sábado, 28 de marzo de 2009

Instalacion real de ccproxy parte 3: ejerciendo el poder

Cuando me reclaman de tal o cual pagina que bloqueo con el filtro "sin consultarles" (pequeño detalle del me vale un cacahuate lo que opinen) yo les contesto "que seria del poder si no se puede abusar de el". Ser administrador te concede, aunque no lo crean de un gran poder. Tu campo de ataque, tus dominios, es tu red. Eres el rey, y como todo rey, debes tener el control total sobre tus vasallos, osea tus estaciones. Y que mejor manera de comenzar a ejercer tu poder que indicandoles por donde van a recibir la informacion del exterior, si compararamos con una epoca mas reciente, diriamos que manipulamos los medios de informacion, que cuartamos la libertad de informacion. Si, asi es, y??? por eso somos el rey!!!
Como todos sabemos, al tener un proxy tenemos una solucion muy fiable de control y monitoreo, sin embargo, por las buenas los usuarios no van a poner ningun numero o regla que se les de, de tontos lo hacen, es aqui donde entra el poder llamado politicas de dominio. Por medio de las politicas de dominio definimos muchisimos aspectos de comportamiento de las estaciones y de los usuarios, esta sera nuestra herramienta. Como accedo a esto? en el servidor padre (si es que tienen mas de uno) inicio, todos los programas, herramientas del sistema, sobre el contenedor que tiene los usuarios a los que aplicaremos ccproxy, click derecho y propiedades



Si no hemos creado una politica, damos click en nuevo, de otra manera, doble click en la existente



Aqui entramos entonces al arbol que contiene las politicas a aplicar en las estaciones, ignoren el resto, es muy tentador quedarse baboseando en lo demas, pero ahorita ahi dejenlo, avanzamos entonces por configuracion de usuario, configuracion de windows, mantenimiento de internet explorer, Conexion



Y es entonces que encontramos la tierra prometida, los valores que deben ser transmitidos a las estaciones por medio de los usuarios (OJO esta politica es sobre usuarios, no sobre equipos)



Aqui la cosa es bien sencilla, tan simple como poner la ip del equipo donde alojamos ccproxy y el puerto correspondiente para el servicio, aceptar a todo y la politica normalmente se aplica al reiniciar el equipo (remedio informatico por excelencia)

Entonces, si vamos al navegador de internet, veremos que efectivamente, estan dados los valores, con lo cual ya nos evitamos una chamba. Pero siempre lo he dicho, asumir que el usuario no sabe nada, no es nada mas, que una formula para el desastre, por lo tanto para nada es saludable dejar esa pestaña volando por ahi, lista para ser modificada hasta por el mas obstuso de los usuarios.
Esto es a nivel dominio, localmente, con windows xp profesional podemos hacer exactamente los mismos cambios entrando a editar la politica local mediante gpedit.msc
Tanto local como a nivel dominio obviamente el usuario final no debe tener privilegios administrativos ni algun otro que no sea usuario del dominio o usuario comun, ya que como lo mencione antes no es saludable pensar que todos son tontos.
Me dejaron un comentario en el otro post sobre como usar una sola tarjeta y evitar la conexion directa, la respuesta: maña. Asi es. cuando los recursos son limitados y las necesidades muchas hay que aprender a ser mañoso. Por ejemplo, si el router asigna direcciones automatico y no queremos eso, entonces ponemos direcciones estaticas haciendo que los datos de la puerta de enlace apunten hacia ccproxy, asi como los dns, con esto evitamos que apunte hacia otro lado. Ahora, si tenemos que permitir que obtenga direccion automatico por razon de cambios en los puertos (muchas paginas de gobierno asi lo hacen) entonces permitimos el dhcp pero aplicamos la politica que ya explique en esta entrada, de manera que seguira gran parte de su trafico pasando por ccproxy. Todo es prueba y error, hasta el acierto.
P.D.: Recuerden apagar hoy su luz

6 comentarios:

jennifer dijo...

oye!!! q chido esta tu blog GRACIAS xq ayudas a muchos,con tus explicaciones tan detalladas.
P.D. Dios t bendiga y bendiga tu familia.

Cryptonio dijo...

mmm creo que es la primera vez que me mandan bendiciones en el blog, gracias!!!

Gea dijo...

man una pregunta con el ccproxy puedo poner pagina inicial para que todas las computadoras que administro bajo el ccproxy al abrir el internet tengan la misma pagiana de iniicio????

Cryptonio dijo...

grone no se puede, aunque podrias establecer politicas locales en los equipos para que inicien en donde quieras, pudiendo bloquear el que la cambien y mas cosas que pueden ser de utilidad, saludos

Unknown dijo...

Hermano esta excelente tu blog, me ha ayudado muchisimo de verdad, te escribo para ver si me puedes ayudar porque tengo un problema en mi red, desde hace una semana el servidor proxy no esta dando acceso a internet a los equipos que están fuera del dominio, hay equipos que necesito que tengan acceso total a internet y por tener Windows Home Edition no pueden ser agregados al dominio, mi solucion a sido formatear algunos de esos equipos e ir instalando versiones Profetional de Windows para poder agragarlos, pero esa no es una solucion viable ya que es elevada la cantidad de equipos, los que estan dentro del dominio no tienen ningun problema, tienen acceso a internet y estan bloquedos con CCProxy. De antemano gracias espero tu respuesta

Cryptonio dijo...

un poco tarde, pero bueno. El problema que creo hay es que algun tipo de politica no esta permitiendo conectarse a los puertos de ccproxy. La prueba que yo haria es, crear una cuenta local en el equipo que tiene ccproxy (que supongo esta unido al dominio) y crear una cuenta y logearme en ella en el equipo que tiene windows home edition y probar si puede o no navegar. No creo que sea algo de ccproxy