21
Windows/Linux/Solaris/Aix/MacOS
Manual de Usuario
Versión de documento
Creado por Optenet
Dpto. de I + D y Marketing
Última actualización: 01.09.2004
ÍNDICE
1. INTRODUCCIÓN.......................................................................................... 6
3. INSTALACIÓN ............................................................................................ 9
3.1. REQUISITOS DEL SISTEMA ............................................................................... 9
3.1.1. En sistemas Windows ........................................................................ 9
3.1.2. En sistemas Linux ............................................................................ 9
3.1.3. En sistemas Solaris ........................................................................... 9
3.1.4. En sistemas AIX ............................................................................... 9
3.1.5. Para Mac OS X................................................................................. 9
3.2. INSTALACIÓN ..........................................................................................10
3.2.1. En sistemas Windows: ......................................................................10
3.2.1.1. Integración con Microsoft ISA-Server ..................................................17
3.2.1.2. Integración con Microsoft Proxy Server ...............................................19
3.2.1.3. Integración con proxy ICAP (modo ICAP)..............................................19
3.2.1.4. Sin proxy adicional (modo Stand-Alone) ..............................................20
3.2.1.5. Información específica para Windows 98 y WindowsMe ............................20
3.2.2. En sistemas Linux, Solaris y AIX: .........................................................20
3.2.2.1. Instalación de OPTENET como servidor ICAP (modo ICAP) .........................21
3.2.2.2. Instalación de OPTENET con SQUID (modo SQUID) ..................................21
3.2.3. Para Mac OS X................................................................................22
3.2.4. Sistema de archivos instalados por OPTENET ..........................................26
3.3. ARRANQUE Y PARADA..................................................................................28
3.3.1. En sistemas Windows: ......................................................................28
3.3.1.1. Inicio y parada del filtro bajo Windows NT, XP, 2000 y2003 ......................28
3.3.1.2. Inicio y parada del filtro bajo Windows 98 ...........................................28
3.3.1.3. El plugin para Microsoft ISA Server....................................................28
3.3.1.4. El plugin para Microsoft Proxy Server .................................................29
3.3.1.5. OPTENET Proxy............................................................................30
3.3.2. En sistemas Linux, Solaris y AIX: .........................................................30
3.3.3. Para Mac OS X : ..............................................................................31
3.4. ARRANQUE Y PARADA AUTOMÁTICOS JUNTO AL SISTEMA ................................................31
3.4.1. En sistemas Windows: ......................................................................31
3.4.2. En sistemas Linux: ..........................................................................32
3.4.3. En sistemas Solaris ..........................................................................32
3.4.4. En sistemas AIX ..............................................................................32
3.4.5. Para Mac OS X : ..............................................................................33
3.5. CONFIGURACIÓN DE UN APPLIANCE BLUECOAT PARA QUE UTILICE OPTENET COMO SISTEMA DE FILTRADO
(ICAP) 33
3.5.1. Crear un servicio de modificación de petición (REQMOD)............................33
3.5.2. Crear un servicio de modificación de respuesta (RESPMOD).........................34
3.5.3. Establecer una política de acceso web ..................................................35
3.5.4. Establecer una política de contenidos web .............................................36
3.6. CONFIGURACIÓN DE UN NETCACHE PARA QUE UTILICE OPTENET COMO SISTEMA DE FILTRADO .........38
3.6.1. Crear un servicio de modificación de petición (REQMOD)............................38
3.6.2. Crear un servicio de modificación de respuesta (RESPMOD).........................38
4. CONCEPTOS BÁSICOS................................................................................. 42
ANEXOS ......................................................................................................... 94
Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre
con un proxy. El proxy garantiza que todas las peticiones web de la red pasen por él por
lo que OPTENET Server no tendrá más que acoplarse al proxy, para filtrar toda la red. Si
la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el proxy dichas
peticiones no se podrán filtrar de ninguna manera. El proceso mediante el cual OPTENET
se comunica con el proxy se consigue instalando una extensión (a partir de este
momento plugin) en dicho proxy o configurando su cliente ICAP si es que dicho proxy
tiene implementado ese protocolo. Cuando un usuario intenta acceder a una página web
éste solicita la página al proxy. Al llegar al proxy la petición es capturada por el plugin
de OPTENET Server y decide si dicha petición debe permitirse o no.
Para tomar esta decisión el servicio de OPTENET Server se basa en un conjunto de reglas
que define el administrador según los siguientes criterios:
Página solicitada (URL, tipo de archivo o tipo de contenido).
Usuario que realiza la petición (nombre y dirección IP) y grupo/s al que
pertenece.
Momento en que se realiza la petición (día de la semana y hora).
Tipo de ficheros (música, vídeo, ejecutables,...).
Y también ofrece la posibilidad de definir manualmente las listas de URLs sobre
las que podremos permitir o bloquear el acceso.
OPTENET Server puede funcionar como un servidor ICAP integrándose con todo tipo de
appliances o caches que soporten dicho protocolo (instalándose en plataformas
Windows, Linux, Solaris y Aix), también puede instalarse junto con el proxy SQUID 2.5
en plataformas Linux, Solaris y Aix también puede instalarse junto a un Microsoft ISA
Server, Microsoft Proxy Server o con el proxy OPTENET en plataformas Windows. Su
tecnología líder en la selección y filtrado de accesos a Internet va a permitir controlar al
máximo el uso que de Internet realicen todos los puestos conectados a la red.
Estas son las nuevas características y mejoras que presenta la versión 5.21 respecto a su
predecesora la 5.20
3.2. Instalación
Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre
con un proxy. El proxy centraliza el acceso a Internet de todos los usuarios que lo
utilicen por lo que OPTENET Server no tendrá más que acoplarse al proxy para filtrar
toda la red. Si la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el
proxy dichas peticiones no se podrán filtrar de ninguna manera.
Este ejecutable incluye OPTENET Server y OPTENET Reporter. Una vez finalizada la
instalación de OPTENET Server, se le da la posibilidad de instalar OPTENET Reporter.
Puede utilizar este ejecutable para instalar únicamente uno de los dos productos. Para
más información sobre OPTENET Reporter (instalación, configuración,...) consulte el
manual correspondiente.
Grupo de programas
OPTENET Server crea un nuevo Grupo de programas con sus elementos más
característicos.
Registro de Windows
Para el correcto funcionamiento de OPTENET Server el proceso de instalación realiza
una serie de modificaciones al Registro de Windows.
CheckData Si tiene instalado OPTENET Server, junto a un Proxy Server o ISA Server de
Microsoft y además tiene instalado un antivirus que funciona como un plugin ISAPI de
dichos proxies deberá actualizar esta clave con el valor FALSE. En el resto de los casos
(valor por defecto) esta clave llevará el valor TRUE.
DownloadContent Flag que indica a OPTENET Server si debe pedir contenido cuando
está integrado con PIX, Border Manager y CheckPoint. Por defecto “TRUE”, es decir pide
contenido.
FilterServer Servidor donde se ejecuta el servicio de OPTENET Server y al que el plugin
de OPTENET Server debe enviar los datos. El valor por defecto es 127.0.0.1 (máquina
local).
IcapClients Identifica el número de clientes icap a la hora de integrarse con un servidor
ICAP (NetCache, BlueCoat). Por defecto 1.
IcapPort Puerto de escucha del servidor ICAP. El puerto por defecto es 1344.
IcapServices Indica el número de servicios ICAP que se van a utilizar del filtro. Su valor
por defecto es 2. OPTENET Server lo utiliza junto al IcapClients para saber cuántos hilos
necesitará lanzar en su servidor ICAP.
InstallDir Directorio de instalación de OPTENET Server..
Language Identificador del idioma de OPTENET Server y que se seleccionó durante el
proceso de instalación. (eng, esp, fra)
ManagerPort Puerto de escucha de la Administración WWW de OPTENET Server
Server. El puerto por defecto es 10237.
Mode Modo de comunicación entre OPTENET Server y el proxy. Puede tener dos valores:
RPC, ICAP, PIX, UFP, BM, OPT.
Proxy Identificador del proxy con el que esta integrado OPTENET Server (ICA, PIX, BMA,
OPT, MSP,UFP).
Para guardar los parámetros básicos de OPTENET Proxy, el proceso de instalación añade
la clave HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Proxy
InstallDir Directorio de instalación de OPTENET Server..
El primer elemento depende del proxy que se utilice. En los siguientes apartados se
detalla este tema.
Por lo tanto, si tiene instalado Microsoft ISA Server pero no hace uso de Microsoft Web
Proxy, OPTENET Server no realizará ningún tipo de filtrado. Para que los ordenadores
utilicen Microsoft Web Proxy la forma más habitual consiste en configurar sus
navegadores para este fin. Puede consultar la documentación de Microsoft ISA Server
para establecer un navegador como cliente de Microsoft Web Proxy.
Si no quiere configurar los navegadores para el uso de Microsoft Web Proxy pero utiliza
Microsoft ISA Server como Servidor de seguridad o Servidor SecureNAT de su red puede
encadenar el Servidor de seguridad y el Servidor SecureNAT Microsoft Web Proxy
mediante el Filtro redirector de HTTP. De este modo también conseguirá que las
peticiones web pasen por Microsoft Web Proxy y puedan filtrarse por OPTENET Server.
Puede consultar la documentación de Microsoft ISA Server para obtener más
información acerca de esta posibilidad.
Con estos datos el servicio de OPTENET Server comprueba las reglas de filtrado que
tenga configuradas y decide si la petición debe permitirse o no. Dependiendo del
resultado informa al plugin si debe dejar continuar la petición por su vía normal o por el
contrario bloquearla. En caso de bloqueo el servicio de OPTENET Server indica al plugin
la página de bloqueo a mostrar en lugar de la página solicitada.
NOTA: Windows NT Option Pack contiene Internet Explorer 4.01 Service Pack 1,
sin embargo recomendamos que instale Internet Explorer 4.01 Service Pack 2 (No
sustituirlo por Internet Explorer 5.0 o posterior).
3. Instalar Microsoft Windows NT 4.0 Option Pack.
4. Instalar Microsoft Proxy server 2.0.
5. Instalar Microsoft Windows NT 4.0 Service Pack 4 o Service Pack 5 (No instalar las
actualizaciones Y2K ya que son instaladas por MDAC 2.1 Service Pack 2.)
6. (Opcional) Instalar Microsoft Internet Explorer 5.
7. Instalar MDAC 2.1.2.4202.3, que también es conocido como MDAC 2.1 Service
Pack 2.
8. Instalar Microsoft Windows NT 4.0 Service Pack 6a o posterior.
Tenga en cuenta que el filtro sólo puede realizar el filtrado si se redirigen las peticiones
HTTP a través del proxy. Para eso, hay que inscribir explícitamente el proxy en las
configuraciones de los navegadores.
instalar.sh es un shell script, por lo que puede abrirse y modificarse según sea
necesario. Concretamente, durante la instalación, instalar.sh crea un usuario al que
pertenecerá el software de OPTENET. Por defecto este usuario se llama optenet pero
puede editar instalar.sh y cambiar el nombre. También puede modificar el directorio
raíz del usuario, es decir, el directorio de instalación de OPTENET (/usr/local/optenet
por defecto). El usuario se crea sin password pero puede asignarle una mediante la
orden passwd. Lo mismo sucece si decide instalar también OPTENET Reporter. Por
defecto se creará el usuario reporter con su directorio de instalación
(/usr/local/reporter).
por ejemplo:
Para instalar OPTNET Server en su servidor, haga doble clic sobre optenet-5.21.dmg.
Aparecerá un nuevo volumen en el Zinder. Haga doble clic en Optenet.mpkg para iniciar
el procedimiento de instalación. El asistente de la instalación se inicia, por defecto, en
el mismo idioma que su sistema operativo, y en caso de no ser una de los 3 idiomas
disponibles, se iniciará en inglés.
A continuación, aparecerá la ventana de bienvenida del software de instalación. Haga
clic en Continuar para ver las condiciones generales de utilización.
Aquí, puede imprimir o grabar las condiciones generales de utilización. Al hacer clic
sobre Continuar, se le solicitará la aceptación o el rechazo de estas condiciones de
utilización.
- Directorio files: con las Bases de datos de URLs y los analizadores de OPTENET Server.
*useryes.edu Archivos con los URLs pertenecientes a las categorías de usuario. Son
archivos de texto simple que pueden modificarse para añadir, modificar o eliminar URLs
a mano.
*usernot.edu Archivos con los URLs no pertenecientes a las categorías de usuario. Son
archivos de texto plano que pueden modificarse para añadir, modificar o eliminar URLs
a mano. Junto a los archivos *useryes.edu forman la Base de datos local de URLs.
Inicialmente no existirán pero se irán creando según se añadan URLs.
list.crp Archivo encriptado y comprimido con el conjunto de listas generales de URLs
categorizadas. En el caso de la corrupción de uno de los ficheros *.edu se desempaqueta
para recuperar los datos. Este archivo aparece a partir del 2º día.
Listxxxx.crp Archivo con la actualización de la Base de datos general de URLs y
analizadores de OPTENET Server. Es un archivo comprimido que sólo aparece durante el
proceso de recarga de listas completas manual ya que se elimina una vez la
actualización se ha completado.
- Directorio logs: donde, por defecto, se guardan los logs que genera OPTENET Server.
updates.log Archivo con los resultados de las actualizaciones automáticas que realiza
OPTENET Server.
- Directorio manager: Contiene los archivos necesarios para las páginas HTML que
forman la Administración WWW de OPTENET Server.
index.html Página por defecto de la Administración WWW de OPTENET Server. redirige
a la Administración WWW.
- - Directorio stop: donde se aloja la página de stop local. Deben existir tantas carpetas
como idiomas en los que esté disponible.
Aparte de los archivos que se instalan a partir del directorio de instalación, OPTENET
Server instala:
- un archivo en el directorio de instalación de Microsoft ISA Server (por defecto
C:\Archivos de programa\Microsoft ISA Server). Este archivo se llama optenet.dll y es la
DLL que realiza las labores de plugin de captura de datos de OPTENET Server.
3.3.1.1. Inicio y parada del filtro bajo Windows NT, XP, 2000 y2003
La parte principal de OPTENET Server consiste en su servicio de filtrado. Este servicio
puede administrarse desde los Servicios de Windows como cualquier otro servicio: puede
iniciarse, pararse, establecer su tipo de inicio, etc. (vea la Figura 3.9).
Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse
separadamente pero para que el filtrado tenga lugar ambas partes deben estar
funcionando a la vez correctamente.
Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse
separadamente pero para que el filtrado tenga lugar ambas partes deben estar
funcionando a la vez correctamente.
Para iniciar OPTENET entre en el sistema como el nuevo usuario creado y ejecute el
script filterinit. Dicho script admite los parámetros start, stop y restart.
Para iniciar el filtro es preciso ejecutar:
# ./filterinit stop
# ./filterinit restart
Si tiene algún problema con la instalación puede obtener asistencia técnica escribiendo
a support@optenet.com
# ./filterinit start
# ./filterinit stop
# ./filterinit restart
# cp /usr/local/optenet/tools/optenet /etc/rc.d/init.d
# chkconfig --add optenet
Puede consultar que realmente OPTENET ha sido instalado como servicio con la orden:
#chkconfig –list
# cp /usr/local/optenet/tools/optenet /etc/init.d
# cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/S99optenet
# cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/K99optenet
# cp /usr/local/optenet/tools/optenet /etc/init.d
# link /etc/init.d/optenet /etc/rc2.d/S99optenet
# link /etc/init.d/optenet /etc/rc2.d/K99optenet
# cp /usr/local/optenet/tools/optenet /etc/rc.optenet
# mkitab "optenet:2:once:/etc/rc.optenet. start"
icap://192.168.0.111/reqmod_bluecoat
Si por alguna razón la comunicación con el servidor ICAP fallase, puede configurar
manualmente el resto de los campos. Deberá seleccionar también la casilla “Client
address” (disponible a partir de la versión SG 2.1.07) para habilitar el envío en el
mensaje ICAP de la dirección IP del cliente que realizó la petición.
icap://192.168.0.111/respmod_bluecoat
Una vez iniciado, seleccionamos el menú Edit -> Add Web Access Policy como indica la
figura:
Y configuramos la acción de esa nueva política para que a todas las peticiones de todos
los clientes utilicen el servicio ICAP que hemos llamado optenetreqmod. De esta forma
Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes
de cerrar el Visual Policy Manager.
Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes
de cerrar el Visual Policy Manager.
Completado este último paso ya tiene configurado su BlueCoat para que utilice OPTENET
como sistema de filtrado.
En la casilla services debe especificar la URL contra la que se enviarán las peticiones
ICAP por ejemplo:
icap://192.168.0.111:1344/reqmod_netcache on
En la casilla services debe especificar la URL contra la que se enviarán las peticiones
ICAP por ejemplo:
icap://192.168.0.111:1344/respmod_netcache on
Una vez definidos los Services Farm debe indicar a qué peticiones se les aplica el filtro.
Para ello debe ir a la opción Access Control List y configurarla de acuerdo a la figura:
Es decir, aplicando el filtro a todas las peticiones tanto http como https y ftp.
Por último sólo queda habilitar el servicio ICAP desde la pestaña General de acuerdo a la
figura 3.29.
4.1. Usuario
Dado que OPTENET se comunica con un proxy (como Squid, ISA o proxy OPTENET), o con
un appliance o cache que hacen las funciones de proxy (como BlueCoat o NetCache) el
concepto de usuario es el mismo que el concepto de usuario para estos proxies. Es
decir, OPTENET reconoce los usuarios que sean identificados por estos proxies.
Atención, porque estos usuarios pueden ser independientes de los usuarios de los
sistemas operativos de todos los equipos que acceden a Internet a través del proxy.
Sin embargo, OPTENET también permite Autenticar Usuarios de dominios NT o
servidores LDAP (Vea apartado 5.4)
4.2. Grupo
Normalmente los usuarios pueden formar parte de uno o varios grupos. Ni ISA, ni SQUID,
ni tampoco BlueCoat pasan a OPTENET la información de a qué grupos pertenece el
usuario que está realizando una petición, sólo NetCache aporta esta información. Eso
implica que para que OPTENET pueda obtener esa información deberá comunicarse con
algún dominio NT o servidor LDAP. Para la configuración de este servicio lea el apartado
5.4 de este manual.
4.3. Dirección IP
TCP/IP son las siglas de Transmission Control Protocol/Internet Protocol, el lenguaje
que rige todas las comunicaciones entre los ordenadores en Internet. Todos los
ordenadores conectados a Internet tienen asignada una dirección que es única, con el
siguiente formato:
aaa.bbb.ccc.ddd
Como parte de una regla de OPTENET va a ser posible incluir las direcciones IP de los
ordenadores clientes que van a acceder a Internet.
Sin embargo, hay que tener en cuenta que en ocasiones se coloca un proxy encadenado
antes del filtro y esto puede provocar que todas las peticiones se identifiquen con la IP
de este proxy; consulte la configuración de su proxy si este efecto le sucede de forma
no deseada.
http://www.optenet.com/esp/index.htm
o un sitio:
http://www.optenet.com
http://www.sitioentero.com/*
4.5. Categoría
Las categorías agrupan los diferentes tipos de contenidos de Internet, por ejemplo,
pornografía, deportes, prensa, etc. Para ello se utiliza dos tipos de listas, además de un
analizador de contenidos y de URLs.
Las dos listas utilizadas son Yes y Not. La lista Yes contiene todas aquellas direcciones
que consideramos que pertenecen a una determinada categoría y la lista Not aquellas
direcciones que consideramos que NO pertenecen a esa categoría. Al final de este
manual tiene un anexo describiendo las categorías de contenidos que proporciona
OPTNET.
4.6. Regla
Es el concepto fundamental en el que está basado el funcionamiento de OPTENET. Las
reglas definen el nivel de filtrado que van a tener todos nuestros accesos a Internet.
Con una regla podemos definir:
5.1. Introducción
Es la ventana que aparece por defecto al entrar en la administración, una vez que se
haya autenticado correctamente el usuario. (Vea Figura 5.2)
Presenta una breve introducción de lo que es OPTENET. Si se desea tener la
administración web en otro idioma basta con pulsar sobre la bandera del idioma deseado
(bajo el logotipo de OPTENET) y automáticamente aparecerá la administración en ese
otro idioma. Como ejemplo, en la Figura 5.3 se presenta la ventana de introducción en
alemán.
5.2. Documentación
Icono situado en la parte superior derecha de la ventana de administración que muestra
la documentación en formato HTML.
5.3. Configuración
Dentro de esta opción podemos configurar aspectos como el estado del filtro, establecer
la página de bloqueo o establecer el directorio donde se generan los logs. Veamos cada
una de estas opciones.
http://192.168.0.235:10237/cgi-bin/stop
La Figura 5.6 muestra la página de bloqueo por defecto de OPTENET Server. Lo habitual
es crear una página web propia y personalizada situarla en la Intranet de su organización
y establecerla como la página de bloqueo de OPTENET Server.
Esta página Web de respuesta pueden generarse dinámicamente mediante un CGI un asp
o un php... Encontrará dos páginas de bloqueo de ejemplo en el directorio tools
(stop.asp y stop.php) que podrá personalizar a su gusto y colocar en su Intranet
configurándolas posteriormente como páginas de bloqueo.
Esta información puede ser muy útil, podemos utilizarla para enviar un e-mail al
administrador o para recoger estadísticas.
5.4. Autenticación
Si desea establecer reglas de filtrado por usuarios o por grupos de usuarios es necesario
que su proxy o appliance esté configurado para realizar autenticación de usuarios o bien
que dicha autenticación la realice directamente OPTENET. De lo contrario solamente
podrá establecer reglas de filtrado por las IPs de los equipos que acceden a Internet.
A continuación se describen los orígenes de datos con los que OPTENET es capaz de
trabajar.
5.4.1.1. LDAP
Seleccione la opción LDAP si en su organización se gestionan cuentas de usuarios y
grupos con servidores LDAP. Ejemplos de estos servidores son Active Director de
Windows, Lotus Dominio, implante. Después de seleccionar la opción LDAP y pulsar el
botón Aceptar en la ventana "Autenticación de usuarios" deberá pulsar el botón LDAP
para definir cuantos servidores LDAP sean necesarios.
5.4.1.1.2.Servidor LDAP
En este apartado se configura el servidor LDAP elegido. Al agregar un servidor nuevo se
crea una entrada nueva con un nombre aleatorio y con el puerto LDAP estándar 389.
Para cada servidor LDAP deberá configurar los siguientes datos:
• Nombre: nombre con el que va a identificar este servidor LDAP dentro de la lista,
este nombre es simplemente simbólico pero debe ser único dentro de la lista de
servidores LDAP que defina.
• Servidor: nombre o dirección IP del servidor LDAP. Recomendamos insertar si es
posible siempre la dirección IP para que las consultas LDAP sean más rápidas y no
se tenga que resolver el nombre en cada una de ellas.
• Puerto: puerto donde escucha el servidor LDAP.
• Administrador: DN y clave de acceso al servidor LDAP. Si el servidor LDAP
permite lecturas anónimas pueden dejarse vacías.
• Base: base para las búsquedas de usuarios y grupos.
• Tipo: tipo de servidor LDAP.
El tipo de servidor LDAP sirve para indicar al filtro la manera en la que debe obtener los
usuarios, los grupos y las relaciones entre ambos. Para obtener esa información el filtro
requiere los siguientes datos:
• Objetos de usuario: filtro LDAP para buscar los objetos con la información de los
usuarios. Por ejemplo: (objectClass=inetOrgPerson), (objectClass=rvUser), etc.
• Nombres de usuario: atributo LDAP que se utilizará como nombre de los usuarios. Por
ejemplo: uid, shortname, etc.
• Miembros de usuario: condición que se aplica a los objetos de usuario para obtener
los grupos a los que pertenecen. Por ejemplo: (memberOf=cn=%cn%), (ou=%ou%),
etc. Nótese que puede indicarse entre % el atributo de los objetos de grupo que
debe cumplir la condición para que el usuario se considere miembro de ese grupo.
• Objetos de grupo: filtro LDAP para obtener los objetos con la información de los
grupos. Por ejemplo: (objectClass=groupOfUniqueNames), (objectClass=rvGroup),
etc.
• Nombres de grupo: atributo LDAP que se utilizará como nombre de los grupos. Por
ejemplo: cn, ou, etc.
• Miembros de grupo: condición que se aplica a los objetos de grupo para obtener los
usuarios que pertenecen a los mismos. Por ejemplo: (uniqueMember=%dn%),
(memberUid=%uid%), etc. Nótese que puede indicarse entre % el atributo de los
Desde está opción podrá añadir un nuevo OPTENET DCAgent, modificar o borrar uno
existente, y también establecer el orden de los mismos.
• Nombre: nombre con el que va a identificar este servidor dentro de la lista, este
nombre es simplemente simbólico pero debe ser único dentro de la lista de
servidores que defina.
• Servidor: nombre o dirección IP donde está instalado y ejecutándose el DCAgent.
Recomendamos insertar si es posible siempre la dirección IP para que las
consultas sean más rápidas y no se tenga que resolver el nombre en cada una de
ellas.
• Puerto: puerto donde escucha el DCAgent
La opción B) consiste en que sea OPTENET quién identifique a los usuarios que están
navegando. Para activarla hay que marcar el tic de la casilla "Activar autenticación
propia" de la ventana autenticación de usuarios. Esta opción puede ser útil para
organizaciones dónde el proxy/cache no realiza autenticación de usuarios o que dicha
cache no envía al filtro qué usuario está realizando cada petición. En este modo de
funcionamiento OPTENET realiza una asociación entre las IPs que recibe en cada
petición y los usuarios que están navegando desde dichas IPs por lo que es estrictamente
necesario que al proxy/cache y por lo tanto a OPTENET lleguen las peticiones
identificadas por su IP de origen y no por la IP de un router o gateway intermedio. A
continuación se describe el proceso de identificación que realiza OPTENET:
1. Un usuario comienza a navegar por Internet, realiza las peticiones web al proxy y
este se las pasa a OPTENET para que decida si deben pasar o ser bloqueadas.
2. OPTENET extrae la dirección IP de la petición y la comprueba contra su tabla interna
que contiene pares IP y usuarios.
3. Como dicha IP es nueva OPTENET todavía no sabe qué usuario está detrás de dicha
petición. Para averiguarlo tiene dos métodos:
3.1 Si está seleccionado como origen de datos "LDAP", OPTENET redirige dicha
petición contra su servidor de autenticación exigiendo al usuario que está
navegando que introduzca un usuario y una clave y lo contrastara con los datos
de los servidores LDAP definidos. Una vez comprobado se establece la relación
entre esa IP y ese usuario de modo que todas las peticiones que provengan de esa
misma IP serán consideradas de ese mismo usuario durante el "intervalo de
petición de la autenticación" que se puede definir en la misma ventana.
Resumiendo este punto, OPTENET puede realizar autenticación de usuario siempre que
reciba la IP que está realizando la petición y además los usuarios entren en sesión
contra un dominio Windows o bien dispongamos de un servidor LDAP que pueda validar
los usuarios con sus claves.
5.4.4. Puerto
En este puerto se queda escuchando el servidor de autenticación de OPTENET. Una vez
cambiado el valor de este puerto debe reiniciar OPTENET para que dicho cambio tenga
Este tiempo indica los segundos durante los cuales OPTENET considera válidos la
asociación de un usuario con sus grupos. Transcurrido dicho tiempo cuando reciba la
próxima petición de navegación de ese usuario OPTENET volverá a consultar los grupos
de dicho usuario.
5.5. Categorías
OPTENET Server le permite crear y gestionar sus propias categorías. Para ello basta con
indicar el nombre de la categoría que quiera crear y tras un corto intervalo de tiempo la
categoría estará disponible en todo el filtro. Tenga en cuenta que no se puede añadir
una categoría con un nombre que ya exista de antes, así como borrar una categoría que
no se haya añadido anteriormente. Por otro lado, entre las categorías preestablecidas
del filtro y las añadidas por el administrador no se pueden tener más de 128 categorías
en total. El proceso de borrado de una categoría es costoso en tiempo y recursos en el
servidor dónde está instalado OPTENET Server, pudiéndole llevar varios segundos.
Esta opción es muy útil a la hora de desbloquear URLs que OPTENET asocia a una
determinada categoría pero que el administrador no considera que deben pertenecer a
dicha categoría.
Desde esta pantalla podemos insertar una URL en varias categorías a la vez, esto puede
suceder dado que las categorías no son conjuntos excluyentes. Por ejemplo, la prensa
deportiva está categorizada a la vez como prensa y como deportes. La precedencia de
estas listas de usuario es mayor que las listas predefinidas por OPTENET, esto permite
desbloquear URLs que OPTENET filtre, o bloquear URLs que OPTENET no bloquea.
Es posible indicar que una única página pertenece o no pertenece a una categoría
introduciendo la URL completa, por ejemplo,
http://www.dangerousplace.com/index.htm
o por el contrario indicar que todo un sitio web pertenece o no a una categoría
indicándolo con un * al final, por ejemplo,
http://www.dangerousplace.com/*
http://*.dangerousplace.com*
Pulsando sobre el icono que hay a la derecha de cada categoría podemos editar la lista
de las URLs que hemos ido añadiendo a esta categoría. Esta lista se presenta ordenada
alfabéticamente para una mayor facilidad a la hora de localizar elementos concretos.
Desde la siguiente pantalla podemos añadir nuevas URLs a la lista de las que pertenecen
5.7.2. Acción
La acción indica si esa regla servirá para permitir o por el contrario para denegar los
accesos a las categorías que se seleccionen en dicha regla. Esta opción se selecciona en
la Ventana principal de Modificación de una Regla de Filtrado, Figura 5.18.
5.7.3. Categorías
En esta opción podrá seleccionar las categorías de contenidos a las que se aplica dicha
regla.
5.7.4. Ficheros
En este apartado podrá seleccionar los tipos de Ficheros a los que debe aplicarse la
Regla, si no selecciona ninguno la regla no los tendrá en cuenta. OPTENET identifica los
tipos de archivos mostrados en la columna de la izquierda (avi, exe, mp3, mpeg, zip)
haciendo un análisis del contenido del fichero, siendo capaz de detectar la multitud de
archivos renombrados que existen en Internet con el fin de evitar el filtrado por
extensión. Esta característica que le diferencia de otros sistemas de filtrado es capaz de
implementarla porque también analiza el contenido del fichero descargado de la red.
Además de estos tipos de archivos también es posible incluir otros diferentes
escribiendo su extensión en el cuadro de texto "no incluidos" y pulsando el botón ">>".
Estos tipos de archivos se filtrarán únicamente extrayendo la extensión del archivo que
está siendo descargado.
5.7.5. IPs
En esta opción podemos definir grupos de IPs clientes sobre los que va a actuar la regla
seleccionada.
Figura 5.22: Ventana para Seleccionar las IPs a tener en cuenta por una Regla.
5.7.6. Usuarios
En esta opción, podrá añadir y borrar Usuarios a los que se aplicará dicha regla.
Figura 5.23: Ventana para Seleccionar los Usuarios a tener en cuenta por una Regla.
Para poder establecer reglas por usuarios deberá configurar su proxy o appliance para
que realice autenticación de usuarios o bien forzar que sea el propio OPTENET quien
realice la autenticación, activando en el apartado configuración la opción "activar
autenticación".
Para que aparezcan en la lista de no incluidos los usuarios de su servidor LDAP, Domino
Windows NT, OPTENET Proxy o NCSA de SQUID deberá previamente tener configurado
dicho servidor desde la opción "autenticación". Pulsando el botón refrescar aparecerán
todos los usuarios. Si no apareciese ninguno en el syslog del sistema (fichero
/var/log/messages en Linux o /var/adm/messages en Solaris o AIX) o bien en el visor de
eventos en sistemas Windows aparecerá la causa por la que no se pudieron obtener los
usuarios de dicho servidor.
En esta opción, podrá añadir y borrar Grupos de usuarios a los que se aplicará dicha
regla. Para que aparezcan en la lista de no incluidos los grupos de un determinado
servidor LDAP o de un Dominio Windows previamente deberá tener configurado dicho
servidor desde la opción "autenticación" y pulsar el botón refrescar. Si en una regla se
indican usuarios de forma individual y además grupos de usuarios, esa regla se aplicará a
un usuario si ese usuario está en la lista de los usuarios introducidos en la regla o si
alguno de los grupos a los que pertenece ese usuario está en la lista de grupos a los que
se debe aplicar dicha regla. Tenga en cuenta lo explicado en el apartado “5.4
Autenticación de usuarios” si desea asociar grupos de usuarios a las reglas de filtrado.
Figura 5.24: Ventana para Seleccionar los Grupos de Usuarios a tener en cuenta por una Regla.
5.7.9. Horarios
En esta opción, podrá añadir, borrar y modificar días de la semana e intervalos de horas
en los que desea que se aplique dicha regla. Fuera de los intervalos indicados dicha
regla no tendrá efecto. Si no se indica ningún intervalo dicha regla será efectiva las 24
horas del día los 7 días de la semana.
Figura 5.26: Ventana para Establecer los Horarios a tener en cuenta por una Regla
Es posible indicar todo un sitio completo con un * al final. También es posible utilizar el
asterisco como comodín al principio y en medio de la URL.
Figura 5.27: Ventana para Asociar URLs a una Regla con independencia de su categorización.
5.7.11.URLs Not
En esta opción, podrá añadir, borrar y modificar URLs Not como criterio de una regla.
La lista Not contiene los URLs a los que nunca se debe aplicar la regla, es decir las
excepciones de la regla. Es posible indicar todo un sitio completo con un * al final.
También es posible utilizar el asterisco como comodín al principio y en medio de la URL.
Por defecto, con la instalación de OPTENET sólo existe una única regla, DenyPorn que
bloquea los accesos a sitios con contenido pornográfico. Veamos cómo está configurada
esta regla. En la opción de categorías esta regla tiene señaladas las categorías básicas
de filtrado: pornografía, racismo, violencia, sectas, drogas y construcción de explosivos
es decir, esta regla inhibe estas cinco categorías. ¿A quién se inhibe estos contenidos?
Si miramos los usuarios, vemos que no hay usuarios definidos por lo que afecta a todos,
lo mismo sucede con los grupos de usuarios. ¿A qué equipos? Tampoco hay direcciones
IPs definidas por lo que esta regla es aplicable a todos, ¿en qué horarios? como no hay
ninguno especificado es aplicable en todas las horas del día. ¿Hay alguna excepción a
esa regla? Vemos que ni en la lista URL Yes (URL que directamente cumplen esta regla)
ni en la lista URL NOT (URLs que nunca cumplen esta regla) aparece ninguna dirección,
es decir, no hay excepciones a esta regla.
Falta un detalle, debemos colocar esta regla como la más prioritaria. De esta forma
cuando el jefe navegue por Internet OPTENET analizará sus peticiones empezando por la
regla más prioritaria, verá que dichas peticiones cumplen esa regla y permitirá el acceso
a todos los contenidos.
¿En qué posición la debemos colocar? Debemos pensar cuál de las tres reglas que
tenemos hasta este momento es la más general y ponerla al final, e ir subiendo en la
jerarquía hasta la más específica. De esta forma la más general es DenyPorn, que inhibe
pornografía luego vendría PrensaEnTrabajo, y luego la del jefe.
5.8. Actualizaciones
OPTENET Server se conecta de forma continua a los diferentes servidores de
actualizaciones para ir completando su base de datos de URLs de forma incremental y
de esta forma poder filtrar las nuevas direcciones categorizadas de Internet que van
surgiendo día a día. Todas estas nuevas URLs son almacenadas en memoria para un
eficiente funcionamiento y deberán ser guardadas en disco cada cierto tiempo.
Desde esta opción podemos configurar los siguientes parámetros:
5.9. Informes
Al pulsar sobre esta opción se abre otra ventana de navegación que se conecta contra
OPTENET Reporter. OPTENET Reporter es la herramienta que le permite sacar informes
del uso de Internet. Por defecto se puede instalar con OPTENET Server ya que se
distribuye de manera conjunta.
Si cuando pulsa sobre esta opción OPTENET Reporter no está ejecutándose aparece un
mensaje indicando que no es posible contactar con la herramienta de informes. Por
favor, asegúrese de que OPTENET Reporter está en ejecución y que está instalado en la
IP de la máquina y escuchando en el puerto indicando. Por defecto, OPTENET Server
intenta contactar con un OPTENET Reporter instalado en su misma servidor.
Figura 5.30. Ventana indicando que no es posible contactar con OPTENET Reporter
.
Una vez haya arrancado OPTENET Reporter y se haya asegurado de que está bien
configurada su IP y puerto de adminstración en este apartado de OPTENET Server vuelva
Por defecto en la instalación existe un usuario de cada perfil y sólo está activado el
nivel “Administrator”. El primero tiene control total sobre el filtro pudiendo realizar
todas las operaciones de administración. Por defecto, el nombre del usuario de
Se pueden modificar los datos de los usuarios existentes por defecto en la instalación
para cada perfil y añadir nuevos usuarios o borrar los que se deseen. Para ello al pulsar
Administrador, se muestra la lista con todos los usuarios agrupados por perfil. Habrá que
seleccionar el usuario para borrar o modificar y pulsar el botón correspondiente, o
simplemente pulsar el botón “Nuevo” si se desea crear un nuevo usuario.
Para activar los otros niveles de actualización deberá pulsar el botón asociado al nivel
deseado en la siguiente pantalla, activar la opción “activar perfil”, introducir el nombre
de usuario, la clave y pulsar el botón aceptar como muestra la siguiente figura:
Merece mención especial el perfil Reports Operator OPTENET server guarda en sus logs
todas las peticiones de Internet que analiza y aquellas que ha bloqueado. Si desea sacar
informes de estos logs deberá instalar OPTENET Reporter en el mismo servidor u otro
diferente. Seguidamente deberá configurar OPTENET Reporter indicándole dónde está
OPTENET Server para que el Reporter consiga los logs y posteriormente pueda sacar
informes. Para que no que el Reporter pueda solicitar al filtro los logs se debe
identificar con un usuario y una clave válidos. Dicho usuario con dicha clave debe estar
definido dentro del perfil Reports Operator del filtro y además estar activo.
Figura 5.32: Ventana de Configuración de Bloqueo por intentos repetidos a URLs con acceso denegado.
Por defecto, la opción viene desactivada, para activarla simplemente hay que
seleccionar si los usuarios se identificar por nombre (usuario autenticándose) o por IP, el
tiempo que se les bloqueará como penalización y el número de bloqueos que se les
permite tener en un determinado periodo de tiempo.
Además en el caso de bloqueo se puede configurar la página de bloqueo que se le debe
mostrar y la posibilidad de enviar un mail al administrador del sistema notificando esta
situación.
Si queremos desbloquear a alguna persona que ha sido bloqueada por esta causa, lo
podemos hacer desde la siguiente pantalla que aparece al pulsar el botón Desbloquear.
*Se entiende por instancia una instalación de OPTENET Server ejecutándose en una
máquina.
5.12.2.Clusters
Bajo esta etiqueta, se encuentran los botones para editar clusters y en todo momento se
muestra una lista actualizada con los clusters creados.
5.12.2.1.Nuevo
Para insertar un nuevo cluster se muestra la siguiente ventana.
5.12.2.2.Modificar
Permite editar el nombre de un cluster. Se muestra la misma ventana que en la
operación anterior pero con el nombre del cluster en la caja de texto.
5.12.2.3.Borrar
Elimina de manera permanente el cluster seleccionado de la lista de clusters.
5.12.2.4.Conectar
Establece conexiones a todos los servidores del cluster seleccionado y muestra la
ventana de informe del apartado siguiente.
5.12.2.5.Informe
Muestra el resultado de las conexiones realizadas a los servidores en la siguiente
ventana.
Figura 5.38: Ventana de Informe de las comunicaciones con los Servidores de un Cluster.
Se muestra en todo momento una lista actualizada con los servidores introducidos para
un cluster seleccionado.
5.12.3.1.Nuevo
Para insertar un nuevo servidor se muestra la siguiente ventana.
Los parámetros para crear una nueva entrada de una instalación de OPTENET Server que
deseamos controlar son los siguientes:
Dir. IP: Dirección IP
Nombre: Nombre de la instancia.
Puerto: Puerto de escucha.
Usuario: Nombre de usuario para la identificación.
Para trabajar con conexiones seguras https, consulte antes el anexo 1 titulado
‘Administración de OPTENET Server a través de una conexión segura’, ya que en este
caso el puerto que se debe introducir no es el puerto donde está escuchando OPTENET
Server en la máquina remota sino el puerto en el que escucha el stunnel asociado al
OPTENET Server que está introduciendo. No se debe confundir dicho stunnel con el
stunnel asociado al filtro local, ya que son diferentes. Por último seleccione ‘HTTPS’ en
‘Conexión’ en lugar de ‘HTTP’.
En la ventana se muestra una etiqueta que dice ‘Puerto Https’. Al insertar un servidor
esta etiqueta está vacía. En posteriores apartados se verá que valores puede tomar.
Además hay que señalar que si eliminamos el nombre y password del administrador
introducido al definir servidores, estos dejarán de funcionar con la gestión en cluster.
Esto se debe a que el nombre y password utilizado por la gestión en cluster para replicar
un cambio a una instalación concreta, ya no existen en dicha instalación. En este caso
para que la gestión en cluster vuelva a funcionar, hay que editar los parámetros del
servidor e introducir el nuevo nombre y password.
Otro modo de proceder consiste en editar el usuario en lugar de borrarlo y crearlo.
5.12.3.2.Modificar
Se muestra la misma ventana que en la operación anterior pero con los parámetros del
servidor en las cajas de texto.
Si trabaja con http, vera que en la etiqueta ‘Puerto Https’, el valor que se muestra es el
mismo que el introducido en ‘Puerto’. Esto es así, porque no hay un puerto asociado a
conexiones https.
Sin embargo si trabaja con conexiones seguras, verá que se le ha asignado un puerto.
OPTENET Server ha buscado un puerto libre en el sistema y ha lanzado una instancia de
stunnel en la máquina local, para poder comunicarse de forma segura.
Por cada nuevo servidor creado, OPTENET Server lanzará una instancia de stunnel en su
máquina local.
5.12.3.3.Borrar
Elimina de manera permanente el servidor seleccionado de la lista de servidores.
Figura 5.41: Ventana que aparece tras conectar correctamente con un servidor.
5.12.3.5.Informe
Muestra la siguiente ventana con el resultado de la conexión realizada al servidor.
Los campos de la tabla son los mismos que los de informes de cluster.
make stunnel.pem
./stunnelinit start
./stunnelinit stop
2.1. Introducción
OPTENET CLI es una aplicación que permite administrar OPTENET Server a través de una
línea de comandos. Es una vía alternativa a la administración web, con la ventaja de
que OPTENET CLI es capaz de procesar ficheros de script que contengan múltiples
peticiones. Otra de las características de OPTENET CLI es que permite administrar
cualquier filtro, simplemente editando su fichero de configuración.
Los ficheros que vayan a ser utilizados por OPTENET CLI (fichero de configuración y
ficheros de script) necesitan estar en el directorio donde se este ejecutando OPTENET
CLI. Por ello, si OPTENET CLI se ejecuta remotamente hay que tener cuidado y copiar
ambos ficheros al directorio donde se este ejecutando.
OPTENET CLI se instala junto a OPTENET Server dentro del subdirectorio tools junto a su
archivo de configuración cli.conf y el archivo de scripts por defecto script.txt por
defecto script.txt donde podrá añadir múltiples peticiones. Este fichero de script se
encuentra vacío.
2.2. UTILIZACIÓN
2.2.1. Ejecución
Para ejecutar OPTENET CLI, vaya al directorio donde lo haya instalado y teclee:
optenetcli
2.2.2. Ayuda
OPTENET CLI dispone de un completo sistema de ayuda en modo texto. Para ello teclee:
Mostrándose los nombres de todos los comandos de OPTENET CLI. Tenga en cuenta que
estos son sólo los nombres de los comandos. Muchos de estos comandos tienen
parámetros que también deberá especificar.
2.2.3. Comandos
Para saber cuales son los parámetros de un comando, basta con teclear el nombre de
dicho comando seguido de ‘?’.
Ejemplo:
saveconfig ?
Todos los comandos de OPTENET CLI siguen alguno de los siguientes formatos:
• addxxxxxx
• savexxxxxx
• delxxxxxx
• sortxxxxxx
Hay que tener cuidado con los caracteres en mayúsculas y minúsculas, ya que OPTENET
CLI hace distinción entre ellos. Es decir no es lo mismo ‘saveconfig’ que ‘SaveConfig’.
Para que el manejo de OPTENET CLI sea más sencillo, se ha optado por que todos los
comandos sean en minúsculas. Sin embargo como podrá ver más adelante algunos
parámetros tienen caracteres en mayúsculas.
Cuando teclee un comando con el número correcto de parámetros, y que sin embargo
alguno de ellos sea incorrecto, OPTENET CLI le mostrará como utilizar dicho comando.
Así pues un proceso lógico para ejecutar un comando puede ser:
• Teclee ‘?’ para ver los comandos disponibles.
• Teclee el nombre del comando elegido de la lista seguido del signo de
interrogación.
• Teclee el nombre del comando seguido de sus parámetros tal y como se lo
muestra OPTENET CLI.
Ejemplo: script.txt
El formato de un fichero de script, consiste en tener una única petición por línea. De
esta forma se consigue un fichero de script claro y fácilmente editable. Por ello si
escribe dos peticiones en una misma línea, OPTENET CLI devolverá error en esa línea, y
no podrá procesar ninguna de las dos peticiones.
2.2.5. Salida
Para salir de OPTENET CLI, debe teclear el siguiente comando:
exit
UserName
Password
Server IP
Server Port
Como puede ver, el fichero tan solo consta de 4 líneas, que le permiten seleccionar
cualquier OPTENET Server que este ejecutando para poder así administrarlo.
Las dos primeras líneas son el username y el password que necesita para administrar
OPTENET Server, es decir el mismo que necesita para administrarlo vía web por
ejemplo. Los valores por defecto para el username y el password son “optenet” y
“12345678” respectivamente.
Las dos siguientes líneas contienen la información necesaria para que OPTENET CLI sepa
donde conectarse. La dirección IP de la máquina donde este ejecutándose OPTENET
Server y el puerto en el que está escuchando. Los valores por defecto son la máquina
local (“127.0.0.1”) y el puerto por defecto de la administración WWW (“10237”).
Es importante señalar que el fichero debe tener siempre 4 líneas y que deben ser las
que se señalan arriba. Si faltan o sobran líneas en el fichero, o intenta meter varios
campos
2.3.1. Configuración
Dentro de esta opción podemos configurar: el estado del filtro, establecer la página de
bloqueo o establecer el directorio donde se generan los logs.
2.3.1.1. Saveconfig
Todas las características que acabamos de mencionar se configuran con un único
comando.
Este es el formato en el que OPTENET CLI nos muestra como utilizar un comando.
“saveconfig” es el nombre del comando y ‘FILTER_STATE’, ‘URL_BLOCK’ y ‘LOGS_DIR’
son algunos de los parámetros de dicho comando.
Si un parámetro sólo puede tomar unos valores concretos, entonces dichos valores se
muestran entrecomillados tras el nombre del parámetro. Por ejemplo en el caso de
“saveconfig”, FILTER_STATE sólo puede tomar los valores: “Active” o “Inactive”.
2.3.2. Autenticación
En este apartado se puede configurar OPTENET para que realice explícitamente
autenticación de usuarios.
2.3.2.1. Saveauthen
saveauthen AUTENTICATION SERVER TIME PORT
2.3.3.1. Delauthencache
delauthencache
2.3.3.2. Sortldap
sortldap SORT LDAP_SERVER
SORT: "Up", "Down"
LDAP_SERVER: LDAP Server name
2.3.3.3. Delldap
delldap LDAP_SERVER
LDAP_SERVER: LDAP Server name
2.3.3.4. Saveldap
saveldap SERVER PORT BASE TYPE ADMIN PASSWORD LDAP_SERVER (OLD_LDAP_SERVER)
SERVER: Server Ip or name
PORT: Server port
BASE_TYPE: Base to search for users and groups
TYPE: "0"(Windows 2000) "1" (Lotus Domino) "2"(iPlanet)
ADMIN: Username to log on to server
Type if not administrator
PASSWORD: Password for username
Type if not administrator
LDAP_SERVER: Server name
OLD_LDAP_SERVER: Old server name or ip
Use OLD_LDAP_SERVER when modifying server, not when creating
2.3.4.1. Saveurlclas
saveurlclas URL CATEGORIES
URL: Url to be categorized
CATEGORY: An Optenet Server category
YES_NOT: "Yes" "Not"
2.3.4.2. Adduserurl
adduserurl CATEGORY LIST URL
CATEGORY: One of OPTENET Server categories
LIST: "Yes", "Not"
URL: The Url
2.3.4.3. Deluserurl
deluserurl CATEGORY LIST URL
CATEGORY: One of OPTENET Server categories
LIST: "Yes", "Not"
URL: The Url
2.3.5.1. Addrule
addrule
2.3.5.2. Sortrules
sortrules SORT RULE_NAME
SORT: "Up", "Down"
RULE_NAME: Name of the rule to be sorted
2.3.5.3. Delrule
delrule RULE_NAME
RULE_NAME: Name of the rule to be deleted
2.3.5.4. Renrule
renrule OLD_RULE_NAME NEW_RULE_NAME
OLD_RULE_NAME: Old name of the rule
NEW_RULE_NAME: New name of the rule
2.3.5.6. Delips
delips RULE_NAME FROM_IP TO_IP
RULE_NAME: Name of the rule
FROM_IP: First ip of ip range
TO_IP: Last ip of ip range
2.3.5.7. Savecat
savecat RULE_NAME CAT1 CAT2 ... CATN
RULE_NAME: Name of the rule
CAT1,...CATN: An Optenet Server category
Categories not typed will be disabled
Este comando no tiene un número fijo de parámetros ya que se pueden pasar tantos
nombres de categorías como queramos. Las categorías cuyo nombre no se pase como
parámetro serán desactivadas, y aquellas que se pasen como parámetro serán activadas.
2.3.5.8. Addurlyes
addurlyes RULE_NAME URL_YES
RULE_NAME: Name of the rule
URL_YES: The url to be added
2.3.5.9. Delurlyes
delurlyes RULE_NAME URL_YES
RULE_NAME: Name of the rule
URL_YES: The url to be deleted
2.3.5.10.adduser
adduser RULE_NAME USER
RULE_NAME: Name of the rule
USER: User affected by the rule
2.3.5.11.Deluser
del user RULE_NAME USER
RULE_NAME: Name of the rule
USER: User affected by the rule
2.3.5.12.Addhours
addhours RULE_NAME FIRST_HOUR LAST_HOUR FIRST_MINUTE LAST_MINUTE
RULE_NAME: Name of the rule
HOUR_INTERVAL: Hour range. Type XX:XX-XX:XX. Example: 08:30-19:37
Hours should be in range 0-59
Todos los parámetros de este comando menos el primero, son enteros y están
comprendidos en un rango. Si se teclean caracteres o un entero fuera del rango,
OPTENET CLI devolverá error.
2.3.5.13.Delhours
delhours RULE_NAME HOUR_INTERVAL
RULE_NAME: Name of the rule
HOUR_INTERVAL: Hour range (8:30-19:37)
2.3.5.14.Saveday
saveday RULE_NAME DAY1 DAY2 ... DAY7
RULE_NAME: Name of the rule
DAY*: A valid week day
"Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday", "Saturday"
2.3.5.15.Addurlnot
addurlnot RULE_NAME URL_NOT
RULE_NAME: Name of the rule
URL_NOT: Url affected by the rule
2.3.5.16.Delurlnot
delurlnot RULE_NAME URL_NOT
RULE_NAME: Name of the rule
URL_NOT: Url affected by the rule
2.3.5.17.Savefile
savefile RULE_NAME FILE_TYPE1 FILE_TYPE2 ... FILE_TYPE7
RULE_NAME: Name of the rule
FILE_TYPE*: A valid file type (mp3, avi,...)
2.3.6. Actualizaciones
OPTENET Server periódicamente se conecta a la WWW de OPTENET para actualizar sus
listas, y poder filtrar las nuevas direcciones categorizadas de Internet que van surgiendo
día a día. Con esta opción se trata de definir la frecuencia de actualización de las listas.
2.3.6.1. Saveact
saveact FRECUENCY DAY_OF_WEEK DAY_OF_MONTH START_HOUR
END_HOUR TRY_INTERVAL PROXY_ADDR PORT PROXY
FRECUENCY: "Daily", "Weekly", "Monthly"
DAY_OF_WEEK:"Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday",
"Saturday"
DAY_OF_MONTH: "1", "2", "...", "28"
2.3.7.1. Addadmin
addadmin NEW_USER_NAME NEW_PASSWORD ENABLED PROFILE
NEW_USER_NAME: New user name
NEW_PASSWORD: New password for new user name
ENABLED: Profile enabled ("1") or disabled ("0")
PROFILE: "1" (Ordinary administrator)
"2" (Local administrator)
"3" (Urls administrator)
"4" (Reports administrator)
"5" (Sensitive information administrator)
2.3.7.2. Saveadmin
saveadmin OLD_USER_NAME NEW_USER_NAME NEW_PASSWORD ENABLED PROFILE
OLD_USER_NAME: Old user name
NEW_USER_NAME: New user name
NEW_PASSWORD: New password for new user name
ENABLED: Profile enabled ("1") or disabled ("0")
PROFILE: "1" (Ordinary administrator)
"2" (Local administrator)
"3" (Urls administrator)
"4" (Reports administrator)
"5" (Sensitive information administrator)
2.3.7.3. Deladmin
deladmin USER_NAME PROFILE
USER_NAME: Administrator user name
PROFILE: "1" (Ordinary administrator)
2.3.8.1. Cluster
cluster FLAG
FLAG: "1" (Enable 'Working with Clusters')
"0" (Disable 'Working with Clusters')
2.3.8.2. Addcluster
addcluster CLUSTER_NAME
CLUSTER_NAME: Name of new cluster
2.3.8.3. Savecluster
savecluster CLUSTER_NAME NEW_NAME
CLUSTER_NAME: Name of cluster
NEW_NAME: New Name for cluster
2.3.8.4. Delcluster
delcluster CLUSTER_NAME
CLUSTER_NAME: Name of cluster
2.3.8.5. Addserver
addserver SERVER_NAME SERVER_IP SERVER_PORT HTTP_FLAG USERNAME PASSWORD
CLUSTER_NAME
SERVER_NAME: Name of new server
SERVER_IP: Ip address of new server
SERVER_PORT: Port where server listens
HTTP_FLAG: "1" (Http), "0" (Https)
USERNAME: Username to log on to the server
PASSWORD: Password to log on to the server
CLUSTER_NAME: Server's cluster name
2.3.8.6. Saveserver
saveserver SERVER_NAME SERVER_OLD_NAME SERVER_IP SERVER_PORT HTTP_FLAG
USERNAME PASSWORD CLUSTER_NAME
SERVER_NAME: New name for server
SERVER_OLD_NAME: Server old name
SERVER_IP: Ip address of server
2.3.8.7. Delserver
delserver SERVER_NAME CLUSTER_NAME
SERVER_NAME: Name of server
CLUSTER_NAME: Server's cluster name
2.3.9. Informes
OPTENET Server permite configurar una herramienta de informes (OPTENET Reporter) la
cual recibirá los logs.
2.3.9.1. StoreReporter
storereporter REPORTER_IP REPORTER_PORT
REPORTER_IP: Ip address where OPTENET Reporter is current running
REPORTER_PORT: Port number where OPTENET Reporter is current listening
Dicho elemento puede ser: Una regla, Una categoría, Un tipo de archivo, Un nombre o Ip
de servidor,...
Al hacer click sobre el icono con el botón derecho o izquierdo del ratón, aparecerá el
siguiente menú contextual donde podremos seleccionar la opción deseada:
Para modificar el puerto en el que escucha el proxy por defecto es posible hacer click
sobre esta opción y modificarlo fácilmente:
Figura Anexo 4: Menú de configuración del puerto en el que escucha el proxy Optenet
1. Azar: Páginas web de casinos on-line y bingos. También incluye páginas donde se
pueda apostar, por ejemplo quinielas, loterías, etc.
5. Drogas: Páginas web con contenidos sobre drogas tanto animando a su consumo
como facilitando lugares y contactos donde conseguirlas. No están incluidas las
páginas que informan sobre los efectos perjudiciales de las drogas.
10. Hackers: Páginas web que contienen software ilegal. Páginas que contienen
herramientas de cómo piratear programas y documentación sobre cómo saltarse la
seguridad informática en general.
11. Informática: Páginas web con información relacionada con hardware, software,
Internet, etc.
12. Juegos: Páginas web donde se puede jugar on-line o descargarse juegos
informáticos.
13. Modelos: Páginas web donde se pueden encontrar fotos de modelos (tanto
masculinos como femeninos). Las páginas donde este tipo de fotos muestren modelos
totalmente o parcialmente desnudos pueden estar incluidos en la categoría de
pornografía.
14. Música: Páginas web donde se puede descargar o comprar música, páginas con
información relacionada con cantantes y grupos de música en general.
18. Rosa: Páginas web con contenidos relacionados con celebridades. También incluye
contenidos relacionados con la moda, decoración, estética, etc.
19. Sectas: Páginas web con contenidos relacionado con sectas peligrosas y que son
aceptadas universalmente como tales. No se incluyen aquellas que por legislación de
diferentes países son consideradas como sectas en unos y cómo asociaciones
religiosas con todos sus derechos en otras.
21. Violencia: Páginas web con contenidos abiertamente de naturaleza violenta o que
incitan a la violencia o la defienden.
22. Correo web: Sitos web que proporcionan servicios para enviar mensajes de correo
electrónico.
23. Chat: Sitos web que proporcionan servicios para comunicarse (chat) con otros
usuarios en tiempo real.
* En algunas ocasiones una página web puede pertenecer a más de una categoría.
Para poder utilizar correctamente este nuevo servicio debemos indicarle a OPTENET
Server que lance mas hilos con el fin de atender a las peticiones de este nuevo servicio.
Ello se indica en las versiones Windows modificando la clave del registro:
HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\IcapServices
Escribiendo el valor 3.
Para las versiones Unix, deberá modificar el script /usr/local/optenet/RunOPTENET
anadiendo el parámetro -icap_services 3
En ambos casos deberá reiniciar el filtro para que la configuración tenga efecto.
El filtro tiene la posibilidad de ser monitorizado mediante el protocolo SNMP, con lo cual
es fácilmente integrable en los sistemas de monitorización del mercado.
Para ello, la distribución del filtro incluye un Agente SNMP, que funciona como un
servicio totalmente autónomo, y mantiene actualizados los valores de los parámetros
sobre el estado del filtro en tiempo real.
Por defecto, el agente escuchará en el puerto 161, aunque es configurable, con el fin de
poder tener varios agentes en la misma máquina.
Los parámetros que son susceptibles de ser monitorizados son los siguientes:
Por defecto, en el fichero de arranque aparece como puerto donde escucha el agente
Snmp: 10237.
7. RECARGAR
Esta opción provoca que el filtro lea de nuevo todos sus ficheros de configuración así
como la base de datos de URLs. Opción útil si desea "clonar" la configuración de un filtro
a otro servidor que se ha incorporado recientemente a la gestión en cluster de
organización, sin necesidad de parar y volver a arrancar el filtro. ATENCIÓN, utilice esta
opción solamente en caso necesario, ya que la recarga de la base de datos es un proceso
costoso en uso de CPU. Para lanzar al recarga debe ejecutar el siguiente cgi:
http://ip_del_filtro:10237/cgi-bin/resetconf?