HERRAMIENTA PARA GESTION DEL SERVIDOR PROXY INTELLICALL SAS
MANUAL PARA EL USO DECCPROXY
Departamento de Tecnología. Servidor Proxy - 04/2016 INTELLICALL SAS – Departamento de tecnología
1
Contenido INTRODUCCION ....................................................................................................................................... 2 INSTALACIÓN DEL PROGRAMA. ............................................................................................................... 2 CONFIGURACION DEL PROXY ................................................................................................................... 2 Verificamos que el software esté en ejecución. ................................................................................... 2 Configuración del Lenguaje.................................................................................................................. 3 Configuración de la IP de servicio......................................................................................................... 3 ASOCIACION DE LOS EQUIPOS AL PROXY ................................................................................................. 5 DEFINICIÓN DEL FILTRO WEB ................................................................................................................... 6 Web Filter Name ................................................................................................................................. 7 Site Filter ............................................................................................................................................. 7 Permitted Sites .................................................................................................................................... 7 Forbidden Sites.................................................................................................................................... 7 Definición de la lista ............................................................................................................................ 7 Forbidden Url ...................................................................................................................................... 7 Forbidden Content .............................................................................................................................. 7 CONFIGURACION Y ADMINISTRACION DE LAS CUENTAS .......................................................................... 8 Permitir categoría ................................................................................................................................ 8 Permitir todo ................................................................................................................................... 8 Permitir solamente .......................................................................................................................... 8 Permitir a todos pero ....................................................................................................................... 9 Tipo Autorización: ............................................................................................................................... 9 Dirección IP ..................................................................................................................................... 9 Dirección Mac: ................................................................................................................................. 9 Usuario/contraseña: ........................................................................................................................ 9 Usuario/contraseña + IP................................................................................................................... 9 Usuario/contraseña + Mac ............................................................................................................... 9 IP+MAC:........................................................................................................................................... 9 DETALLES DE LAS CUESTAS .................................................................................................................... 10
INTELLICALL SAS – Departamento de tecnología
2
INTRODUCCION La compañía para el control del servicio de internet utiliza un servidor proxy bajo el software “CCPROXY”, en este documento se describe la utilización del programa desde su instalación hasta la asociación de los equipos clientes y su administración.
INSTALACIÓN DEL PROGRAMA. Una vez descargado el software, hacemos doble clic sobre el ejecutable:
En el asistente de instalación sólo debemos seguir los pasos para la instalación.
CONFIGURACION DEL PROXY Una vez instalado empezamos con la configuración: Ejecutamos CCPROXY
Clic sobre este ícono que está en el escritorio, al iniciar solicita permisos de administrador, una vez hecho esto verificamos el estado del servicio. Verificamos que el software esté en ejecución.
INTELLICALL SAS – Departamento de tecnología
3
Configuración del Lenguaje Esto se puede realizar en 3 pasos:
Options Advanced Others y en la pestaña Lenguaje seleccionamos el de nuestra preferencia.
1 3 2 Nota: En estas Opciones podemos configurar, si queremos que al iniciar el software Solicite Contraseña, para ello habilitamos la casilla “Password Protector” y colocamos la contraseña deseada en la casilla correspondiente.
Configuración de la IP de servicio Es uno de los procesos más importantes ya que de ella depende el acceso a internet de los equipo clientes: Seleccionamos Options a continuación aparece una ventana de configuración, en la parte de “Local IP Address” Normalmente al instalar CCPROXY aparece marcada la opción “Auto Detect” y seleccionada la IP local del equipo, se recomienda que la IP configurada en la tarjeta de red corresponda a la de servicio, sin embargo desmarcamos esta opción, seleccionamos la IP de Servicio y Marcamos la casilla que se muestra al frente, esto para dejar esta la IP predeterminada.
INTELLICALL SAS – Departamento de tecnología
4
Guardamos los Cambios realizados; en la imagen siguiente se muestra la forma como está pre-configurada y como debe quedar la IP de servicio o del servidor proxy: IP de servicio pre-configurada: Así se presenta al momento que se ejecuta CCPROXY por 1ra vez.
Nótese que la casilla Auto Detect está marcada, de esta forma cada vez que se inicie el Proxy, la IP de servicio tiende a cambiar siempre y cuando la IP física del equipo servidor cambie, lo que representaría una caída total en el servicio de internet en los equipos clientes. Teniendo en cuenta lo anterior el equipo servidor al igual que los equipos clientes deben tener Direccionamiento IP fijo, esto evitará inesperados cambios que puedan generar caída del servicio de internet. IP de servicio Configurada por el Usuario : Es la forma definida por el administrador sobre como desea que actúe la IP, ya sea fija(recomendada) o Auto Detec(preconfigurada) teniendo en cuenta que esta última puede variar, el párrafo anterior se describen los problemas asociados a ello.
INTELLICALL SAS – Departamento de tecnología
5
Esta casilla siempre debe estar desmarcada. IP Fija o de Servicio definida por el Usuario. Cuando tenemos marcada esta casilla indicamos que la IP de servicio es fija, con ello no corremos el riesgo que sea modificada de forma automática por el sistema
Esta es la forma correcta de configurar la IP de servicio, así no corremos riesgo que sea modificada de forma automática. Importante: Los puertos no se deben cambiar, utilizaremos los que están definidos por defecto.
ASOCIACION DE LOS EQUIPOS AL PROXY Es la parte más sencilla del proceso, los equipos deben tener Direccionamiento IP fijo ya que la asociación de estos al proxy se realizará mediante la IP para este caso, es decir, esta es la identificación de la estación de trabajo al igual que el nombre del equipo, verificado esto, debemos, en el equipo, ingresar a Opciones de internet: Clic derecho
INTELLICALL SAS – Departamento de tecnología
6
sobre el ícono de Red en el Escritorio + Abrir Centro de Redes y Recursos Compartidos + Opciones de Internet y nos muestra el siguiente Cuadro:
Pestaña Conexiones + Configuración de LAN
Marcamos la casilla de “Usar un servidor para la LAN”, en las siguientes casillas colocamos: Dirección: Colocamos la IP de servicio (corresponde a la Dirección IP configurada en el proxy) que ya debemos tener configurada en el servidor Proxy. Puerto: Se coloca el puerto que se encuentra Descrito en CCPROXY en el mismo sitio donde configuramos la IP de servicio, por defecto es 808. De esta forma ya tenemos el equipo listo para asociarlo al proxy. Ahora crearemos los filtros web y la configuración de las cuentas.
DEFINICIÓN DEL FILTRO WEB Acá se define los sitios prohibidos o permitidos:
INTELLICALL SAS – Departamento de tecnología
7
Web Filter Name: Colocamos el nombre del filtro Web, es recomendable un nombre acorde a lo que se pretende hacer, por ejemplo, si el departamento en contabilidad lo ideal es que el nombre sea semejante. Site Filter: Activa y desactiva el filtro. Permitted Sites: Esta parte indica que todo está bloqueado, excepto aquellos sitios que se encuentren en la lista. Forbidden Sites: Esta parte indica que todo está libre, solo estarán bloqueados aquellos sitios que están en lista. Definición de la lista: Es una parte de gran importancia debido a que si no está bien definida tendremos muchos problemas, pero ¿Cómo se llena la lista?, Sabemos que no todos los sitios tienen la misma estructura es decir; www.lacosa.com, www.lacosa.net, http:lacosa.wordpress.com, entre otros, no son iguales, son rutas de acceso diferentes para el navegador de nuestra preferencia, entonces, hay varias formas de listarlos, una de ellas que no es muy utilizada es colocar el sitio completo separados por “punto y coma(;)” por ejemplo: www.lacosa.net;www.otrositio.com,La otra forma y más efectiva es colocando *.nombredelsitio.* cada uno separados por “punto y coma(;)”por ejemplo: *.lacosa.*;*.laotracosa.* , de esta forma el asterisco al comienzo del nombre del sitio nos indica que todo lo está antes estará listado, debido a que no todos los sitios comienzan por WWW, el asterisco al final nos indica que todas las terminaciones están listadas, esto debido a que no todos los sitios terminan en “.net”, de esta forma podemos listar todo lo deseado; Pero algunos sitios no apuntan a dominios sino a direcciones IP, ¿Cómo podemos listar Direcciones IP para Bloquear o liberar?, pues bien, para listar direcciones IP solo debemos colocar *IP*, por ejemplo: *xxx.xxx.xxx.xxx*. De esta forma solo es tener creatividad para listar cualquier sitio, por ejemplo, ¿Cómo se libera un sitio con más de dos palabras?: www.lacosa.loca.com, la forma correcta de liberar este sitio sería: *.lacosa.loca.*. Forbidden Url: En esta parte se definen los comprimidos, los ejecutables, los script, entre otros, la definición de estos es de mucho cuidado ya que algunos sitios utilizan estas extensiones para su funcionamiento. Forbidden Content: En esta parte se coloca por ejemplo: sexo, porno, mp3 y todas las palabras que se nos ocurran para bloquear ese tipo de contenido.
INTELLICALL SAS – Departamento de tecnología
8
CONFIGURACION Y ADMINISTRACION DE LAS CUENTAS El administrador de cuentas es sumamente importante, se puede trabajar sin definirla, pero perdería su propósito que es la de regular el tráfico y auditar la navegación. En esta parte definiremos el comportamiento de la navegación de los usuarios que pasen por CCPROXY, esto se puede conseguir con políticas locales y a nivel de dominio podemos obtener los resultados esperados.
Permitir categoría: En esta parte vamos a encontrar: Permitir todo: todas las conexiones son permitidas. Permitir solamente: Las direcciones IP o Mac enlistadas tendrán acceso a todo aquello que no esté dentro de los sitios prohibidos (recomendada). INTELLICALL SAS – Departamento de tecnología
9
Permitir a todos pero: El pequeño pero, que todo tendrá salida excepto algunos sitios puntuales, la desventaja es que posiblemente son muchos los sitios que queremos bloquear.
Tipo Autorización: Es el tipo de autentificación por el cual deberán pasar los usuarios. Este tipo de validación es afectado por la selección que se hace en "permitir categoría". Dirección IP: CCPROXY verificara que la dirección IP listada corresponda al cliente para poder acceder al servicio, si no es cierta, lo rechazara. Dirección Mac: CCPROXY verificara que la dirección Mac listada corresponda al cliente para poder acceder al servicio, si no es cierta, lo rechazara. Usuario/contraseña: Pedirá un usuario y contraseña en caso de querer navegar importando los dos criterios anteriores Usuario/contraseña + IP: Igual que el anterior, pero esta vez revisara que la IP coincida con la listada para ese usuario. Usuario/contraseña + Mac: Igual que el anterior, pero sobre la dirección MAC IP+MAC: La dirección IP debe coincidir con la dirección MAC, en caso de alguna no ser igual a la que está definida la rechazara.
En la opción Account Manager + Permit category, vamos a darle Permit only o permit all de acuerdo a nuestra necesidad, seleccionamos la opción de IP addres para crear filtros por direcciones IP.
INTELLICALL SAS – Departamento de tecnología
10
Luego de establecer el ítem por el cual se harán los filtros “por dirección IP” procedemos a vincular el equipo cliente con la opción new:
DETALLES DE LAS CUESTAS As Group: Activando esta casilla definimos que vamos a crear un grupo y no una cuenta, por ejemplo un grupo llamado Técnicos, Ingenieros... Después de haberlo creado procedemos crear y unir una cuenta al grupo. Belongs to Group: Teniendo en cuenta que existen grupos, activando esta casilla podemos agregar el usuario al grupo, por ejemplo: tenemos creado el grupo contabilidad, necesitamos crear un usuario llamado aux-contable; al momento de crearlo solo debemos marcar esta casilla y seleccionar el grupo, con ello se aplicaran todas las políticas de seguridad que tenga este. Los grupos nos pueden permiten optimizar el trabajo de los filtros Web, tomando el ejemplo anterior, supongamos que el grupo contabilidad sólo pueden acceder a páginas del gobierno, para ello ya está definido el filtro en el grupo, por lo tanto todo usuario que ingrese a esta área quedará con las políticas de seguridad que corresponden al grupo.
INTELLICALL SAS – Departamento de tecnología
11
Máximum Connections: Se refiere al número de conexiones máximas que puede realizar el usuario, para ello debemos conocer la gestión que se realiza desde el equipo ya que una vez superado este número no tendrá más acceso a la red.
Download Bandwidth (byte/s): En esta parte se limita el ancho de banda correspondiente a descargas, se debe tener en cuenta que se mide por Kilobytes, es decir, si deseamos proporcionar un ancho de banda de 5 Megas, se deben Colocar el Kb. ¿A cuántos Kilobytes equivalen 5 Megas?
Upload Bandwidth (byte/s): En esta parte se limita el ancho de banda correspondiente a subidas o carga, se debe tener en cuenta que se mide por Kilobytes, es decir, si deseamos proporcionar un ancho de banda de 5 Megas, se deben Colocar el Kb. ¿A cuántos Kilobytes equivalen 5 Megas?
W ww, Mail, Telnet, Remote Dial -Up, Ftp, Socks, Others: Son protocolos de red que podrá utilizar el usuario o el grupo según coresponda, para ello deben estar marcados.
Web Filter: En esta parte seleccionamos el filtro que será aplicado al grupo o usuario corespondiente.
Time Schedule: Se define el horario en el cual el grupo o usuario tendrán acceso a la red con los permisos definidos.
Auto disabled at: Finaliza el servicio a la hora indicada.
Nota: la “E” indica que podemos definir opciones según corresponda, por ejemplo si seleccionamos la que se muestra delante de Time Schedule es para definir el horario de acceso, de la misma forma en la ventana Account Manager podemos notar el botón de Auto Scan con el cual podemos escanear los equipos que están en la red y se pueden agregar al Proxy, para ello solo debemos definir el rango de IP a escanear.
INTELLICALL SAS – Departamento de tecnología
12
INTELLICALL SAS – Departamento de tecnología
13
Al momento de vincular el equipo, cuando hacemos click en el signo de interrogación y colocamos la IP, nos debe traer el nombre del equipo y la MAC de forma automática,
Además cuando lo agregamos a un grupo existente, este tomará las políticas de seguridad del grupo, cuando agregamos un grupo solo le dejamos definidas las políticas de seguridad que se aplicaran a todos los equipos que pertenezcan a este.
En la siguiente imagen se muestra un equipo asociado al proxy. INTELLICALL SAS – Departamento de tecnología
14
Web grafía: http://ccproxy.blogspot.com.co/2007/10/administrador-de-cuentas.html https://es.scribd.com/doc/57769757/Tutorial-de-Instalacion-y-Configuracion-de-Ccproxy-en-WindowsServer-2k8 http://harold-vilchis-isc.blogspot.com.co/2013/09/manual-de-ccproxy.html
INTELLICALL SAS – Departamento de tecnología