Manual Wingate 4

Descargar como doc, pdf o txt
Descargar como doc, pdf o txt
Está en la página 1de 14

Autor : NaTaSaB Mail : [email protected] Webs : http://natasab.merlos.biz Fecha : Sept 2K1 Versin: 0.91.

6-2k3 (Jun 2003) Disclaimer Puedes distribuir este texto libremente siempre que mantengas la cabecera donde se dice quien lo ha escrito, de donde lo has sacado etc... Tambin si lo vas a incluir en tu pgina web, por favor, mndame un mail, simplemente para saberlo. Tambin quiero apuntar que he utilizado un lenguaje muy poco tcnico, bastante llano ya que se supone que este tutorial va dirigido a los nefitos en la materia, as que, si crees que no he sido pedantemente riguroso en el tutorial, no sigas leyendo. En este texto se va a tratar bsicamente de la configuracin del wingate en PCs con Windows 9x. En otros tipos de Windows es similar, tan slo tienes que mirar la ayuda del programa que uses, la del WinGate en concreto est bastante bien en cuanto a que las cosas estn explicadas con suficiente profundidad, lo que pasa es que te pierdes. Al ser programas que se distribuyen por Internet suelen tener en la ayuda todo lo necesario. Es una buena costumbre mirarla, de hecho, parte de este tutorial est documentado en esa ayuda, aunque no todo, tambin aporto mis sabios conocimientos (jejeje). Una cosa que tambin quiero hacer notar es que no me he remitido a escribir simplemente como se configura el wingate, sino que he intentado introducir algunos conceptos bsicos en el estudio de redes como la explicacin de lo que es el DNS, el funcionamiento de un proxy, el wingate como firewall y algunas cosillas ms, de forma que si lees el tutorial comprendas un poco que es lo que ests haciendo y para qu, es un poco estpido seguir las instrucciones de configuracin de un programa sin saber que ests haciendo no?? Por ltimo, me gustara que si hay algo que no quede claro en el tutorial, alguna errata o algo mejorable no lo dudes y mndame un correo electrnico dndome tu opinin a la direccin [email protected]. Si te queda alguna duda de como se hace algo que explico aqu y no lo has podido resolver mirando en la ayuda del programa psate por el #redes del irc-hispano o escribe un mensaje en el foro de la pgina del canal. No me mandes emails pidiendo ayuda para configurar el wingate, ni siquiera los leer e irn directos a /dev/null . Intenta sacarte las castaas del fuego TU MISMO, y si realmente ests desesperado recurre a ayuda, pero haz un esfuerzo por hacerlo tu mismo. Wingate, qu es eso?? Pues un wingate es nada ms y nada menos que un programa, ohhhhh!! qu te esperabas, qu fuera una ta buena??? Pues no, es simplemente un PROXY para Windows, en realidad, wingate es como el PAN BIMBO, se llama vulgarmente as a los proxies de Windows, aunque realmente tan slo es un PROXY. Ahora, posiblemente te estars preguntando, si no lo sabes, qu es un proxy??? Pues, un proxy slo es un programa que te permite utilizar los servicios de Internet (lase WWW,

e-mail, ftp, IRC ... etc) con tan slo una conexin a Internet, es decir, que supongamos que tienes una pequea red instalada en tu casa o en una pequea empresa, y tienes un ordenador con modem con el cual accedes a Internet, pero quieres que el resto de los ordenadores tambin tengan acceso al www, correo... etc, pero no quieres gastarte mucho ms dinero, pues existe una solucin por software que te permite que mediante tu actual acceso a Internet el resto de ordenadores de tu intranet (red privada, o LAN [Local area network]) puedas utilizar tales servicios in necesidad de comprar ningn "cacharro" adicionalmente, en definitiva, acceso compartido a Internet. Pero, cmo lo hace? Bien, lo que hace el wingate para las aplicaciones que lo soportan es coger todos los paquetes que van para los ordenadores externos a la intranet y se los enva (porque la mquina con el wingate si que tiene acceso directo a Internet), y los paquetes que vayan para algn ordenador de la red local y que han sido enviados por un servidor de Internet los enva a ese PC de tu red Local, pero tanto el ordenador cliente de tu LAN como el ordenador externo a la red tratan con el WinGate, y este se encarga de pasar los mensajes de uno a otro, es decir, para el ordenador local es como si el ordenador Wingate fuera el servidor de Internet al que se quiere conectar y para el servidor de Internet, el wingate es el cliente que le solicita un servicio. Qu hace el wingate cuando recibe un paquete de un servidor de Internet? En una tabla de conexiones que mquina de la red ha establecido una conexin con ese servidor, y por la interfaz de red (tarjeta de red) se lo enva, de ah que a los wingates se les llame pasarelas o gateways. Por otra, como hemos dicho anteriormente, para todas las mquinas cliente el wingate es Internet, y ningn otro ordenador externo a la red local puede acceder a estos clientes, de ah que los wingates sean considerados como firewalls o cortafuegos, aunque realmente no sea un cortafuegos en toda regla, o por lo menos yo no lo considero as ya que no trata con la misma exaustividad la auditoria y filtrado de paquetes. Sin embargo, si que sera un cortafuegos eficaz ante cualquier tipo de servidor-troyano instalado en las mquinas clientes, ya que el cliente del servidortroyano no podra acceder a estos PCs al tener al proxy entre ambos. Otro uso que se le suele dar a los Proxies es la de usarlo como cach de archivos para as mejorar la velocidad del acceso a internet. Generalmente, los usuarios de internet suelen ir con cierta frecuencia a las mismas pginas web, como yahoo, terra, servidores de webmail, etc... entonces, el proxy almacena en disco duro esas pginas y si alguien quiere acceder a una pgina ya visitada, si no hace mucho tiempo que se visit pues el proxy te enva la pgina que tiene en disco duro, de esa forma no tiene que conectarse al servidor http, bajar todos los archivos, ahorrando tiempo y ancho de banda para otros usuarios. Esta caracterstica de los proxies tambin est contemplada por el Wingate de Deerfield. Concretando un poco ms los principales servicios que da el Wingate son:

Base de Datos de usuarios extendida Cach HTTP Control Remoto (GateKeeper) Ejecutarse Como Un Servicio MS Windows Enlaces Predefinidos Gateway FTP Gateway Telnet Gestin De Cuentas

Auditora e Histrico Llamada Bajo Demanda (WinGate Dialer) Soporte para Mltiples Interfaces Planificador (Scheduler) Polticas y Derechos Polticas de seguridad Proxy POP3 Proxy Real Audio Proxy VDOLive Proxy WWW Reglas de servicios Servidor SOCKS V5 Supervisin / Registro Non-Proxy Requests Wingate Internet Client Winsock Redirection protocol

Dnde puedo descargar el Wingate? Lo puedes obtener, en su versin de prueba en www.wingate.com, si quieres registrarlo en teora tienes que pagar :_( Tambin hay otros programas de este tipo como son:

SyGate http://www.sygate.com Winproxy http://www.winroute.com Winroute http://www.winroute.com

Pero en este tutorial se tratar del wingate. De todas formas, los conceptos que se traten pueden ser aplicados a otros proxies, una vez que conoces uno, el resto es casi igual. Instalacin Partimos de una red Windows QUE FUNCIONA y que tiene instalado el TCP/IP, si eso todava no lo tienes hecho busca un tutorial de como instalar la red en Windows, en las pginas de la cabecera es posible que encuentres alguno, adems, a veces da algunos problemas al instalarla, as que chale un vistazo y te ahorrars algunos quebraderos de cabeza. Instala el programa WinGate en el ordenador con acceso a internet. Durante la instalacin te har algunas preguntas. Yo, lo nico que te recomiendo, es que no uses el DHCP, esta opcin simplemente asigna direcciones IP dinmicamente. Si tienes una intranet pequea, la verdad esto es algo innecesario y es mejor tener cada ordenador con una IP fija, asignada por ti "a mano", de esta forma tendrs un control mayor sobre tu pequea red. Si ya te funciona el compartir recursos y esas cosas bajo TCP/IP entonces ahora necesitars cambiar algunas cosillas a la configuracin del Entorno de Red. Los cambios del servidor, la mquina wingate, es decir, el que tiene el acceso directo a internet son los siguientes: Pinchas sobre el icono de entorno de red con el botn

derecho, vas a propiedades y en el cuadro de dilogo seleccionas TCP/IP asociado a tu tarjeta de red y le das al botn propiedades. Pinchas en la carpeta CONFIGURACION DNS activas DNS y aades los nmeros IP de los DNS de tu proveedor de internet en cuanto al nombre del HOST y DOMINIO puedes poner lo que quieras, en Windows 9x no afecta para nada. Ya est, sencillo no? En cuanto a las mquinas Clientes, es decir, los ordenadores sin acceso directo a internet, tambin tienes que modificar lo del DNS sin embargo esta vez tan slo tendrs que meter la IP del WinGate (por ejemplo: 192.168.0.1). Otra cosa que te recomiendo es que edites el archivo c:\windows\hosts, este archivo simplemente contiene un "mapa" de los ordenadores de la intranet o internet (incluso puedes usarlo como 'cache DNS').El archivo hosts tiene un formato muy sencillo, en una columna el nmero IP y en otra el nombre del PC. Puedes echarle un vistazo al fichero c:\windows\hosts.sam que es un archivo ejemplo de como es el hosts. Una cosa que debes saber es que el 127.0.0.1 es el nmero IP que se ha tomado para referencial al ordenador local o tambin llamado localhost, se suele utilizar para probar la red y los programas de red, as que incluye esta lnea en el archivo hosts: '127.0.0.1 localhost' .Como ejemplo del hosts: 127.0.0.1 localhost 192.168.0.1 wingate 192.168.0.2 pc1 #esto es un comentario Adems, podrs comprobar que si escribes (posiblemente despus de reiniciar) c:\>ping wingate Respuesta desde 192.168.0.1: bytes=32 tiempo=1ms TDV=128 Respuesta desde 192.168.0.1: bytes=32 tiempo=55ms TDV=128 Respuesta desde 192.168.0.1: bytes=32 tiempo=1ms TDV=128 Respuesta desde 192.168.0.1: bytes=32 tiempo<10ms Recibirs respuesta, sin embargo si no has editado el hosts y ejecutas esa lnea recibirs error de tiempo agotado. Otra cosa, desde una mquina que no sea la wingate, si haces ping yahoo.com te dar tambin tiempo de espera agotado, esto es porque se intenta acceder a yahoo directamente, y esto no es posible porque yahoo no est en tu intranet, para cualquier ordenador de tu red local slo existen los PCs de la red local (siempre que no tengas un router, o algo similar, pero entonces para qu querras el wingate?) Antes hemos configurado el DNS para el protocolo TCP/IP de nuestras mquinas Windows y es posible que te ests preguntando es: Qu es el DNS?? Bueno, pues DNS es el acrnimo de Domain Name System, algo as como sistema de nombres de dominio. Como ya has visto en TCP/IP hay dos formas de referirse a un ordenador una mediante la direccin IP y otra mediante un alias, un nombre sencillo de recordar para las personas, imagnate que en lugar de aprenderte yahoo, terra, mixmail, lycos tuvieras que aprenderte 195.156.183.94 , 198.10.12.153, 200.212.123.123, sera una lata no?? Pues para solucionar esto hay unos grandes servidores distribuidos por internet que tienen una base de datos con lneas parecidas a las de tu archivo hosts pero a lo bestia y que estn conectados a otros ordenadores con tablas similares de forma que entre todos los ordenadores tienen todas las equivalencias IP - dominio del mundo y parte del extranjero. As, por una parte te evitas tener que acordarte de las IPs (necesarias para los ordenadores porque ellos se comunican internamente utilizando nmeros IPs) y tan slo

tienes que acordarte de una palabra (el dominio: yahoo.com terra.es como ves el dominio es lo que viene a continuacin del www en las direcciones WEB y van acompaados de una extensin). Normalmente cuando te conectas a alguna web, por ejemplo la ma http://drop.to/merlos, tu escribes un nemnico, un alias, una cadena de caracteres compuesta por el nombre del protocolo (http://) el dominio (drop.to) y la ruta al archivo (/merlos) Qu hace tu navegador, pues lo primero que hace es solicitar al servidor DNS de tu ISP (el que metiste en la configuracin DNS de la mquina wingate) que le diga la IP a la que corresponde drop.to, si ese servidor DNS no la tiene en su base de datos se la pregunta a otros servidores DNS a los que est conectado y as sucesivamente hasta que uno la tiene, finalmente te llega la resolucin del nombre en IP, ahora el navegador se conecta con el servidor de drop,to (utilizando la IP recibida) y le solicita los archivos de la pagina web utilizando el protocolo HTTP (para ms informacin sobre el HTTP/1.1 buscar en el RFC-2045). En cuanto los PCs clientes, como has visto has introducido la direccin ip de la mquina wingate, pues esto es simplemente porque el wingate cuando reciba una peticin DNS se la enviar al servidor DNS. Adems, supongo (no lo puedo confirmar) que el Wingate tiene una cach DNS interna, por lo que ahorrars todo el tiempo de la solicitud de la resolucin del nombre que suele ser bastante lenta. Puesto que con las opciones que vienen por defecto, se pueden configurar ya los ordenadores cliente, vamos a comentar brevemente como se configuran las aplicaciones y luego pasaremos a comentar las opciones de configuracin de los servicios usando gatekeeper. Configurando Las Aplicaciones en los clientes Si te pensabas que con instalar el wingate ya los ordenadores de la intranet iban a tener todos los servicios de internet, estabas equivocado. Desafortunadamente esto no es as, excepto si tienes una clave de la versin PRO de la versin 3 o Superior en el que los programadores de Deerfield han incluido una utilidad llamada Wingate Internet Client (WIC), pero esto ya lo tratar ms tarde, de momento vamos a configurarlo manualmente, ya que si tienes clientes con otro sistema operativo como Linux no te servir el WIC. Ahh! Una cosa, como he desvelado hace un momento si en tu intranet tienes alguna mquina con UNIX o Mac con TCP/IP, tambin podrs usar el wingate como proxy, esto es gracias a que utilizan el mismo protocolo, el mismo lenguaje, el TCP/IP y por eso a pesar de ser S.O. diferentes pueden entenderse. Bueno, empecemos a configurar aplicaciones, y comenzaremos por los navegadores y los clientes de correo, que son los servicios ms utilizados, yo no voy a explicar como se hace en cada cliente eso viene en la ayuda muy bien, pero si que lo esbozar para que tengas una idea de como se hace. NAVEGADOR - HTTP

Bien, el navegador, slo tienes que ir a la configuracin de conexin y activar conectarse por proxy, vers que hay dos campos uno es para la IP del ordenador wingate y otro para el puerto. Como todava partimos de un wingate recin instalado el puerto es el 80 (el puerto estndar del HTTP) y la IP del servidor proxy es la de la mquina wingate, pero si has editado el fichero hosts no tienes que acordarte de la IP sino del nombre del ordenador (en el ejemplo que puse antes 192.168.0.1 wingate bastara con poner 'wingate' en el espacio reservado a la IP).Si hay ms campos como FTP, Gohper, los rellenas con los mismos datos, excepto en el que aparezca SOCKS, en ese tienes que introducir como puerto el 1080 (el estndar de los socks). Tambin puedes cambiar el puerto de FTP por el 21, aunque con el 80 funciona igualmente. Por experiencia s que en todos los navegadores esta configuracin es prcticamente idntica, es decir, buscar en opciones de configuracin, conexin, settings o similar y plantar la IP y el puerto, no tiene ms ciencia. (Una excepcin es el lynx, el navegador en modo texto, en el que tienes que editar el fichero lynx.cnf, ahora de memoria no me acuerdo como era, pero s que lo encontr en el man de lynx.cnf, slo haba que aadir un par de lneas con la IP y el puerto, es decir, ms de lo mismo xDD) CORREO - POP3 y SMTP Configurar el cliente de correo requiere de algunos pasos ms. Cuando tu proveedor de internet te dio los datos de configuracin del acceso telefnico a redes, cuenta de correo... te dio dos servidores uno que es el de correo entrante (POP3 - Post Office Protocol) y otro servidor, el de correo saliente (SMTP - Simple Mail Transfer Protocol). Ten esos datos a mano. Para recibir correo en los PCs clientes en los datos de la cuenta tienes que poner tanto como servidor de correo entrante como saliente 'wingate' (o la IP del wingate) y en datos de cuenta: nombredecuenta#servidorpop3.isp.ext. Vamos a usar como ejemplo prctico una cuenta de correo de terra: Datos de la cuenta de correo: Servidor Correo Entrante: pop3.terra.es Servidor Correo Saliente: mailhost.terra.es Nombre de Cuenta: mimail.terra.es contrasea: mipasswd Datos tendramos que introducir en el cliente: Servidor de Correo Entrante: wingate Servidor de Correo Saliente: wingate Nombre de cuenta: mimail.terra.es#pop3.terra.es contrasea: ******** Si tienes que introducir los puertos, el estndar del protocolo POP3 es el 110 y el del SMTP el 25. Nota1: Todos las correspondecias protocolo - puertos estndar las tienes en C:\Windows\services y en los UNIX en /etc/services

Nota2: el separador # es el que viene por defecto en el wingate, lo puedes cambiar por otro carcter en la configuracin de este servicio en el gatekeeper). Es muy sencillo entender por que se ponen estos datos: Cuando tu cliente de correo se conecta con el servidor pop3, le enva dos cadenas de texto: USER mimail.terra.es PASS mipasswd Cuando quieres leer tu correo con wingate, una vez configurado, tu cliente establece una conexin POP3 'normal' con el wingate envindole los comandos: USER mimail.terra.es#pop3.terra.es PASS ******** El wingate procesa estos comandos extrayendo el nombre del servidor,el nombre de cuenta, la clave y establece, ahora s, una conexin con el servidor pop3.terra.es y envindole los comandos: USER mimail.terra.es PASS ******** En realidad, algo parecido es lo que hace con otros protocolos como el HTTP o el ftp, simplemente cambiando los comandos :-) Si todo ha ido bien ya podremos leer nuestro correo desde el ordenador cliente, pero no podremos enviar todava mensajes. Para poder enviar mensajes hay que hacer una pequea modificacin en el wingate. Hay que crear un Mapa TCP (TCP mapping). Para crearlo, en el Gatekeeper ves a la carpeta Services, pulsas botn derecho y aades un TCP mapping. Como puerto de escucha (Accept Conetions from) pondremos 25 y .... NO ME ACUERDO del NOMBRE introduces el nombre del servidor SMTP, en nuestro ejemplo: mailhost.terra.es y puerto 25. Ahora s,ya puedes enviar correo.Para probarlo envate un mail a ti mismo o desde una cuenta webmail. CLIENTE FTP - FTP Si eres aficionado a bajarte archivos por el ftp o tienes una pgina web, posiblemente te interese tener este servicio funcionando. Slo tienes que activar el conectarse a travs de firewall y que utilice para la autentificacin de usuario: USER user@site ; Todos los clientes IRC Para configurar un cliente de irc slo tienes que activar el conectarse a travs del firewall con los socks 4, la IP es la del wingate y el puerto el de los socks 1080. En el mIRC:

1. 2. 3. 4. 5. 6.

Men Fichero/Opciones/Conectar/Firewall Activas el botn Usar SOCKS firewall Protocolo Socks5 (si no te va con este, con socks 4) Host: IP de la mquina wingate Puerto: 1080 El resto lo dejas como est.

Si usas el BitchX, introduce los siguientes comandos: /set SOCKS_HOST wingate /set SOCKS_PORT 1080 /saveirc -all Nota: Si usas Bitchx lo ms seguro es que ests en Linux.. Entonces Qu haces con el Wingate? iptables y Squid son herramientas mucho ms potentes y baratas! IRC-Sin Socks Si resulta que tu cliente de irc no tiene soporte de proxy (o firewall) entonces hay que hacer un TCP mapping, al igual que hiciste con el SMTP, para eso slo tienes que crear un TCP-mapping escuchando en el puerto 6667 (estndar del IRC) y hacer una conexin al servidor irc que te suelas conectar. Si te sueles conectar a dos o ms redes de IRC distintas , como por ejemplo el IRC-hispano, DALnet, EFnet... tendrs que hacer un tcp-mapping para un servidor de cada red y cada tcp-mapping en un puerto distinto. Por ejemplo: RED IRC IRC-Hispano DALnet EFnet SERVIDOR Puerto Wingate 6668 6669

libres.irc-hispano.org:6667 6667 algo.se.eu.dal.net:6667 irc.chat.org:6667

En la configuracin del cliente de irc tendras que poner como servidor al que te quieres conectar siempre wingate y en funcin del servidor tendras que cambiar de puerto. Por ejemplo, si ests en el mIRC (aunque este cliente si que soporta socks) pones en la ventana de estado.. Para conectarte al IRC-hispano: /server wingate 6667 Para conectarte a la red DALnet: /server wingate 6668 Para conectarte a la red EFnet: /server wingate 6669

Una cosa queda por aadir, el wingate cancela una conexin de este tipo por defecto al cabo de un minuto si por esta no hay ningn trfico. En el irc suele ser normal que pase ms de un minuto sin que nadie hable nada o nadie salga de los canales en los que ests, por lo que la conexin se cancelara y tendras que reconectar con el servidor. Por suerte, puedes modificar el tiempo que puede permanecer una conexin abierta sin que circule ningn trfico de paquetes por ella. Mira en el gatekeeper en las propiedades de cada servicio el tiempo de inactividad e incremntalo a tu gusto. El resto de servicios (excepto el telnet) como el proxy de RealPlayer, VDO y cosas as no los he utilizado nunca, de hecho los tengo desactivados, es ms, todos aquellos que no utilices DESACTIVALOS, por motivos de seguridad, cuantos menos tengas activos menos probabilidad hay de que se pueda explotar un bug de ese servicio. Wingate Internet Client El servidor proxy se instala en la mquina en la que quieres dar servicios, pero desde la versin 3 del wingate y con licencia PRO, tienes la posibilidad de instalar el WIC (wingate internet client). Se trata de un pequeo programa que se instala en los PCs clientes que te permite utilizar las aplicaciones como si estos tuvieran acceso directo a internet, es decir, no tienes que configurarlos para que sepan que estn tras un proxy, el WIC se encarga de gestionar todas las comunicaciones con el wingate de forma automtica. El funcionamiento es bastante sencillo, slo tienes que aadir el path de las utilidades que quieres que utilicen el WIC, por defecto trae algunas como el Outlook Express o el Explorer. Una vez que lo instalas puedes configurarlo haciendo doble click en el icono del panel de control que se crea. Hay cuatro pestaas:

General: Sirve para activar el WIC y para permitir que se ejecute automticamente al encender el ordenador. Wingate servers: Sirve para elegir el servidor wingate al que quieres conectarte. Hay una opcin que te permite que se configure automticamente Applications: Aqu podrs elegir los programas que quieres que tengan acceso a internet automatizado por este cliente. Hay tres modos de acceso: o Local: Que es lo mismo que deshabilitar el servicio o Mixed: Slo se permiten conexiones salientes por parte de la aplicacin. o Global: Se permiten tanto establecimiento de conexiones entrantes como salientes. Una cosa a tener en cuenta si vas a montar un servidor con acceso externo utilizando esta aplicacin es que tendrs que poner el servidor a la escucha de puertos superior al 1024.

Ten en cuenta que si vas a utilizar el cliente de correo, el navegador o cualquier otro servicio necesitars tener activo ese servicio en el wingate como si accedieras configurando la aplicacin, Configuracin de los servicios con GaTeKeeper Una vez que has hecho login como Administrator, pincha en la pestaa de services (abajo). Bien, ah tienes todos los servicios que est ofreciendo wingate, tanto activos como inactivos. Ahora selecciona uno de ellos con el botn derecho y luego selecciona properties. Vers un cuadro de dilogo con un montn de pestaas. Expliquemos para que sirve cada una:

General: Se trata de la configuracin general del servicio. Aqu est el nombre del servicio, la descripcin, puerto al que est asociado y las opciones de inicio del servicio, dependiendo del que sea puede que haya alguna cosa ms. Bindings: Aqu se especifican los interfaces desde los que se aceptarn conexiones ENTRANTES, es decir, quienes pueden utilizar este servicio. NO pongas accept connections from any interface, ya que esto supondra que cualquier PC de internet puede conectarse a tu ordenador y utilizar ese servicio. Lo Normal es tener habilitada la opcin Specify interface connections will be accepted, si tienes sta seleccionada podrs elegir los interfaces de los que quieres que se acepten conexiones en este servicio, es la opcin por defecto y lo normal es tener habilitados ('Bounded') la direccin loopback (127.0.0.1) que permite acceso al servicio al propio PC y IP de la tarjeta de red (en este caso 192.168.0.1) que permite el acceso al resto de PCs de la red (aunque luego veremos como restringir los PCs). Interfaces: En sta pestaa podremos seleccionar los interfaces de las CONEXIONES SALIENTES, es decir, donde permitimos que se conecte el usuario. Puesto que lo normal es permitir el acceso a cualquier sitio puesto que buscamos emular la conexin directa a internet, lo ms frecuente es tener seleccionada "Conecctions out will be made on any interface...". Si queremos restringir los interfaces slo tenemos que elegir cualquiera de las dos opciones siguientes. La razn de poder elegir los interfaces da una gran flexibilidad sobre todo si se tienen varios accesos a internet y se quiere distribuir los servicios. Por ejemplo: imagnate que tienes un cyber y quieres que los que acceden al IRC utilicen tu conexin dial-up y los que estn navegando accedan con tu rpida linea ADSL. Pues, es aqu es donde puedes elegir que conexin usar. Sessions: Simplemente sirve para elegir el Timeout de cancelacin de conexin. Es decir, si no hay trfico durante el tiempo ah especificado, se cierra la conexin. Recuerdas lo que coment antes del IRC? es aqu donde hay que modificarlo. Por lo general, no suele ser necesario cambiar el que viene por defecto, tan slo en ciertos casos como los socks o el FTP.Yo creo que con 5 minutos llega. Policies: Esta pestaa sirve para elegir las Polticas de este Servicio. Las polticas sirven para restringir el acceso a los servicios por procedencia de IPs y por nombres de usuario. Hay unas polticas generales, que se aplican por defecto a todos los servicios y otras especficas del servicio. Las que aqu se presentan son las propias del servicio. Pero sobre esto se comentar ms adelante, en la seccin de seguridad. NoN-proxy Request: Esta pestaa se encuentra en todos los servicios proxy (menos telnet). Sirve para gestionar todas las peticiones que no intenten acceder a un proxy, sino directamente al servidor. Hay dos opciones, rechazarlas (por defecto) o redireccionarlas mediante un pipe. La configuracin del pipe es sencillo, slo hay que poner la ip y el puerto del servidor al que se quiere redireccionar. El caso del servicio WWW es especial, adems de aadir una opcin de redireccionar a una URL tambin un pequeo servidor HTTP. Slo tienes que indicar el directorio donde estn los ficheros HTML y el nombre del fichero por defecto (como norma general suele ponerse index.html). [Nota:usa un directorio en el que slo tengas aquello que quieras compartir y ten en cuenta que los subdirectorios que tengas tambin sern accesibles]

Conections: Ms flexibilildad en las conexiones. Imagnate que tienes un ordenador en la red con otro acceso a internet y quieres que ciertos servicios utilicen ese acceso, pues este es el lugar en el que tienes que meter los datos. Hay 4 opciones: 1. Directly (defecto): Conexin directa, es decir,usando la conexin que tiene este wingate 2. Through cascaded proxy server. 3. Through SOCKS4 server. 4. Through HTTP proxy with SSL support Logging: Aqu eliges el nivel de auditora que quieres que se le de al servicio, es decir, que informacin sobre establecimiento, cancelacin, uso de las conexiones quieres que se guarde en forma de log. Es recomendable guardar parte de esta informacin, ya que si algn da notas fenmenos paranormales mientras ests conectado a internet puede ser que alguien est trasteando en tu wingate. Los paths de estos logs son: User audits are stored by default as: %WinGatePath%\audit\username.log Service logs are stored by default as: %WinGatePath%\logs\servicename.log.

SEGURIDAD con el WinGate - Administrando las conexiones WinGate = FireWall A lo mejor has odo hablar de que hay unos programas que actan como barrera para la entrada de hackers, estos programas son conocidos como firewalls o cortafuegos. El wingate no es un firewall propiamente dicho, aunque si que cumple parte de la funcin de firewall. Un Firewall, es bsicamente un filtro de paquetes a nivel IP, y TCP. Un firewall lo que hace es dejar parar o no dejar paquetes en funcin de la IP y el puerto. Para ello se habilitan una serie de reglas. El wingate acepta conexiones slo en el conjunto de puertos en los cuales tiene habilitado el servicio. Por defecto, slo permite el acceso sin restriccin a los usuarios de la red local, no permitiendo acceso al resto de los usuarios de internet (Rechaza las conexiones). Sin embargo, se puede configurar el wingate para que en funcin de la IP o en funcin del servicio (puerto TCP o UDP) se permita establecer la conexin o no. Todo esto es gracias a las polticas de Seguridad (en ingls Policies). La mayor diferencia entre el wingate y un firewall es que el wingate SIEMPRE rechaza la conexin, es decir, contesta a la mquina remota rechazando la conexin, sin embargo, los firewalls se suelen configurar para que simplemente ignoren estos paquetes y no se contesten, esto es para evitar ataques de tipo flood (envo masivo de peticin de conexin que pueden producir desbordamiento en pilas y la consecuente Denegacin de servicio). Algunos de los firewalls para Windows ms conocidos son el ZoneAlarm (www.zonealarm.com) y el Conseal Firewall (www.signal9.com). Es recomendable que instales un firewall, aunque si no tienes conocimientos bsicos de TCP/IP puede que te pierdas, busca algn tutorial de firewalls si vas a instalarlo Como ya comentamos antes, en wingate hay dos tipos de polticas de seguridad. Unas que se aplican globalmente a todos los servicios (en el gatekeeper las puedes encontrar

en users/system policies) y por otra parte estn las polticas individuales por cada servicio. Por otra parte, los creadores de wingate introdujeron la posibilidad de definir usuarios y grupos de usuarios. De esta forma puedes seleccionar que grupos de usuarios quieres que accedan a un cierto servicio, a qu horas, que fechas, desde que ordenadores... La verdad es que es un tema bastante extenso, y lo dejo pendiente para hacer, adems esta es una opcin de la que la mayora de usuarios de pequeas intranets no tendrn que conocer profundamente. Si realmente quieres conocer ms LEE LA AYUDA y trastea un poco. Adems, es posible que te llegue con lo que viene a continuacin, la posibilidad de asumir usuarios por mquina desde la que se conecte. Assumed Users Wingate puede asumir que un cierto usuario se va a conectar desde una maquina con un nombre o con una IP determinada. Por ejemplo, teniendo esta tabla de usuarios: Nombre Pablo Jos Antonio IP Hostname Wingate User Wingate Group 200.0.0.2 pc2002 guest finanzas 200.0.0.1 pc2011 guest marqueting 200.0.1.3 pc2022 admin admin

Asumiendo usuarios por IP podemos definir que todas las conexiones procedentes de 200.0.0.* son el usuario guest, tambin podemos asumir que todas las conexiones procedentes de la mquina con nombre pc2022 son del usuario admin. HTTP cach Otra de las funcionalidades que presenta el wingate es la cach http. Como ya cit antes, la cach consiste en almacenar los fichero que son solicitados por un usuario por primera vez en el disco duro del wingate de forma que si en un tiempo menor al definido en el wingate en lugar de bajarlo de nuevo del servidor remoto, el wingate lo servir como si realmente hubiera sido solicitado de nuevo, ahorrando as ancho de banda de la generalmente lenta conexin a internet. Entre los parmetros que se pueden configurar son los siguientes: 1. 2. 3. 4. Enable cach lookups: sirve para activar o desactivar el uso de la cach Enable additions to cache: activa o desactiva el aadir nuevos ficheros. Limit cache size to ?? MB: Limita el espacio mximo de almacenaje en HDD. Number of days before rechecking files: Indica cuanto tiempo ha de pasar antes de que se actualice compruebe la validez de un fichero. Es decir, comprobar si el fichero que hay en la cach es el mismo que tiene el servidor del que fue solicitado.

A parte de esto, tiene opciones avanzadas que no comento por que es muy largo y son sencillas, simplemente sirven para especificar de forma ms precisa que guardar y que

"purgar" en la memoria cach. Mira la ayuda del Wingate si tienes inters en aprovechar estas caractersticas. Scheduling Este es otra opcin que da al administrador la posibilidad de automatizar tareas sin que tenga que estar presente. Sirve para marcar horarios y tareas como activar un servicio, desactivarlo, cancelar cuentas, enviar mensajes a los clientes... todo controlado de forma bastante intuitiva. Administracin remota Si no sueles estar en el PC con el wingate y eres el administrador puede que esto te interese. Wingate ofrece un servicio de administracin remota, lo nico que necesitas es ejecutar el gatekeeper.exe en la mquina en la que ests y cambiar el nombre de la mquina a la que te conectas (generalmente pone localhost) por la IP o el nombre de la mquina wingate. Por defecto esta opcin est deshabilitada, y slo se permiten conexiones desde la propia mquina wingate. Para activarlo slo tienes que ir a propiedades/pestaa Bindings del remote control service y aadir el interfaz de red (en los ejemplos 192.168.0.1).A partir de ese momento y tras salvar la configuracin podrs acceder desde cualquier ordenador de la intranet que pueda ejecutar el gatekeeper.exe (puedes copiarlo o dejarlo en un directorio compartido, no necesita ningn otro fichero) NOTAS FINALES 1. Se cuidadoso con la eleccin de interfaces de los que aceptars conexiones (bindings). 2. Todos aquellos servicios que no utilices DESHABILITALOS, e intenta dar a los usuarios el menor nmero de servicios posible. 3. Si puedes, instala adicionalmente un firewall. 4. Pon claves "fuertes" a las cuentas de los administradores y si es necesario apntalas. Aunque no es una prctica que suelan recomendarse en la literatura de Seguridad, pero tambin hay que tener en cuenta, que este tutorial est destinado para redes caseras. No obstante, si puedes recordar las claves, mejor que mejor. 5. Mira de vez en cuando los logs, de esa forma te acostumbras a saber que pasa por el ordenador y podrs detectar si algo raro ha pasado. 6. Limita todo lo que puedas los rangos de IPs que pueden acceder a los servicios Espero que este tutorial ([email protected]) te haya servido de ayuda. Saludos. NaTaSaB

NDICE DE CONTENIDOS DE LA WEB == CURSOPOLIS.COM - La gua de tutoriales y manuales gratis ==

También podría gustarte