martes, 30 de octubre de 2007

Configuraciones de clientes

Aqui estoy de regreso, admito que ahora si me ausente un poco pero bueno, ya aqui estoy de regreso ahora para mostrar configuraciones de explorador y cliente de correo electronico bajo ccproxy, asi que ya fue mucho blabla y poca accion.

Explorador de Internet

Llamese internet explorer, firefox, opera, safaria, etc basicamente todos los navegadore se rigen con los mismos protocolos y siendo Internet Explorer el de mayor uso en el mundo (ahorrense la discusion de cual es mejor) usare esa pantalla para mostrar como configurar el acceso atravez de el.



Nos vamos a herramientas, opciones de internet, conexiones, configuracion de LAN
Desmarcamos (si lo estuviera) la casilla de Detectar la configuracion automaticamente, marcamos la casilla de Utilizar un servidor proxy para su LAN(...) en inmediatamente se activan los campos para introducir los datos del servidor proxy asi como el puerto. En el ejemplo estoy ocupando el puerto 8080
Podemos avanzar y dar click en opciones avanzadas para configurar uno por uno los protocolos. Esto sera util si por ejemplo, tenemos algun otro software para por ejemplo, los socks.
Una vez terminador, damos aceptar a todo y de preferencia cerramos el navegador y lo volvemos a iniciar. OJO la mayoria de los problemas de no deteccion del proxy radican en haber puesto mal la ip del servidor o el puerto. Antes de romperte la cabeza suponiendo soluciones heroicas y malviajadas, checa eso.

Cliente de correo electronico

En este ejemplo usare la configuracion de Microsoft Outlook (osea, el que viene con office) para ejemplificar la configuracion. En mi casa ocupo la version 2007. Aunque ocupes alguna version anterior, o outlook express ó cualquier otro cliente de correo definitvamente te va a servir esta configuracion. Solo por comentar, he ocupado thunderbird sin ningun problema.

Si es la primera vez que lo inicias, solo debes elegir que ocuparas un servidor de correo POP3, si es para re-configurar entonces vas a herramientas, configuracion de la cuenta, eliges la cuenta (si tuvieras varias) y entras a la siguiente pantalla:



Si no sabes que poner en los primeros dos campos, estamos jodidos.
Servidor de correo entrante y saliente: aqui es donde pondremos la ip del equipo que este ejecutando ccproxy. No olvides que el usuario debe tener permitido el uso de mail para que funcione (es otro error muy comun)
Informacion de inicio de sesion(aqui viene lo bueno): Hay dos tipos de manera de autentificarse, la primera que ocuparemos es la siguiente: (para el inicio de sesion y envio de correos) usuario@usuario.com#mail.usuario.com Esa primera forma se usa regularmente para los correos "empresariales" o por los que pagamos para usarlos, en pocas palabras, los que te dan cuando rentas un servidor, en donde mail.usuario.com es nuestro servidor de correo entrante.
La segunda forma es la que se ocuparia para algun servicio gratuito, como yahoo por ejemplo, y quedaria usuario#mail.usuario.com Como podemos ver, en esta segunda opcion no se necesita poner el dominio completo, lo cual es una pequeña pero gran diferencia entre que funcione o no tu correo atravez de outlook.
El simbolo de gato hara que ccproxy diferencie cual es el nombre de usuario y cual el nombre del servidor.

Una vez hecho esto, damos click en mas configuraciones y avanzamos a la siguiente pantalla:



Aqui no hay mayor problema, hay que poner lo mismo que en el inicio de sesion para recepcion de correo. Damos ok a todo y enviamos correo de prueba y recibimos correo de prueba.
Muchisimo ojo con las configuraciones que admite su servidor de correo, no me preguntes como configurar el correo de tu empresa porque desconozco como valida a los usuarios para enviar o recibir correo, ademas claro, si eres el administrador y no los conoces pues mas vale que lo averigues o te vayas buscando otro trabajo. El punto es conocer perfectamente esas configuraciones ya que realmente la conexion exitosa depende de como este configurado el cliente de correo. A diferencia de muchos proxys, ccproxy no requiere que configures directamente en el los servidores que vas a usar, sino que el cliente es quien pide conectarse a, lo cual puede ser muy tranquilizante si es que ocupamos muchas cuenta de correo.

lunes, 22 de octubre de 2007

Administrador de cuentas

Ok ok, lo admito, ya me estaba brincando esta parte, pero la verdad es que aunque no queria, me puse a trabajar, por eso como que se me fue el avion pero aqui estoy, listo a redimir el error, comencemos.

Administrador de cuentas



El administrador de cuentas es una parte sumamente importante, se puede trabajar sin definirla, pero perderia su escencia que es la de regular el trafico y auditar la navegacion. En esta parte definiremos el comportamiento de los usuarios que pasenpor ccproxy y combinando con politicas locales o a nivel dominio podemos conseguir resultados esperados.

Permitir categoria: En esta parte vamos a encontrar:
Permitir todo: todas las conexiones son permitidas
Permitir solamente: Las direcciones ip ó mac enlistadas tendras acceso a, descartando todo aquello que no este dentro de
Permitir a todos pero: El pequeño pero, esto es como "banear" ciertos accesos permitiendo a la mayoria pasar a excepcion de los listados

Tipo Autorizacion: Es el tipo de autentificacion por el cual deberan pasar los usuarios. Este tipo de validacion es afectado por la seleccion que se hace en "permitir categoria"
Direccion ip: Ccproxy verificara que la direccion ip listada sea la misma que el cliente para poder acceder al servicio, si no es cierta, lo rechazara.
Direccion Mac: exactamente lo mismo, pero sobre la direccion MAC
Usuario/contraseña: pedira un usuario y contraseña en caso de querer navegar no importando los dos criterios anteriores
Usuario/contraseña+IP: Igual que el anterior, pero esta vez revisara que la IP coincida con la listada para ese usuario
Usuario/contraseña+IP: Igual que el anterior, pero sobre la direccion MAC
IP+MAC: La direccion IP debe coincidir con la direccion MAC, en caso de alguna no ser igual a la que esta definida la rechazara.

Ahora veamos hacia la derecha:

Filtro Web:
La tirania se asoma, el latigo de la prohibicion genera su trueno maldito y el demonio que opera todo decide a donde si y a donde no. Exactamente, aqui puedes pasar horas y horas de malsana diversion, prohibiendo el acceso a paginas y practicando tu risa diabolica cuando el usuario pregunte: ¿porque no puedo entrar aqui?



Y como dijo jack el destripador, vamos por partes:

Nombre del filtro web: Creo que no hay mucho que decir, lo que si te recomiendo es que no pongas nombres "en clave" pon nombres claros, que entiendas y recuerdes para que los creaste, claro, tampoco te explayes poniendo explicacion larguisima de que es, con algo simple pero consistente es suficiente, ademas, en teoria nadie mas que tu tendra acceso al proxy.

Filtro de sitio: Para que el filtro funcione obviamente debe estar activado, es un gran enigma descubrir como activarlo y desactivarlo, te lo dejo de tarea

Sitios permitidos / sitios Prohibidos: Asi es, la diversion comienza aqui. Estando activada la opcion de sitios permitidos quiere decir que, todo esta prohibido, excepto los sitios que aqui enlistes. Los prohibidos es al reves, todo esta permitido excepto lo que ahi listes. Ocupalo segun criterio.
Y la pregunta del millon: ¿como llenar esas listas? Bien, se puede poner la direccion completa del sitio que se quiera bloquear/permitir (www.misitio.com) o bien ocupar comodin como en el santo viejo DOS, osea, asteriscos, por ejemplo si yo pongo *.misitio.com voy a bloquear todo lo que este antes de ".misitio.com" esto viene porque hay sitios que ocupan redirecciones y no comienzan con "www" por ejemplo blogger, vista.misitio.com lo cual pudiera anular el filtro. El comodin puede ser colocado donde gustes, muchas veces implica creatividad en definir el filtro.

URL prohibidos: Aqui es donde colocaremos que tipo de archivos no pueden ser descargados, aqui es donde podemos poner todos los archivos de musica, comprimidos, ejecutables, etc etc etc, sin embargo actua con cautela, especialmente al bloquear los .exe ya que hay sitios con procesos en tiempo real que ocupan un .exe por ejemplo el sitio de aspel (www.aspel.com) realiza consultas y veras en la barra de direccion que en cierta parta apunta a un ejecutable, lo cual quiere decir que si en el filtro definiste que nada de ejecutables entonces podria llegar a afectar esta pagina.

Contenido Prohibido: aqui es donde pondremos: sexo barato, porno, crack, warez, viejas peludas y cuanta cosa se te ocurra, pero ten cuidado, si ponemos por ejemplo sexo y en una hoja de solicitud te pregunta tu sexo es probable que la bloquee. (tambien puedes poner el nombre de alguna hermana o prima piruja para que nadie en tu trabajo la vaya a contratar)

Ahora regresamos a la pantalla principal del administrador de cuentas

Damos click en el boton de nuevo, junto a la tabla para acceder a crear una cuenta:



Usuario/grupo: definimos un nombre para esta cuenta (en lo personal, pongo el nombre del equipo
Password: Podemos definir un password para que el usuario acceda al servicio
Enable: Casilla checada es que la cuenta esta operacional, caso contrario esta deshabilitada
Direccion ip/rango ip: una sola direccion (o varias en caso de un grupo) iran en esta parte
Direccion MAC: aqui va la direccion MAC del equipo al que se pretende dar acceso
¡¡¡TIP!!!: La direccion MAC es en definitiva la opcion mas segura de validacion para un usuario, ya que la IP se puede cambiar, sin embargo la MAC no, ya que es una direccion fisica, unica para cada tarjeta y no se puede cambiar. ¿Como saberla? Si pones atencion veras un signo de ? junto a las dos casillas nombras anteriormente, das click ahi y se abre otra ventana:



En nombre del colocas el nombre de la pc, luego click en obtener y tanto la ip como la direccion MAC te seran regresadas.

As a group: Activando esta casilla definimos que esta ocasion sera un grupo y no una cuenta, por ejemplo: el grupo de feas y chismosas. Una vez creado el grupo, podemos agregar usuarios a el
Belongs to group: si ya existen grupos, activando esta casilla podremos anexar al usuario al grupo, por ejemplo si ya tenemos el grupo de viejas feas y chismosas, podemos agregar a juanitacotorra al grupo.
Haremos un stop para hablar de los grupos. Los grupos nos pueden servir para ahorrar algo de trabajo, pongamos un ejemplo, vamos a crear el grupo VFC (viejas feas y chismosas). Una vez creado definimos que este grupo estara sujeto al filtro web no1 el cual restringe toda la navegacion a excepcion de paginas de gobierno previamente definidas, tampoco tienen acceso Telnet (porque aparte de chismosas tienen la mañana de bajar el protector de pantalla de cuanto monigote ven con la excusa de "se ve bien tierno" y claro, trae spyware y uno que otro virus) tampoco tiene acceso a marcado remoto, ni a FTP ni a otros. Hecho esto, creamos el usuario de juanita cotorra, cuando lleguemos a la parte de "belongs to group" entonces seleccionaremos VFC y en ese momento el usuario adquirira las caracteristicas del grupo. Esto es especialmente util si juanitacotorra tiene un ejercito de clones como ella a su servicio.

Continuemos...
Maximo Numero de: Hace referencia al numero de conexiones que el usuario puede hacer, esto puede ser util para detener ataques de spyware, ya que por ejemplo, el usuario puede ser restringido a 5 conexiones y en cuanto los pop ups generados por algun bichillo comiencen, se denegaran pues exceden las mismas.
Bandwidth(byte/s): Aqui limitamos el ancho de banda ocupado por el usuario. Ojo, esta medicion es en BYTES asi que mucho cuidado con este campo.

www, correo, telnet, marcado automatico, ftp, socks, otros: son los protocolos que le seran permitidos usuar al usuario o al grupo que se crea.

Filtro de web: aqui seleccionamos el filtro creado que sera aplicado para www en el usuario o grupo deseado

Horarios: Se define el horario en el cual el grupo o usuario tendran acceso a los servicios definidos. Dando click en la E accederemos a los rangos de hora para definirlos

Autodisabled: Desconecta el servicio a la hora indicada

Ya para finalizar, en la ventana principal podemos encontrar el boton de autoscanear, el cual es util para detectar todos los equipos con su direccion mac y evitarnos un gran trabajo en el caso de tener muchos usuarios
Ahora si, en la siguiente veremos configuraciones de clientes y si!! como postre, la configuracion para bloquear messenger

miércoles, 17 de octubre de 2007

Opciones avanzadas

Hoy veremos las opciones de Avanzado, dentro de opciones en ccproxy. La primer pestaña solo se refiere al marcado con el cual ya todos estamos familiarizados, asi que no me internare en esa opcion, continuemos con:

Cache

En esta opcion podemos configurar el cache de ccproxy.
Actualizar cache: permite refrescar el contenido del cache para agilizar la carga de las paginas, se puede definir un rango de tiempo en el cual el proxy buscara nuevos elementos.
Cambiar opciones via IE: puesto que se basa en tecnologia IE, ccproxy permite configurar ciertos parametros extras basandose en IE, entonces de aqui podemos impiar el cache, cookies, etc., que queden almacenadas en el equipo.
Siempre cargar desde el cache: activada esta opcion, permite que ccproxy siempre cargue paginas al cliente basandose en lo que esta descargado, de otra manera se permite "al vuelo"




Proxy Externo
Habilitar proxy externo: al activar esta opcion podemos ocupar otro proxy para ccproxy (cascadeo). Podemos definir que protocolo es el que pasara por otro proxy. Un ejemplo de esto seria tener un proxy solo para los correos que pudiera gestionar filtros antispam y antivirus, de esta manera se agilizaria la velocidad en descarga y envio de correos, claro esta, tambien la seguridad en cuanto a lo que se recibe. Se define el puerto y si fuera necesario el usuario y contraseña.



Registro de actividades




He aqui una opcion interesante. Ccproxy puede guardar registros detallados de la actividad de cada conexion, esto es, sitios web visitados, titulos de fotos lo cuales son bastante utiles a la hora de hacer una auditoria.
Salvar registros en: Indica la ruta donde los registros son guardados. Estos se almacenan en archivos por dia que pueden ser exportados a excel, por usuario o en general. De no estar activada la casilla, solo se ven las conexiones "al vuelo" osea como van ocurriendo sin guardar la actividad.
Url's solicitadas, picture info, web title info: : complementan de manera mas exacta lo que se va almacenando en los logs.
Maximo numero de lineas: :hace referencia a cuantas lineas maximo tendra cada log. Si tenemos muchos usuarios habra que considerar un numero mayor que el que trae por default. La casilla de nuevo registro diario permite crear un archivo por dia, de otra manera seria un archivo enorme y muy laborioso de analizar.
Registro: Muestra el registro "en bruto" de conexiones e informacion de navegacion
Limpiar registros: Elimina los logs
Exportar a excel: genera el log para poder abrirlo en excel, muy util para analizar

Informacion de la conexion
Para entrar a esta parte, nos vamos a la ventana principal de CCproxy, sobre la cuadricula verde damos doble click y se abrira la siguiente ventana:
Esta es la vista de analisis en tiempo real de las conexiones hechas al proxy.



Log analisis: Dando click en este boton, entraremos a otra ventana en donde podemos ver a detalles la actividad de cada usuario, en general o por protocolo ocupado.




Logfile: Primero seleccionamos el archivo a analizar (año-mes-dia)
Nombre de: se selecciona el nombre del usuario a analizar
Protocolo: que actividad se analizara
Filter: aqui podemos dejarlo en blanco, o poner por ejemplo playboy, de tal manera que analizara el log buscando en que entras esta la palabra playboy Esto nos serviria cuando sabemos especificamente que buscamos
Anaylisis: ejecuta la busqueda basandose en los campos antes nombrados. En el caso de protocolo si lo dejaramos en blanco mostrara toda la activdad en todos los protocolos.
Export: Exportara el resultado del analisis como una pagina html
Open: abre el archivo de las conexiones en bruto

Con esto terminamos las opciones avanzadas de CCproxy. Tal vez piensan que me desvie al dar la explicacion completa del analisis de logs, pero definitivamente va de la mano con la opcion activada, asi que dejarla en otro post es como para perderle el hilo, asi que por eso lo continue. En el proximo veremos configuraciones de cliente de correo electronico, mensajeros instantaneos y navegadores

P.D.: Como sufri con este post, subirlas imagenes fue un verdadero triunfo...

martes, 16 de octubre de 2007

Entrando a las opciones

Ahora entraremos a la primer parte de las opciones de ccproxy. Los servicios de proxy controlan los aspectos de que papel jugara en la red.

Mail: Habilita ccproxy para funcionar como gestor de correo, esto es, permitir el trafico pop y smtp. Ojo, ccproxy NO almacena los correos enviados ni recibidos.

DNS: resolucion de nombres. Este servicio regularmente no se habilita

Web Cached: El cache de ccproxy, puede agilizar la navegacion y puede ser especialmente util en conexiones lentas. Depende a su vez de otros parametros localizados en Avanzado -> cache

Remote Dial Up: Marcado a demanda o solicitado por los usuarios. Puede no ser muy conveniente

Autostartup: inicio automatico cuando no se puede instalar como un servicio (win98, me, 95)

Autohide: se minimiza de inmediato a la barra de tareas

Portmap: mapeo de puertos, para aplicaciones que requiere una salida especifica



Protocolos y puertos



Aqui definimos protocolos y puertos de comunicacion

Http/rtsp: Este es el puerto principal de comunicacion, digamos que "por aqui navegan" en las paginas los exploradores de internet. Por default viene el 808, yo estoy ocupando el 8080. LA norma de proxys indica que deben usarse preferentemente el 3128 o el 8080. Realmente se puede poner cualquier puerto, el punto es que este no debe ser ocupado por ningun problema actualmente instalado o que se pretenda instalar a futuro. De hecho si el puerto estuviera ocupado ccproxy nos hace la advertencia de que ya esta en uso

Secure, ftp(web), gopher, deberian quedar configurados en el mismo puerto, esto es mas que nada por conveniencia, ya que entonces necesitariamos un puerto distinto para cada uno y esperar que no estuviesen ocupados y a final de cuentas pueden ocupar el mismo puerto sin problemas

Socks: Tipicamente se ocupa el puerto 1080 para este fin. Este se usa comunmente para aplicaciones como msn messenger, yahoo messenger, Mirc (aunque en este ultimo puede ser bloqueado por los servidores al considerarse inseguro) y otras tantas.

Ftp: por default trae el 2121. Este se ocuparia para programas FTP, no tanto para la navegacion (para esto es el protocolo ftp(web). Si no vas a ocupar algun cliente FTP recomiendo desinstalarlo, ya que de otra manera alguien podria detectarlo y conectar algun cliente y descargar cosas a su antojo.

Telnet: el antiguo telnet, se habilita por default en el puerto 23. Te podria servir para hacer ping desde cualquier estacion hacia el internet, pero antes de lograr esto tienes que hacer telnet a ccproxy y despues realizar el ping. Si no es totalmente necesario deberia estar deshabilitado ya que supone un peligro en cuanto a la seguridad.

News: Puerto para conectar programas clientes a servidores de noticias.

En la parte de abajo tenemos aun dos opciones mas:

Autodetect: si tuvieramos una sola tarjeta detecta de inmediato esa direccion para permitir el trafico sobre ella, si tuvieramos mas nos permite elegir por cual entraria el trafico

NT service: Instala ccproxy como un servicio. Activando esta opcion se inhibe Autostartup

Con esto terminamos el paseo por las opciones de CCproxy. En el siguiente post entraremos a las opciones de avanzada para ver algunas opciones mas interesantes. No entro a fondo con explicaciones de protocolos ya que asumo se tiene un conocimiento basico sobre esto, sin embargo puse algunos links para los que pienso les podria aclarar un poco la funcion de los mismos.

Vista general de ccproxy

Bueno, para ir comprendiendo mejor como es que funciona ccproxy, hay que arrancar desde lo basico, ciertos puntos no seran tratados ya que no los considero relevantes, por lo menos en mi caso y me estoy apegando a como yo lo tengo configurado y esta funcionando perfectamente.

La ventana principal de ccproxy



Rapidamente un repaso por los botones:
Iniciar: este boton se activa cuando ccproxy no es un proceso del sistema y se requiere inicio manual, esto puede ocurrir si se esta usando windows 98, ME. En el caso de los windows 2000, xp, 2003 puede o no elegirse como un servicio. Elegir ccproxy como un servicio garantiza que, no se necesite de iniciar sesion para que el servicio arranque, por ejemplo, si por falla de energia el equipo se reinicia, el servicio arrancara junto con el equipo, sin tener que iniciar sesion e iniciar el servicio.

Detener: Suspendera la funcion como proxy del programa, esto es, siendo o no un servicio va a detener cualquier trafico.

Cuentas: Administra las cuentas de usuarios que ocuparan ccproxy. Aqui es opcional, se puede o no dar de alta cuentas en ccproxy. Se pueden autentificar por password, ip, ip + mac, etc, ya lo veremos mas adelante

Registro: Permite acceder a la version completa de ccproxy. La version de prueba permite solo 3 usuarios. Antes de que pregunten, no, no voy a dar el crack, ni seriales, ni metodos de crack para ccproxy. El software es lo suficientemente barato y funcional como para respetarlo y comprarlo no creen?

Salir: Termina la ejecucion del programa

Ayuda: Adivinaste!! con este boton se inicia una guerra nuclear mundial.

El siguiente post entraremos a opciones. Les pido algo de comprension, aunque no lo crean, trabajo :P procurare postear lo mas pronto posible para darle velocidad al asunto.

domingo, 14 de octubre de 2007

Ccproxy

Este es el post de bienvenida al blog dedicado a ccproxy. No soy un "master ccproxy" y mucho menos pretendo saberlo todo, sin embargo no tengo ningun problema en transmitir a los demas, lo poco o mucho, util o inutil que se sobre este proxy que personalmente me gusta mucho. Cabe hacer la aclaracion que este no es un blog oficial de soporte de ccproxy y que no tengo algun tipo de relacion con la empresa y/o creadores del software, es puro gusto y amor al arte. Espero que lo publicado aqui le sirva a alguien. Gracias