tutorial del proxy wingate
DESCRIPTION
Tutorial para Instalacion de WinGate 6TRANSCRIPT
Tutorial del Proxy WingateDisclaimerPuedes distribuir este texto libremente siempre que mantengas la cabecera donde
se dice quien lo ha escrito, de donde lo has sacado etc... También si lo vas a
incluir en tu página web, por favor, mándame un mail, simplemente para saberlo.
También quiero apuntar que he utilizado un lenguaje muy poco técnico, bastante
llano ya que se supone que este tutorial va dirigido a los neófitos en la materia, así
que, si crees que no he sido pedantemente riguroso en el tutorial, no sigas
leyendo.
En este texto se va a tratar básicamente de la configuración del wingate en PCs
con Windows 9x. En otros tipos de Windows es similar, tan sólo tienes que mirar la
ayuda del programa que uses, la del WinGate en concreto está bastante bien en
cuanto a que las cosas están explicadas con suficiente profundidad, lo que pasa
es que te pierdes. Al ser programas que se distribuyen por Internet suelen tener en
la ayuda todo lo necesario. Es una buena costumbre mirarla, de hecho, parte de
este tutorial está documentado en esa ayuda, aunque no todo, también aporto mis
sabios conocimientos (jejeje).
Una cosa que también quiero hacer notar es que no me he remitido a escribir
simplemente como se configura el wingate, sino que he intentado introducir
algunos conceptos básicos en el estudio de redes como la explicación de lo que
es el DNS, el funcionamiento de un proxy, el wingate como firewall y algunas
cosillas más, de forma que si lees el tutorial comprendas un poco que es lo que
estás haciendo y para qué, es un poco estúpido seguir las instrucciones de
configuración de un programa sin saber que estás haciendo ¿¿no??
Por último, me gustaría que si hay algo que no quede claro en el tutorial, alguna
errata o algo mejorable no lo dudes y mándame un correo electrónico dándome tu
opinión a la dirección natasab @ merlos. org . Si te queda alguna duda de como
se hace algo que explico aquí y no lo has podido resolver mirando en la ayuda del
programa pásate por el #redes del irc-hispano o escribe un mensaje en el foro de
la página del canal. No me mandes emails pidiendo ayuda para configurar el
wingate, ni siquiera los leeré e irán directos a /dev/null . Intenta sacarte las
castañas del fuego TU MISMO, y si realmente estás desesperado recurre a ayuda,
pero haz un esfuerzo por hacerlo tu mismo.
Wingate, ¿¿qué es eso??Pues un wingate es nada más y nada menos que un programa, ohhhhh!! qué te
esperabas, qué fuera una tía buena??? Pues no, es simplemente un PROXY para
Windows, en realidad, wingate es como el PAN BIMBO, se llama vulgarmente así
a los proxies de Windows, aunque realmente tan sólo es un PROXY.
Ahora, posiblemente te estarás preguntando, si no lo sabes, qué es un proxy???
Pues, un proxy sólo es un programa que te permite utilizar los servicios de Internet
(léase WWW, e-mail, ftp, IRC ... etc) con tan sólo una conexión a Internet, es
decir, que supongamos que tienes una pequeña red instalada en tu casa o en una
pequeña empresa, y tienes un ordenador con modem con el cual accedes a
Internet, pero quieres que el resto de los ordenadores también tengan acceso al
www, correo... etc, pero no quieres gastarte mucho más dinero, pues existe una
solución por software que te permite que mediante tu actual acceso a Internet el
resto de ordenadores de tu intranet (red privada, o LAN [Local area network])
puedas utilizar tales servicios in necesidad de comprar ningún "cacharro"
adicionalmente, en definitiva, acceso compartido a Internet.
Pero, ¿cómo lo hace? Bien, lo que hace el wingate para las aplicaciones que lo
soportan es coger todos los paquetes que van para los ordenadores externos a la
intranet y se los envía (porque la máquina con el wingate si que tiene acceso
directo a Internet), y los paquetes que vayan para algún ordenador de la red local
y que han sido enviados por un servidor de Internet los envía a ese PC de tu red
Local, pero tanto el ordenador cliente de tu LAN como el ordenador externo a la
red tratan con el WinGate, y este se encarga de pasar los mensajes de uno a otro,
es decir, para el ordenador local es como si el ordenador Wingate fuera el servidor
de Internet al que se quiere conectar y para el servidor de Internet, el wingate es el
cliente que le solicita un servicio. Qué hace el wingate cuando recibe un paquete
de un servidor de Internet? En una tabla de conexiones que máquina de la red ha
establecido una conexión con ese servidor, y por la interfaz de red (tarjeta de red)
se lo envía, de ahí que a los wingates se les llame pasarelas o gateways. Por otra,
como hemos dicho anteriormente, para todas las máquinas cliente el wingate es
Internet, y ningún otro ordenador externo a la red local puede acceder a estos
clientes, de ahí que los wingates sean considerados como firewalls o cortafuegos,
aunque realmente no sea un cortafuegos en toda regla, o por lo menos yo no lo
considero así ya que no trata con la misma exaustividad la auditoria y filtrado de
paquetes. Sin embargo, si que sería un cortafuegos eficaz ante cualquier tipo de
servidor-troyano instalado en las máquinas clientes, ya que el cliente del servidor-
troyano no podría acceder a estos PCs al tener al proxy entre ambos.
Otro uso que se le suele dar a los Proxies es la de usarlo como caché de archivos
para así mejorar la velocidad del acceso a internet. Generalmente, los usuarios de
internet suelen ir con cierta frecuencia a las mismas páginas web, como yahoo,
terra, servidores de webmail, etc... entonces, el proxy almacena en disco duro
esas páginas y si alguien quiere acceder a una página ya visitada, si no hace
mucho tiempo que se visitó pues el proxy te envía la página que tiene en disco
duro, de esa forma no tiene que conectarse al servidor http, bajar todos los
archivos, ahorrando tiempo y ancho de banda para otros usuarios. Esta
característica de los proxies también está contemplada por el Wingate de
Deerfield.
Concretando un poco más los principales servicios que da el Wingate son:
Base de Datos de usuarios extendida Caché HTTP
Control Remoto (GateKeeper)
Ejecutarse Como Un Servicio MS Windows
Enlaces Predefinidos
Gateway FTP
Gateway Telnet
Gestión De Cuentas
Auditoría e Histórico
Llamada Bajo Demanda (WinGate Dialer)
Soporte para Múltiples Interfaces
Planificador (Scheduler)
Políticas y Derechos
Políticas de seguridad
Proxy POP3
Proxy Real Audio
Proxy VDOLive
Proxy WWW
Reglas de servicios
Servidor SOCKS V5
Supervisión / Registro
Non-Proxy Requests
Wingate Internet Client
Winsock Redirection protocol
¿Dónde puedo descargar el Wingate?Lo puedes obtener, en su versión de prueba en www.wingate.com, si quieres
registrarlo en teoría tienes que pagar :_(
También hay otros programas de este tipo como son:
SyGate http://www.sygate.com Winproxy http://www.winroute.com
Winroute http://www.winroute.com
Pero en este tutorial se tratará del wingate. De todas formas, los conceptos que se
traten pueden ser aplicados a otros proxies, una vez que conoces uno, el resto es
casi igual.
InstalaciónPartimos de una red Windows QUE FUNCIONA y que tiene instalado el TCP/IP, si
eso todavía no lo tienes hecho busca un tutorial de como instalar la red en
Windows, en las páginas de la cabecera es posible que encuentres alguno,
además, a veces da algunos problemas al instalarla, así que échale un vistazo y te
ahorrarás algunos quebraderos de cabeza.
Instala el programa WinGate en el ordenador con acceso a internet. Durante la
instalación te hará algunas preguntas. Yo, lo único que te recomiendo, es que no
uses el DHCP, esta opción simplemente asigna direcciones IP dinámicamente. Si
tienes una intranet pequeña, la verdad esto es algo innecesario y es mejor tener
cada ordenador con una IP fija, asignada por ti "a mano", de esta forma tendrás un
control mayor sobre tu pequeña red.
Si ya te funciona el compartir recursos y esas cosas bajo TCP/IP entonces ahora
necesitarás cambiar algunas cosillas a la configuración del Entorno de Red. Los
cambios del servidor, la máquina wingate, es decir, el que tiene el acceso directo a
internet son los siguientes: Pinchas sobre el icono de entorno de red con el botón
derecho, vas a propiedades y en el cuadro de diálogo seleccionas TCP/IP
asociado a tu tarjeta de red y le das al botón propiedades. Pinchas en la carpeta
CONFIGURACION DNS activas DNS y añades los números IP de los DNS de tu
proveedor de internet en cuanto al nombre del HOST y DOMINIO puedes poner lo
que quieras, en Windows 9x no afecta para nada. Ya está, sencillo no?
En cuanto a las máquinas Clientes, es decir, los ordenadores sin acceso directo a
internet, también tienes que modificar lo del DNS sin embargo esta vez tan sólo
tendrás que meter la IP del WinGate (por ejemplo: 192.168.0.1).
Otra cosa que te recomiendo es que edites el archivo c:\windows\hosts, este
archivo simplemente contiene un "mapa" de los ordenadores de la intranet o
internet (incluso puedes usarlo como 'cache DNS').El archivo hosts tiene un
formato muy sencillo, en una columna el número IP y en otra el nombre del PC.
Puedes echarle un vistazo al fichero c:\windows\hosts.sam que es un archivo
ejemplo de como es el hosts. Una cosa que debes saber es que el 127.0.0.1 es el
número IP que se ha tomado para referencial al ordenador local o también llamado
localhost, se suele utilizar para probar la red y los programas de red, así que
incluye esta línea en el archivo hosts: '127.0.0.1 localhost' .Como ejemplo del
hosts: 127.0.0.1 localhost 192.168.0.1 wingate 192.168.0.2 pc1 #esto es un
comentario
Además, podrás comprobar que si escribes (posiblemente después de reiniciar)
c:\>ping wingate Respuesta desde 192.168.0.1: bytes=32 tiempo=1ms TDV=128 Respuesta desde 192.168.0.1: bytes=32 tiempo=55ms TDV=128 Respuesta desde 192.168.0.1: bytes=32 tiempo=1ms TDV=128 Respuesta desde 192.168.0.1: bytes=32 tiempo<10ms
Recibirás respuesta, sin embargo si no has editado el hosts y ejecutas esa línea
recibirás error de tiempo agotado. Otra cosa, desde una máquina que no sea la
wingate, si haces ping yahoo.com te dará también tiempo de espera agotado, esto
es porque se intenta acceder a yahoo directamente, y esto no es posible porque
yahoo no está en tu intranet, para cualquier ordenador de tu red local sólo existen
los PCs de la red local (siempre que no tengas un router, o algo similar, pero
entonces ¿para qué querrías el wingate?)
Antes hemos configurado el DNS para el protocolo TCP/IP de nuestras máquinas
Windows y es posible que te estés preguntando es: Qué es el DNS?? Bueno, pues
DNS es el acrónimo de Domain Name System, algo así como sistema de nombres
de dominio. Como ya has visto en TCP/IP hay dos formas de referirse a un
ordenador una mediante la dirección IP y otra mediante un alias, un nombre
sencillo de recordar para las personas, imagínate que en lugar de aprenderte
yahoo, terra, mixmail, lycos tuvieras que aprenderte 195.156.183.94 ,
198.10.12.153, 200.212.123.123, sería una lata no?? Pues para solucionar esto
hay unos grandes servidores distribuidos por internet que tienen una base de
datos con líneas parecidas a las de tu archivo hosts pero a lo bestia y que están
conectados a otros ordenadores con tablas similares de forma que entre todos los
ordenadores tienen todas las equivalencias IP - dominio del mundo y parte del
extranjero. Así, por una parte te evitas tener que acordarte de las IPs (necesarias
para los ordenadores porque ellos se comunican internamente utilizando números
IPs) y tan sólo tienes que acordarte de una palabra (el dominio: yahoo.com
terra.es como ves el dominio es lo que viene a continuación del www en las
direcciones WEB y van acompañados de una extensión).
Normalmente cuando te conectas a alguna web, por ejemplo la mía
http://drop.to/merlos, tu escribes un nemónico, un alias, una cadena de caracteres
compuesta por el nombre del protocolo (http://) el dominio (drop.to) y la ruta al
archivo (/merlos) Qué hace tu navegador, pues lo primero que hace es solicitar al
servidor DNS de tu ISP (el que metiste en la configuración DNS de la máquina
wingate) que le diga la IP a la que corresponde drop.to, si ese servidor DNS no la
tiene en su base de datos se la pregunta a otros servidores DNS a los que está
conectado y así sucesivamente hasta que uno la tiene, finalmente te llega la
resolución del nombre en IP, ahora el navegador se conecta con el servidor de
drop,to (utilizando la IP recibida) y le solicita los archivos de la pagina web
utilizando el protocolo HTTP (para más información sobre el HTTP/1.1 buscar en
el RFC-2045).
En cuanto los PCs clientes, como has visto has introducido la dirección ip de la
máquina wingate, pues esto es simplemente porque el wingate cuando reciba una
petición DNS se la enviará al servidor DNS. Además, supongo (no lo puedo
confirmar) que el Wingate tiene una caché DNS interna, por lo que ahorrarás todo
el tiempo de la solicitud de la resolución del nombre que suele ser bastante lenta.
Puesto que con las opciones que vienen por defecto, se pueden configurar ya los
ordenadores cliente, vamos a comentar brevemente como se configuran las
aplicaciones y luego pasaremos a comentar las opciones de configuración de los
servicios usando gatekeeper.
Configurando Las Aplicaciones en los clientesSi te pensabas que con instalar el wingate ya los ordenadores de la intranet iban a
tener todos los servicios de internet, estabas equivocado. Desafortunadamente
esto no es así, excepto si tienes una clave de la versión PRO de la versión 3 o
Superior en el que los programadores de Deerfield han incluido una utilidad
llamada Wingate Internet Client (WIC), pero esto ya lo trataré más tarde, de
momento vamos a configurarlo manualmente, ya que si tienes clientes con otro
sistema operativo como Linux no te servirá el WIC.
Ahh! Una cosa, como he desvelado hace un momento si en tu intranet tienes
alguna máquina con UNIX o Mac con TCP/IP, también podrás usar el wingate
como proxy, esto es gracias a que utilizan el mismo protocolo, el mismo lenguaje,
el TCP/IP y por eso a pesar de ser S.O. diferentes pueden entenderse.
Bueno, empecemos a configurar aplicaciones, y comenzaremos por los
navegadores y los clientes de correo, que son los servicios más utilizados, yo no
voy a explicar como se hace en cada cliente eso viene en la ayuda muy bien, pero
si que lo esbozaré para que tengas una idea de como se hace.
NAVEGADOR - HTTP
Bien, el navegador, sólo tienes que ir a la configuración de conexión y activar
conectarse por proxy, verás que hay dos campos uno es para la IP del ordenador
wingate y otro para el puerto. Como todavía partimos de un wingate recién
instalado el puerto es el 80 (el puerto estándar del HTTP) y la IP del servidor proxy
es la de la máquina wingate, pero si has editado el fichero hosts no tienes que
acordarte de la IP sino del nombre del ordenador (en el ejemplo que puse antes
192.168.0.1 wingate bastaría con poner 'wingate' en el espacio reservado a la
IP).Si hay más campos como FTP, Gohper, los rellenas con los mismos datos,
excepto en el que aparezca SOCKS, en ese tienes que introducir como puerto el
1080 (el estándar de los socks). También puedes cambiar el puerto de FTP por el
21, aunque con el 80 funciona igualmente. Por experiencia sé que en todos los
navegadores esta configuración es prácticamente idéntica, es decir, buscar en
opciones de configuración, conexión, settings o similar y plantar la IP y el puerto,
no tiene más ciencia. (Una excepción es el lynx, el navegador en modo texto, en el
que tienes que editar el fichero lynx.cnf, ahora de memoria no me acuerdo como
era, pero sé que lo encontré en el man de lynx.cnf, sólo había que añadir un par
de líneas con la IP y el puerto, es decir, más de lo mismo xDD)
CORREO - POP3 y SMTP
Configurar el cliente de correo requiere de algunos pasos más. Cuando tu
proveedor de internet te dio los datos de configuración del acceso telefónico a
redes, cuenta de correo... te dio dos servidores uno que es el de correo entrante
(POP3 - Post Office Protocol) y otro servidor, el de correo saliente (SMTP - Simple
Mail Transfer Protocol). Ten esos datos a mano.
Para recibir correo en los PCs clientes en los datos de la cuenta tienes que poner
tanto como servidor de correo entrante como saliente 'wingate' (o la IP del
wingate) y en datos de cuenta: nombredecuenta#servidorpop3.isp.ext. Vamos a
usar como ejemplo práctico una cuenta de correo de terra:
Datos de la cuenta de correo: Servidor Correo Entrante: pop3.terra.es Servidor Correo Saliente: mailhost.terra.es Nombre de Cuenta: mimail.terra.es contraseña: mipasswd
Datos tendríamos que introducir en el cliente:
Servidor de Correo Entrante: wingateServidor de Correo Saliente: wingateNombre de cuenta: mimail.terra.es#pop3.terra.escontraseña: ********
Si tienes que introducir los puertos, el estándar del protocolo POP3 es el 110 y el
del SMTP el 25.
Nota1: Todos las correspondecias protocolo - puertos estándar las tienes en C:\
Windows\services y en los UNIX en /etc/services
Nota2: el separador # es el que viene por defecto en el wingate, lo puedes
cambiar por otro carácter en la configuración de este servicio en el gatekeeper).
Es muy sencillo entender por que se ponen estos datos: Cuando tu cliente de
correo se conecta con el servidor pop3, le envía dos cadenas de texto:
USER mimail.terra.es PASS mipasswd
Cuando quieres leer tu correo con wingate, una vez configurado, tu cliente
establece una conexión POP3 'normal' con el wingate enviándole los comandos:
USER mimail.terra.es#pop3.terra.es PASS ********
El wingate procesa estos comandos extrayendo el nombre del servidor,el nombre
de cuenta, la clave y establece, ahora sí, una conexión con el servidor
pop3.terra.es y enviándole los comandos:
USER mimail.terra.es PASS ********
En realidad, algo parecido es lo que hace con otros protocolos como el HTTP o el
ftp, simplemente cambiando los comandos :-)
Si todo ha ido bien ya podremos leer nuestro correo desde el ordenador cliente,
pero no podremos enviar todavía mensajes. Para poder enviar mensajes hay que
hacer una pequeña modificación en el wingate. Hay que crear un Mapa TCP (TCP
mapping). Para crearlo, en el Gatekeeper ves a la carpeta Services, pulsas botón
derecho y añades un TCP mapping. Como puerto de escucha (Accept Conetions
from) pondremos 25 y .... NO ME ACUERDO del NOMBRE introduces el nombre
del servidor SMTP, en nuestro ejemplo: mailhost.terra.es y puerto 25.
Ahora sí,ya puedes enviar correo.Para probarlo envíate un mail a ti mismo o desde
una cuenta webmail.
CLIENTE FTP - FTP
Si eres aficionado a bajarte archivos por el ftp o tienes una página web,
posiblemente te interese tener este servicio funcionando. Sólo tienes que activar el
conectarse a través de firewall y que utilice para la autentificación de usuario:
USER user@site ; Todos los clientes
IRC
Para configurar un cliente de irc sólo tienes que activar el conectarse a través del
firewall con los socks 4, la IP es la del wingate y el puerto el de los socks 1080.
En el mIRC:
1. Menú Fichero/Opciones/Conectar/Firewall2. Activas el botón Usar SOCKS firewall
3. Protocolo Socks5 (si no te va con este, con socks 4)
4. Host: IP de la máquina wingate
5. Puerto: 1080
6. El resto lo dejas como está.
Si usas el BitchX, introduce los siguientes comandos:
/set SOCKS_HOST wingate/set SOCKS_PORT 1080/saveirc -all
Nota: Si usas Bitchx lo más seguro es que estés en Linux.. Entonces ¿Qué haces
con el Wingate? iptables y Squid son herramientas mucho más potentes y baratas!
IRC-Sin Socks
Si resulta que tu cliente de irc no tiene soporte de proxy (o firewall) entonces hay
que hacer un TCP mapping, al igual que hiciste con el SMTP, para eso sólo tienes
que crear un TCP-mapping escuchando en el puerto 6667 (estándar del IRC) y
hacer una conexión al servidor irc que te suelas conectar. Si te sueles conectar a
dos o más redes de IRC distintas , como por ejemplo el IRC-hispano, DALnet,
EFnet... tendrás que hacer un tcp-mapping para un servidor de cada red y cada
tcp-mapping en un puerto distinto. Por ejemplo:
RED IRC SERVIDOR Puerto Wingate
IRC-Hispano libres.irc-hispano.org:6667 6667 DALnet algo.se.eu.dal.net:6667 6668 EFnet irc.chat.org:6667 6669
En la configuración del cliente de irc tendrías que poner como servidor al que te
quieres conectar siempre wingate y en función del servidor tendrías que cambiar
de puerto. Por ejemplo, si estás en el mIRC (aunque este cliente si que soporta
socks) pones en la ventana de estado..
Para conectarte al IRC-hispano:
/server wingate 6667
Para conectarte a la red DALnet:
/server wingate 6668
Para conectarte a la red EFnet:
/server wingate 6669
Una cosa queda por añadir, el wingate cancela una conexión de este tipo por
defecto al cabo de un minuto si por esta no hay ningún tráfico. En el irc suele ser
normal que pase más de un minuto sin que nadie hable nada o nadie salga de los
canales en los que estás, por lo que la conexión se cancelaría y tendrías que
reconectar con el servidor. Por suerte, puedes modificar el tiempo que puede
permanecer una conexión abierta sin que circule ningún tráfico de paquetes por
ella. Mira en el gatekeeper en las propiedades de cada servicio el tiempo de
inactividad e increméntalo a tu gusto.
El resto de servicios (excepto el telnet) como el proxy de RealPlayer, VDO y cosas
así no los he utilizado nunca, de hecho los tengo desactivados, es más, todos
aquellos que no utilices DESACTIVALOS, por motivos de seguridad, cuantos
menos tengas activos menos probabilidad hay de que se pueda explotar un bug
de ese servicio.
Wingate Internet Client
El servidor proxy se instala en la máquina en la que quieres dar servicios, pero
desde la versión 3 del wingate y con licencia PRO, tienes la posibilidad de instalar
el WIC (wingate internet client). Se trata de un pequeño programa que se instala
en los PCs clientes que te permite utilizar las aplicaciones como si estos tuvieran
acceso directo a internet, es decir, no tienes que configurarlos para que sepan que
están tras un proxy, el WIC se encarga de gestionar todas las comunicaciones con
el wingate de forma automática. El funcionamiento es bastante sencillo, sólo tienes
que añadir el path de las utilidades que quieres que utilicen el WIC, por defecto
trae algunas como el Outlook Express o el Explorer. Una vez que lo instalas
puedes configurarlo haciendo doble click en el icono del panel de control que se
crea. Hay cuatro pestañas:
General: Sirve para activar el WIC y para permitir que se ejecute automáticamente al encender el ordenador.
Wingate servers: Sirve para elegir el servidor wingate al que quieres conectarte. Hay una opción que te permite que se configure automáticamente
Applications: Aquí podrás elegir los programas que quieres que tengan acceso a internet automatizado por este cliente. Hay tres modos de acceso:
o Local: Que es lo mismo que deshabilitar el servicio
o Mixed: Sólo se permiten conexiones salientes por parte de la aplicación.
o Global
: Se permiten tanto establecimiento de conexiones entrantes como salientes. Una cosa a tener en cuenta si vas a montar un servidor con acceso externo utilizando esta aplicación es que tendrás que poner el servidor a la escucha de puertos superior al 1024.
Ten en cuenta que si vas a utilizar el cliente de correo, el navegador o cualquier
otro servicio necesitarás tener activo ese servicio en el wingate como si accedieras
configurando la aplicación,
Configuración de los servicios con GaTeKeeper
Una vez que has hecho login como Administrator, pincha en la pestaña de
services (abajo). Bien, ahí tienes todos los servicios que está ofreciendo wingate,
tanto activos como inactivos. Ahora selecciona uno de ellos con el botón derecho y
luego selecciona properties. Verás un cuadro de diálogo con un montón de
pestañas. Expliquemos para que sirve cada una:
General: Se trata de la configuración general del servicio. Aquí está el nombre del servicio, la descripción, puerto al que está asociado y las opciones de inicio del servicio, dependiendo del que sea puede que haya alguna cosa más.
Bindings: Aquí se especifican los interfaces desde los que se aceptarán conexiones ENTRANTES, es decir, quienes pueden utilizar este servicio. NO pongas accept connections from any interface, ya que esto supondría que cualquier PC de internet puede conectarse a tu ordenador y utilizar ese servicio. Lo Normal es tener habilitada la opción Specify interface
connections will be accepted, si tienes ésta seleccionada podrás elegir los interfaces de los que quieres que se acepten conexiones en este servicio, es la opción por defecto y lo normal es tener habilitados ('Bounded') la dirección loopback (127.0.0.1) que permite acceso al servicio al propio PC y IP de la tarjeta de red (en este caso 192.168.0.1) que permite el acceso al resto de PCs de la red (aunque luego veremos como restringir los PCs).
Interfaces: En ésta pestaña podremos seleccionar los interfaces de las CONEXIONES SALIENTES, es decir, donde permitimos que se conecte el usuario. Puesto que lo normal es permitir el acceso a cualquier sitio puesto que buscamos emular la conexión directa a internet, lo más frecuente es tener seleccionada "Conecctions out will be made on any interface...". Si queremos restringir los interfaces sólo tenemos que elegir cualquiera de las dos opciones siguientes. La razón de poder elegir los interfaces da una gran flexibilidad sobre todo si se tienen varios accesos a internet y se quiere distribuir los servicios. Por ejemplo: imagínate que tienes un cyber y quieres que los que acceden al IRC utilicen tu conexión dial-up y los que estén navegando accedan con tu rápida linea ADSL. Pues, es aquí es donde puedes elegir que conexión usar.
Sessions: Simplemente sirve para elegir el Timeout de cancelación de conexión. Es decir, si no hay tráfico durante el tiempo ahí especificado, se cierra la conexión. ¿Recuerdas lo que comenté antes del IRC? es aquí donde hay que modificarlo. Por lo general, no suele ser necesario cambiar el que viene por defecto, tan sólo en ciertos casos como los socks o el FTP.Yo creo que con 5 minutos llega.
Policies: Esta pestaña sirve para elegir las Políticas de este Servicio. Las políticas sirven para restringir el acceso a los servicios por procedencia de IPs y por nombres de usuario. Hay unas políticas generales, que se aplican por defecto a todos los servicios y otras específicas del servicio. Las que aquí se presentan son las propias del servicio. Pero sobre esto se comentará más adelante, en la sección de seguridad.
NoN-proxy Request: Esta pestaña se encuentra en todos los servicios proxy (menos telnet). Sirve para gestionar todas las peticiones que no intenten acceder a un proxy, sino directamente al servidor. Hay dos opciones, rechazarlas (por defecto) o redireccionarlas mediante un pipe. La configuración del pipe es sencillo, sólo hay que poner la ip y el puerto del servidor al que se quiere redireccionar.
El caso del servicio WWW es especial, además de añadir una opción de redireccionar a una URL también un pequeño servidor HTTP. Sólo tienes que indicar el directorio donde están los ficheros HTML y el nombre del fichero por defecto (como norma general suele ponerse index.html). [Nota:usa un directorio en el que sólo tengas aquello que quieras compartir y ten en cuenta que los subdirectorios que tengas también serán accesibles]
Conections: Más flexibilildad en las conexiones. Imagínate que tienes un ordenador en la red con otro acceso a internet y quieres que ciertos servicios utilicen ese acceso, pues este es el lugar en el que tienes que meter los datos. Hay 4 opciones:
1. Directly (defecto): Conexión directa, es decir,usando la conexión que tiene este wingate
2. Through cascaded proxy server.
3. Through SOCKS4 server.
4. Through HTTP proxy with SSL support
Logging: Aquí eliges el nivel de auditoría que quieres que se le de al servicio, es decir, que información sobre establecimiento, cancelación, uso de las conexiones quieres que se guarde en forma de log. Es recomendable guardar parte de esta información, ya que si algún día notas fenómenos paranormales mientras estás conectado a internet puede ser que alguien esté trasteando en tu wingate. Los paths de estos logs son:
User audits are stored by default as: %WinGatePath%\audit\username.log Service logs are stored by default as: %WinGatePath%\logs\servicename.log.
SEGURIDAD con el WinGate - Administrando las conexiones
WinGate = FireWall
A lo mejor has oído hablar de que hay unos programas que actúan como
barrera para la entrada de hackers, estos programas son conocidos como
firewalls o cortafuegos. El wingate no es un firewall propiamente dicho,
aunque si que cumple parte de la función de firewall.
Un Firewall, es básicamente un filtro de paquetes a nivel IP, y TCP. Un
firewall lo que hace es dejar parar o no dejar paquetes en función de la IP y
el puerto. Para ello se habilitan una serie de reglas. El wingate acepta
conexiones sólo en el conjunto de puertos en los cuales tiene habilitado el
servicio. Por defecto, sólo permite el acceso sin restricción a los usuarios de
la red local, no permitiendo acceso al resto de los usuarios de internet
(Rechaza las conexiones). Sin embargo, se puede configurar el wingate
para que en función de la IP o en función del servicio (puerto TCP o UDP)
se permita establecer la conexión o no. Todo esto es gracias a las políticas
de Seguridad (en inglés Policies). La mayor diferencia entre el wingate y un
firewall es que el wingate SIEMPRE rechaza la conexión, es decir, contesta
a la máquina remota rechazando la conexión, sin embargo, los firewalls se
suelen configurar para que simplemente ignoren estos paquetes y no se
contesten, esto es para evitar ataques de tipo flood (envío masivo de
petición de conexión que pueden producir desbordamiento en pilas y la
consecuente Denegación de servicio). Algunos de los firewalls para
Windows más conocidos son el ZoneAlarm (www.zonealarm.com) y el
Conseal Firewall (www.signal9.com). Es recomendable que instales un
firewall, aunque si no tienes conocimientos básicos de TCP/IP puede que te
pierdas, busca algún tutorial de firewalls si vas a instalarlo
Como ya comentamos antes, en wingate hay dos tipos de políticas de
seguridad. Unas que se aplican globalmente a todos los servicios (en el
gatekeeper las puedes encontrar en users/system policies) y por otra parte
están las políticas individuales por cada servicio.
Por otra parte, los creadores de wingate introdujeron la posibilidad de definir
usuarios y grupos de usuarios. De esta forma puedes seleccionar que
grupos de usuarios quieres que accedan a un cierto servicio, a qué horas,
que fechas, desde que ordenadores...
La verdad es que es un tema bastante extenso, y lo dejo pendiente para
hacer, además esta es una opción de la que la mayoría de usuarios de
pequeñas intranets no tendrán que conocer profundamente. Si realmente
quieres conocer más LEE LA AYUDA y trastea un poco.
Además, es posible que te llegue con lo que viene a continuación, la
posibilidad de asumir usuarios por máquina desde la que se conecte.
Assumed Users
Wingate puede asumir que un cierto usuario se va a conectar desde una
maquina con un nombre o con una IP determinada. Por ejemplo, teniendo
esta tabla de usuarios:
Nombre IP Hostname Wingate User Wingate GroupPablo 200.0.0.2 pc2002 guest finanzasJosé 200.0.0.1 pc2011 guest marquetingAntonio 200.0.1.3 pc2022 admin admin
Asumiendo usuarios por IP podemos definir que todas las conexiones
procedentes de 200.0.0.* son el usuario guest, también podemos asumir
que todas las conexiones procedentes de la máquina con nombre pc2022
son del usuario admin.
HTTP caché
Otra de las funcionalidades que presenta el wingate es la caché http. Como
ya cité antes, la caché consiste en almacenar los fichero que son solicitados
por un usuario por primera vez en el disco duro del wingate de forma que si
en un tiempo menor al definido en el wingate en lugar de bajarlo de nuevo
del servidor remoto, el wingate lo servirá como si realmente hubiera sido
solicitado de nuevo, ahorrando así ancho de banda de la generalmente
lenta conexión a internet. Entre los parámetros que se pueden configurar
son los siguientes:
1. Enable caché lookups: sirve para activar o desactivar el uso de la caché
2. Enable additions to cache: activa o desactiva el añadir nuevos ficheros.
3. Limit cache size to ?? MB: Limita el espacio máximo de almacenaje en HDD.
4. Number of days before rechecking files: Indica cuanto tiempo ha de pasar antes de que se actualice compruebe la validez de un fichero. Es decir, comprobar si el fichero que hay en la caché es el mismo que tiene el servidor del que fue solicitado.
A parte de esto, tiene opciones avanzadas que no comento por que es muy
largo y son sencillas, simplemente sirven para especificar de forma más
precisa que guardar y que "purgar" en la memoria caché. Mira la ayuda del
Wingate si tienes interés en aprovechar estas características.
Scheduling
Este es otra opción que da al administrador la posibilidad de automatizar
tareas sin que tenga que estar presente. Sirve para marcar horarios y
tareas como activar un servicio, desactivarlo, cancelar cuentas, enviar
mensajes a los clientes... todo controlado de forma bastante intuitiva.
Administración remota
Si no sueles estar en el PC con el wingate y eres el administrador puede
que esto te interese. Wingate ofrece un servicio de administración remota,
lo único que necesitas es ejecutar el gatekeeper.exe en la máquina en la
que estés y cambiar el nombre de la máquina a la que te conectas
(generalmente pone localhost) por la IP o el nombre de la máquina wingate.
Por defecto esta opción está deshabilitada, y sólo se permiten conexiones
desde la propia máquina wingate. Para activarlo sólo tienes que ir a
propiedades/pestaña Bindings del remote control service y añadir el interfaz
de red (en los ejemplos 192.168.0.1).A partir de ese momento y tras salvar
la configuración podrás acceder desde cualquier ordenador de la intranet
que pueda ejecutar el gatekeeper.exe (puedes copiarlo o dejarlo en un
directorio compartido, no necesita ningún otro fichero)
NOTAS FINALES5. Se cuidadoso con la elección de interfaces de los que aceptarás
conexiones (bindings).6. Todos aquellos servicios que no utilices DESHABILITALOS, e intenta
dar a los usuarios el menor número de servicios posible.
7. Si puedes, instala adicionalmente un firewall.
8. Pon claves "fuertes" a las cuentas de los administradores y si es necesario apúntalas. Aunque no es una práctica que suelan recomendarse en la literatura de Seguridad, pero también hay que tener en cuenta, que este tutorial está destinado para redes caseras. No obstante, si puedes recordar las claves, mejor que mejor.
9. Mira de vez en cuando los logs, de esa forma te acostumbras a saber que pasa por el ordenador y podrás detectar si algo raro ha pasado.
10.Limita todo lo que puedas los rangos de IPs que pueden acceder a los servicios