HTTP¶

El proxy HTTP empleado en el dispositivo Panda GateDefender es squid, cuya principal capacidad consiste en almacenar en caché las solicitudes web para acelerar futuras solicitudes de la misma página, aunque tiene muchas más funciones que permiten su perfecta integración con los otros servicios descritos en el resto de esta sección. La página de configuración del proxy HTTP está compuesta por seis pestañas que organizan un sinfín de opciones: Configuración, Política de acceso, Autenticación, Filtro web, Replicar Active Directory y Proxy HTTPS.

Configuración ¶

Un clic en el interruptor Activar proxy HTTP activa el proxy HTTP. Tras algunos segundos, necesarios para iniciar todos los servicios requeridos, aparecen algunos controles en la pestaña Configuración, agrupados en seis paneles. Cada panel tiene un título, seguido de un signo ? que muestra una ventana de ayuda, y se puede expandir o plegar al hacer clic en los iconos o situados a la izquierda de las etiquetas.

El primer ajuste consiste en seleccionar desde un menú desplegable cómo pueden acceder al proxy los usuarios en cada zona activada (VERDE, NARANJA, AZUL) (no hay menú desplegable para las zonas no activadas):

no transparente: El servidor proxy está disponible para todos sin necesidad de iniciar sesión, pero los clientes deben configurar su explorador manualmente o solicitar al explorador que busque un proxy (es decir, utilizando el protocolo PAC o WPAD para establecer los ajustes del proxy del explorador).
transparente: El servidor proxy está disponible para todos y no requiere configuración en el explorador. Todo el tráfico HTTP es interceptado y reenviado al servidor proxy, que está a cargo de recuperar las páginas web solicitadas y servirlas a los clientes.
transparente (mantener la dirección IP de origen original): Esta configuración es muy similar a la de la opción anterior, con la única diferencia de que cada paquete que sale del proxy mantiene parte de la información original del cliente: Su dirección IP, así como la zona y la interfaz desde la que se originó el tráfico.

Nota

Algunos exploradores, incluidos Internet Explorer y Firefox, son capaces de detectar automáticamente los servidores proxy mediante WPAD. La mayoría de los exploradores también admiten PAC, a través de una URL especial. Al utilizar un dispositivo Panda GateDefender como servidor proxy, la URL se ve de este modo: http://<GREENIP>/proxy.pac.

Deshabilitar el proxy HTTP por zona

Para desactivar completamente el proxy para una determinada zona, el proxy de la zona debe establecerse como transparente y la subred de la zona (cuyo valor se puede encontrar en Barra de menú ‣ Servicios ‣ Servidor DHCP) debe añadirse a Omitir proxy transparente desde SUBRED/IP/MAC que aparece al expandir el panel Omitir proxy transparente.

Configuraciones de proxy ¶

En el panel Configuraciones de proxy hay opciones globales de configuración para los servicios del proxy:

Puerto utilizado por el proxy: El puerto TCP en el cual el servidor proxy escucha las conexiones, que de manera predeterminada es 8080.
Idioma de error: El idioma en el que aparecen los mensajes de error, que de forma predeterminada es el elegido en Barra de menú ‣ Sistema ‣ Configuración de GUI.
Nombre de equipo visible usado por el proxy: El nombre de host asumido por el servidor proxy, que también se indica al pie de los mensajes de error.

Correo electrónico utilizado para notificación (administrador de caché): La dirección de correo electrónico que el servidor proxy muestra en los mensajes de error.
Tamaño máximo de descarga (entrante en KB): El límite de descargas de archivos HTTP. 0 significa ilimitado.
Tamaño máximo de carga (saliente en KB): El límite de cargas de archivos HTTP (por ejemplo, los utilizados por formularios HTML mientras se carga el archivo). 0 significa ilimitado.
Mantener la dirección IP de origen: Esta es una opción que afecta a todas las zonas que están configuradas como modo no transparente. Si se marca esta opción, permite a todos los paquetes que vienen del proxy mantener parte de la información del cliente: Su dirección IP, así como la zona y la interfaz desde la que se originó el tráfico.

Puertos permitidos y puertos SSL ¶

Opción de configuración para los puertos que los clientes pueden utilizar cuando navegan:

Puertos habilitados (desde el cliente): Los puertos de destino TCP de los cuales el servidor proxy aceptará conexiones al utilizar HTTP. Se acepta un puerto o un rango de puertos por línea, se permiten comentarios y comienzan con #.
Puertos SSL permitidos (desde el cliente): Los puertos de destino TCP de los cuales el servidor proxy aceptará conexiones al utilizar HTTPS. Se acepta un puerto o rango de puertos por línea, se permiten comentarios, comienzan por # y finalizan al final de la línea.

Configuración del registro ¶

Opción de configuración para activar la función de registro y elegir qué registrar.

Registro de proxy HTTP: Registro de todas las URL a las que se accede a través del proxy. Es un interruptor maestro, por lo que las cuatro opciones siguientes están activadas y pueden configurarse solo si el registro está activado, lo que no ocurre de forma predeterminada (recuerde que, cuanto más se registra, mayor es el espacio que necesita el dispositivo Panda GateDefender).
Registro de consulta de término: Registro de los parámetros en la URL (por ejemplo, ?id=123)
Registro del agente de usuario: Registro del usuario agente enviado por cada explorador.
Registro del filtro de contenido: Registro del momento en el que se filtra el contenido de las páginas web.
Registro de firewall (solo proxies transparentes): Permite que el firewall registre los accesos web salientes, es decir, los dirigidos a través de la interfaz ROJA a Internet. Esta opción solo funciona para proxies transparentes.

Omitir proxy transparente ¶

En este panel se puede definir alguna excepción al proxy transparente (véase también arriba), es decir, qué orígenes (es decir, clientes) y destinos (es decir, servidores remotos) debe omitir el proxy, aunque esté activado en esa zona.

Omitir proxy transparente desde SUBRED/IP/MAC: Los orígenes que no deben estar sujetos al proxy transparente.
Omitir proxy transparente a SUBRED/IP: Los destinos que no se encuentran sujetos al proxy transparente.

Sugerencia

Utilice la notación CIDR para introducir subredes.

Administración de caché ¶

Opciones de configuración para el espacio ocupado en disco por el caché y el tamaño de los objetos almacenados.

Tamaño del caché en disco duro (MB): La cantidad en megabytes que el proxy debe asignar para almacenar en caché sitios web en el disco duro.
Tamaño del caché dentro de la memoria (MB): La cantidad en megabytes de memoria que el proxy debe asignar para almacenar en caché sitios web en la memoria del sistema.
Tamaño máximo de objeto (KB): El límite superior de tamaño en megabytes de un único objeto que se debe almacenar en caché.
Tamaño mínimo de objeto (KB): El límite inferior de tamaño en megabytes de un único objeto que se debe almacenar en caché.

Nota

Los objetos cuyo tamaño no entra dentro de los rangos definidos anteriormente jamás se almacenarán en el disco, sino que se descargarán cada vez que un cliente los solicite.

Activar modo sin conexión: Cuando esta opción se encuentra activada (es decir, la casilla está marcada), el proxy jamás intentará actualizar objetos en caché desde el servidor web de subida. Los clientes podrán explorar sitios web estáticos en caché incluso después de que el enlace activo quede inactivo.

Advertencia

Esta opción es útil para navegar por Internet mientras que el enlace activo no funciona si la página solicitada ha sido almacenada en caché anteriormente. No obstante, esta opción puede causar algún problema si se intenta actualizar una página, aun con un enlace activo en funcionamiento, dado que el proxy HTTP siempre servirá la página en caché. La única posibilidad de tener una copia actualizada de una página web en este caso es vaciar la memoria caché del servidor proxy.
Vaciar caché: Cuando se hace clic en este botón, se elimina el caché del proxy.
No hacer caché en estos destinos: Los dominios cuyos recursos jamás deben almacenarse en caché.

Proxy de subida ¶

Si hay otro servidor proxy en la LAN, puede contactarse antes de solicitar el recurso original. Este panel contiene opciones de configuración para la conexión entre el dispositivo Panda GateDefender y el proxy de subida.

Proxy de subida: Marque esta casilla para activar un proxy de subida y mostrar más opciones. Cuando está activado, antes de recuperar una página web remota que todavía no está en su caché, el proxy del dispositivo Panda GateDefender contacta con el proxy de subida para solicitar esa página.
Servidor de subida: El nombre de host o dirección IP del servidor de subida.
Puerto de subida: El puerto en el cual el proxy escucha el servidor de subida.
Nombre de usuario / contraseña de subida: Si se requiere autenticación para el proxy de subida, las credenciales deben especificarse aquí.
Reenvío de nombre de usuario del cliente: Marque la casilla para reenviar el nombre de usuario al proxy de subida.
Reenvío de IP del cliente: Marque la casilla para reenviar la dirección IP del cliente al proxy de subida.

Política de acceso ¶

Las políticas de acceso se aplican a cada cliente que se conecta a través del proxy, sin importar su autenticación. Una regla de política de acceso es un esquema basado en el tiempo que permite o prohíbe los accesos en función de diversos parámetros acerca del usuario (por ejemplo, la fuente o el destino del tráfico), y el cliente utilizado o el contenido descargado (por ejemplo, el usuario agente, los tipos de mime, la detección de virus y el filtrado de contenido).

En la página aparece una lista de reglas definidas. Cualquier regla puede especificar si se bloquea o se permite el acceso web y, en este último caso, se puede activar y seleccionar un tipo de filtro. La tabla contiene la siguiente información para cada regla incluida en ella: El número de identificación progresivo (#), el nombre (``), el origen y el destino, el tipo de autenticación, si es necesario, los periodos en que está activa, los usuarios agente emparejados, y las acciones disponibles:

: modifica la política.
: elimina la política.
: mueve la directiva arriba o abajo en la lista.
: activa o desactiva la política.

Para añadir una nueva regla de política de acceso, haga clic en Añadir política de acceso: Se abrirá un formulario en el que configurar todos los parámetros:

Tipo de fuente: Las fuentes del tráfico a las cuales se aplica esta regla. Puede ser <CUALQUIERA>, una zona, una lista de redes, direcciones IP o direcciones MAC.
Tipo de destino: Los destinos del tráfico a los cuales se aplicará esta regla. Puede ser <CUALQUIERA>, una zona, una lista de redes, direcciones IP o dominios.
Autenticación: El tipo de autenticación que se aplicará a los clientes. Puede estar desactivada (en cuyo caso no se requiere autenticación), basada en el grupo o basada en el usuario. Se pueden seleccionar uno o más usuarios o grupos, a los cuales aplicar la política, entre los existentes en la lista que aparecerá.

Sugerencia

La autenticación solo es local, por lo tanto, antes de poder utilizarla, hay que crear al menos un usuario o un grupo en la pestaña Autenticación.
Restricción de tiempo: Determina si la regla tiene efecto en días específicos o en un periodo de tiempo. De forma predeterminada, una regla siempre está activa, pero su validez puede estar limitada a un intervalo o a algunos días de la semana. Al marcar esta casilla, se puede acceder a las siguientes opciones:
Días activos: Selecciona uno o varios días de la semana.

Sugerencia

Para seleccionar dos o más días, mantenga pulsada la tecla CTRL y haga clic con el ratón en el nombre del día.
Hora de inicio, Hora de fin, Minuto de inicio, Minuto de fin: Para ajustar el intervalo del día durante el cual estará activa la política de acceso, seleccione las horas de inicio y fin en el menú desplegable.
Agentes de usuarios: Los clientes y exploradores permitidos, identificados como tal por su usuario agente, es decir, su cadena de identificación.
Tipos de mime: Una lista de los tipos de MIME de archivos entrantes que deben bloquearse; uno por línea. Los virus de tipo MIME solo pueden ser bloqueados (es decir, estar en la lista negra), pero no permitidos (es decir, estar en la lista blanca). Por lo tanto, esta opción solo se encuentra disponible en las políticas de acceso de tipo Rechazar. Esta opción permite bloquear cualquier archivo que no corresponda a la política de la empresa (por ejemplo, archivos multimedia).

Nota

La lista de los tipos MIME disponibles se puede encontrar en el archivo /etc/mime.types en cualquier máquina Linux, en la página web oficial de la IANA, y también en el RFC 2045 y el RFC 2046.
Política de acceso: Selecciona si la regla debe permitir o rechazar el acceso web desde el menú desplegable. Si se establece en Rechazar, la opción Tipos de MIME arriba está activada.
Perfil de filtro: Este menú desplegable, disponible cuando la Política de acceso se ha establecido como Permitir acceso, permite seleccionar qué tipo de verificación debe realizar la regla. Las opciones disponibles son: ninguna para ninguna comprobación y detección de virus únicamente para escanear virus. Además, si se ha creado algún perfil de filtro de contenido (véase a continuación), se puede aplicar a la regla.
Estado de la política: Si la regla está activada o desactivada. Las reglas desactivadas no se aplicarán. De forma predeterminada, las reglas están activadas.
Posición: El lugar donde se debe insertar la regla nueva. Las posiciones más bajas tienen mayor prioridad.

Las acciones disponibles permiten cambiar la prioridad, editar, activar/desactivar o eliminar cada regla de la lista de reglas.

Autenticación ¶

El proxy del dispositivo Panda GateDefender admite cuatro tipos de autenticación, que se pueden ver en el menú desplegable de la parte superior de la página: Autenticación local (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) y RADIUS. El tipo NCSA almacena las credenciales de acceso en el dispositivo Panda GateDefender, mientras que los otros métodos se basan en un servidor externo. En esos casos es obligatorio proporcionar toda la información necesaria para acceder a ese servidor.

Debajo del menú desplegable desde el cual se selecciona el tipo de autenticación, hay dos paneles presentes. El de arriba, Configuración de autenticación, contiene elementos de configuración comunes, mientras que el de abajo cambia en función de la selección del tipo de autenticación, presentando la configuración específica de cada método.

Configuración de autenticación ¶

Los elementos comunes que se pueden configurar en este panel son:

Dominio de autenticación: El texto que aparece en el diálogo de autenticación y se utiliza como el dominio de kerberos o winbind al unirse al dominio de Active Directory. Si se utiliza Windows Active Directory para la autenticación, se debe utilizar el FQDN del PDC.

Sugerencia

Si el nombre del servidor es autlocal y el nombre de dominio es ejemplo.org, el FQDN es autlocal.ejemplo.org.
Número de procesos-hijo de autenticación: El número máximo de procesos de autenticación que pueden ejecutarse simultáneamente.
Autenticación de caché TTL (en minutos): El tiempo en minutos durante el cual deben estar almacenados en caché los datos de autenticación antes de eliminarlos.
Número de IP diferentes por usuario: El número máximo de direcciones IP desde las cuales un usuario puede conectarse al proxy simultáneamente.
Caché TTL para usuario / IP (en minutos): El tiempo en minutos que una dirección IP se asocia al usuario registrado.

Una vez que se ha rellenado el formulario común de configuración, dependiendo del tipo de autenticación elegido, se puede configurar el ajuste específico para el tipo de autenticación seleccionado. Autenticación local (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD), RADIUS.

Configuración específica de NCSA ¶

Administración de usuarios NCSA: Al hacer clic en el botón administrar usuarios, se abre la GUI de administración de usuarios. Se compone de una lista sencilla de los usuarios existentes, si se ha creado alguno, y de un enlace Añadir usuario NCSA para añadir más usuarios. Un usuario se añade introduciendo el nombre de usuario y la contraseña en el formulario, y después se puede editar o eliminar.

Sugerencia

La contraseña debe tener al menos 6 caracteres.
Administración de grupo NCSA: Al hacer clic en el botón administrar grupos, se abre la GUI de administración de grupos. Se compone de una lista sencilla de los grupos existentes y sus miembros, si se ha creado alguno, y de un enlace Añadir grupo NCSA para añadir más grupos. Un grupo se crea introduciendo un nombre de grupo y seleccionando uno o más usuarios que deben pertenecer a ese grupo. Un usuario puede pertenecer a más de un grupo.

Advertencia

Si bien un mismo usuario puede pertenecer legalmente a uno o más grupos, se debe tener cuidado con que los grupos a los que pertenece el usuario no definan políticas de acceso opuestas. Como ejemplo, imagine un usuario que sea miembro de dos grupos, uno con la política para permitir acceso al sitio web www.ejemplo.org y otro con la política que bloquea el acceso a esa página web. En este caso, no es fácil predecir si a ese usuario se le otorgará acceso o no al sitio www.ejemplo.org. De la administración de estos problemas se encarga el diseñador de las políticas de acceso.
Longitud mínima de contraseña: La longitud mínima de la contraseña del usuario local.

Configuración específica de NTLM ¶

Nombre de dominio del servidor AD: El dominio de Active Directory al cual unirse. Se debería utilizar el FQDN del servidor.
Unirse al dominio AD: Haga clic en el botón unirse al domino para unirse al dominio. Esta acción debe realizarse solo después de haber guardado y aplicado la configuración de autenticación.
Nombre de host del PDC del servidor AD, dirección IP del PDC del servidor AD: El nombre de host y la dirección IP del PDC. Para crear la entrada DNS se necesitan tanto el nombre de host como la dirección IP.
Nombre del host BDC del servidor AD, Dirección IP de BDC del servidor AD: El nombre del host y la dirección IP de BDC, si lo hubiera. Para crear la entrada DNS se necesitan tanto el nombre de host como la dirección IP.

Requisitos para el uso de NTLM.

Para poder utilizar la autenticación nativa de Windows con Active Directory (NTLM), se deben cumplir algunas condiciones:

La configuración de autenticación debe guardarse y aplicarse antes de intentar la unión con el dominio.
El dispositivo Panda GateDefender debe unirse al dominio.
Los relojes de sistema del dispositivo Panda GateDefender y el servidor Active Directory deben estar sincronizados.
El dominio de autenticación debe ser un FQDN.
El nombre de host del PDC debe establecerse como el nombre de netbios del servidor Active Directory.

Sugerencia

El reloj del dispositivo Panda GateDefender puede sincronizarse con el reloj del servidor Active Directory emitiendo el siguiente comando en el shell:

net time set -S IP_OF_AD_SERVER

Autenticación NTLM con Windows Vista y Windows 7.

El proxy HTTP en el dispositivo Panda GateDefender utiliza NTLMv2 negociado, mientras que, de forma predeterminada, Windows Vista y Windows 7 solo admiten NTLMv2. Por consiguiente, es posible que un cliente que instale esos sistemas operativos no logre autenticarse en el proxy HTTP aunque introduzca las credenciales correctas. Para realizar correctamente la autenticación, es necesario efectuar los cambios siguientes:

Haga clic en Inicio ‣ gpedit.msc (ejecutar como administrador).

Vaya a Configuración del equipo ‣ Configuración de Windows ‣ Configuración de seguridad ‣ Directivas locales ‣ Opciones de seguridad.

Busque la opción de configuración Seguridad de redes: nivel de autenticación de LAN Manager.

Seleccione el valor “Enviar Lan Manager y NT Lan Manager: usar la seguridad de sesión NT Lan Manager versión 2 si se negocia”.

Después de aplicar estos cambios el explorador del cliente debe autenticarse correctamente utilizando el nombre de inicio de sesión de AD y las credenciales para el proxy HTTP.

Configuración específica de LDAP ¶

Servidor LDAP: La dirección IP o el FQDN del servidor LDAP.
Puerto de servidor LDAP: El puerto en el cual está escuchando el servidor. El valor predeterminado es 389.
Unir configuración DN: El nombre de base diferenciado; es el punto inicial de la búsqueda.
Tipo LDAP: Este menú desplegable permite seleccionar el tipo de servidor de autenticación entre Active Directory, Novell eDirectory, LDAP versión 2 y LDAP versión 3.
Unir nombre de usuario DN: El nombre totalmente diferenciado de un usuario unido a DN, que debe tener permiso para leer los atributos del usuario.
Unir contraseña DN: La contraseña del usuario unido a DN.
Clase de objeto del usuario: La clase de objeto a la que el usuario unido a DN debe pertenecer.
Clase de objeto del grupo: La clase de objeto a la que el grupo unido a DN debe pertenecer.

Configuración específica de RADIUS ¶

Servidor RADIUS: La dirección IP o la URL del servidor RADIUS.
Puerto del servidor RADIUS: El puerto en el que escucha el servidor RADIUS.
Identificador: Un identificador adicional.
Secreto compartido: La contraseña que se utilizará.

Filtro web ¶

La capacidad del filtro de contenido del dispositivo Panda GateDefender se basa en la solución de filtrado de URL Cyren, que utiliza dos técnicas de filtrado que pueden definirse por perfil de filtro.

La primera consiste en un método avanzado de categorización de páginas web en función de su contenido. El segundo método utiliza una combinación de URL y dominios de listas blancas y negras: Todas las URL solicitadas por un cliente se buscan en esta lista y solo se proporcionan si se encuentran en la lista blanca.

Nota

Si el sistema aún no se ha registrado en la Panda Perimetral Management Console, las listas del filtro de URL no se pueden descargar. En ese caso, aparecerá un mensaje informativo. Haciendo clic en él, se abrirá el formulario de registro.

Se necesita un perfil para poder utilizar el filtro de contenido. Hay disponible un perfil por defecto, que permite acceder a todas las páginas web y que no se debe eliminar. Pueden crearse fácilmente los perfiles adicionales que se necesiten en la definición de una Política de acceso. Por lo tanto, las políticas de acceso que requieran un perfil determinado solo se podrán crear según ese perfil.

En la página, hay una lista de los perfiles existentes, acompañados de una observación y de las acciones disponibles:

: edita un perfil.
: elimina un perfil.

Encima de la tabla, hay un enlace Crear un perfil. Al hacer clic en él, se reemplaza el enlace por el Editor de perfil, que se utiliza para configurar un perfil nuevo, y la lista de perfiles existentes se mueve al pie de la página. Se pueden definir los siguientes ajustes:

Nombre del perfil: El nombre dado al perfil.
Activar escaneo antivirus: Activa el antivirus en el filtro de contenido.

Aplicación de SafeSearch ¶

En esta sección es posible activar la funcionalidad de la aplicación de SafeSearch para los motores de búsqueda compatibles. En este momento son:

Google
Bing
Yahoo
Yandex
DuckDuckGo

Aplicación de SafeSearch

Con la funcionalidad de filtrado web estándar ya es posible filtrar sitios web no apropiados para niños o estudiantes. No obstante, esto no afecta a resultados de los motores de búsqueda como las imágenes de vista previa.

Dado que los motores de búsqueda almacenan imágenes, es imposible saber de qué sitio web provienen y, por tanto, no se pueden bloquear basándose en su categoría. Para poder seguir bloqueando contenido inapropiado u ofensivo, muchos motores de búsqueda incluyen una funcionalidad SafeSearch que, cuando está activada, simplemente no incluirá estos resultados.

Cuando se utiliza la aplicación de SafeSearch, este comportamiento se aplica en los motores de búsqueda seleccionados con independencia de la configuración personal del usuario.

Puesto que la mayoría de los motores de búsqueda utiliza automáticamente HTTPS, es necesario activar el proxy HTTPS.

Filtro de URL ¶

Los siguientes ajustes vienen en forma de paneles, que pueden expandirse o contraerse haciendo clic en los iconos o a la izquierda de su título. En el extremo derecho, una flecha pequeña muestra si los elementos contenidos se permiten total o parcialmente o no se permiten. Se puede hacer clic en esas flechas para cambiar rápidamente el estado de todos los elementos contenidos.

Las categorías que se van a activar para aplicar el filtro de contenido. Cada categoría contiene otras subcategorías, que se pueden permitir de manera individual. La flecha verde accept significa que los elementos de la (sub)categoría se utilizan para el filtro de contenido, mientras que la flecha roja drop significa que esos elementos no se utilizan. El icono partial situado cerca del nombre de la categoría indica que solo se utilizan para el filtrado de contenido algunas de las subcategorías que contiene.

Listas negras y blancas personalizadas ¶

Aquí se pueden añadir listas personalizadas de páginas web como permitidas siempre (lista blanca), cuyo acceso se permitirá siempre a los clientes, o rechazadas (lista negra), cuyo acceso no se permitirá nunca a los clientes.

El filtrado de contenido puede causar positivos y negativos falsos, por lo tanto aquí se puede introducir la lista de dominios que siempre deben bloquearse o permitirse. Esta política se aplicará con independencia de los resultados del análisis del filtro de contenido.

Replicar Active Directory ¶

En esta sección se pueden introducir las credenciales necesarias para unirse al servidor Active Directory, una función que solo es posible si se ha seleccionado la opción Windows Active Directory (NTLM) en la pestaña Autenticación.

Nombre de usuario del administrador de ADS: El nombre de usuario del servidor Active Directory.
Contraseña del administrador de ADS: La contraseña del servidor Active Directory. No aparece por defecto, pero puede mostrarse marcando la casilla de verificación situada a la derecha del campo de texto.

Proxy HTTPS ¶

En esta página es posible configurar el servidor proxy para el escaneo de tráfico SLL cifrado, es decir, el tráfico a través del puerto 443. Cuando está activado, el squid intercepta todas las solicitudes de los clientes y las reenvía al servidor remoto, como en el caso de las solicitudes HTTP. La única diferencia surge en las solicitudes HTTPS. Se necesita un certificado «intermedio» para que el cliente se conecte al dispositivo Panda GateDefender a través de HTTPS. Este podrá proporcionar la solicitud, recuperar el recurso remoto, controlarlo y enviarlo a el cliente que lo solicitó.

Existen tres ajustes disponibles en esta página y se dividen en dos partes. La primera permite configurar el proxy HTTPS. La segunda se utiliza para administrar el certificado del dispositivo Panda GateDefender.

Activar proxy HTTPS: Marque esta casilla para activar el proxy HTTPS. Aparecerá la siguiente opción.
Aceptar cada certificado: Esta opción permite al dispositivo Panda GateDefender aceptar automáticamente todos los certificados del servidor remoto, incluso aquellos que no son válidos o están obsoletos.
Reenviar conexiones HTTPS directamente al proxy de subida: Cuando se utiliza esta opción, el proxy de subida gestionará directamente el tráfico HTTPS, de lo contrario será gestionado por el dispositivo Panda GateDefender.

Nota

Esta opción solo funciona si se ha definido un proxy de subida en el proxy de subida (véase Barra de menú ‣ Proxy ‣ HTTP ‣ Configuración ‣ Proxy de subida).

Cuando la entrada es una dirección IP, el tráfico HTTPS dirigido a esa IP no pasará del proxy HTTPS. Cuando la entrada es un nombre de dominio, por ejemplo, www.ejemplo.org, solo se omitirá ese sitio web. No obstante, cuando se usa un punto . al principio de un nombre de dominio, se permitirá todo el tráfico a ese dominio y todos sus subdominios.

Ejemplos:

93.184.216.119 permite solo el sitio https://93.184.216.119/ www.ejemplo.org permite solo el sitio https://www.ejemplo.org/ .ejemplo.org permite todos los sitios que terminan con .ejemplo.org, por ejemplo, https://www.ejemplo.org/index.html https://correo.ejemplo.org/correo.html https://www.noticias.ejemplo.org/noticias.html y así sucesivamente.

Evitar proxy HTTPS para los destinos: Escriba en el campo de texto la dirección IP o el nombre de dominio de los sitios web remotos que el proxy HTTPS debería omitir, uno por línea.

Para activar el proxy HTTPS, haga clic en Guardar y espere unos segundos.

La parte inferior se puede utilizar para cargar un certificado que usará el dispositivo Panda GateDefender o para generar uno nuevo, que sustituirá al actual, en caso de haberlo.

Cargar certificado proxy: Para utilizar un certificado existente, haga clic en Examinar…, elija el certificado en el disco duro local y, a continuación, haga clic en el botón Cargar para copiar el certificado en el dispositivo Panda GateDefender.
Crear un certificado nuevo: Para crear un certificado nuevo, haga clic en este botón. Aparecerá un cuadro de diálogo solicitando confirmación. Haga clic en Aceptar para continuar o en Cancelar para cerrar el cuadro de diálogo y volver atrás.

Una vez que el certificado ha sido cargado o creado, aparecerá una nueva opción en forma de hiperenlace junto a la etiqueta Cargar certificado proxy.

Descarga: Haga clic en este hiperenlace para descargar el certificado, que necesitarán los clientes.

HTTP¶

Configuración ¶

Configuraciones de proxy ¶

Puertos permitidos y puertos SSL ¶

Configuración del registro ¶

Omitir proxy transparente ¶

Administración de caché ¶

Proxy de subida ¶

Política de acceso ¶

Autenticación ¶

Configuración de autenticación ¶

Configuración específica de NCSA ¶

Configuración específica de NTLM ¶

Configuración específica de LDAP ¶

Configuración específica de RADIUS ¶

Filtro web ¶

Aplicación de SafeSearch ¶

Filtro de URL ¶

Listas negras y blancas personalizadas ¶

Replicar Active Directory ¶

Proxy HTTPS ¶

Tabla de contenidos

Tema anterior

Siguiente tema

Navegación

HTTP¶

Tema anterior

Siguiente tema

Búsqueda rápida

Navegación