modificar lo del DNS sin embargo esta vez tan sólo

tendrás que meter la IP del WinGate (por ejemplo: 192.168.0.1).

Otra cosa que te recomiendo es que edites el archivo c:\windows\hosts, este

archivo simplemente contiene un "mapa" de los ordenadores de la intranet o

internet (incluso puedes usarlo como 'cache DNS').El archivo hosts tiene un

formato muy sencillo, en una columna el número IP y en otra el nombre del PC.

Puedes echarle un vistazo al fichero c:\windows\hosts.sam que es un archivo

ejemplo de como es el hosts. Una cosa que debes saber es que el 127.0.0.1 es el

número IP que se ha tomado para referencial al ordenador local o también llamado

localhost, se suele utilizar para probar la red y los programas de red, así que

incluye esta línea en el archivo hosts: '127.0.0.1 localhost' .Como ejemplo del

hosts: 127.0.0.1 localhost 192.168.0.1 wingate 192.168.0.2 pc1 #esto es un

comentario

Además, podrás comprobar que si escribes (posiblemente después de reiniciar)

c:\>ping wingate Respuesta desde 192.168.0.1: bytes=32 tiempo=1ms TDV=128 Respuesta desde 192.168.0.1: bytes=32 tiempo=55ms TDV=128 Respuesta desde 192.168.0.1: bytes=32 tiempo=1ms TDV=128 Respuesta desde 192.168.0.1: bytes=32 tiempo<10ms

Recibirás respuesta, sin embargo si no has editado el hosts y ejecutas esa línea

recibirás error de tiempo agotado. Otra cosa, desde una máquina que no sea la

wingate, si haces ping yahoo.com te dará también tiempo de espera agotado, esto

es porque se intenta acceder a yahoo directamente, y esto no es posible porque

yahoo no está en tu intranet, para cualquier ordenador de tu red local sólo existen

los PCs de la red local (siempre que no tengas un router, o algo similar, pero

entonces ¿para qué querrías el wingate?)

Antes hemos configurado el DNS para el protocolo TCP/IP de nuestras máquinas

Windows y es posible que te estés preguntando es: Qué es el DNS?? Bueno, pues

DNS es el acrónimo de Domain Name System, algo así como sistema de nombres

de dominio. Como ya has visto en TCP/IP hay dos formas de referirse a un

ordenador una mediante la dirección IP y otra mediante un alias, un nombre

sencillo de recordar para las personas, imagínate que en lugar de aprenderte

yahoo, terra, mixmail, lycos tuvieras que aprenderte 195.156.183.94 ,

198.10.12.153, 200.212.123.123, sería una lata no?? Pues para solucionar esto

hay unos grandes servidores distribuidos por internet que tienen una base de

datos con líneas parecidas a las de tu archivo hosts pero a lo bestia y que están

conectados a otros ordenadores con tablas similares de forma que entre todos los

ordenadores tienen todas las equivalencias IP - dominio del mundo y parte del

extranjero. Así, por una parte te evitas tener que acordarte de las IPs (necesarias

para los ordenadores porque ellos se comunican internamente utilizando números

IPs) y tan sólo tienes que acordarte de una palabra (el dominio: yahoo.com

terra.es como ves el dominio es lo que viene a continuación del www en las

direcciones WEB y van acompañados de una extensión).

Normalmente cuando te conectas a alguna web, por ejemplo la mía

http://drop.to/merlos, tu escribes un nemónico, un alias, una cadena de caracteres

compuesta por el nombre del protocolo (http://) el dominio (drop.to) y la ruta al

archivo (/merlos) Qué hace tu navegador, pues lo primero que hace es solicitar al

servidor DNS de tu ISP (el que metiste en la configuración DNS de la máquina

wingate) que le diga la IP a la que corresponde drop.to, si ese servidor DNS no la

tiene en su base de datos se la pregunta a otros servidores DNS a los que está

conectado y así sucesivamente hasta que uno la tiene, finalmente te llega la

resolución del nombre en IP, ahora el navegador se conecta con el servidor de

drop,to (utilizando la IP recibida) y le solicita los archivos de la pagina web

utilizando el protocolo HTTP (para más información sobre el HTTP/1.1 buscar en

el RFC-2045).

En cuanto los PCs clientes, como has visto has introducido la dirección ip de la

máquina wingate, pues esto es simplemente porque el wingate cuando reciba una

petición DNS se la enviará al servidor DNS. Además, supongo (no lo puedo

confirmar) que el Wingate tiene una caché DNS interna, por lo que ahorrarás todo

el tiempo de la solicitud de la resolución del nombre que suele ser bastante lenta.

Puesto que con las opciones que vienen por defecto, se pueden configurar ya los

ordenadores cliente, vamos a comentar brevemente como se configuran las

aplicaciones y luego pasaremos a comentar las opciones de configuración de los

servicios usando gatekeeper.

Configurando Las Aplicaciones en los clientesSi te pensabas que con instalar el wingate ya los ordenadores de la intranet iban a

tener todos los servicios de internet, estabas equivocado. Desafortunadamente

esto no es así, excepto si tienes una clave de la versión PRO de la versión 3 o

Superior en el que los programadores de Deerfield han incluido una utilidad

llamada Wingate Internet Client (WIC), pero esto ya lo trataré más tarde, de

momento vamos a configurarlo manualmente, ya que si tienes clientes con otro

sistema operativo como Linux no te servirá el WIC.

Ahh! Una cosa, como he desvelado hace un momento si en tu intranet tienes

alguna máquina con UNIX o Mac con TCP/IP, también podrás usar el wingate

como proxy, esto es gracias a que utilizan el mismo protocolo, el mismo lenguaje,

el TCP/IP y por eso a pesar de ser S.O. diferentes pueden entenderse.

Bueno, empecemos a configurar aplicaciones, y comenzaremos por los

navegadores y los clientes de correo, que son los servicios más utilizados, yo no

voy a explicar como se hace en cada cliente eso viene en la ayuda muy bien, pero

si que lo esbozaré para que tengas una idea de como se hace.

NAVEGADOR - HTTP

Bien, el navegador, sólo tienes que ir a la configuración de conexión y activar

conectarse por proxy, verás que hay dos campos uno es para la IP del ordenador

wingate y otro para el puerto. Como todavía partimos de un wingate recién

instalado el puerto es el 80 (el puerto estándar del HTTP) y la IP del servidor proxy

es la de la máquina wingate, pero si has editado el fichero hosts no tienes que

acordarte de la IP sino del nombre del ordenador (en el ejemplo que puse antes

192.168.0.1 wingate bastaría con poner 'wingate' en el espacio reservado a la

IP).Si hay más campos como FTP, Gohper, los rellenas con los mismos datos,

excepto en el que aparezca SOCKS, en ese tienes que introducir como puerto el

1080 (el estándar de los socks). También puedes cambiar el puerto de FTP por el

21, aunque con el 80 funciona igualmente. Por experiencia sé que en todos los

navegadores esta configuración es prácticamente idéntica, es decir, buscar en

opciones de configuración, conexión, settings o similar y plantar la IP y el puerto,

no tiene más ciencia. (Una excepción es el lynx, el navegador en modo texto, en el

que tienes que editar el fichero lynx.cnf, ahora de memoria no me acuerdo como

era, pero sé que lo encontré en el man de lynx.cnf, sólo había que añadir un par

de líneas con la IP y el puerto, es decir, más de lo mismo xDD)

CORREO - POP3 y SMTP

Configurar el cliente de correo requiere de algunos pasos más. Cuando tu

proveedor de internet te dio los datos de configuración del acceso telefónico a

redes, cuenta de correo... te dio dos servidores uno que es el de correo entrante

(POP3 - Post Office Protocol) y otro servidor, el de correo saliente (SMTP - Simple

Mail Transfer Protocol). Ten esos datos a mano.

Para recibir correo en los PCs clientes en los datos de la cuenta tienes que poner

tanto como servidor de correo entrante como saliente 'wingate' (o la IP del

wingate) y en datos de cuenta: nombredecuenta#servidorpop3.isp.ext. Vamos a

usar como ejemplo práctico una cuenta de correo de terra:

Datos de la cuenta de correo: Servidor Correo Entrante: pop3.terra.es Servidor Correo Saliente: mailhost.terra.es Nombre de Cuenta: mimail.terra.es contraseña: mipasswd

Datos tendríamos que introducir en el cliente:

Servidor de Correo Entrante: wingateServidor de Correo Saliente: wingateNombre de cuenta: mimail.terra.es#pop3.terra.escontraseña: ********

Si tienes que introducir los puertos, el estándar del protocolo POP3 es el 110 y el

del SMTP el 25.

Nota1: Todos las correspondecias protocolo - puertos estándar las tienes en C:\

Windows\services y en los UNIX en /etc/services

Nota2: el separador # es el que viene por defecto en el wingate, lo puedes

cambiar por otro carácter en la configuración de este servicio en el gatekeeper).

Es muy sencillo entender por que se ponen estos datos: Cuando tu cliente de

correo se conecta con el servidor pop3, le envía dos cadenas de texto:

USER mimail.terra.es PASS mipasswd

Cuando quieres leer tu correo con wingate, una vez configurado, tu cliente

establece una conexión POP3 'normal' con el wingate enviándole los comandos:

USER mimail.terra.es#pop3.terra.es PASS ********

El wingate procesa estos comandos extrayendo el nombre del servidor,el nombre

de cuenta, la clave y establece, ahora sí, una conexión con el servidor

pop3.terra.es y enviándole los comandos:

USER mimail.terra.es PASS ********

En realidad, algo parecido es lo que hace con otros protocolos como el HTTP o el

ftp, simplemente cambiando los comandos :-)

Si todo ha ido bien ya podremos leer nuestro correo desde el ordenador cliente,

pero no podremos enviar todavía mensajes. Para poder enviar mensajes hay que

hacer una pequeña modificación en el wingate. Hay que crear un Mapa TCP (TCP

mapping). Para crearlo, en el Gatekeeper ves a la carpeta Services, pulsas botón

derecho y añades un TCP mapping. Como puerto de escucha (Accept Conetions

from) pondremos 25 y .... NO ME ACUERDO del NOMBRE introduces el nombre

del servidor SMTP, en nuestro ejemplo: mailhost.terra.es y puerto 25.

Ahora sí,ya puedes enviar correo.Para probarlo envíate un mail a ti mismo o desde

una cuenta webmail.

CLIENTE FTP - FTP

Si eres aficionado a bajarte archivos por el ftp o tienes una página web,

posiblemente te interese tener este servicio funcionando. Sólo tienes que activar el

conectarse a través de firewall y que utilice para la autentificación de usuario:

USER user@site ; Todos los clientes

IRC

Para configurar un cliente de irc sólo tienes que activar el conectarse a través del

firewall con los socks 4, la IP es la del wingate y el puerto el de los socks 1080.

En el mIRC:

1. Menú Fichero/Opciones/Conectar/Firewall2. Activas el botón Usar SOCKS firewall

3. Protocolo Socks5 (si no te va con este, con socks 4)

4. Host: IP de la máquina wingate

5. Puerto: 1080

6. El resto lo dejas como está.

Si usas el BitchX, introduce los siguientes comandos:

/set SOCKS_HOST wingate/set SOCKS_PORT 1080/saveirc -all

Nota: Si usas Bitchx lo más seguro es que estés en Linux.. Entonces ¿Qué haces

con el Wingate? iptables y Squid son herramientas mucho más potentes y baratas!

IRC-Sin Socks

Si resulta que tu cliente de irc no tiene soporte de proxy (o firewall) entonces hay

que hacer un TCP mapping, al igual que hiciste con el SMTP, para eso sólo tienes

que crear un TCP-mapping escuchando en el puerto 6667 (estándar del IRC) y

hacer una conexión al servidor irc que te suelas conectar. Si te sueles conectar a

dos o más redes de IRC distintas , como por ejemplo el IRC-hispano, DALnet,

EFnet... tendrás que hacer un tcp-mapping para un servidor de cada red y cada

tcp-mapping en un puerto distinto. Por ejemplo:

RED IRC SERVIDOR Puerto Wingate

IRC-Hispano libres.irc-hispano.org:6667 6667 DALnet algo.se.eu.dal.net:6667 6668 EFnet irc.chat.org:6667 6669

En la configuración del cliente de irc tendrías que poner como servidor al que te

quieres conectar siempre wingate y en función del servidor tendrías que cambiar

de puerto. Por ejemplo, si estás en el mIRC (aunque este cliente si que soporta

socks) pones en la ventana de estado..

Para conectarte al IRC-hispano:

/server wingate 6667

Para conectarte a la red DALnet:

/server wingate 6668

Para conectarte a la red EFnet:

/server wingate 6669

Una cosa queda por añadir, el wingate cancela una conexión de este tipo por

defecto al cabo de un minuto si por esta no hay ningún tráfico. En el irc suele ser

normal que pase más de un minuto sin que nadie hable nada o nadie salga de los

canales en los que estás, por lo que la conexión se cancelaría y tendrías que

reconectar con el servidor. Por suerte, puedes modificar el tiempo que puede

permanecer una conexión abierta sin que circule ningún tráfico de paquetes por

ella. Mira en el gatekeeper en las propiedades de cada servicio el tiempo de

inactividad e increméntalo a tu gusto.

El resto de servicios (excepto el telnet) como el proxy de RealPlayer, VDO y cosas

así no los he utilizado nunca, de hecho los tengo desactivados, es más, todos

aquellos que no utilices DESACTIVALOS, por motivos de seguridad, cuantos

menos tengas activos menos probabilidad hay de que se pueda explotar un bug

de ese servicio.

Wingate Internet Client

El servidor proxy se instala en la máquina en la que quieres dar servicios, pero

desde la versión 3 del wingate y con licencia PRO, tienes la posibilidad de instalar

el WIC (wingate internet client). Se trata de un pequeño programa que se instala

en los PCs clientes que te permite utilizar las aplicaciones como si estos tuvieran

acceso directo a internet, es decir, no tienes que configurarlos para que sepan que

están tras un proxy, el WIC se encarga de gestionar todas las comunicaciones con

el wingate de forma automática. El funcionamiento es bastante sencillo, sólo tienes

que añadir el path de las utilidades que quieres que utilicen el WIC, por defecto

trae algunas como el Outlook Express o el Explorer. Una vez que lo instalas

puedes configurarlo haciendo doble click en el icono del panel de control que se

crea. Hay cuatro pestañas:

General: Sirve para activar el WIC y para permitir que se ejecute automáticamente al encender el ordenador.

Wingate servers: Sirve para elegir el servidor wingate al que quieres conectarte. Hay una opción que te permite que se configure automáticamente

Applications: Aquí podrás elegir los programas que quieres que tengan acceso a internet automatizado por este cliente. Hay tres modos de acceso:

o Local: Que es lo mismo que deshabilitar el servicio

o Mixed: Sólo se permiten conexiones salientes por parte de la aplicación.

o Global

: Se permiten tanto establecimiento de conexiones entrantes como salientes. Una cosa a tener en cuenta si vas a montar un servidor con acceso externo utilizando esta aplicación es que tendrás que poner el servidor a la escucha de puertos superior al 1024.

Ten en cuenta que si vas a utilizar el cliente de correo, el navegador o cualquier

otro servicio necesitarás tener activo ese servicio en el wingate como si accedieras

configurando la aplicación,

Configuración de los servicios con GaTeKeeper

Una vez que has hecho login como Administrator, pincha en la pestaña de

services (abajo). Bien, ahí tienes todos los servicios que está ofreciendo wingate,

tanto activos como inactivos. Ahora selecciona uno de ellos con el botón derecho y

luego selecciona properties. Verás un cuadro de diálogo con un montón de

pestañas. Expliquemos para que sirve cada una:

General: Se trata de la configuración general del servicio. Aquí está el nombre del servicio, la descripción, puerto al que está asociado y las opciones de inicio del servicio, dependiendo del que sea puede que haya alguna cosa más.

Bindings: Aquí se especifican los interfaces desde los que se aceptarán conexiones ENTRANTES, es decir, quienes pueden utilizar este servicio. NO pongas accept connections from any interface, ya que esto supondría que cualquier PC de internet puede conectarse a tu ordenador y utilizar ese servicio. Lo Normal es tener habilitada la opción Specify interface

connections will be accepted, si tienes ésta seleccionada podrás elegir los interfaces de los que quieres que se acepten conexiones en este servicio, es la opción por defecto y lo normal es tener habilitados ('Bounded') la dirección loopback (127.0.0.1) que permite acceso al servicio al propio PC y IP de la tarjeta de red (en este caso 192.168.0.1) que permite el acceso al resto de PCs de la red (aunque luego veremos como restringir los PCs).

Interfaces: En ésta pestaña podremos seleccionar los interfaces de las CONEXIONES SALIENTES, es decir, donde permitimos que se conecte el usuario. Puesto que lo normal es permitir el acceso a cualquier sitio puesto que buscamos emular la conexión directa a internet, lo más frecuente es tener seleccionada "Conecctions out will be made on any interface...". Si queremos restringir los interfaces sólo tenemos que elegir cualquiera de las dos opciones siguientes. La razón de poder elegir los interfaces da una gran flexibilidad sobre todo si se tienen varios accesos a internet y se quiere distribuir los servicios. Por ejemplo: imagínate que tienes un cyber y quieres que los que acceden al IRC utilicen tu conexión dial-up y los que estén navegando accedan con tu rápida linea ADSL. Pues, es aquí es donde puedes elegir que conexión usar.

Sessions: Simplemente sirve para elegir el Timeout de cancelación de conexión. Es decir, si no hay tráfico durante el tiempo ahí especificado, se cierra la conexión. ¿Recuerdas lo que comenté antes del IRC? es aquí donde hay que modificarlo. Por lo general, no suele ser necesario cambiar el que viene por defecto, tan sólo en ciertos casos como los socks o el FTP.Yo creo que con 5 minutos llega.

Policies: Esta pestaña sirve para elegir las Políticas de este Servicio. Las políticas sirven para restringir el acceso a los servicios por procedencia de IPs y por nombres de usuario. Hay unas políticas generales, que se aplican por defecto a todos los servicios y otras específicas del servicio. Las que aquí se presentan son las propias del servicio. Pero sobre esto se comentará más adelante, en la sección de seguridad.

NoN-proxy Request: Esta pestaña se encuentra en todos los servicios proxy (menos telnet). Sirve para gestionar todas las peticiones que no intenten acceder a un proxy, sino directamente al servidor. Hay dos opciones, rechazarlas (por defecto) o redireccionarlas mediante un pipe. La configuración del pipe es sencillo, sólo hay que poner la ip y el puerto del servidor al que se quiere redireccionar.

El caso del servicio WWW es especial, además de añadir una opción de redireccionar a una URL también un pequeño servidor HTTP. Sólo tienes que indicar el directorio donde están los ficheros HTML y el nombre del fichero por defecto (como norma general suele ponerse index.html). [Nota:usa un directorio en el que sólo tengas aquello que quieras compartir y ten en cuenta que los subdirectorios que tengas también serán accesibles]

Conections: Más flexibilildad en las conexiones. Imagínate que tienes un ordenador en la red con otro acceso a internet y quieres que ciertos servicios utilicen ese acceso, pues este es el lugar en el que tienes que meter los datos. Hay 4 opciones:

1. Directly (defecto): Conexión directa, es decir,usando la conexión que tiene este wingate

2. Through cascaded proxy server.

3. Through SOCKS4 server.

4. Through HTTP proxy with SSL support

Logging: Aquí eliges el nivel de auditoría que quieres que se le de al servicio, es decir, que información sobre establecimiento, cancelación, uso de las conexiones quieres que se guarde en forma de log. Es recomendable guardar parte de esta información, ya que si algún día notas fenómenos paranormales mientras estás conectado a internet puede ser que alguien esté trasteando en tu wingate. Los paths de estos logs son:

User audits are stored by default as: %WinGatePath%\audit\username.log Service logs are stored by default as: %WinGatePath%\logs\servicename.log.

SEGURIDAD con el WinGate - Administrando las conexiones

WinGate = FireWall

A lo mejor has oído hablar de que hay unos programas que actúan como

barrera para la entrada de hackers, estos programas son conocidos como

firewalls o cortafuegos. El wingate no es un firewall propiamente dicho,

aunque si que cumple parte de la función de firewall.

Un Firewall, es básicamente un filtro de paquetes a nivel IP, y TCP. Un

firewall lo que hace es dejar parar o no dejar paquetes en función de la IP y

el puerto. Para ello se habilitan una serie de reglas. El wingate acepta

conexiones sólo en el conjunto de puertos en los cuales tiene habilitado el

servicio. Por defecto, sólo permite el acceso sin restricción a los usuarios de

la red local, no permitiendo acceso al resto de los usuarios de internet

(Rechaza las conexiones). Sin embargo, se puede configurar el wingate

para que en función de la IP o en función del servicio (puerto TCP o UDP)

se permita establecer la conexión o no. Todo esto es gracias a las políticas

de Seguridad (en inglés Policies). La mayor diferencia entre el wingate y un

firewall es que el wingate SIEMPRE rechaza la conexión, es decir, contesta

a la máquina remota rechazando la conexión, sin embargo, los firewalls se

suelen configurar para que simplemente ignoren estos paquetes y no se

contesten, esto es para evitar ataques de tipo flood (envío masivo de

petición de conexión que pueden producir desbordamiento en pilas y la

consecuente Denegación de servicio). Algunos de los firewalls para

Windows más conocidos son el ZoneAlarm (www.zonealarm.com) y el

Conseal Firewall (www.signal9.com). Es recomendable que instales un

firewall, aunque si no tienes conocimientos básicos de TCP/IP puede que te

pierdas, busca algún tutorial de firewalls si vas a instalarlo

Como ya comentamos antes, en wingate hay dos tipos de políticas de

seguridad. Unas que se aplican globalmente a todos los servicios (en el

gatekeeper las puedes encontrar en users/system policies) y por otra parte

están las políticas individuales por cada servicio.

Por otra parte, los creadores de wingate introdujeron la posibilidad de definir

usuarios y grupos de usuarios. De esta forma puedes seleccionar que

grupos de usuarios quieres que accedan a un cierto servicio, a qué horas,

que fechas, desde que ordenadores...

La verdad es que es un tema bastante extenso, y lo dejo pendiente para

hacer, además esta es una opción de la que la mayoría de usuarios de

pequeñas intranets no tendrán que conocer profundamente. Si realmente

quieres conocer más LEE LA AYUDA y trastea un poco.

Además, es posible que te llegue con lo que viene a continuación, la

posibilidad de asumir usuarios por máquina desde la que se conecte.

Assumed Users

Wingate puede asumir que un cierto usuario se va a conectar desde una

maquina con un nombre o con una IP determinada. Por ejemplo, teniendo

esta tabla de usuarios:

Nombre IP Hostname Wingate User Wingate GroupPablo 200.0.0.2 pc2002 guest finanzasJosé 200.0.0.1 pc2011 guest marquetingAntonio 200.0.1.3 pc2022 admin admin

Asumiendo usuarios por IP podemos definir que todas las conexiones

procedentes de 200.0.0.* son el usuario guest, también podemos asumir

que todas las conexiones procedentes de la máquina con nombre pc2022

son del usuario admin.

HTTP caché

Otra de las funcionalidades que presenta el wingate es la caché http. Como

ya cité antes, la caché consiste en almacenar los fichero que son solicitados

por un usuario por primera vez en el disco duro del wingate de forma que si

en un tiempo menor al definido en el wingate en lugar de bajarlo de nuevo

del servidor remoto, el wingate lo servirá como si realmente hubiera sido

solicitado de nuevo, ahorrando así ancho de banda de la generalmente

lenta conexión a internet. Entre los parámetros que se pueden configurar

son los siguientes:

1. Enable caché lookups: sirve para activar o desactivar el uso de la caché

2. Enable additions to cache: activa o desactiva el añadir nuevos ficheros.

3. Limit cache size to ?? MB: Limita el espacio máximo de almacenaje en HDD.

4. Number of days before rechecking files: Indica cuanto tiempo ha de pasar antes de que se actualice compruebe la validez de un fichero. Es decir, comprobar si el fichero que hay en la caché es el mismo que tiene el servidor del que fue solicitado.

A parte de esto, tiene opciones avanzadas que no comento por que es muy

largo y son sencillas, simplemente sirven para especificar de forma más

precisa que guardar y que "purgar" en la memoria caché. Mira la ayuda del

Wingate si tienes interés en aprovechar estas características.

Scheduling

Este es otra opción que da al administrador la posibilidad de automatizar

tareas sin que tenga que estar presente. Sirve para marcar horarios y

tareas como activar un servicio, desactivarlo, cancelar cuentas, enviar

mensajes a los clientes... todo controlado de forma bastante intuitiva.

Administración remota

Si no sueles estar en el PC con el wingate y eres el administrador puede

que esto te interese. Wingate ofrece un servicio de administración remota,

lo único que necesitas es ejecutar el gatekeeper.exe en la máquina en la

que estés y cambiar el nombre de la máquina a la que te conectas

(generalmente pone localhost) por la IP o el nombre de la máquina wingate.

Por defecto esta opción está deshabilitada, y sólo se permiten conexiones

desde la propia máquina wingate. Para activarlo sólo tienes que ir a

propiedades/pestaña Bindings del remote control service y añadir el interfaz

de red (en los ejemplos 192.168.0.1).A partir de ese momento y tras salvar

la configuración podrás acceder desde cualquier ordenador de la intranet

que pueda ejecutar el gatekeeper.exe (puedes copiarlo o dejarlo en un

directorio compartido, no necesita ningún otro fichero)

NOTAS FINALES5. Se cuidadoso con la elección de interfaces de los que aceptarás

conexiones (bindings).6. Todos aquellos servicios que no utilices DESHABILITALOS, e intenta

dar a los usuarios el menor número de servicios posible.

7. Si puedes, instala adicionalmente un firewall.

8. Pon claves "fuertes" a las cuentas de los administradores y si es necesario apúntalas. Aunque no es una práctica que suelan recomendarse en la literatura de Seguridad, pero también hay que tener en cuenta, que este tutorial está destinado para redes caseras. No obstante, si puedes recordar las claves, mejor que mejor.

9. Mira de vez en cuando los logs, de esa forma te acostumbras a saber que pasa por el ordenador y podrás detectar si algo raro ha pasado.

10.Limita todo lo que puedas los rangos de IPs que pueden acceder a los servicios