Manual de Optenet - Filtrador de Webs en Servidores

OPTENET Server 5.
21
Windows/Linux/Solaris/Aix/MacOS
Manual de Usuario
Versión de documento
Creado por Optenet
Dpto. de I + D y Marketing
Última actualización: 01.09.2004
ÍNDICE
1. INTRODUCCIÓN.......................................................................................... 6
2. NUEVAS CARACTERÍSTICAS DE LA VERSIÓN 5.21 ................................................. 8
3. INSTALACIÓN ............................................................................................ 9
3.1. REQUISITOS DEL SISTEMA ............................................................................... 9
3.1.1. En sistemas Windows ........................................................................ 9
3.1.2. En sistemas Linux ............................................................................ 9
3.1.3. En sistemas Solaris ........................................................................... 9
3.1.4. En sistemas AIX ............................................................................... 9
3.1.5. Para Mac OS X................................................................................. 9
3.2. INSTALACIÓN ..........................................................................................10
3.2.1. En sistemas Windows: ......................................................................10
3.2.1.1. Integración con Microsoft ISA-Server ..................................................17
3.2.1.2. Integración con Microsoft Proxy Server ...............................................19
3.2.1.3. Integración con proxy ICAP (modo ICAP)..............................................19
3.2.1.4. Sin proxy adicional (modo Stand-Alone) ..............................................20
3.2.1.5. Información específica para Windows 98 y WindowsMe ............................20
3.2.2. En sistemas Linux, Solaris y AIX: .........................................................20
3.2.2.1. Instalación de OPTENET como servidor ICAP (modo ICAP) .........................21
3.2.2.2. Instalación de OPTENET con SQUID (modo SQUID) ..................................21
3.2.3. Para Mac OS X................................................................................22
3.2.4. Sistema de archivos instalados por OPTENET ..........................................26
3.3. ARRANQUE Y PARADA..................................................................................28
3.3.1.1. Inicio y parada del filtro bajo Windows NT, XP, 2000 y2003 ......................28
3.3.1.2. Inicio y parada del filtro bajo Windows 98 ...........................................28
3.3.1.3. El plugin para Microsoft ISA Server....................................................28
3.3.1.4. El plugin para Microsoft Proxy Server .................................................29
3.3.1.5. OPTENET Proxy............................................................................30
3.3.2. En sistemas Linux, Solaris y AIX: .........................................................30
3.3.3. Para Mac OS X : ..............................................................................31
3.4. ARRANQUE Y PARADA AUTOMÁTICOS JUNTO AL SISTEMA ................................................31
3.4.2. En sistemas Linux: ..........................................................................32
3.4.3. En sistemas Solaris ..........................................................................32
3.4.4. En sistemas AIX ..............................................................................32
3.4.5. Para Mac OS X : ..............................................................................33
3.5. CONFIGURACIÓN DE UN APPLIANCE BLUECOAT PARA QUE UTILICE OPTENET COMO SISTEMA DE FILTRADO
(ICAP) 33
3.5.1. Crear un servicio de modificación de petición (REQMOD)............................33
3.5.2. Crear un servicio de modificación de respuesta (RESPMOD).........................34
3.5.3. Establecer una política de acceso web ..................................................35
3.5.4. Establecer una política de contenidos web .............................................36
3.6. CONFIGURACIÓN DE UN NETCACHE PARA QUE UTILICE OPTENET COMO SISTEMA DE FILTRADO .........38
3.6.1. Crear un servicio de modificación de petición (REQMOD)............................38
3.6.2. Crear un servicio de modificación de respuesta (RESPMOD).........................38
4. CONCEPTOS BÁSICOS................................................................................. 42
Manual de Usuario Optenet Server. Versión 5.21 2

4.1. USUARIO ..............................................................................................42
4.2. GRUPO ...............................................................................................42
4.3. DIRECCIÓN IP .........................................................................................42
4.4. URL ..................................................................................................43
4.5. CATEGORÍA ...........................................................................................43
4.6. REGLA ................................................................................................ 43
5. ADMINISTRACIÓN...................................................................................... 44
5.1. INTRODUCCIÓN ........................................................................................44
5.2. DOCUMENTACIÓN .....................................................................................46
5.3. CONFIGURACIÓN ......................................................................................47
5.3.1. Estado Filtro .................................................................................48
5.3.2. Página de bloqueo...........................................................................48
5.3.3. Directorio logs ...............................................................................50
5.3.4. Configuración de log........................................................................50
5.3.4.1. Encriptación de información sensible .................................................50
5.3.4.2. Registrar en log ...........................................................................50
5.3.4.3. Número de días de información a guardar............................................50
5.3.4.4. Campos del log ............................................................................51
5.4. AUTENTICACIÓN.......................................................................................51
5.4.1. Origen de datos(usuarios y/o grupos) ...................................................52
5.4.1.1. LDAP ........................................................................................52
5.4.1.2. Dominios Windows........................................................................55
5.4.1.3. OPTENET Proxy............................................................................57
5.4.1.4. Squid NCSA.................................................................................58
5.4.2. Activar autenticación propia ..............................................................58
5.4.3. Nombre o IP del servidor...................................................................60
5.4.4. Puerto .........................................................................................60
5.4.5. Intervalo de petición de la autenticación...............................................61
5.5. CATEGORÍAS .......................................................................................... 61
5.6. CLASIFICACIÓN URLS .................................................................................62
5.7. REGLAS DE FILTRADO .................................................................................64
5.7.1. Cambiar Nombre ............................................................................65
5.7.2. Acción .........................................................................................66
5.7.3. Categorías ....................................................................................66
5.7.4. Ficheros .......................................................................................67
5.7.5. IPs..............................................................................................68
5.7.6. Usuarios.......................................................................................69
5.7.7. Grupos de usuarios..........................................................................70
5.7.8. Tiempo máximo de navegación ...........................................................70
5.7.9. Horarios.......................................................................................71
5.7.10. URLs Yes ......................................................................................72
5.7.11. URLs Not ......................................................................................72
5.7.12. Ejemplo de utilización de reglas .........................................................73
5.7.12.1. Regla para el jefe ........................................................................74
5.7.12.2. Regla para bloquear prensa y deportes en horario laboral .......................74
5.8. ACTUALIZACIONES.....................................................................................74
5.8.1. A través de proxy ...........................................................................75
5.8.2. Frecuencia de actualizaciones ............................................................75
5.8.3. Consolidación a disco .......................................................................75
5.8.4. Recarga absoluta de listas .................................................................76
5.9. INFORMES .............................................................................................76
5.10. IDENTIFICACIÓN ADMINISTRADOR ......................................................................78
5.11. BLOQUEOS POR INTENTOS REPETIDOS ..................................................................80
5.12. GESTIÓN EN CLUSTER .................................................................................81
5.12.1. Activar/Desactivar gestión en cluster ...................................................81

5.12.2. Clusters .......................................................................................84
5.12.2.1. Nuevo .......................................................................................84
5.12.2.2. Modificar ...................................................................................85
5.12.2.3. Borrar.......................................................................................85
5.12.2.4. Conectar ...................................................................................85
5.12.2.5. Informe .....................................................................................85
5.12.3. Servidores ....................................................................................86
5.12.3.1. Nuevo .......................................................................................86
5.12.3.2. Modificar ...................................................................................88
5.12.3.3. Borrar.......................................................................................88
5.12.3.4. Conectar ...................................................................................89
5.12.3.5. Informe .....................................................................................89
5.13. INFORMACIÓN DEL SISTEMA ............................................................................90
6. PROBLEMAS MÁS COMUNES ......................................................................... 92
6.1. APARECE EL MENSAJE OPTENET SERVER ERROR... CUANDO INTENTO NAVEGAR ..........................92
6.2. NO SE LOGRA ARRANCAR EL FILTRO ....................................................................92
6.3. NO APARECEN LOS USUARIOS AL PULSAR EL BOTÓN REFRESCAR .........................................93
ANEXOS ......................................................................................................... 94
1. ADMINISTRACIÓN DE OPTENET SERVER A TRAVÉS DE UNA CONEXIÓN SEGURA (SOLO

PLATAFORMA LINUX)......................................................................................... 95
2. ADMINISTRACIÓN DE OPTENET A TRAVÉS DE LA LÍNEA DE COMANDOS (OPTENET CLI

V1.0) 97
2.1. INTRODUCCIÓN ........................................................................................97
2.2. UTILIZACIÓN .......................................................................................97
2.2.1. Ejecución .....................................................................................97
2.2.2. Ayuda..........................................................................................98
2.2.3. Comandos.....................................................................................98
2.2.4. Fichero de script ............................................................................99
2.2.5. Salida........................................................................................ 100
2.2.6. Fichero de configuración................................................................. 100
2.3. REFERENCIA DE COMANDOS .......................................................................... 101
2.3.1. Configuración .............................................................................. 101
2.3.1.1. Saveconfig ............................................................................... 101
2.3.2. Autenticación .............................................................................. 101
2.3.2.1. Saveauthen .............................................................................. 101
2.3.3. Autenticación LDAP ....................................................................... 102
2.3.3.1. Delauthencache ......................................................................... 102
2.3.3.2. Sortldap .................................................................................. 102
2.3.3.3. Delldap ................................................................................... 102
2.3.3.4. Saveldap.................................................................................. 102
2.3.4. Clasificación Urls .......................................................................... 103
2.3.4.1. Saveurlclas............................................................................... 103
2.3.4.2. Adduserurl ............................................................................... 103
2.3.4.3. Deluserurl ................................................................................ 103
2.3.5. Reglas de filtrado ......................................................................... 103
2.3.5.1. Addrule ................................................................................... 103
2.3.5.2. Sortrules.................................................................................. 103
2.3.5.3. Delrule.................................................................................... 103
2.3.5.4. Renrule ................................................................................... 103
2.3.5.5. Addips .................................................................................... 104

2.3.5.6. Delips ..................................................................................... 104
2.3.5.7. Savecat ................................................................................... 104
2.3.5.8. Addurlyes ................................................................................ 104
2.3.5.9. Delurlyes ................................................................................. 104
2.3.5.10. adduser................................................................................... 104
2.3.5.11. Deluser ................................................................................... 104
2.3.5.12. Addhours ................................................................................. 104
2.3.5.13. Delhours .................................................................................. 105
2.3.5.14. Saveday................................................................................... 105
2.3.5.15. Addurlnot ................................................................................ 105
2.3.5.16. Delurlnot ................................................................................. 105
2.3.5.17. Savefile................................................................................... 105
2.3.6. Actualizaciones ............................................................................ 105
2.3.6.1. Saveact ................................................................................... 105
2.3.7. Identificación administrador ............................................................ 106
2.3.7.1. Addadmin ................................................................................ 106
2.3.7.2. Saveadmin ............................................................................... 106
2.3.7.3. Deladmin ................................................................................. 106
2.3.8. Gestión en cluster......................................................................... 107
2.3.8.1. Cluster.................................................................................... 107
2.3.8.2. Addcluster ............................................................................... 107
2.3.8.3. Savecluster .............................................................................. 107
2.3.8.4. Delcluster ................................................................................ 107
2.3.8.5. Addserver ................................................................................ 107
2.3.8.6. Saveserver ............................................................................... 107
2.3.8.7. Delserver ................................................................................. 108
2.3.9. Informes .................................................................................... 108
2.3.9.1. StoreReporter ........................................................................... 108
2.4. PROBLEMAS MÁS COMUNES .................................................................... 108
2.4.1. No logra arrancar OPTENET CLI ......................................................... 108
2.4.2. Se muestra un mensaje de error al ejecutar un comando ......................... 108
2.4.3. Ejecuta un comando pero no se refleja su cambio en OPTENET Server.......... 109
3. CONFIGURACION DEL PROXY OPTENET ......................................................... 109
3.1. CONFIGURACIÓN DE UN PROXY ENCADENADO (CONFIGURACIÓN PROXY) .............................. 110
3.2. ADMINISTRACIÓN DEL OPTENET SERVER (ADMINISTRACIÓN OPTENET SERVER) ........................ 110
3.3. CONFIGURACIÓN DEL PUERTO (PUERTO PROXY) ..................................................... 111
4. DESCRIPCIÓN DE LAS CATEGORÍAS DE OPTENET .............................................. 112
5. ICAP NOW ............................................................................................. 114
6. MONITORIZACIÓN SNMP (SÓLO PLATAFORMA LINUX) ........................................ 116

6.1.1. Ejecución del agente SNMP .............................................................. 116
6.1.2. Arranque automático ..................................................................... 117
6.1.3. Configuración del agente ................................................................ 117
7. RECARGAR............................................................................................. 117

1. INTRODUCCIÓN
OPTENET es un sistema de filtrado que permite optimizar los recursos de Internet de la

empresa y el tiempo empleado en su utilización. Instalándolo en el servidor que da
conexión a su red conseguirá filtrar aquellas páginas de Internet que considere
inadecuadas así como monitorizar los accesos de sus usuarios.
Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre
con un proxy. El proxy garantiza que todas las peticiones web de la red pasen por él por
lo que OPTENET Server no tendrá más que acoplarse al proxy, para filtrar toda la red. Si
la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el proxy dichas
peticiones no se podrán filtrar de ninguna manera. El proceso mediante el cual OPTENET
se comunica con el proxy se consigue instalando una extensión (a partir de este
momento plugin) en dicho proxy o configurando su cliente ICAP si es que dicho proxy
tiene implementado ese protocolo. Cuando un usuario intenta acceder a una página web
éste solicita la página al proxy. Al llegar al proxy la petición es capturada por el plugin
de OPTENET Server y decide si dicha petición debe permitirse o no.
Para tomar esta decisión el servicio de OPTENET Server se basa en un conjunto de reglas
que define el administrador según los siguientes criterios:
Página solicitada (URL, tipo de archivo o tipo de contenido).
Usuario que realiza la petición (nombre y dirección IP) y grupo/s al que
pertenece.
Momento en que se realiza la petición (día de la semana y hora).
Tipo de ficheros (música, vídeo, ejecutables,...).
Y también ofrece la posibilidad de definir manualmente las listas de URLs sobre
las que podremos permitir o bloquear el acceso.
Si el conjunto de reglas establece que la página solicitada debe permitirse la página se

muestra tal cual en el navegador del usuario. Por el contrario, si se decide que la
petición debe denegarse, al usuario se le muestra otra página que le advierte del
bloqueo ocurrido. A su vez este bloqueo queda registrado para una posible
monitorización del uso de la red.
La característica principal de OPTENET Server consiste en la categorización de

contenidos que ofrece el sistema. Mediante la combinación de una base de datos de
URLs previamente clasificados y un analizador de contenidos OPTENET Server es capaz
de clasificar las páginas web en varias categorías que pueden combinarse a la hora de
definir las reglas de filtrado.
OPTENET Server puede funcionar como un servidor ICAP integrándose con todo tipo de
appliances o caches que soporten dicho protocolo (instalándose en plataformas
Windows, Linux, Solaris y Aix), también puede instalarse junto con el proxy SQUID 2.5
en plataformas Linux, Solaris y Aix también puede instalarse junto a un Microsoft ISA
Server, Microsoft Proxy Server o con el proxy OPTENET en plataformas Windows. Su
tecnología líder en la selección y filtrado de accesos a Internet va a permitir controlar al
máximo el uso que de Internet realicen todos los puestos conectados a la red.

Para gestionar el acceso a Internet OPTENET cuenta con cuatro niveles de filtrado:
♦ Filtrado en función de análisis semántico del texto que aparece en la página web.
OPTENET analiza cada página en el momento de su descarga desde Internet,
permitiendo con ello un mayor nivel de seguridad.
♦ Filtrado basado en listas predefinidas con direcciones clasificadas manualmente por
especialistas.
♦ Filtrado basado en análisis de URL.
♦ Filtrado basado en listas predefinidas por el propio usuario.
Además, OPTENET Server cuenta con las siguientes características:
♦ Actualización automática de las listas.

♦ Personalización de las listas predefinidas.
♦ Administración vía WWW multidioma (inglés, francés, español)

2. NUEVAS CARACTERÍSTICAS DE LA VERSIÓN 5.21
Estas son las nuevas características y mejoras que presenta la versión 5.21 respecto a su
predecesora la 5.20
• Distribuye la nueva versión de la herramienta de informes (OPTENET Reporter

2.10.). Dicha herramienta puede instalarse en el mismo servidor del filtro o en otro
diferentes (opción recomendada para instalaciones con gran volumen de tráfico)
siendo capaz de recopilar los logs de varios filtros. Para más información leer el
manual del Optenet Reporter.
• Integración con Firewall One.
• El número de categorías pre-establecidas en el filtro más aquellas añadidas por el

administrador ha sido incrementado hasta 128 categorías en total.

3. INSTALACIÓN
En la presente sección se describe la instalación de OPTENET y los requisitos
necesarios en el sistema Windows, Linux o Solaris en los que se vaya a instalar
OPTENET.
3.1. Requisitos del sistema
3.1.1. En sistemas Windows

♦ Microsoft Windows 98 / Me / NT / 2000 / XP / 2003.
♦ OPTENET recomienda la instalación en sistemas Windows Servidor (NT / 2000 / 2003)
debido a la mayor estabilidad de estos últimos. Además en dichos sistemas el
software se instala como servicio pudiéndose arrancar y parar con mayor facilidad.
Último Service Pack de Windows recomendado.
♦ El equipo depende del número de usuarios, pero se recomienda una CPU de al menos
266Mhz y 128 Mbytes de memoria RAM.
3.1.2. En sistemas Linux

♦ Kernel Linux 2.4.0 o superior.
♦ Glibc 2.0.7 o superior, debido al soporte de threads.
♦ Servicio portmap, necesario para la comunicación RPC (si se instala para funcionar
junto con SQUID)
♦ Recomendado Red Hat Linux 7.0 o superior.
♦ El equipo depende del número de usuarios, pero se recomienda una CPU de al menos
266Mhz y 128 Mbytes de memoria RAM.
3.1.3. En sistemas Solaris

♦ Solaris 2.6 o superior
♦ Servicio rpcbind, necesario para la comunicación RPC (si se instala para funcionar
junto con SQUID).
♦ El equipo depende del número de usuarios, pero se recomienda una Sun UltraSPARC
de al menos 200Mhz y 128 Mbytes de memoria RAM.
3.1.4. En sistemas AIX

♦ AIX 4.3.
♦ Servicio portmap para comunicación RPC.
♦ El equipo depende del número de usuarios, pero se recomienda un PowerPC de al
menos 200 MHz y 128 Mbytes de memoria RAM.
♦ GNU tar y gzip para descomprimir archivos.
♦ Librerías de runtime de gcc 3.2.1 para AIX.
3.1.5. Para Mac OS X
♦ Mac OS X 10.3.3 o posterior.

♦ Servicio portmap para la comunicación RPC (ya incluido en Mac OS X).
♦ El equipo depende del número de usuarios pero se recomienda la utilización de un
procesador G4 y de 256 Mo de memoria RAM.
3.2. Instalación
Para que pueda realizar la labor de filtrado OPTENET Server tiene que trabajar siempre
con un proxy. El proxy centraliza el acceso a Internet de todos los usuarios que lo
utilicen por lo que OPTENET Server no tendrá más que acoplarse al proxy para filtrar
toda la red. Si la red a filtrar tiene ordenadores cuyas peticiones web no pasen por el
proxy dichas peticiones no se podrán filtrar de ninguna manera.
Además al final de la instalación de OPTENET Server se le da la posibilidad de instalar

OPTENET Reporter, herramienta que le permite sacar informes del uso de Internet.
3.2.1. En sistemas Windows:

Para instalar OPTENET Server en su servidor ejecute el programa OPTENET-5.21.00-
2.10.00.exe (o versión posterior). Por defecto el instalador arranca en el idioma de su
sistema operativo, y en caso de no ser este uno de los 3 idiomas disponibles, arrancará
en inglés.
Este ejecutable incluye OPTENET Server y OPTENET Reporter. Una vez finalizada la
instalación de OPTENET Server, se le da la posibilidad de instalar OPTENET Reporter.
Puede utilizar este ejecutable para instalar únicamente uno de los dos productos. Para
más información sobre OPTENET Reporter (instalación, configuración,...) consulte el
manual correspondiente.
A continuación se detalla el proceso de instalación de OPTENET Server únicamente.
La primera pantalla que se le muestra es para seleccionar el idioma durante la

instalación tal y como se ve en la siguiente figura.

Figura 3.1: Idioma de la instalación de OPTENET Server.
Se muestra a continuación una ventana donde se pregunta si desea instalar OPTENET

Server. Conteste afirmativamente.
Seguidamente se le pedirá el directorio de instalación del software (vea la Figura 3.2).
Por defecto se utiliza el directorio C:\Archivos de programa\OPTENET pero puede
escoger cualquier otro. Si el directorio escogido no existe será creado por el programa
de instalación.
Figura 3.2: Directorio de instalación de OPTENET Server.
Pulsando el botón siguiente se le permitirá seleccionar el protocolo de comunicación

mediante el cual OPTENET Server se comunicará con el proxy. Para cada protocolo, se
muestran los proxies que trabajan con dicho protocolo.

Figura 3.3: Protocolo de comunicación entre OPTENET Server y el proxy.
Si ha seleccionado RPC en la pantalla anterior entonces puede configurar OPTENET

Server para que trabaje con un proxy Microsoft (ISA Server, MS Proxy Server) o con
OPTENET Proxy.
Figura 3.4: Proxies de Microsoft u OPTENET proxy.
A continuación, debe seleccionar el idioma por defecto de OPTENET Server

(Administración web, Herramienta de informes, logs,...).

Figura 3.5: idioma por defecto de OPTENET Server.
Pulsando el botón Siguiente el programa de instalación instalará todos los elementos

de OPTENET Server y configurará el servidor para que ejecute OPTENET Server la
próxima vez que se inicie (vea la siguiente figura).
Figura 3.6: Copiando OPTENET Server.
Por último, el instalador le preguntará si desea instalar OPTENET Reporter.

Si no lo desea se le pedirá reiniciar el ordenador. Es necesario reiniciarlo para el
correcto funcionamiento de OPTENET Server.
Grupo de programas
OPTENET Server crea un nuevo Grupo de programas con sus elementos más
característicos.

• Contribución: Si escoge este elemento podrá enviar a OPTENET alguna página de
Internet a la que cree que se debe restringir el acceso.
• Desinstalar OPTENET Server: Este elemento desinstala OPTENET Server de su

ordenador.
• Administración: Si escoge este elemento se le abrirá un navegador y se

conectará a la Administración WWW de OPTENET Server.
• Home OPTENET: Este elemento le abrirá un navegador y se conectará a la

página web de OPTENET: http://www.optenet.com.
• Manual de usuario:: Este elemento le permitirá acceder a la última versión

online del manual de OPTENET Server.
Registro de Windows
Para el correcto funcionamiento de OPTENET Server el proceso de instalación realiza
una serie de modificaciones al Registro de Windows.
Para guardar los parámetros básicos de OPTENET Server el programa de instalación

añade la clave HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\
CheckData Si tiene instalado OPTENET Server, junto a un Proxy Server o ISA Server de
Microsoft y además tiene instalado un antivirus que funciona como un plugin ISAPI de
dichos proxies deberá actualizar esta clave con el valor FALSE. En el resto de los casos
(valor por defecto) esta clave llevará el valor TRUE.
DownloadContent Flag que indica a OPTENET Server si debe pedir contenido cuando
está integrado con PIX, Border Manager y CheckPoint. Por defecto “TRUE”, es decir pide
contenido.
FilterServer Servidor donde se ejecuta el servicio de OPTENET Server y al que el plugin
de OPTENET Server debe enviar los datos. El valor por defecto es 127.0.0.1 (máquina
local).
IcapClients Identifica el número de clientes icap a la hora de integrarse con un servidor
ICAP (NetCache, BlueCoat). Por defecto 1.
IcapPort Puerto de escucha del servidor ICAP. El puerto por defecto es 1344.
IcapServices Indica el número de servicios ICAP que se van a utilizar del filtro. Su valor
por defecto es 2. OPTENET Server lo utiliza junto al IcapClients para saber cuántos hilos
necesitará lanzar en su servidor ICAP.
InstallDir Directorio de instalación de OPTENET Server..
Language Identificador del idioma de OPTENET Server y que se seleccionó durante el
proceso de instalación. (eng, esp, fra)
ManagerPort Puerto de escucha de la Administración WWW de OPTENET Server
Server. El puerto por defecto es 10237.
Mode Modo de comunicación entre OPTENET Server y el proxy. Puede tener dos valores:
RPC, ICAP, PIX, UFP, BM, OPT.
Proxy Identificador del proxy con el que esta integrado OPTENET Server (ICA, PIX, BMA,
OPT, MSP,UFP).

RemoveDomain Flag que indica a OPTENET Server como identificar los usuarios y
grupos. Con su nombre (“TRUE” por defecto) o utilizando el nombre del dominio por
delante (“FALSE”, es decir nombredominio\nombreusuario)
Version Identifica la versión de OPTENET Server que tiene actualmente instalada.
SendIpUser Indica a OPTENET Server si debe enviar como parámetros de la página de
stop el usuario y la ip del cliente a quién se le ha parado la página. Por defecto su valor
es FALSE.
LogServerPort Puerto de escucha de OPTENET Server para las petiones de logs que hace
OPTENET Reporter. El puerto por defecto es 10239.
LogServerClients Número de hilos que lanzará OPTENET Server para atender las
petiones de logs que hace OPTENET Reporter. Por defecto es 5.
Para guardar los parámetros básicos de OPTENET Proxy, el proceso de instalación añade
la clave HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Proxy
InstallDir Directorio de instalación de OPTENET Server..
Datos del sistema

Para que OPTENET Server, OPTENET Reporter y OPTENET Proxy puedan ejecutarse como
un servicio de Windows, utilizar el Visor de sucesos y desinstalarse correctamente, el
proceso de instalación de OPTENET añade una serie de claves entre los datos del
sistema que se almacenan en el Registro de Windows:
- HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET

Los datos necesarios para que OPTENET Server pueda ejecutarse como un servicio. En
Windows98 y WindowsMe esta entrada del registro no se añade debido a que no hay
servicios.
- HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET Proxy

Los datos necesarios para que OPTENET Proxy pueda ejecutarse como un servicio. En
Windows98 y WindowsMe esta entrada del registro no se añade debido a que no hay
servicios.
- HKEY LOCAL MACHINE\SYSTEM\Current ControlSet\Services\ Eventlog\Application\OPTENET
Los datos necesarios para que OPTENET Server pueda utilizar el Visor de sucesos para
informar de sus problemas.
- HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Current Version\ Uninstall\OPTENET

Server
Los datos necesarios para que OPTENET Server pueda desinstalarse correctamente.

Figura 3.8: Parámetros de OPTENET Server en el Registro de Windows.
Elementos de OPTENET Server

Los elementos instalados como OPTENET Server se dividen en dos partes principales:
Una que se encarga de la captura de peticiones a Internet, y otra, que gestiona el
filtrado de dichas peticiones.
El primer elemento depende del proxy que se utilice. En los siguientes apartados se
detalla este tema.
El segundo elemento de OPTENET Server es un servicio/proceso de Windows que analiza

las peticiones que recibe del plugin de OPTENET Server instalado junto al proxy o del
cliente ICAP del proxy y decide si dichas peticiones deben permitirse o no. En el caso de
que se trate de un servicio (NT, XP, 2000, 2003), puede ver si se ha instalado
correctamente en los Servicios de Windows (vea la Figura 3.9)
Puede realizar la misma comprobación para OPTENET Reporter y OPTENET Proxy.

Figura 3.9: Servicio de OPTENET Server.
3.2.1.1. Integración con Microsoft ISA-Server

El elemento encargado de la captura de peticiones es denominado OPTENET plugin,
como ya se mencionó en la Introducción. Es un Filtro Web que se añade a Microsoft ISA
Server. Puede ver si se ha instalado correctamente desde la Administración del servidor
ISA (vea la Figura 3.10).

Figura 3.10: Plugin de captura de datos de OPTENET Server.
Microsoft Web Proxy

Microsoft Web Proxy es el proxy que se instala con Microsoft ISA Server. Es un servicio
Windows y como tal puede manejarse mediante la administración de servicios de
Windows. OPTENET Server trabaja en estrecha relación con Microsoft Web Proxy: sólo
puede filtrar aquellas peticiones que pasen por el mismo.
Por lo tanto, si tiene instalado Microsoft ISA Server pero no hace uso de Microsoft Web
Proxy, OPTENET Server no realizará ningún tipo de filtrado. Para que los ordenadores
utilicen Microsoft Web Proxy la forma más habitual consiste en configurar sus
navegadores para este fin. Puede consultar la documentación de Microsoft ISA Server
para establecer un navegador como cliente de Microsoft Web Proxy.
Si no quiere configurar los navegadores para el uso de Microsoft Web Proxy pero utiliza
Microsoft ISA Server como Servidor de seguridad o Servidor SecureNAT de su red puede
encadenar el Servidor de seguridad y el Servidor SecureNAT Microsoft Web Proxy
mediante el Filtro redirector de HTTP. De este modo también conseguirá que las
peticiones web pasen por Microsoft Web Proxy y puedan filtrarse por OPTENET Server.
Puede consultar la documentación de Microsoft ISA Server para obtener más
información acerca de esta posibilidad.
Comunicación entre Microsoft Web Proxy y OPTENET Server

Para que se puedan filtrar las peticiones que pasan por Microsoft Web Proxy OPTENET
Server añade un Filtro Web a Microsoft ISA Server (vea la Figura 3.10). Dicho filtro Web
consiste en un plugin de Microsoft Web Proxy que se encarga de capturar los datos de
las peticiones que pasan por el mismo y enviárselos al servicio de filtrado de OPTENET
Server. Los datos capturados son:
• La dirección IP del ordenador del que procede la petición

• El usuario que realiza la petición (sólo si Microsoft Web Proxy realiza
autenticación)
• La URL de la página solicitada
• El contenido de la página solicitada.
Con estos datos el servicio de OPTENET Server comprueba las reglas de filtrado que
tenga configuradas y decide si la petición debe permitirse o no. Dependiendo del
resultado informa al plugin si debe dejar continuar la petición por su vía normal o por el
contrario bloquearla. En caso de bloqueo el servicio de OPTENET Server indica al plugin
la página de bloqueo a mostrar en lugar de la página solicitada.
La comunicación entre el plugin y el servicio de OPTENET Server se realiza por medio de

llamadas a procedimiento remoto (RPC) por lo que es necesario que el servicio RPC esté
iniciado.
3.2.1.2. Integración con Microsoft Proxy Server
Para el correcto funcionamiento de OPTENET Server con Microsoft Proxy Server, es

importante instalar Proxy Server siguiendo los pasos de instalación recomendados por
Microsoft:
1. Instalar Microsoft Windows NT 4.0 Service Pack 3 (No sustituirlo por Windows NT
4.0 Service Pack 4 o versión posterior.)
2. Instalar Microsoft Internet Explorer 4.01 Service Pack 2 sin la interfaz Active
Desktop.
NOTA: Windows NT Option Pack contiene Internet Explorer 4.01 Service Pack 1,
sin embargo recomendamos que instale Internet Explorer 4.01 Service Pack 2 (No
sustituirlo por Internet Explorer 5.0 o posterior).
3. Instalar Microsoft Windows NT 4.0 Option Pack.
4. Instalar Microsoft Proxy server 2.0.
5. Instalar Microsoft Windows NT 4.0 Service Pack 4 o Service Pack 5 (No instalar las
actualizaciones Y2K ya que son instaladas por MDAC 2.1 Service Pack 2.)
6. (Opcional) Instalar Microsoft Internet Explorer 5.
7. Instalar MDAC 2.1.2.4202.3, que también es conocido como MDAC 2.1 Service
Pack 2.
8. Instalar Microsoft Windows NT 4.0 Service Pack 6a o posterior.
NOTA: Incluso instalando la última versión de Windows NT service pack en el

paso 5, debe reinstalar el último service pack debido a que la instalación de
Windows NT Option Pack reemplaza DLLs que son instaladas por el service pack.
9. Instalar Proxy 2.0 Service Pack 1.
3.2.1.3. Integración con proxy ICAP (modo ICAP)

Una vez instalado OPTENET deberá configurar esas caches o appliances para que utilicen
el servidor ICAP de OPTENET como sistema de filtrado. (Vea el apartado 3.5)

3.2.1.4. Sin proxy adicional (modo Stand-Alone)
El elemento instalado para la captura de peticiones en la versión stand-alone es el

denominado OPTENET Proxy. El OPTENET Proxy es un sencillo proxy distribuido por
OPTENET que se lanza al iniciar el sistema operativo. De esta forma se permite el uso
del filtro OPTENET sin productos adicionales. Los datos capturados por el OPTENET
Proxy son los mismos que los mencionados para el Microsoft Web Proxy. El OPTENET
Proxy no necesita un plugin especial y se comunica directamente con el filtro OPTENET
a través de llamadas a procedimiento remoto (RPC).
Tenga en cuenta que el filtro sólo puede realizar el filtrado si se redirigen las peticiones
HTTP a través del proxy. Para eso, hay que inscribir explícitamente el proxy en las
configuraciones de los navegadores.
Puede consultar el Anexo 4 para saber como configurar OPTENET Proxy.
3.2.1.5. Información específica para Windows 98 y WindowsMe

Como en Windows 98 y Windows Me el concepto servicios de sistema es distinto, tanto
OPTENET Server como OPTENET Proxy y OPTENET Reporter, se instalan como procesos
habituales y se lanzan automáticamente al iniciar el sistema operativo.
3.2.2. En sistemas Linux, Solaris y AIX:

La distribución de OPTENET consta de los siguientes archivos:
♦ optenet-5.21-00-2.10.00.tgz - El archivo con el software de OPTENET Server y
OPTENET Reporter en sistemas Linux y Aix o optenet-5.21.00-2.10.00.tar.Z en
sistemas Solaris.
♦ instalar.sh - El script de instalación.
♦ OPTENETManual.pdf – Documentación de usuario.
♦ OptenetDCAgent2.00.xx.zip – Archivo con el software a instalar en su servidor
Windows, si se está utilizando autenticación de usuarios contra un Dominio NT.
instalar.sh es un shell script, por lo que puede abrirse y modificarse según sea
necesario. Concretamente, durante la instalación, instalar.sh crea un usuario al que
pertenecerá el software de OPTENET. Por defecto este usuario se llama optenet pero
puede editar instalar.sh y cambiar el nombre. También puede modificar el directorio
raíz del usuario, es decir, el directorio de instalación de OPTENET (/usr/local/optenet
por defecto). El usuario se crea sin password pero puede asignarle una mediante la
orden passwd. Lo mismo sucece si decide instalar también OPTENET Reporter. Por
defecto se creará el usuario reporter con su directorio de instalación
(/usr/local/reporter).

Después de crear el usuario, el script de instalación descomprime el archivo optenet-
5.21.tgz en el directorio de instalación y personaliza los scripts de OPTENET.
Durante el proceso de instalación, el instalador le preguntará si desea que OPTENET
funcione como servidor ICAP para integrarse con Appliances que soporten dicho
protocolo, o bien para integrarse con Border Manager de Novell o bien con Cisco PIX
Firewall o que se integre con el SQUID que se distribuye junto con el mismo.
3.2.2.1. Instalación de OPTENET como servidor ICAP (modo ICAP)

La opción ICAP deben elegirla cuando OPTENET se va a instalar en una red que ya tiene
caches o appliances (por ejemplo máquinas NetCache o BlueCoat) que soportan el
protocolo ICAP 1.0. En este caso los scripts de arranque de OPTENET se crearán de
forma que OPTENET arranque su servidor ICAP a la espera de recibir peticiones de
filtrado a través del mismo. Una vez instalado OPTENET deberá configurar esas caches o
appliances para que utilicen el servidor ICAP de OPTENET como sistema de filtrado. (Vea
el apartado 3.5)
3.2.2.2. Instalación de OPTENET con SQUID (modo SQUID)

La opción SQUID instala junto a OPTENET una versión del proxy SQUID modificada para
que se comunique con OPTENET vía RPC (Remote Procedure Call) cada vez que atienda
una petición de conexión a Internet. En este caso los scripts de arranque de OPTENET
son modificados para que arranque simultáneamente a OPTENET y SQUID. Aunque SQUID
escucha peticiones por defecto en el puerto 8080 puede cambiar este puerto editando
el archivo squid/etc/squid.conf del directorio de instalación y modificando la etiqueta
http_port. El archivo squid/etc/squid.conf permite configurar muchos aspectos del
funcionamiento de SQUID. Le recomendamos que lo lea con detenimiento y que lo
ajuste a sus necesidades. Una vez arrancado OPTENET deberá configurar los
navegadores de su red para que utilice SQUID como proxy y de esta forma pueda llevar a
cabo el filtrado.
Con la instalación en modo SQUID por defecto, éste no reconoce usuarios. Para
configurar Squid con la opción de reconocimiento de usuarios deberemos editar el
archivo squid/etc/squid.conf, descomentar el tag auth_param con la autenticación que
nos interese, añadir una entrada en las ACL (access control list) y permitir en el acceso
dicha entrada. Por ejemplo, si se quiere activar el modelo de autenticación básica
basada en un fichero de texto con los usuarios y sus claves hay que añadir las siguientes
líneas al fichero de configuración:
auth_param basic program /usr/local/optenet/squid/libexec/ncsa_auth

/usr/local/optenet/squid/etc/passwd
auth_param basic children 5
auth_param basic realm OPTENET Server
auth_param basic credentialsttl 2 hours
acl password proxy_auth REQUIRED
http_access allow password

http_access deny all

A partir de este momento a cada usuario que quiera acceder a Internet a través del
proxy, la primera vez le será requerida una identificación (usuario - password) para
poder navegar. Este usuario será el que luego se podrá utilizar a la hora de formar
reglas con OPTENET. Por defecto, no hay ningún usuario definido. Podemos crear
usuarios utilizando el script de perl situado en el directorio tools/adduser.pl dentro del
directorio de instalación, de la siguiente forma:
perl adduser.pl usuario password fichero_password
por ejemplo:
# perl adduser.pl luis clave_luis ../squid/etc/passwd
3.2.3. Para Mac OS X

Para Mac OS X, la distribución de OPTENET cuenta con los siguientes ficheros:
♦ optenet-5.21.dmg
♦ OPTENETManual.pdf – Manual de usuario.
♦ OptenetDCAgent2.00.xx.zip –Fichero del software a instalar en el servidor Windows
si se utiliza la autentificación de los usuarios con un dominio NT.
Para instalar OPTNET Server en su servidor, haga doble clic sobre optenet-5.21.dmg.
Aparecerá un nuevo volumen en el Zinder. Haga doble clic en Optenet.mpkg para iniciar
el procedimiento de instalación. El asistente de la instalación se inicia, por defecto, en
el mismo idioma que su sistema operativo, y en caso de no ser una de los 3 idiomas
disponibles, se iniciará en inglés.
A continuación, aparecerá la ventana de bienvenida del software de instalación. Haga
clic en Continuar para ver las condiciones generales de utilización.

Figura 3.11: Ventana de bienvenida del software de instalación
Aquí, puede imprimir o grabar las condiciones generales de utilización. Al hacer clic
sobre Continuar, se le solicitará la aceptación o el rechazo de estas condiciones de
utilización.
Figura 3.12: Ventana de condiciones generales de utilización

Figura 3.13: Ventana de selección del volumen de destino
A continuación, deberá seleccionar el volumen de destino. OPTENET se debe instalar en

el volumen del sistema operativo, este volumen está indicado con una flecha verde.
Figura 3.14: Instalación de OPTENET Server y de OPTENET Reporter

Seguidamente podrá iniciar la instalación de OPTENET Server y OPTENET Reporter
haciendo clic sobre el botón Instalar. Si sólo desea instalar uno de los componentes,
haga clic sobre el botón Personalizar y seleccione el componente deseado.
Figura 3.15: Personalización de la Instalación
Figura 3.16: Fin de la instalación de OPTENET

La instalación del software ha finalizado. OPTENET y su proxy Squid se abren
automáticamente al iniciar el sistema.
3.2.4. Sistema de archivos instalados por OPTENET

OPTENET Server instala los siguientes archivos y directorios a partir de su directorio de
instalación:
manager.html Página HTML que redirige a la Administración WWW de OPTENET Server.

optenet.html Página HTML que redirige a la WWW de la empresa OPTENET.
- Directorio bin: donde se guardan DLLs y ejecutables de OPTENET Server.

optenet.exe El ejecutable del servicio de OPTENET Server en Linux.
Optenet_service.exe El ejecutable del servicio de OPTENET Server en Windows NT,
Windows 2000, Windows XP y Windows 2003.
Optenet_process.exe El ejecutable del servicio de OPTENET Server en Windows 98 y
Windows Me.
messages.dll La DLL con los mensajes de los sucesos de OPTENET Server. Sólo en
Windows.
metabase.dll DLL con funciones auxiliares para instalación y desinstalación de
OPTENET Server. Sólo en Windows.
- Directorio etc: con archivos de configuración de OPTENET Server

*.conf Archivos de configuración de OPTENET Server. Estos archivos no deben ser
modificados. La configuración se debe realizar exclusivamente a través de la
administración WWW de OPTENET.
- Directorio files: con las Bases de datos de URLs y los analizadores de OPTENET Server.
*useryes.edu Archivos con los URLs pertenecientes a las categorías de usuario. Son
archivos de texto simple que pueden modificarse para añadir, modificar o eliminar URLs
a mano.
*usernot.edu Archivos con los URLs no pertenecientes a las categorías de usuario. Son
archivos de texto plano que pueden modificarse para añadir, modificar o eliminar URLs
a mano. Junto a los archivos *useryes.edu forman la Base de datos local de URLs.
Inicialmente no existirán pero se irán creando según se añadan URLs.
list.crp Archivo encriptado y comprimido con el conjunto de listas generales de URLs
categorizadas. En el caso de la corrupción de uno de los ficheros *.edu se desempaqueta
para recuperar los datos. Este archivo aparece a partir del 2º día.
Listxxxx.crp Archivo con la actualización de la Base de datos general de URLs y
analizadores de OPTENET Server. Es un archivo comprimido que sólo aparece durante el
proceso de recarga de listas completas manual ya que se elimina una vez la
actualización se ha completado.
- Directorio logs: donde, por defecto, se guardan los logs que genera OPTENET Server.
updates.log Archivo con los resultados de las actualizaciones automáticas que realiza
OPTENET Server.

requestYYYYMMDD.log Archivo con todas las peticiones y bloqueos HTTP realizadas a
través de OPTENET Server que corresponden al día DD del mes MM del año YYYY. Por
ejemplo request20040422.log contiene todas las peticiones y bloqueos que OPTENET
Server analizó el 22 de abril de 2004.
cluster.log Archivo con información referente a la gestión en cluster.
actions.log Archivo que guarda el registro de acciones realizadas sobre la
administración.
- Directorio manager: Contiene los archivos necesarios para las páginas HTML que
forman la Administración WWW de OPTENET Server.
index.html Página por defecto de la Administración WWW de OPTENET Server. redirige
a la Administración WWW.
- - Directorio esp: Contiene las páginas de la Administración WWW de OPTENET Server

en español.
- - Directorio eng: Contiene las páginas de la Administración WWW de OPTENET Server
en inglés.
- - Directorio fra: Contiene las páginas de la Administración WWW de OPTENET Server en
francés.
- - Directorio deu: Contiene las páginas de la Administración WWW de OPTENET Server
en alemán.
- - Directorio ita: Contiene las páginas de la Administración WWW de OPTENET Server en
italiano.
- - Directorio por: Contiene las páginas de la Administración WWW de OPTENET Server
en portugués.
- - Directorio eus: Contiene las páginas de la Administración WWW de OPTENET Server
en euskera.
- - Directorio cgibin: Contiene código JavaScript utilizado por la Administración WWW

de OPTENET Server.
- - Directorio listclusters: guarda el ejecutable para la gestión en cluster.
- - Directorio stop: donde se aloja la página de stop local. Deben existir tantas carpetas
como idiomas en los que esté disponible.
- Directorio tools con utilidades de OPTENET Server

logrotate.bat Utilidad para la rotación de logs de OPTENET Server. Sólo en sistemas
Linux y Solaris.
optenetcli (cli.conf) Aplicación para administrar OPTENET Server vía línea de

comandos.
backup.bat Utilidad para facilitar las copias de seguridad de OPTENET Server.
restore.bat Utilidad para restaurar las copias de seguridad realizadas mediante la
utilidad backup.bat.
OptenetSnmp (snmp.conf): Ejecutable del Agente SNMP de OPTENET Server. Sólo en
Linux.
stunnellauncher Ejecutable para administrar el filtro de forma segura, https. Sólo en
Linux.
adduser.pl Script que añade un usuario para la Autenticación NCSA con Squid. Sólo
con proxy Squid y sistemas Linux.

addplugin.vbs Script que añade el plugin de OPTENET Server a Microsoft ISA Server.
Sólo en Windows para ISA Server o Proxy Server.
delplugin.vbs Script que borra el plugin de OPTENET Server de Microsoft ISA Server.
Sólo en Windows para ISA Server o Proxy Server.
Aparte de los archivos que se instalan a partir del directorio de instalación, OPTENET
Server instala:
- un archivo en el directorio de instalación de Microsoft ISA Server (por defecto
C:\Archivos de programa\Microsoft ISA Server). Este archivo se llama optenet.dll y es la
DLL que realiza las labores de plugin de captura de datos de OPTENET Server.
3.3. Arranque y parada
3.3.1.1. Inicio y parada del filtro bajo Windows NT, XP, 2000 y2003
La parte principal de OPTENET Server consiste en su servicio de filtrado. Este servicio
puede administrarse desde los Servicios de Windows como cualquier otro servicio: puede
iniciarse, pararse, establecer su tipo de inicio, etc. (vea la Figura 3.9).
El inicio del servicio de OPTENET Server requiere cierto tiempo (alrededor de 3

segundos) durante el cual la CPU del servidor se utiliza casi al 100%: se cargan las Bases
de datos de URLs y los analizadores en memoria, se inicia el proceso de actualización
automática y la Administración WWW de OPTENET Server. Si ocurre algún problema
OPTENET Server escribe un mensaje en el Visor de sucesos del servidor.
3.3.1.2. Inicio y parada del filtro bajo Windows 98

Como en Windows 98 el concepto servicios de sistema es distinto ambas partes, el proxy
OPTENET y OPTENET Server se instalan como procesos habituales. Se lanzan al iniciar el
sistema operativo.
3.3.1.3. El plugin para Microsoft ISA Server

La otra parte de OPTENET Server, el plugin para la captura de datos, se trata de un
Filtro Web de Microsoft ISA Server y puede controlarse desde la Administración del
servidor ISA. Al igual que cualquier otro Filtro Web puede habilitarse o deshabilitarse
según se necesite (vea la siguiente figura). También podrá iniciarlo o detenerlo
mediante el servicio Microsoft Web Proxy (vea la Sección 3.2.1.1).

Figura 3.17: Administración del plugin de captura de datos de OPTENET Server.
Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse
separadamente pero para que el filtrado tenga lugar ambas partes deben estar
funcionando a la vez correctamente.
3.3.1.4. El plugin para Microsoft Proxy Server

La otra parte de OPTENET Server, el plugin para la captura de datos, se trata de un
filtro ISAPI instalado en su servidor Web donde está instalado el Proxy Server. Este
puede controlarse desde la Consola de Administración de su Proxy Server. Al igual que
cualquier otro filtro ISAPI puede habilitarse o deshabilitarse según se necesite (vea la
siguiente figura).

Figura 3.18: Administración del plugin de captura de datos de OPTENET Server para Proxy Server.
Las dos partes de OPTENET Server son independientes y pueden iniciarse o pararse
separadamente pero para que el filtrado tenga lugar ambas partes deben estar
funcionando a la vez correctamente.
3.3.1.5. OPTENET Proxy

En la versión stand-alone está integrado el propio proxy OPTENET que procesa las
peticiones HTTP y HTTPS en lugar de Microsoft ISA Server. Está visible por icono en la
barra de herramientas. Para el caso de que hay que usar un proxy adicional en cascada
hay que introducir su dirección IP y puerto en la ventana de configuración del proxy.
Note que para un uso normal sin proxy adicional no es necesario añadir ningún tipo de
configuración en este apartado. Consulte el Anexo 4 si desea saber más sobre cómo
configurar este proxy.
3.3.2. En sistemas Linux, Solaris y AIX:
Para iniciar OPTENET entre en el sistema como el nuevo usuario creado y ejecute el
script filterinit. Dicho script admite los parámetros start, stop y restart.
Para iniciar el filtro es preciso ejecutar:

# ./filterinit start
Para pararlo se debe ejecutar:
# ./filterinit stop
Puede reiniciar el filtro ejecutando:
# ./filterinit restart
Si tiene algún problema con la instalación puede obtener asistencia técnica escribiendo
a support@optenet.com
3.3.3. Para Mac OS X :

Para iniciar OPTENET, entre en el sistema a través del terminal de usuario. Deberá estar
en administrador e introducir la orden siguiente :
# sudo su - optenet
Introduzca su contraseña. Este script admite los parámetros start, stop y restart. Para
iniciar el filtro, deberá ejecutar :
# ./filterinit start
Para detenerlo, ejecute :
# ./filterinit stop
También puede volverlo a iniciar ejecutando:
# ./filterinit restart
Si tiene problemas durante la instalación, puede ponerse en contacto con el servicio

técnico en servicio@optenet.com
3.4. Arranque y parada automáticos junto al sistema

La configuración por defecto tras la instalación es que el arranque y parada se realicen
automáticamente con el sistema. Si no se desea que arranque con el sistema debe ir a la
Herramienta del Sistema "Administrador de equipos", y en la sección de "Servicios" hay
que modificar el "Tipo de Inicio" del servicio "OPTENET Server" como 'Manual'. (Vea la
Figura 3.6)

3.4.2. En sistemas Linux:
La configuración por defecto tras la instalación es que el arranque y parada de OPTENET
se realicen automáticamente con el sistema. Para establecer OPTENET como un servicio
en el servidor de forma manual y que de esta forma se arranque y se pare
automáticamente cada vez que se arranque o se pare el sistema debe conectarse como
usuario root y seguir estos pasos:
En sistemas Linux con la herramienta chkconfig instalada (Red Hat):
# cp /usr/local/optenet/tools/optenet /etc/rc.d/init.d
# chkconfig --add optenet
Puede consultar que realmente OPTENET ha sido instalado como servicio con la orden:
#chkconfig –list
En sistemas Linux que no disponen de la herramienta chkconfig:
# cp /usr/local/optenet/tools/optenet /etc/init.d
# cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/S99optenet
# cp -s /etc/init.d/optenet /etc/rc.d/rc3.d/K99optenet
3.4.3. En sistemas Solaris

# cp /usr/local/optenet/tools/optenet /etc/init.d
# link /etc/init.d/optenet /etc/rc2.d/S99optenet
# link /etc/init.d/optenet /etc/rc2.d/K99optenet
3.4.4. En sistemas AIX

# cp /usr/local/optenet/tools/optenet /etc/rc.optenet
# mkitab "optenet:2:once:/etc/rc.optenet. start"

3.4.5. Para Mac OS X :
En la configuración por defecto tras la instalación, OPTENET se inicia y se cierra
automáticamente con el sistema. Mac OS X inicia automáticamente OPTENET gracias al
script “Optenet” que se encuentra en /Library/StartupItems/Optenet.
3.5. Configuración de un Appliance BlueCoat para que utilice

OPTENET como sistema de filtrado (ICAP)
Para que OPTENET pueda comunicarse mediante el protocolo ICAP con su Appliance de
BlueCoat éste debe tener instalado el Sistema Operativo Security Gateway 2.1.06 o
posterior. A continuación se describe cómo se debe configurar un Appliance de BlueCoat
(antes CacheFlow) para que utilice OPTENET cómo sistema de filtrado. Para ello debe
seguir estos pasos:
3.5.1. Crear un servicio de modificación de petición (REQMOD)

Conéctese a la administración de su BlueCoat y vaya a la opción ICAP. En la solapa ICAP
Services pulse el botón “New” y cree uno de acuerdo a la figura:
Figura 3.19: Creación de un servicio “request modification”en BlueCoat.

En la casilla “ICAP version” debe asignarse la versión 1.0 de ICAP. En el apartado Service
URL debe especificar la URL contra las que se enviarán las peticiones ICAP por ejemplo:
icap://192.168.0.111/reqmod_bluecoat
Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET, y que se

utiliza como ruta /reqmod_bluecoat, es IMPORTANTE que mantenga esta nomenclatura
para que el servidor ICAP de OPTENET se integre correctamente con su BlueCoat. Ahora
debe marcar como método “request modification” y utilizar el botón “Sense settings”
para forzar que el BlueCoat se conecte con OPTENET y así obtener automáticamente el
resto de los parámetros de configuración del servidor ICAP.
Figura 3.20: Notificación de éxito de obtención de parámetros automática.
Si por alguna razón la comunicación con el servidor ICAP fallase, puede configurar
manualmente el resto de los campos. Deberá seleccionar también la casilla “Client
address” (disponible a partir de la versión SG 2.1.07) para habilitar el envío en el
mensaje ICAP de la dirección IP del cliente que realizó la petición.
3.5.2. Crear un servicio de modificación de respuesta (RESPMOD)

Conéctese a la administración de su BlueCoat y vaya a la opción ICAP. En la solapa ICAP
Services pulse el botón “New” y cree uno de acuerdo a la figura:
En la casilla “ICAP version” debe asignarse la versión 1.0 de ICAP. En el apartado

“Service URL” debe especificar la URL contra las que se enviarán las peticiones ICAP por
ejemplo:
icap://192.168.0.111/respmod_bluecoat
Nótese que la IP corresponde con la IP de la máquina dónde instaló OPTENET y que se

utiliza como ruta /respmod_bluecoat, es IMPORTANTE que mantenga esta nomenclatura
para que el servidor ICAP de OPTENET se integre correctamente con su BlueCoat. Ahora
debe marcar como método “response modification” y utilizar el botón “Sense settings”
para forzar que el BlueCoat se conecte con OPTENET y así obtener automáticamente el
resto de los parámetros de configuración del servidor ICAP. Deberá seleccionar también
la casilla “Client address” (disponible a partir de la versión SG 2.1.07) para habilitar el
envío en el mensaje ICAP de la dirección IP del cliente que realizó la petición.

Figura 3.21: Creación de un servicio “response modification” en BlueCoat.
3.5.3. Establecer una política de acceso web

Una vez definidos los servicios ICAP debemos indicar que todas las peticiones sean
redirigidas contra OPTENET. Para ello debe ir a la opción Policy, solapa Visual Policy
Manager y botón Start para iniciar el Visual Policy Manager.
Una vez iniciado, seleccionamos el menú Edit -> Add Web Access Policy como indica la
figura:
Figura 3.22: Creación de una política de acceso en BlueCoat.
Y configuramos la acción de esa nueva política para que a todas las peticiones de todos
los clientes utilicen el servicio ICAP que hemos llamado optenetreqmod. De esta forma

estamos indicando al BlueCoat que envíe a OPTENET Server todos los accesos web que
se realicen a través de él antes de satisfacerlos para que puedan ser analizados y
determinar si deben ser permitidos o denegados.
Figura 3.23: Conexión de la política y el servicio en BlueCoat
Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes
de cerrar el Visual Policy Manager.
3.5.4. Establecer una política de contenidos web

OPTENET a diferencia de la mayor parte de sistemas de filtrado analiza el contenido
descargado de Internet permitiendo categorizar páginas por su contenido o detectar el
verdadero tipo de archivos renombrados. Para ello es necesario que BlueCoat pase a
OPTENET el contenido descargado antes de ser devuelto al cliente que lo ha solicitado.
Esto se consigue definiendo una política de contenido web. Para ello debe ir a la opción
Policy, solapa Visual Policy Manager y botón Start para iniciar el Visual Policy Manager.
Una vez iniciado, seleccionamos el menú Edit -> Add Web Content Policy como indica la
figura:
Figura 3.24: Creación de una política de contenido en BlueCoat.

Y configuramos la acción de esa nueva política para que los contenidos de todas las
peticiones de todos los clientes utilicen el servicio ICAP que hemos llamado
optenetrespmod. De esta forma estamos indicando al BlueCoat que todos los contenidos
web que se descarguen a través del mismo antes de ser devueltos a los clientes sean
enviados a OPTENET para que puedan ser analizadas y determinar si deben ser
permitidos o denegados.
Figura 3.25: Conexión de la política y el servicio en BlueCoat.
Para guardar los cambios en el Appliance deberá pulsar el botón “Install Policies” antes
de cerrar el Visual Policy Manager.
Si desea activar la autenticación de usuarios debe lanzar el Visual Policy Manager y

crear una Política de autenticación Web. Para más información consulte la
documentación de su BlueCoat.
Completado este último paso ya tiene configurado su BlueCoat para que utilice OPTENET
como sistema de filtrado.

3.6. Configuración de un NetCache para que utilice OPTENET como
sistema de filtrado
A continuación se describe cómo se debe configurar un NetCache para que utilice
OPTENET cómo sistema de filtrado. Para ello debe seguir estos pasos:
3.6.1. Crear un servicio de modificación de petición (REQMOD)

Conéctese a la administración de NetCache y vaya a la opción SetupÆ ICAP Æ ICAP1.0
En la solapa ServiceFarm pulse el botón “New Service Farm” y cree uno de acuerdo a la
Figura 3.20
Figura 3.26: Creación de un servicio REQMOD en NetCache.
En la casilla services debe especificar la URL contra la que se enviarán las peticiones
ICAP por ejemplo:
icap://192.168.0.111:1344/reqmod_netcache on

utiliza como ruta /reqmod_netcache, es IMPORTANTE que mantenga esta nomenclatura
para que el servidor ICAP de OPTENET se integre correctamente con su NetCache.
Pulse “Commit Changes” para salvar cambios.
3.6.2. Crear un servicio de modificación de respuesta (RESPMOD)

Vuelva a crear un nuevo Service Farm de acuerdo a la siguiente Figura 3.21.

Figura 3.27: Creación de un servicio RESPMOD en NetCache
En la casilla services debe especificar la URL contra la que se enviarán las peticiones
ICAP por ejemplo:
icap://192.168.0.111:1344/respmod_netcache on

utiliza como ruta /respmod_netcache, es IMPORTANTE que mantenga esta nomenclatura
para que el servidor ICAP de OPTENET se integre correctamente con su NetCache.
La razón de tener que crear dos Service Farms es que OPTENET a diferencia de la mayor
parte de sistemas de filtrado analiza el contenido descargado de Internet permitiendo
categorizar páginas por su contenido o detectar el verdadero tipo de archivos que han
sido renombrados. El primer Service Farm permitirá que cuando NetCache recibe una
petición antes de atenderla le pase a OPTENET la URL solicitada para que este pueda
decidir si el acceso está permitido. Esta decisión se toma en cuenta comprobando esa
URL contra la base de datos de OPTENET y analizando la propia URL.
El segundo Service Farm permite que cuando NetCache trae un contenido de Internet,
antes de almacenarlo en su caché, le pase a OPTENET dicho contenido. OPTENET lo
analizará y decidirá si está permitido o se debe bloquear.
Una vez definidos los Services Farm debe indicar a qué peticiones se les aplica el filtro.
Para ello debe ir a la opción Access Control List y configurarla de acuerdo a la figura:

Figura 3.28: Configuración de control de accesos conectados a los servicios creados en NetCache.
Es decir, aplicando el filtro a todas las peticiones tanto http como https y ftp.
Por último sólo queda habilitar el servicio ICAP desde la pestaña General de acuerdo a la
figura 3.29.

Si desea activar la autenticación de usuarios consulte la documentación de su NetCache.
Figura 3.29: Habilitado de los servicios creados en NetCache.

4. CONCEPTOS BÁSICOS
A continuación se van a explicar unos conceptos básicos que son necesarios para
poder administrar correctamente OPTENET. Dichos conceptos aparecerán en la parte de
administración.
4.1. Usuario
Dado que OPTENET se comunica con un proxy (como Squid, ISA o proxy OPTENET), o con
un appliance o cache que hacen las funciones de proxy (como BlueCoat o NetCache) el
concepto de usuario es el mismo que el concepto de usuario para estos proxies. Es
decir, OPTENET reconoce los usuarios que sean identificados por estos proxies.
Atención, porque estos usuarios pueden ser independientes de los usuarios de los
sistemas operativos de todos los equipos que acceden a Internet a través del proxy.
Sin embargo, OPTENET también permite Autenticar Usuarios de dominios NT o
servidores LDAP (Vea apartado 5.4)
4.2. Grupo
Normalmente los usuarios pueden formar parte de uno o varios grupos. Ni ISA, ni SQUID,
ni tampoco BlueCoat pasan a OPTENET la información de a qué grupos pertenece el
usuario que está realizando una petición, sólo NetCache aporta esta información. Eso
implica que para que OPTENET pueda obtener esa información deberá comunicarse con
algún dominio NT o servidor LDAP. Para la configuración de este servicio lea el apartado
5.4 de este manual.
4.3. Dirección IP
TCP/IP son las siglas de Transmission Control Protocol/Internet Protocol, el lenguaje
que rige todas las comunicaciones entre los ordenadores en Internet. Todos los
ordenadores conectados a Internet tienen asignada una dirección que es única, con el
siguiente formato:
aaa.bbb.ccc.ddd
Como parte de una regla de OPTENET va a ser posible incluir las direcciones IP de los
ordenadores clientes que van a acceder a Internet.
Sin embargo, hay que tener en cuenta que en ocasiones se coloca un proxy encadenado
antes del filtro y esto puede provocar que todas las peticiones se identifiquen con la IP
de este proxy; consulte la configuración de su proxy si este efecto le sucede de forma
no deseada.

4.4. URL
Siglas de Uniform Resource Locator. Es la dirección de un sitio o de una fuente,
normalmente un directorio o un fichero, en el Word Wide Web y la convención que
utilizan los navegadores para encontrar ficheros y otros recursos distantes. Una URL
puede identificar un fichero, por ejemplo:
http://www.optenet.com/esp/index.htm
o un sitio:
http://www.optenet.com
Con OPTENET podremos permitir o bloquear el acceso a páginas concretas indicando la

URL o bien a sitios enteros o a parte de ellos indicando la URL seguida de un asterisco.
Por ejemplo:
http://www.sitioentero.com/*
4.5. Categoría
Las categorías agrupan los diferentes tipos de contenidos de Internet, por ejemplo,
pornografía, deportes, prensa, etc. Para ello se utiliza dos tipos de listas, además de un
analizador de contenidos y de URLs.
Las dos listas utilizadas son Yes y Not. La lista Yes contiene todas aquellas direcciones
que consideramos que pertenecen a una determinada categoría y la lista Not aquellas
direcciones que consideramos que NO pertenecen a esa categoría. Al final de este
manual tiene un anexo describiendo las categorías de contenidos que proporciona
OPTNET.
4.6. Regla
Es el concepto fundamental en el que está basado el funcionamiento de OPTENET. Las
reglas definen el nivel de filtrado que van a tener todos nuestros accesos a Internet.
Con una regla podemos definir:
♦ Las categorías sobre las que actúa esa regla.

♦ Los usuarios afectados por esa regla.
♦ Los grupos de usuarios afectados por esa regla
♦ Las direcciones IPs de los puestos afectados por esa regla.
♦ Los tipos de ficheros sobre los que puede actuar esa regla.
♦ Los horarios en que se debe aplicar dicha regla.
♦ URLs que queremos que permita directamente esa regla.
♦ URLs que queramos que filtre directamente esa regla. Podemos de esta forma
definir excepciones al funcionamiento de cada regla.

5. ADMINISTRACIÓN
Una vez instalado OPTENET Server es necesario realizar una mínima configuración.
OPTENET Server incorpora un servidor WWW para su configuración y administración.
Este servidor WWW se instala en el puerto TCP 10237 y permite administrar y configurar
OPTENET Server utilizando un navegador WEB.
Si ha instalado OPTENET Server en Windows puede ir al elemento WWW Administración

del Grupo de programas de OPTENET Server (Vea Sección 3.2.1) y le abrirá la
Administración WWW en el navegador que tenga configurado por defecto en su sistema.
También puede accederse remotamente desde cualquier ordenador conectado a la red

accediendo a http://server:10237, donde server será el servidor con OPTENET Server.
Si el equipo donde se ha instalado OPTENET Server es host.domain puede accederse al
servidor WWW en la siguiente URL: http://host.domain:10237. Para poder acceder al
servidor web es necesario haber arrancado previamente OPTENET.
Para asegurar la privacidad de la configuración y administración, el servidor WWW

requiere que el usuario sea autenticado, por lo que pedirá nombre de usuario y
contraseña con una ventana como la de la Figura 5.1. Por defecto, el nombre de usuario
es optenet y la contraseña 12345678. Estos valores pueden ser cambiados desde el
mismo servidor WWW de Administración. Se recomienda cambiarlos nada más instalar
OPTENET Server.
Figura 5.1: Ventana de autenticación de usuario para acceder a la Administración WWW
5.1. Introducción
Es la ventana que aparece por defecto al entrar en la administración, una vez que se
haya autenticado correctamente el usuario. (Vea Figura 5.2)
Presenta una breve introducción de lo que es OPTENET. Si se desea tener la
administración web en otro idioma basta con pulsar sobre la bandera del idioma deseado
(bajo el logotipo de OPTENET) y automáticamente aparecerá la administración en ese
otro idioma. Como ejemplo, en la Figura 5.3 se presenta la ventana de introducción en
alemán.

Figura 5.2: Ventana de Introducción de la Administración WWW.

Figura 5.3: Ventana de Introducción de la Administración WWW en francés.
5.2. Documentación
Icono situado en la parte superior derecha de la ventana de administración que muestra
la documentación en formato HTML.

Figura 5.4: Ventana de Documentación de la Administración WWW.
5.3. Configuración
Dentro de esta opción podemos configurar aspectos como el estado del filtro, establecer
la página de bloqueo o establecer el directorio donde se generan los logs. Veamos cada
una de estas opciones.

Figura 5.5: Ventana de Configuración de la Administración WWW.
5.3.1. Estado Filtro

Seleccionando OFF dejamos OPTENET en estado inactivo, es decir, sin bloquear ningún
acceso, seleccionando ON el filtro estará activo. No debemos equivocar OFF con la
parada del filtro. Aunque seleccionemos el estado OFF, OPTENET Server sigue
ejecutándose pero deja de vigilar los accesos a Internet. Si lo que deseamos es parar el
filtro se debe hacer conectado como el usuario optenet en una sesión telnet contra el
servidor linux, Solaris o AIX y tecleando ./filterinit stop o bien parando el servicio o
proceso en sistemas Windows.
5.3.2. Página de bloqueo

OPTENET Server permite personalizar los mensajes que se muestran a los usuarios
cuando se les bloquea una página que han intentado acceder. Por defecto, el campo
« Página de bloqueo » aparece la palabra clave « local ». De esta forma se muestra la
página de bloqueo local ubicada bajo el directorio de instalación (vea apartado 3.2.3
Sistema de archivos instalados por OPTENET). Para que la página de bloqueo local se
muestre correctamente es necesario que el filtro sea capaz de obtener la ip local del
servidor donde se está ejecutando. Asegúrese que en el fichero de configuración "hosts"
del servidor exista una entrada del tipo "ip nombre del servidor". También es necesario

que desde todos los equipos que se vaya a navegar tengan acceso a esa página de
bloqueo. En el caso de que con la configuración "local" no pueda ver la página de
bloqueo pruebe a poner como página de bloqueo:
http://ip_del_servidor_optenet:10237/cgi-bin/stop. Suponiendo que OPTENET se
ejecuta en la ip 192.168.0.235 la página de bloqueo sería:
http://192.168.0.235:10237/cgi-bin/stop
La Figura 5.6 muestra la página de bloqueo por defecto de OPTENET Server. Lo habitual
es crear una página web propia y personalizada situarla en la Intranet de su organización
y establecerla como la página de bloqueo de OPTENET Server.
Figura 5.6: Página de bloqueo de OPTENET Server.
Esta página Web de respuesta pueden generarse dinámicamente mediante un CGI un asp
o un php... Encontrará dos páginas de bloqueo de ejemplo en el directorio tools
(stop.asp y stop.php) que podrá personalizar a su gusto y colocar en su Intranet
configurándolas posteriormente como páginas de bloqueo.
Si las páginas de respuesta se generan dinámicamente, se puede recoger la información

que OPTENET Server envía a la página de bloqueo. El CGI/ASP de respuesta recibe en el
query string (método GET) las siguientes variables:
♦ URL Æ indica la URL que ha sido bloqueada.

♦ DATETIME Æ fecha y hora en que se ha efectuado dicha petición.
♦ RULE Æ regla que ha bloqueado esa URL.
♦ CAT Æ categoría a la que pertenece la URL bloqueada.
♦ FILE Æ tipo de fichero de la URL bloqueada.

Si además tiene ha activado el envío de usuario y de la ip como parámetro de la página
de stop entonces recibirá dos parámetros más:
♦ USER Æ usuario que realizó la petición.
♦ IP Æ ip del equipo desde dónde se realizó la petición.
En envío de estos parámetros está desactivado por defecto, por razones de seguridad. Si
desea activarlo deberá establecer como valor TRUE en la clave del registro de windows:
HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\SendIpUser
Si tiene instalado OPTENET Server en un sistema Linux, Solaris o Aix entonces deberá
modificar el script /usr/local/optenet/RunOPTENET añadiendo como parámetro de
optenet_server -send_ip_user TRUE. Después en ambas plataformas deberá reiniciar el
filtro para que el cambio tenga efecto.
Esta información puede ser muy útil, podemos utilizarla para enviar un e-mail al
administrador o para recoger estadísticas.
5.3.3. Directorio logs

En este apartado puede configurar el directorio donde OPTENET dejará sus logs.
OPTENET Server guarda los siguientes tipos de logs:
5.3.4. Configuración de log
5.3.4.1. Encriptación de información sensible

Activando esta opción forzará que OPTENET escriba en sus logs la ip, el usuario y los
grupos a los que pertenece el usuario que realiza cada petición de forma encriptada.
Por defecto esta opción está desactivada.
5.3.4.2. Registrar en log

Desde aquí puede seleccionar la información que OPTENET va a registrar en sus ficheros
de logs (requestYYYYMMDD.log). Los valores que puede seleccionar son:
♦ Nada, indica que el filtro no registrará en el log ninguna de las peticiones que le
llegan para analizar, es decir, no se registran logs.
♦ Sólo bloqueos, indica que el filtro registrará en los logs únicamente aquellas
peticiones que hayan sido bloqueadas.
♦ Accesos, indica que el filtro registrará todas las peticiones que le lleguen para
analizar, tanto las que bloquee como las que permita pasar.
5.3.4.3. Número de días de información a guardar

Aquí puede configurar el número de días completos de información de logs que desea
que el filtro guarde. Por defecto, su valor es 1 lo que indica que el filtro mantendrá
siempre los logs completos del día anterior además de los del día actual. Al realizar el
cambio de día, el filtro borrará todos los logs anteriores al periodo de días especificado.
A diferencia de versiones anteriores de OPTENET Server, dónde el módulo de informes
iba integrado con el filtro y dónde los logs se iban acumulando en el directorio de logs
del filtro, esta en está versión el filtro no realiza acumulación de logs. Es OPTENET
Reporter el que una vez instalado y configurado le solicita al los filtros que tenga
configurados los logs que poseen y va realizando en su propio directorio de logs la
acumulación de los datos que va recibiendo de cada filtro. El hecho de que OPTENET
Reporter deje de funcionar temporalmente y OPTENET Server siga funcionando no

implica que los logs generados durante ese periodo se pierdan y no se puedan sacar
informes sobre ellos. Ya que la siguiente vez que se arranque OPTENET Reporter
comenzará a solicitar a OPTENET Server los logs desde la última parte que recibió. De
esta forma si esos logs todavía no han sido borrados por el filtro entonces podrán ser
recuperados por el Reporter. Un día de información a guardar debe ser suficiente para
que el Reporter y el filtro sincronicen sin problemas sus logs.
5.3.4.4. Campos del log

Desde este apartado puede seleccionar libremente los campos que desea que sean
recogidos en los logs de OPTENET Server, tenga en cuenta que el desactivar algún
campo impide que posteriormente pueda sacar informes con OPTENET Reporter
utilizando esa información, por ejemplo si desactiva el campo usuario luego no podrá
sacar informes ordenado o agrupadas por usuario.
5.4. Autenticación
Si desea establecer reglas de filtrado por usuarios o por grupos de usuarios es necesario
que su proxy o appliance esté configurado para realizar autenticación de usuarios o bien
que dicha autenticación la realice directamente OPTENET. De lo contrario solamente
podrá establecer reglas de filtrado por las IPs de los equipos que acceden a Internet.
Figura 5.7: Ventana de Autenticación de la Administración WWW.

5.4.1. Origen de datos(usuarios y/o grupos)
En el caso de querer establecer reglas de filtrado por usuarios y/o por grupos OPTENET
le puede facilitar el listado de los usuarios y los grupos desde los apartados
usuarios/grupos dentro de cada regla de filtrado. Para que OPTENET sea capaz de
mostrarle esta información es necesario que en el apartado "Autenticación" -> "origen de
datos" seleccione cuál es la fuente de datos que utilizará OPTENET para conseguir los
usuarios y grupos. Además como se comenta en la sección 4.2 la mayor parte de los
proxies o caches (en realidad todos menos NetCache) no envían al filtro los grupos a los
que pertenece el usuario que está realizando la petición por lo que OPTENET necesita
averiguar dicha información. Seleccionando el tipo de fuente de datos y configurando
adecuadamente cada posible fuente, OPTENET será capaz de listar los usuarios, los
grupos y preguntar los grupos de cada usuario.
A continuación se describen los orígenes de datos con los que OPTENET es capaz de
trabajar.
5.4.1.1. LDAP
Seleccione la opción LDAP si en su organización se gestionan cuentas de usuarios y
grupos con servidores LDAP. Ejemplos de estos servidores son Active Director de
Windows, Lotus Dominio, implante. Después de seleccionar la opción LDAP y pulsar el
botón Aceptar en la ventana "Autenticación de usuarios" deberá pulsar el botón LDAP
para definir cuantos servidores LDAP sean necesarios.
Pulsando el botón LDAP accederá a la ventana de configuración de los servidores LDAP.
Figura 5.8 Configuración de los Servidores LDAP.

5.4.1.1.1. Lista de servidores LDAP
En este apartado se configuran los servidores LDAP con los que OPTENET Server se
comunicará para obtener el listado de usuarios, de grupos y consultar los grupos de un
usuario. OPTENET permite definir más de un servidor LDAP.
A la hora de consultar los grupos de un usuario, OPTENET siempre consultará al primer
servidor definido en la lista, y pasará a consultar a siguiente si este primero no responde
o si ese usuario no está definido en el primero. Por ello es fundamental el orden en que
se establezcan estos servidores. A la hora de listar todos los usuarios o grupos OPTENET
consultará a todos los servidores y mostrará el total de usuarios y grupos obtenidos.
Desde está opción podrá añadir un nuevo servidor LDAP, modificar o borrar uno
existente, y también establecer el orden de los mismos.
5.4.1.1.2.Servidor LDAP
En este apartado se configura el servidor LDAP elegido. Al agregar un servidor nuevo se
crea una entrada nueva con un nombre aleatorio y con el puerto LDAP estándar 389.
Para cada servidor LDAP deberá configurar los siguientes datos:
• Nombre: nombre con el que va a identificar este servidor LDAP dentro de la lista,
este nombre es simplemente simbólico pero debe ser único dentro de la lista de
servidores LDAP que defina.
• Servidor: nombre o dirección IP del servidor LDAP. Recomendamos insertar si es
posible siempre la dirección IP para que las consultas LDAP sean más rápidas y no
se tenga que resolver el nombre en cada una de ellas.
• Puerto: puerto donde escucha el servidor LDAP.
• Administrador: DN y clave de acceso al servidor LDAP. Si el servidor LDAP
permite lecturas anónimas pueden dejarse vacías.
• Base: base para las búsquedas de usuarios y grupos.
• Tipo: tipo de servidor LDAP.
El tipo de servidor LDAP sirve para indicar al filtro la manera en la que debe obtener los
usuarios, los grupos y las relaciones entre ambos. Para obtener esa información el filtro
requiere los siguientes datos:
• Objetos de usuario: filtro LDAP para buscar los objetos con la información de los
usuarios. Por ejemplo: (objectClass=inetOrgPerson), (objectClass=rvUser), etc.
• Nombres de usuario: atributo LDAP que se utilizará como nombre de los usuarios. Por
ejemplo: uid, shortname, etc.
• Miembros de usuario: condición que se aplica a los objetos de usuario para obtener
los grupos a los que pertenecen. Por ejemplo: (memberOf=cn=%cn%), (ou=%ou%),
etc. Nótese que puede indicarse entre % el atributo de los objetos de grupo que
debe cumplir la condición para que el usuario se considere miembro de ese grupo.
• Objetos de grupo: filtro LDAP para obtener los objetos con la información de los
grupos. Por ejemplo: (objectClass=groupOfUniqueNames), (objectClass=rvGroup),
etc.
• Nombres de grupo: atributo LDAP que se utilizará como nombre de los grupos. Por
ejemplo: cn, ou, etc.
• Miembros de grupo: condición que se aplica a los objetos de grupo para obtener los
usuarios que pertenecen a los mismos. Por ejemplo: (uniqueMember=%dn%),
(memberUid=%uid%), etc. Nótese que puede indicarse entre % el atributo de los

objetos de usuario que debe cumplir la condición para que el grupo incluya a ese
usuario como miembro suyo.
Figura 5.9 Configuración de un servidor LDAP ActiveDirectory
A continuación se muestra un ejemplo de una configuración de un servidor LDAP. En

este ejemplo los usuarios consisten en objetos de tipo inetOrgPerson y su nombre se
extrae del atributo uid. Los grupos consisten en objetos de tipo groupOfUniqueNames y
su nombre se extrae del atributo cn. Para conocer los grupos a los que pertenecen los
usuarios sólo se consultan los objetos de grupo (el apartado Miembros de Usuarios está
vacío) y como condición se establece que el atributo uniqueMember incluya el uid del
usuario en el formato dado.

Figura 5.10 Configuración de un servidor LDAP iPlanet
5.4.1.2. Dominios Windows

Seleccione la opción Dominios Windows si en su organización se gestionan las cuentas de
usuarios y grupos con Dominios Windows, tanto NT como Windows 2000 o 2003
instalados en modo mixto. Como requisito deberá haber instalado previamente OPTENET
DCAgent 2.xx. en un servidor Windows de su red que tenga acceso a los controladores de
domino que desea consultar. Este software se encarga de consultar los controladores de
dominios para extraer los usuarios, grupos y los grupos de cada usuario. A su vez,
OPTENET server se comunica con OPTENET DCAgent para obtener esta información.
* Puede descargar este software de la web de OPTENET. Se recomienda también que

consulte su manual antes de proceder a la instalación.
5.4.1.2.1.Servidores de Dominios Windows

En este apartado se configuran las máquinas Windows donde se ha instalado OPTENET
DCAgent 2.xx con los que OPTENET Server se comunicará para obtener el listado de
usuarios, de grupos y consultar los grupos de un usuario. OPTENET permite definir más
de un DCAgent.
A la hora de consultar los grupos de un usuario, OPTENET siempre consultará al primer
servidor definido en la lista, y pasará a consultar a siguiente si este primero no responde

o si ese usuario no está definido en el primero. Por ello es fundamental el orden en que
se establezcan estos servidores. A la hora de listar todos los usuarios o grupos OPTENET
consultará a todos los servidores y mostrará el total de usuarios y grupos obtenidos.
Figura 5.11 Configuración de Servidores Windows.
Desde está opción podrá añadir un nuevo OPTENET DCAgent, modificar o borrar uno
existente, y también establecer el orden de los mismos.
5.4.1.2.2. Dominio Windows

En este apartado se configuran los datos del OPTENET DCAgent seleccionado. Al agregar
un servidor nuevo se crea una entrada nueva con un nombre aleatorio y con el puerto de
escucha del DCAgent estándar 10240. Para cada servidor DCAgent deberá configurar los
siguientes datos:
• Nombre: nombre con el que va a identificar este servidor dentro de la lista, este
nombre es simplemente simbólico pero debe ser único dentro de la lista de
servidores que defina.
• Servidor: nombre o dirección IP donde está instalado y ejecutándose el DCAgent.
Recomendamos insertar si es posible siempre la dirección IP para que las
consultas sean más rápidas y no se tenga que resolver el nombre en cada una de
ellas.
• Puerto: puerto donde escucha el DCAgent

.
Figura 5.12 Configuración de un Servidor Windows.
5.4.1.3. OPTENET Proxy
Seleccione la opción OPTENET proxy si ha instalado OPTENET Server en un sistema

Windows y ha elegido el proxy OPTENET en la instalación. De esta forma OPTENET le
mostrará en el apartado "Reglas de filtrado" -> "usuarios" los usuarios que OPTENET
proxy es capaz de autenticar. OPTENET Proxy no trabaja con grupos de usuarios por lo
que no será posible establecer reglas por grupos de usuario si su organización está
navegando a través de OPTENET proxy.
Pulsando el botón OPTENET Proxy accederá a la pantalla que se muestra en la Figura

5.13 desde donde se añaden o eliminan los usuarios junto a sus claves de acceso que
OPTENET Proxy es capaz de reconocer. En el momento que se introduzca un primer
usuario junto a su clave OPTENET proxy comenzará a solicitar autenticación a todo
aquél que navegue a través suyo, cuando se elimine el último usuario OPTENET Proxy
dejará de solicitar autenticación de usuarios.

Figura 5.13 Configuración de OPTENET Proxy.
5.4.1.4. Squid NCSA
Seleccione la opción Squid NCSA si ha instalado OPTENET Server en entornos UNIX

(Solaris, Aix, FreeBSD o Linux), ha elegido la opción RPC que instala Squid junto con
OPTENET y además ha configurado Squid para que solicite autenticación básica NCSA. De
esta forma conseguirá que OPTENET le muestre en el apartado "Reglas de filtrado" ->
"usuarios" la lista de usuarios de Squid es capaz de autenticar. En realidad OPTENET
realiza una búsqueda del tag "auth_param basic program" del fichero de configuración
de Squid (squid.conf) para obtener el fichero de usuarios, recorrerlo y de esta forma
extraer la lista de usuarios. La autenticación NCSA de Squid no trabaja con grupos de
usuarios por lo que no será posible establecer reglas por grupos de usuario si su
organización está navegando a través de Squid en el que tiene configurado
autenticación NCSA.
5.4.2. Activar autenticación propia

Si su proxy o appliance no está configurado para realizar autenticación de usuarios,
todos los usuarios podrán acceder a Internet sin necesidad de identificarse
(introduciendo un nombre de usuario y una clave). Esto implica que OPTENET no recibe
la información de qué usuario realiza cada petición no pudiendo aplicar reglas de
filtrado basadas en usuarios o grupos,, y pudiendo establecer diferentes políticas
únicamente por las IPs de los equipos que acceden a Internet.

Para poder establecer políticas de filtrado por usuarios o grupos de usuarios tenemos
dos opciones:
• A) Configurar su proxy o appliance para que realice autenticación de usuarios

(opción recomendada) o
• B) Configurar OPTENET para que sea él mismo quién identifique a los usuarios que
están navegando.
En el caso de la opción A) en la que es el proxy o cache quién está autenticando

usuarios, dicho proxy envía a OPTENET con cada petición WEB el usuario que la
solicita. OPTENET deberá en este caso obtener los grupos de dicho usuario para lo que
utiliza el origen de datos que se haya configurado (LDAP o dominios Windows,
recordemos que con el proxy OPTENET o Squid NCSA no se pueden establecer reglas de
filtrado por grupos)
La opción B) consiste en que sea OPTENET quién identifique a los usuarios que están
navegando. Para activarla hay que marcar el tic de la casilla "Activar autenticación
propia" de la ventana autenticación de usuarios. Esta opción puede ser útil para
organizaciones dónde el proxy/cache no realiza autenticación de usuarios o que dicha
cache no envía al filtro qué usuario está realizando cada petición. En este modo de
funcionamiento OPTENET realiza una asociación entre las IPs que recibe en cada
petición y los usuarios que están navegando desde dichas IPs por lo que es estrictamente
necesario que al proxy/cache y por lo tanto a OPTENET lleguen las peticiones
identificadas por su IP de origen y no por la IP de un router o gateway intermedio. A
continuación se describe el proceso de identificación que realiza OPTENET:
1. Un usuario comienza a navegar por Internet, realiza las peticiones web al proxy y
este se las pasa a OPTENET para que decida si deben pasar o ser bloqueadas.
2. OPTENET extrae la dirección IP de la petición y la comprueba contra su tabla interna
que contiene pares IP y usuarios.
3. Como dicha IP es nueva OPTENET todavía no sabe qué usuario está detrás de dicha
petición. Para averiguarlo tiene dos métodos:
3.1 Si está seleccionado como origen de datos "LDAP", OPTENET redirige dicha
petición contra su servidor de autenticación exigiendo al usuario que está
navegando que introduzca un usuario y una clave y lo contrastara con los datos
de los servidores LDAP definidos. Una vez comprobado se establece la relación
entre esa IP y ese usuario de modo que todas las peticiones que provengan de esa
misma IP serán consideradas de ese mismo usuario durante el "intervalo de
petición de la autenticación" que se puede definir en la misma ventana.
3.2 Si está seleccionado como origen de datos "Dominios Windows", OPTENET

realiza una petición a los DCAgents configurados preguntándoles que usuario
entró en sesión contra los dominios Windows desde esa IP. De esta forma
OPTENET es capaz de identificar a usuario sin necesidad de que éste introduzca
un nombre y una clave. A esta modalidad también es denominada autenticación
transparente y como se puede intuir es necesario que dicho usuario haya
entrado en sesión previamente contra un Dominio Windows. Una vez recibida esa
información del DCAgent OPTENET guarda esa la relación entre esa IP y ese
usuario de modo que todas las peticiones que provengan de esa misma IP serán
consideradas de ese mismo usuario durante el "intervalo de petición de la
autenticación" que se puede definir en la misma ventana.

3.3 Si está seleccionado como origen de datos "OPTENET Proxy" la opción
"activar autenticación propia" no tiene efecto. OPTENET extrae de la petición
que le llegua del proxy el usuario que este le pase y no hay posibilidad de
obtener grupos ya que el proxy no se los envía. Para que OPTENET Proxy solicite
autenticación de usuarios será necesario que haya creado uno o mas usuarios en
el apartado "OPTENET Proxy".
3.4 Si está seleccionado como origen de datos "Squid NCSA" la opción "activar
autenticación propia" no tiene efecto. OPTENET extrae de la petición que le
llegua de Squid el usuario que este le pase y no hay posibilidad de obtener grupos
ya que el proxy no se los envía. Para que Squid solicite autenticación de usuarios
será necesario que lo haya configurado adecuadamente, consulte el ejemplo que
aparece en la sección "Instalación de OPTENET con SQUID" de este manual.
4. Transcurrido el intervalo de "petición de la autenticación" se repite el paso 3 para

comprobar si es el mismo usuario quién sigue navegando o por el contrario es otro
diferente.
Resumiendo este punto, OPTENET puede realizar autenticación de usuario siempre que
reciba la IP que está realizando la petición y además los usuarios entren en sesión
contra un dominio Windows o bien dispongamos de un servidor LDAP que pueda validar
los usuarios con sus claves.
No es aconsejable que tanto el proxy/cache como OPTENET realicen ambos ya que en

este caso OPTENET desecha la información de usuario que le envía el proxy/cache e
intenta establecer su propia autenticación.
5.4.3. Nombre o IP del servidor

En esta casilla se debe introducir la IP o el nombre del servidor donde está instalado
OPTENET. Si dicho servidor posee más de un interfaz de red debe insertarse el interfaz
de red que sea accesible desde toda la Intranet. En el caso de dejar en blanco dicha
casillas OPTENET obtiene la dirección IP consultando directamente al servidor. En el
caso de tener varios interfaces de red OPTENET se queda con el primero que esté
configurado que coincide con el primero mostrado por los comando (ifconfig o ipconfig).
Esta casilla sólo es válida si se ha activado la autenticación de usuarios. Para que
OPTENET pueda realizar autenticación de usuarios LDAP el servidor donde se está
ejecutando OPTENET debe ser accesible desde todos los puestos de la Intranet (bien
directamente o bien a través del proxy), en concreto el puerto donde se redirigirán las
peticiones de autenticación. En esta opción puede escribir la IP "visible" de toda la
Intranet de ese equipo, o el nombre "visible" de ese equipo desde toda la Intranet.
Tenga en cuenta que es posible que tenga que añadir dicho nombre de equipo a su
servidor DNS para que las peticiones de autenticación sean resueltas.
5.4.4. Puerto
En este puerto se queda escuchando el servidor de autenticación de OPTENET. Una vez
cambiado el valor de este puerto debe reiniciar OPTENET para que dicho cambio tenga

efecto. Su valor por defecto es 10238. Esta casilla sólo es válida si se ha activado la
autenticación de usuarios.
5.4.5. Intervalo de petición de la autenticación

Es el tiempo indicado en segundos durante el cual OPTENET considera válidas las
asociaciones que establece entre IPs y usuarios. Transcurrido dicho tiempo en segundos
OPTENET intentará otra vez resolver el usuario como se indica en el tercer punto del
proceso de autenticación explicado anteriormente.
Este tiempo indica los segundos durante los cuales OPTENET considera válidos la
asociación de un usuario con sus grupos. Transcurrido dicho tiempo cuando reciba la
próxima petición de navegación de ese usuario OPTENET volverá a consultar los grupos
de dicho usuario.
5.5. Categorías
OPTENET Server le permite crear y gestionar sus propias categorías. Para ello basta con
indicar el nombre de la categoría que quiera crear y tras un corto intervalo de tiempo la
categoría estará disponible en todo el filtro. Tenga en cuenta que no se puede añadir
una categoría con un nombre que ya exista de antes, así como borrar una categoría que
no se haya añadido anteriormente. Por otro lado, entre las categorías preestablecidas
del filtro y las añadidas por el administrador no se pueden tener más de 128 categorías
en total. El proceso de borrado de una categoría es costoso en tiempo y recursos en el
servidor dónde está instalado OPTENET Server, pudiéndole llevar varios segundos.

Figura 5.14: Ventana para añadir Categorías de la Administración WWW.
5.6. Clasificación URLs

En esta opción podremos añadir URLs a las diferentes categorías indicando si esa URL
pertenece a una categoría o si no pertenece.
Figura 5.15: Ventana para Clasificación de URLs de la Administración WWW.
Esta opción es muy útil a la hora de desbloquear URLs que OPTENET asocia a una
determinada categoría pero que el administrador no considera que deben pertenecer a
dicha categoría.

Figura 5.16: Clasificación de URLs como pornografía.
Desde esta pantalla podemos insertar una URL en varias categorías a la vez, esto puede
suceder dado que las categorías no son conjuntos excluyentes. Por ejemplo, la prensa
deportiva está categorizada a la vez como prensa y como deportes. La precedencia de
estas listas de usuario es mayor que las listas predefinidas por OPTENET, esto permite
desbloquear URLs que OPTENET filtre, o bloquear URLs que OPTENET no bloquea.
Es posible indicar que una única página pertenece o no pertenece a una categoría
introduciendo la URL completa, por ejemplo,
http://www.dangerousplace.com/index.htm
o por el contrario indicar que todo un sitio web pertenece o no a una categoría
indicándolo con un * al final, por ejemplo,
http://www.dangerousplace.com/*
También es posible utilizar el asterisco como comodín al principio y en medio de la URL.

De esta forma podemos indicar que todos los host pertenecientes a una organización
pertenecen a una determinada categoría, por ejemplo,
http://*.dangerousplace.com*
Pulsando sobre el icono que hay a la derecha de cada categoría podemos editar la lista
de las URLs que hemos ido añadiendo a esta categoría. Esta lista se presenta ordenada
alfabéticamente para una mayor facilidad a la hora de localizar elementos concretos.
Desde la siguiente pantalla podemos añadir nuevas URLs a la lista de las que pertenecen

a una categoría, eliminar alguna si la hemos introducido por error. También se pueden
editar las listas de las URLs que no pertenecen a una categoría.
5.7. Reglas de Filtrado

Con las reglas de filtrado podemos personalizar cómodamente OPTENET Server para
adaptarlo a las necesidades de nuestra red.
En esta opción podrá definir esas reglas y todos su criterios: Grupos de IPs, Usuarios,
Grupos de Usuarios, Categorías, URLs, Ficheros y Horarios.
Debemos tener en cuenta que en el caso de conflicto entre reglas se tiene en cuenta su
precedencia. Es decir, si al analizar si una petición debe bloquearse o no, a esa petición
se le pueda aplicar más de una regla (porque ese usuario está incluido en más de una
regla) la que decide es la que antes aparezca en el orden de precedencia.
Figura 5.17: Ventana Reglas de Filtrado de la Administración WWW.
Una vez seleccionada la opción de Reglas de Filtrado aparece la siguiente ventana

donde podemos ver todas las reglas que tenemos definidas en el sistema y su orden de
precedencia.
Desde aquí podemos crear una nueva regla, modificar o eliminar una existente, alterar
su orden de precedencia y ver un resumen de lo que contiene esa regla. Para ello sólo
tenemos que seleccionar la regla que deseamos modificar y pulsar sobre el botón
correspondiente. Obtenemos entonces otra ventana donde aparece el nombre de la
regla seleccionada y las operaciones que podemos hacer.

Figura 5.18: Ventana principal de Modificación de una Regla de Filtrado.
5.7.1. Cambiar Nombre

Desde esta opción podremos cambiar el nombre a la regla. Por defecto, cuando se crea
una regla nueva, aparece con el nombre Rnúmero. Desde aquí podremos darle un
nombre significativo a esa regla.

Figura 5.19: Ventana para Cambiar el Nombre de una Regla de Filtrado.
5.7.2. Acción
La acción indica si esa regla servirá para permitir o por el contrario para denegar los
accesos a las categorías que se seleccionen en dicha regla. Esta opción se selecciona en
la Ventana principal de Modificación de una Regla de Filtrado, Figura 5.18.
5.7.3. Categorías
En esta opción podrá seleccionar las categorías de contenidos a las que se aplica dicha
regla.

Figura 5.20: Ventana para Seleccionar las Categorías que debe tener en cuenta una Regla.
5.7.4. Ficheros
En este apartado podrá seleccionar los tipos de Ficheros a los que debe aplicarse la
Regla, si no selecciona ninguno la regla no los tendrá en cuenta. OPTENET identifica los
tipos de archivos mostrados en la columna de la izquierda (avi, exe, mp3, mpeg, zip)
haciendo un análisis del contenido del fichero, siendo capaz de detectar la multitud de
archivos renombrados que existen en Internet con el fin de evitar el filtrado por
extensión. Esta característica que le diferencia de otros sistemas de filtrado es capaz de
implementarla porque también analiza el contenido del fichero descargado de la red.
Además de estos tipos de archivos también es posible incluir otros diferentes
escribiendo su extensión en el cuadro de texto "no incluidos" y pulsando el botón ">>".
Estos tipos de archivos se filtrarán únicamente extrayendo la extensión del archivo que
está siendo descargado.

Figura 5.21: Ventana para Seleccionar los tipos de Fichero a tener en cuenta por una Regla.
5.7.5. IPs
En esta opción podemos definir grupos de IPs clientes sobre los que va a actuar la regla
seleccionada.
Figura 5.22: Ventana para Seleccionar las IPs a tener en cuenta por una Regla.

Para ello debemos tener en cuenta lo siguiente: si no indicamos ninguna IP, entonces
esta regla actuará sobre todas las peticiones que le lleguen desde cualquier IP. En el
caso de indicar alguna dirección entonces la regla se aplica únicamente a las peticiones
que le lleguen de esa o esas IPs clientes, para el resto de las peticiones se consideran
que no es aplicable esta regla.
Es posible indicar IPs sueltas, introduciendo únicamente la IP en el campo Desde: o bien
indicar rangos de IPs, introduciendo la IP inicial en el campo Desde: y la IP final en el
campo Hasta: .
5.7.6. Usuarios
En esta opción, podrá añadir y borrar Usuarios a los que se aplicará dicha regla.
Figura 5.23: Ventana para Seleccionar los Usuarios a tener en cuenta por una Regla.
Para poder establecer reglas por usuarios deberá configurar su proxy o appliance para
que realice autenticación de usuarios o bien forzar que sea el propio OPTENET quien
realice la autenticación, activando en el apartado configuración la opción "activar
autenticación".
Para que aparezcan en la lista de no incluidos los usuarios de su servidor LDAP, Domino
Windows NT, OPTENET Proxy o NCSA de SQUID deberá previamente tener configurado
dicho servidor desde la opción "autenticación". Pulsando el botón refrescar aparecerán
todos los usuarios. Si no apareciese ninguno en el syslog del sistema (fichero
/var/log/messages en Linux o /var/adm/messages en Solaris o AIX) o bien en el visor de
eventos en sistemas Windows aparecerá la causa por la que no se pudieron obtener los
usuarios de dicho servidor.

Al igual que sucede con las IPs, si no indicamos ningún usuario, esta regla se aplicará a
todos, pero si indicamos alguno, la regla se aplicará sólo a los usuarios seleccionados.
5.7.7. Grupos de usuarios
En esta opción, podrá añadir y borrar Grupos de usuarios a los que se aplicará dicha
regla. Para que aparezcan en la lista de no incluidos los grupos de un determinado
servidor LDAP o de un Dominio Windows previamente deberá tener configurado dicho
servidor desde la opción "autenticación" y pulsar el botón refrescar. Si en una regla se
indican usuarios de forma individual y además grupos de usuarios, esa regla se aplicará a
un usuario si ese usuario está en la lista de los usuarios introducidos en la regla o si
alguno de los grupos a los que pertenece ese usuario está en la lista de grupos a los que
se debe aplicar dicha regla. Tenga en cuenta lo explicado en el apartado “5.4
Autenticación de usuarios” si desea asociar grupos de usuarios a las reglas de filtrado.
Figura 5.24: Ventana para Seleccionar los Grupos de Usuarios a tener en cuenta por una Regla.
5.7.8. Tiempo máximo de navegación

En esta opción, podrá incluir en la regla seleccionada, el número de horas máximas al
día, que permite la navegación por Internet a los usuarios, IPs o grupos de usuarios
definidos en dicha regla. Asimismo podrá cancelar esta opción pulsando el botón Borrar.

Figura 5.25: Ventana para establecer el número máximo de horas a tener en cuenta por una Regla.
5.7.9. Horarios
En esta opción, podrá añadir, borrar y modificar días de la semana e intervalos de horas
en los que desea que se aplique dicha regla. Fuera de los intervalos indicados dicha
regla no tendrá efecto. Si no se indica ningún intervalo dicha regla será efectiva las 24
horas del día los 7 días de la semana.
Figura 5.26: Ventana para Establecer los Horarios a tener en cuenta por una Regla

5.7.10.URLs Yes
En esta opción, podrá añadir, borrar y modificar URLs Yes como criterio de una regla. La
lista Yes contiene los URLs a los que se debe aplicar la regla, con independencia de su
categoría y tipo de archivo por lo que si el resto de características se cumple (día y hora
y usuario, grupo o IP) la regla cumplirá con su acción. Si la acción de la regla es permitir
entonces estas URLs se permitirán explícitamente, si por el contrario la acción de la
regla es denegar entonces estas URLs se bloquearán.
Es posible indicar todo un sitio completo con un * al final. También es posible utilizar el
asterisco como comodín al principio y en medio de la URL.
Figura 5.27: Ventana para Asociar URLs a una Regla con independencia de su categorización.
5.7.11.URLs Not
En esta opción, podrá añadir, borrar y modificar URLs Not como criterio de una regla.

Figura 5.28: Ventana para Desligar URLs da una Regla con independencia de su categorización
La lista Not contiene los URLs a los que nunca se debe aplicar la regla, es decir las
excepciones de la regla. Es posible indicar todo un sitio completo con un * al final.
También es posible utilizar el asterisco como comodín al principio y en medio de la URL.
5.7.12.Ejemplo de utilización de reglas
Veamos por medio de sencillos ejemplos su funcionamiento.
Por defecto, con la instalación de OPTENET sólo existe una única regla, DenyPorn que
bloquea los accesos a sitios con contenido pornográfico. Veamos cómo está configurada
esta regla. En la opción de categorías esta regla tiene señaladas las categorías básicas
de filtrado: pornografía, racismo, violencia, sectas, drogas y construcción de explosivos
es decir, esta regla inhibe estas cinco categorías. ¿A quién se inhibe estos contenidos?
Si miramos los usuarios, vemos que no hay usuarios definidos por lo que afecta a todos,
lo mismo sucede con los grupos de usuarios. ¿A qué equipos? Tampoco hay direcciones
IPs definidas por lo que esta regla es aplicable a todos, ¿en qué horarios? como no hay
ninguno especificado es aplicable en todas las horas del día. ¿Hay alguna excepción a
esa regla? Vemos que ni en la lista URL Yes (URL que directamente cumplen esta regla)
ni en la lista URL NOT (URLs que nunca cumplen esta regla) aparece ninguna dirección,
es decir, no hay excepciones a esta regla.
Resumiendo, por defecto al instalar el filtro se bloquea el acceso a dichos contenidos a

todos los usuarios y equipos que naveguen a través del proxy.

5.7.12.1. Regla para el jefe
Imaginemos que ahora el jefe nos exige un acceso sin filtro. Esto significa que el jefe no
debe ser afectado por ninguna regla de filtrado. La solución es fácil, crearemos una
regla para el jefe, donde en los usuarios incluimos el usuario con el que se autentica el
jefe, o si no hay autenticación de usuarios en la parte de IPs incluiremos la de su
equipo. A continuación marcamos la acción de la regla como “Permitir” y no
seleccionamos ninguna categoría. Es decir, hemos creado una regla que sólo se aplica al
jefe que sirve para permitir, ¿el qué? cómo no hemos elegido ninguna categoría ni tipo
de archivo permitirá todo ¿cuándo? cómo no hemos seleccionado ningún horario ni día
permitirá siempre.
Falta un detalle, debemos colocar esta regla como la más prioritaria. De esta forma
cuando el jefe navegue por Internet OPTENET analizará sus peticiones empezando por la
regla más prioritaria, verá que dichas peticiones cumplen esa regla y permitirá el acceso
a todos los contenidos.
5.7.12.2.Regla para bloquear prensa y deportes en horario laboral

Otro ejemplo: supongamos que ahora queremos bloquear que en horario laboral (de 9 a
14 y de 16 a 19) de lunes a viernes, se acceda a contenidos de deportes y de prensa.
Fácil: creamos una nueva regla llamada PrensaEnTrabajo y seleccionamos que su horario
sea de 9 a 14 y de 16 a 19 de lunes a viernes. Las categorías que filtra esa regla son
Prensa y Deportes.
¿En qué posición la debemos colocar? Debemos pensar cuál de las tres reglas que
tenemos hasta este momento es la más general y ponerla al final, e ir subiendo en la
jerarquía hasta la más específica. De esta forma la más general es DenyPorn, que inhibe
pornografía luego vendría PrensaEnTrabajo, y luego la del jefe.
¿Podríamos haber incluido en la regla DenyPorn también las categorías Prensa y

Deportes y haber marcado como horario el laboral?. La respuesta es no. Si no creamos
una nueva regla y en su lugar modificamos DenyPorn añadiendo más categorías y
modificando su horario estamos haciendo que fuera de dicho horario (a partir de las 19)
se pueda acceder también a contenidos pornográficos.
5.8. Actualizaciones
OPTENET Server se conecta de forma continua a los diferentes servidores de
actualizaciones para ir completando su base de datos de URLs de forma incremental y
de esta forma poder filtrar las nuevas direcciones categorizadas de Internet que van
surgiendo día a día. Todas estas nuevas URLs son almacenadas en memoria para un
eficiente funcionamiento y deberán ser guardadas en disco cada cierto tiempo.
Desde esta opción podemos configurar los siguientes parámetros:

Figura 5.29: Ventana de Actualizaciones de la Administración WWW
5.8.1. A través de proxy

Seleccione esta opción si el servidor dónde está instalado OPTENET no puede acceder
directamente a Internet y necesita salir a través de un proxy. Indique la dirección IP del
proxy (o bien su nombre) y el puerto. Asegúrese de que dicho proxy no solicite
autenticación para las peticiones de OPTENET.
5.8.2. Frecuencia de actualizaciones

OPTENET solicita las nuevas URLs que se van categorizando de forma incremental y
trozos de varios Kbytes para no saturar el tráfico de la red. El tiempo entre
actualizaciones indica los segundos que OPTENET espera entre dos actualizaciones
consecutivas suponiendo que tenga nuevas URLs para actualizarse. El tiempo entre
chequeos indica los segundos que OPTENET espera cuando está completamente
actualizado antes de realizar el nuevo chequeo.
Los valores por defecto (30 y 300 segundos) están pensados para que los desbloqueos
que pueden ser solicitados desde la página de bloqueo lleguen al filtro en un corto
periodo de tiempo.
5.8.3. Consolidación a disco

Las nuevas direcciones que va recibiendo el filtro son almacenadas en memoria por
razones de eficiencia y son guardas en disco en el proceso de consolidación. Dicho
proceso puede ser programado de forma diaria, semanal o mensual indicando el
intervalo de hora de comienzo. OPTENET recomienda una actualización diaria a disco

coincidiendo con los periodos de actividad más bajos en la red, que normalmente se dan
durante la noche.
5.8.4. Recarga absoluta de listas

Es posible realizar una recarga completa de listas en el instante actual con solo pulsar
sobre el botón “Recarga ahora” situado en la parte inferior de la ventana. Una vez
lanzado el proceso de recarga podrá seguir la evolución de la recarga desde el apartado
"Información del sistema", donde se indicarán los bytes descargados así como los totales
y el resultado de la recarga.
5.9. Informes
Al pulsar sobre esta opción se abre otra ventana de navegación que se conecta contra
OPTENET Reporter. OPTENET Reporter es la herramienta que le permite sacar informes
del uso de Internet. Por defecto se puede instalar con OPTENET Server ya que se
distribuye de manera conjunta.
Si cuando pulsa sobre esta opción OPTENET Reporter no está ejecutándose aparece un
mensaje indicando que no es posible contactar con la herramienta de informes. Por
favor, asegúrese de que OPTENET Reporter está en ejecución y que está instalado en la
IP de la máquina y escuchando en el puerto indicando. Por defecto, OPTENET Server
intenta contactar con un OPTENET Reporter instalado en su misma servidor.
Figura 5.30. Ventana indicando que no es posible contactar con OPTENET Reporter
.
Una vez haya arrancado OPTENET Reporter y se haya asegurado de que está bien
configurada su IP y puerto de adminstración en este apartado de OPTENET Server vuelva

a pulsar sobre la opción "Informes" y se abrirá en una nueva ventana de navegación la
administración de OPTENET Reporter. Se recomienda leer el manual de usuario de
OPTENET Reporter para obtener más información.

5.10. Identificación Administrador
OPTENET Server establece varios niveles de administración como se muestra en la tabla
adjunta:
Administrator Local Categories Reports

Administrator and URLs operato
Administra r
tor
Introducción X X X X
Documentación X X X X
Configuración X
Autenticación X
Activar X
autenticación
Tipo de X
autenticación
Categorías X X X
Clasificación URLs X X X
Ver X X X
Añadir X X X
Quitar X X X
Reglas de filtrado X
Borrar X
Añadir X
Modificar X
Modificar URLs y X X
categorías asociadas
a una regla
Actualizaciones X
Informes X X X
Bloquear X X
Administrador X X
Administradores X
Administradores X X
Locales
Administradores de X X
categorías y URLs
Operadores X X
Informes
Gestion en cluster X
Información del X X X
sistema
Obtención de logs X
para el reporter
Por defecto en la instalación existe un usuario de cada perfil y sólo está activado el
nivel “Administrator”. El primero tiene control total sobre el filtro pudiendo realizar
todas las operaciones de administración. Por defecto, el nombre del usuario de

administración es optenet y la contraseña 12345678. Estos valores pueden ser
cambiados desde la administración WWW mediante el botón Administrador del menú.
Se recomienda cambiar su usuario de administración nada más instalar OPTENET Server.
Se pueden modificar los datos de los usuarios existentes por defecto en la instalación
para cada perfil y añadir nuevos usuarios o borrar los que se deseen. Para ello al pulsar
Administrador, se muestra la lista con todos los usuarios agrupados por perfil. Habrá que
seleccionar el usuario para borrar o modificar y pulsar el botón correspondiente, o
simplemente pulsar el botón “Nuevo” si se desea crear un nuevo usuario.
Para activar los otros niveles de actualización deberá pulsar el botón asociado al nivel
deseado en la siguiente pantalla, activar la opción “activar perfil”, introducir el nombre
de usuario, la clave y pulsar el botón aceptar como muestra la siguiente figura:
Figura 5. 31: Ventana de Modificación de Perfil de Administrador.
Merece mención especial el perfil Reports Operator OPTENET server guarda en sus logs
todas las peticiones de Internet que analiza y aquellas que ha bloqueado. Si desea sacar
informes de estos logs deberá instalar OPTENET Reporter en el mismo servidor u otro
diferente. Seguidamente deberá configurar OPTENET Reporter indicándole dónde está
OPTENET Server para que el Reporter consiga los logs y posteriormente pueda sacar
informes. Para que no que el Reporter pueda solicitar al filtro los logs se debe
identificar con un usuario y una clave válidos. Dicho usuario con dicha clave debe estar
definido dentro del perfil Reports Operator del filtro y además estar activo.

5.11. Bloqueos por intentos repetidos
Con esta característica se puede bloquear el acceso a Internet completamente a un
usuario que durante un determinado periodo de tiempo ha intentado acceder a más de
un determinado número de sitios no permitidos. Se pretende con esta funcionalidad
poder penalizar a los usuarios que intentan acceder a páginas no permitidas.
Figura 5.32: Ventana de Configuración de Bloqueo por intentos repetidos a URLs con acceso denegado.
Por defecto, la opción viene desactivada, para activarla simplemente hay que
seleccionar si los usuarios se identificar por nombre (usuario autenticándose) o por IP, el
tiempo que se les bloqueará como penalización y el número de bloqueos que se les
permite tener en un determinado periodo de tiempo.
Además en el caso de bloqueo se puede configurar la página de bloqueo que se le debe
mostrar y la posibilidad de enviar un mail al administrador del sistema notificando esta
situación.
Si queremos desbloquear a alguna persona que ha sido bloqueada por esta causa, lo
podemos hacer desde la siguiente pantalla que aparece al pulsar el botón Desbloquear.

Figura 5.33: Ventana para Desbloquear Usuarios anteriormente bloqueados.
5.12. Gestión en cluster

Esta versión de OPTENET Server permite manejar múltiples instancias* de OPTENET
Server desde un único servidor WWW. Esta forma de trabajar se denomina ‘Gestión en
cluster’.
*Se entiende por instancia una instalación de OPTENET Server ejecutándose en una
máquina.
5.12.1. Activar/Desactivar gestión en cluster

El elemento más importante para trabajar en cluster, es el icono situado en la parte
inferior izquierda de la pantalla y que sirve para activar o desactivar la gestión en
cluster.

Figura 5.34: Vista principal de la Administración WEB.
Cuando está desactivado, se trabaja de manera convencional, es decir, se maneja un

único OPTENET Server y los cambios se aplican únicamente a esa instalación que se está
administrando. Cuando se activa, todos los cambios que se realicen en la configuración
de este filtro se replican a todas las instalaciones de OPTENET Server que estén
configuradas dentro de la Gestión en cluster.
Si nos encontramos en la opción de configuración o en la de actualizaciones, entonces

se nos mostrará un mensaje indicando que los cambios se aplicarán a todas las
instalaciones de OPTENET Server. En el resto de opciones los cambios se aplicarán sin
mostrar mensaje alguno.

Figura 5.35: Ventana de administración de la Gestión en Cluster.
Al activar la gestión en cluster, se muestra la pantalla en la cual se pueden editar

instalaciones de OPTENET Server. Además el botón ‘Gestión en cluster’ es habilitado, y
el icono que muestra el modo de trabajo (activado, desactivado) se actualiza.
Al desactivar la gestión en cluster, se muestra la siguiente pantalla indicando que el
modo de trabajo es el tradicional, y que los cambios sólo se aplican a un único OPTENET
Server. El botón ‘Gestión en cluster’ y el icono se han actualizado nuevamente.

Figura 5.36: Ventana que aparece al desactivar la Gestión en Cluster.
5.12.2.Clusters
Bajo esta etiqueta, se encuentran los botones para editar clusters y en todo momento se
muestra una lista actualizada con los clusters creados.
Para todas las operaciones salvo ‘Insertar’ es necesario seleccionar previamente el

cluster.
5.12.2.1.Nuevo
Para insertar un nuevo cluster se muestra la siguiente ventana.
Figura 5.37: Ventana de Inserción del Nombre del Cluster.

Basta con introducir el nombre y automáticamente el cluster se mostrará en la lista.
5.12.2.2.Modificar
Permite editar el nombre de un cluster. Se muestra la misma ventana que en la
operación anterior pero con el nombre del cluster en la caja de texto.
5.12.2.3.Borrar
Elimina de manera permanente el cluster seleccionado de la lista de clusters.
5.12.2.4.Conectar
Establece conexiones a todos los servidores del cluster seleccionado y muestra la
ventana de informe del apartado siguiente.
5.12.2.5.Informe
Muestra el resultado de las conexiones realizadas a los servidores en la siguiente
ventana.
Figura 5.38: Ventana de Informe de las comunicaciones con los Servidores de un Cluster.
Los campos de la tabla son:

IP/URL: IP de la instancia de OPTENET Server.
Servidor: Nombre del servidor.
Tipo: Tipo de OPTENET Server..
Puerto: Puerto en el que escucha la instancia de OPTENET Server.
Objeto: La petición que se hace a la instancia de OPTENET Server.
Estado: ‘HTTP_OK’ (OPTENET Server está ejecutándose)
‘HTTP_ERROR’ (OPTENET Server no está ejecutándose o los parámetros
introducidos son incorrectos)

5.12.3.Servidores
Bajo esta etiqueta, se encuentran los botones para editar servidores.
Se muestra en todo momento una lista actualizada con los servidores introducidos para
un cluster seleccionado.
Es importante señalar que la instalación de OPTENET Server a cuya administración

WWW estemos conectados, NO se debe añadir a la lista de servidores, pues los cambios
se le aplicarán siempre, indistintamente del modo de trabajo.
Para todas las operaciones es necesario seleccionar previamente el cluster. El servidor a

editar pertenecerá a dicho cluster. Al seleccionar el cluster, se mostrarán todos los
servidores pertenecientes al cluster.
En la caja de texto, para cada servidor se muestra la siguiente información:

IP – Nombre - IP:Puerto – Tipo
Figura 5.39: Ventana de Inserción de Parámetros de un Servidor del Cluster.
5.12.3.1.Nuevo
Para insertar un nuevo servidor se muestra la siguiente ventana.
Los parámetros para crear una nueva entrada de una instalación de OPTENET Server que
deseamos controlar son los siguientes:
Dir. IP: Dirección IP
Nombre: Nombre de la instancia.
Puerto: Puerto de escucha.
Usuario: Nombre de usuario para la identificación.

Password: Password de usuario.
Conexión: Tipo de conexión para manejar las demás instalaciones. ‘HTTP’ (por defecto)
o ‘HTTPS’ (conexión segura).
Para trabajar con conexiones seguras https, consulte antes el anexo 1 titulado
‘Administración de OPTENET Server a través de una conexión segura’, ya que en este
caso el puerto que se debe introducir no es el puerto donde está escuchando OPTENET
Server en la máquina remota sino el puerto en el que escucha el stunnel asociado al
OPTENET Server que está introduciendo. No se debe confundir dicho stunnel con el
stunnel asociado al filtro local, ya que son diferentes. Por último seleccione ‘HTTPS’ en
‘Conexión’ en lugar de ‘HTTP’.
En la ventana se muestra una etiqueta que dice ‘Puerto Https’. Al insertar un servidor
esta etiqueta está vacía. En posteriores apartados se verá que valores puede tomar.
El nombre y el password de usuario son los mismos que se introducen a la hora de

acceder a la administración WWW de OPTENET Server.
Es importante apuntar que al trabajar en cluster, si editamos el nombre y password del

administrador introducido al definir servidor, este también se replica en todas las
instalaciones.
Además hay que señalar que si eliminamos el nombre y password del administrador
introducido al definir servidores, estos dejarán de funcionar con la gestión en cluster.
Esto se debe a que el nombre y password utilizado por la gestión en cluster para replicar
un cambio a una instalación concreta, ya no existen en dicha instalación. En este caso
para que la gestión en cluster vuelva a funcionar, hay que editar los parámetros del
servidor e introducir el nuevo nombre y password.
Otro modo de proceder consiste en editar el usuario en lugar de borrarlo y crearlo.

Fi
Figura 5.40: Ventana de Parámetros de un Servidor del Cluster completada.
5.12.3.2.Modificar
Se muestra la misma ventana que en la operación anterior pero con los parámetros del
servidor en las cajas de texto.
Si trabaja con http, vera que en la etiqueta ‘Puerto Https’, el valor que se muestra es el
mismo que el introducido en ‘Puerto’. Esto es así, porque no hay un puerto asociado a
conexiones https.
Sin embargo si trabaja con conexiones seguras, verá que se le ha asignado un puerto.
OPTENET Server ha buscado un puerto libre en el sistema y ha lanzado una instancia de
stunnel en la máquina local, para poder comunicarse de forma segura.
Por cada nuevo servidor creado, OPTENET Server lanzará una instancia de stunnel en su
máquina local.
5.12.3.3.Borrar
Elimina de manera permanente el servidor seleccionado de la lista de servidores.
Si trabaja con conexiones seguras, al eliminar un servidor, se elimina la instancia de

stunnel asociada a dicho servidor y que está en la máquina local.

5.12.3.4.Conectar
Establece una conexión con el servidor seleccionado y se muestra la siguiente ventana:
Figura 5.41: Ventana que aparece tras conectar correctamente con un servidor.
El resultado de la conexión puede ser:

‘Conexión Aceptada’: OPTENET Server está ejecutándose)
‘Error: Conexión no realizada’: OPTENET Server no está ejecutándose o los parámetros
introducidos (usuario, password, dir. ip, ...) son incorrectos.
5.12.3.5.Informe
Muestra la siguiente ventana con el resultado de la conexión realizada al servidor.
Los campos de la tabla son los mismos que los de informes de cluster.
Figura 5.41: Ventana de Informe de las comunicaciones con un Servidor.

5.13. Información del sistema
Esta pantalla muestra la información sobre el funcionamiento de OPTENET Server. A
continuación describimos cada uno de los campos que aparecen en la misma.
♦ Versión: versión de OPTENET Server que está en ejecución.
♦ Arranque: fecha y hora en que se arrancó el filtro.
♦ Hora actual del servidor: fecha y hora del servidor dónde se ejecuta el filtro.
♦ Estado de la licencia: indica el estado de la licencia. En el caso de que su licencia
haya caducado póngase en contacto con support@optenet.com para su renovación.
♦ Peticiones procesadas: indican el total de peticiones que el filtro ha recibido para
su análisis. Aparecen cuatro números, el primero indica las peticiones ICAP REQMOD
recibidas para el chequeo en listas, el segundo las peticiones ICAP RESPMOD
recibidas para el análisis de contenido, el tercero las peticiones recibidas vía RPC
(SQUID, ISA Server, OPTENET Proxy,…) y el cuarto las peticiones ICAP
REQMOD_CATEGORY recibidas.
♦ Peticiones bloqueadas: indican las peticiones que han sido bloqueadas, aparecen
cuatro números y cuyo significado es análogo al de las peticiones procesadas.
♦ Hilos ICAP: el primer número representa los hilos del servidor ICAP que actualmente
están siendo utilizados y el segundo número el total de hilos del servidor ICAP. Esto
hilos incluyen todos los posibles servicios ICAP (reqmod, respmod y
reqmod_category)
♦ Hilos administración: el primer número representa los hilos del servidor web que
actualmente están siendo utilizados y el segundo número el total de hilos
disponibles. Tenga en cuenta que si la página de stop local la sirve dicho servidor.
♦ Estado de la base de datos: Carece de significado para el usuario y pudiera ser
requerido por el personal técnico de OPTENET.
♦ Servidor actual de base de datos: indica de qué servidor está actualizando la base
de datos de URLs
♦ Última conexión correcta con servidor de BD: fecha y hora de la última vez que el
filtro contactó con éxito a un servidor de base de datos de URLs.
♦ Estado de la última actualización total: Indica el estado de la última recarga total
de la base de datos de URLs que se lanzó desde el apartado Actualizaciones.
Dependiendo de la conexión a Internet una recarga completa puede llevar entre
varios segundos y varios minutos. Desde aquí puede hacer un seguimiento del
progreso de la misma.
♦ Bytes recibidos/totales: muestra los bytes recibidos de la recarga total y los totales
que deberá recibir además del porcentaje completado.
♦ Última actualización correcta desde que se arrancó: indica la fecha y hora de la
última actualización total que se ha realizado con éxito desde que se arrancó el
filtro.
♦ Hilos del servidor de logs: el primer número indica los hilos utilizados que están
sirviendo logs a un OPTENET Reporter y el segundo el total de hilos disponibles.
♦ Peticiones al servidor de logs: el primer número indica el total de peticiones
contestadas con éxito y el segundo las erróneas.

Figura 5.42 Ventana de información del Sistema

6. PROBLEMAS MÁS COMUNES
En este apartado se describen los problemas más comunes y la forma de solucionarlos.
6.1. Aparece el mensaje optenet server error... cuando intento

navegar
Si al intentar navegar usando el filtro le aparece la siguiente pantalla:
Figura 6.1: Ventana de información de OPTENET Server de licencia caducada.
Es debido a que su licencia de OPTENET Server ha caducado. Póngase en contacto con

nosotros a través:
support@optenet.com
+34 902 154 604 (España)
+34 913579150
+33 (0) 144836101 (Francia)
+44 (0) 8700990322 (Reino Unido)
+1 3055737272 (Estados Unidos)
para renovar o dar de alta su licencia.
6.2. No se logra arrancar el filtro

Si cuando intenta arrancar el filtro éste no se logra poner en funcionamiento podemos
consultar el motivo en el syslog del sistema. Para ello deberemos conectarnos como root
y visualizar las últimas líneas de fichero /var/log/messages en Linux o
/var/adm/messages en Solaris o AIX o el visor de eventos de aplicación en sistemas
Windows.
OPTENET Server deja un evento informativo cada vez que es arrancado o el problema
encontrado cuando no se pudo arrancar.

6.3. No aparecen los usuarios al pulsar el botón refrescar
Para que aparezcan los usuarios al pulsar el botón refrescar debe estar previamente
definido los servidores LDAP o los Dominios Windows de los que vamos a extraer dichos
usuarios. Asegúrese de que dichos servidores estén bien definidos y que son accesibles
desde el equipo donde está instalado OPTENET Server. Consulte el syslog del sistema
(fichero /var/log/messages en Linux o /var/log/messages en Solaris o AIX) o el visor de
eventos de aplicación en sistemas Windows para ver la razón por la que OPTENET no
pudo listar dichos usuarios.

ANEXOS

1. ADMINISTRACIÓN DE OPTENET SERVER A TRAVÉS DE UNA
CONEXIÓN SEGURA (SOLO PLATAFORMA LINUX)
Es posible administrar el filtro OPTENET a través de una conexión segura

utilizando el protocolo HTTPS, accediendo a la siguiente URL:
https://host.domain desde cualquier navegador. Para ello es necesario que en la
máquina donde está instalado el filtro se encuentre ejecutado el programa
stunnel. Si se quiere acceder de forma segura a la configuración WWW desde el
navegador Internet Explorer es necesario que la versión de stunnel sea la 3.22-1
o superior. En caso de que stunnel no esté instalado o la versión instalada sea
inferior a la 3.22-1, los pasos para la instalación son los siguientes:
• Copiar el paquete stunnel-3.22-1.i386.rpm del ftp updates.redhat.com:/

7.2/en/os/i386, accediendo por ejemplo como usuario anonymous, a la
máquina donde se quiera instalar el stunnel.
• Instalar el paquete. En el directorio donde se haya copiado el fichero stunnel-

3.22-1.i386.rpm ejecutar como usuario root:
rpm -i stunnel-3.22-1.i386.rpm (stunnel no instalado)

rpm -U stunnel-3.22-1.i386.rpm (versión stunnel inferior 3.22-1)
• Comprobar que la instalación se ha realizado correctamente:
rpm -qa | grep stunnel

Se debe mostrar:
stunnel-3.22-1
• Generar el fichero de certificados. En el directorio /usr/share/ssl/certs

ejecutar como usuario root:
make stunnel.pem
introduciendo los datos que se piden.
• Edite el script stunnelinit que está en el directorio de instalación del filtro.

Debe asegurarse de que la ruta de todos los ficheros a los que se hace
referencia es la correcta teniendo en cuenta el directorio de instalación del
filtro, y el parámetro –r de stunnel tiene por valor el puerto donde escucha el
filtro (10237). Este script establece también el puerto de conexión con otras
máquinas, por defecto este puerto es el 443 y de esta forma se podrá acceder
a la administración web del filtro tecleando en su navegador
"https://host_ip". Si se decide elegir otro puerto en vez del 443 el acceso a la

administración web del filtro desde el navegador será "https://host_ip:Port".
Es importante señalar también que si se decide utilizar un puerto menor del
1024 la ejecución del stunnel debe hacerse como root.
• Para arrancar el stunnel ejecutar el script stunnelinit en el directorio de la

instalación como usuario root:
./stunnelinit start
• Para parar el stunnel ejecutar el script stunnelinit en el directorio de la

instalación como usuario root:
./stunnelinit stop
Al reiniciar o iniciar el filtro, se debe volver a arrancar stunnel, pero es

importante arrancarlo después de haber arrancado el filtro, ya que éste al
arrancarse, elimina todas las instancias de stunnel que se estén ejecutando en la
máquina local.
Si trabaja con la gestión en cluster manejando varios OPTENET Server

simultáneamente, no debe preocuparse de nada, pues el propio OPTENET Server
se encarga de que todas las conexiones con las demás instancias de OPTENET
Server sean seguras.

2. ADMINISTRACIÓN DE OPTENET A TRAVÉS DE LA LÍNEA DE
COMANDOS (OPTENET CLI V1.0)
2.1. Introducción
OPTENET CLI es una aplicación que permite administrar OPTENET Server a través de una
línea de comandos. Es una vía alternativa a la administración web, con la ventaja de
que OPTENET CLI es capaz de procesar ficheros de script que contengan múltiples
peticiones. Otra de las características de OPTENET CLI es que permite administrar
cualquier filtro, simplemente editando su fichero de configuración.
OPTENET CLI hace un control exhaustivo de todo lo que se teclea en la línea de

comandos con el objetivo de minimizar errores. La interfaz de comandos de OPTENET
CLI es en Inglés, pero el manual de usuario está disponible en diferentes idiomas.
OPTENET CLI se puede ejecutar en la máquina en la que se encuentra corriendo

OPTENET Server o en cualquier otra. Hay que tener en cuenta que si OPTENET CLI
administra un filtro remotamente, puede no funcionar correctamente si es necesario
atravesar un proxy.
Si administra con OPTENET CLI un OPTENET Server que es maestro en la gestión en

cluster, debe tener en cuenta que los cambios que aplique vía CLI en el OPTENET Server
maestro se propagarán a los OPTENET Servers esclavos.
Los ficheros que vayan a ser utilizados por OPTENET CLI (fichero de configuración y
ficheros de script) necesitan estar en el directorio donde se este ejecutando OPTENET
CLI. Por ello, si OPTENET CLI se ejecuta remotamente hay que tener cuidado y copiar
ambos ficheros al directorio donde se este ejecutando.
OPTENET CLI se instala junto a OPTENET Server dentro del subdirectorio tools junto a su
archivo de configuración cli.conf y el archivo de scripts por defecto script.txt por
defecto script.txt donde podrá añadir múltiples peticiones. Este fichero de script se
encuentra vacío.
2.2. UTILIZACIÓN
A continuación se va a explicar como utilizar OPTENET CLI y aprovechar al máximo las

características que ofrece.
2.2.1. Ejecución
Para ejecutar OPTENET CLI, vaya al directorio donde lo haya instalado y teclee:
optenetcli
Mostrándose el mensaje de bienvenida de OPTENET CLI.

Ahora ya se encuentra en la línea de comandos de OPTENET CLI, y los comandos que
teclee serán interpretados y ejecutados.
2.2.2. Ayuda
OPTENET CLI dispone de un completo sistema de ayuda en modo texto. Para ello teclee:
Mostrándose los nombres de todos los comandos de OPTENET CLI. Tenga en cuenta que
estos son sólo los nombres de los comandos. Muchos de estos comandos tienen
parámetros que también deberá especificar.
2.2.3. Comandos
Para saber cuales son los parámetros de un comando, basta con teclear el nombre de
dicho comando seguido de ‘?’.
Ejemplo:
saveconfig ?
Todos los comandos de OPTENET CLI siguen alguno de los siguientes formatos:
• addxxxxxx
• savexxxxxx
• delxxxxxx
• sortxxxxxx
Donde xxxxxx representa una cadena de caracteres.

Ejemplo: saveconfig, delurlyes, sortrule,...
Hay que tener cuidado con los caracteres en mayúsculas y minúsculas, ya que OPTENET
CLI hace distinción entre ellos. Es decir no es lo mismo ‘saveconfig’ que ‘SaveConfig’.
Para que el manejo de OPTENET CLI sea más sencillo, se ha optado por que todos los
comandos sean en minúsculas. Sin embargo como podrá ver más adelante algunos
parámetros tienen caracteres en mayúsculas.
OPTENET CLI le mostrará la lista de comandos disponible cuando teclee:

• ?
• Un comando que no es interpretado por OPTENET CLI.
• Un comando válido, pero con un número incorrecto de parámetros.
Cuando teclee un comando con el número correcto de parámetros, y que sin embargo
alguno de ellos sea incorrecto, OPTENET CLI le mostrará como utilizar dicho comando.
Así pues un proceso lógico para ejecutar un comando puede ser:
• Teclee ‘?’ para ver los comandos disponibles.
• Teclee el nombre del comando elegido de la lista seguido del signo de
interrogación.
• Teclee el nombre del comando seguido de sus parámetros tal y como se lo
muestra OPTENET CLI.

Si el comando tecleado es correcto y además se ha ejecutado satisfactoriamente,
OPTENET CLI le mostrará el siguiente mensaje:
Configuration added successfully
Si el comando tecleado es correcto pero no se ha podido ejecutar, se le mostrará:
Error: Configuration couldn´t be added
Si el comando introducido no existe, verá la lista de comandos disponibles, y si por el

contrario el comando existe pero el número de parámetros no es correcto, se le muestra
como utilizar dicho comando.
Si el comando y el número de parámetros son correctos, pero alguno de los parámetros

no lo es, entonces verá como utilizar dicho comando y además se le muestra el siguiente
mensaje:
Error: Parameter XX is not correct
Donde XX hace referencia al número de parámetro.
En algunos parámetros concretos se mostrará un mensaje diferente al anterior. Por

ejemplo, si uno de los parámetros es un día de la semana, y teclea “Catorce”,
OPTENETCLI le mostrará:
Error: Catorce is not a week day
En el apartado 4 de este documento, se muestra una lista de todos los comandos

válidos. Puede utilizar dicho apartado como una guía de consulta rápida.
2.2.4. Fichero de script

Para que OPTENET CLI ejecute todos los comandos de un fichero de script, simplemente
teclee el nombre del fichero de script con la extensión txt.
Ejemplo: script.txt
OPTENET CLI le mostrará el resultado de la ejecución de las peticiones de la siguiente

forma. Si la petición se ha ejecutado correctamente:
Line XXX added successfully
Donde XXX hace referencia al número de línea del fichero.
Si por el contrario una petición no es correcta, le mostrará la forma de construirla de

forma adecuada.
Ejemplo:
USAGE: savekey PASSWORD

PASSWORD: Password for protecting sensitive information

Es importante que tenga en cuenta que el formato de las peticiones de un fichero de
script, es exactamente el mismo que si lo tecleara.
El formato de un fichero de script, consiste en tener una única petición por línea. De
esta forma se consigue un fichero de script claro y fácilmente editable. Por ello si
escribe dos peticiones en una misma línea, OPTENET CLI devolverá error en esa línea, y
no podrá procesar ninguna de las dos peticiones.
2.2.5. Salida
Para salir de OPTENET CLI, debe teclear el siguiente comando:
exit
Este comando finaliza la ejecución de OPTENET CLI.
2.2.6. Fichero de configuración

El fichero de configuración de OPTENET CLI es ‘cli.conf’ y debe estar en el directorio
del ejecutable. Puede editar este fichero con cualquier editor. El formato es el
siguiente:
UserName
Password
Server IP
Server Port
Como puede ver, el fichero tan solo consta de 4 líneas, que le permiten seleccionar
cualquier OPTENET Server que este ejecutando para poder así administrarlo.
Las dos primeras líneas son el username y el password que necesita para administrar
OPTENET Server, es decir el mismo que necesita para administrarlo vía web por
ejemplo. Los valores por defecto para el username y el password son “optenet” y
“12345678” respectivamente.
Las dos siguientes líneas contienen la información necesaria para que OPTENET CLI sepa
donde conectarse. La dirección IP de la máquina donde este ejecutándose OPTENET
Server y el puerto en el que está escuchando. Los valores por defecto son la máquina
local (“127.0.0.1”) y el puerto por defecto de la administración WWW (“10237”).
Es importante señalar que el fichero debe tener siempre 4 líneas y que deben ser las
que se señalan arriba. Si faltan o sobran líneas en el fichero, o intenta meter varios
campos
en una línea, OPTENET CLI le devolverá un mensaje de error al cargar el fichero de

configuración.

2.3. Referencia de comandos
En este apartado se muestra una completa lista de comandos con sus respectivos
parámetros, que el usuario puede utilizar como guía rápida de consulta. Los comandos
están agrupados en apartados de la misma forma que lo están en botones en el
administrador WWW.
2.3.1. Configuración
Dentro de esta opción podemos configurar: el estado del filtro, establecer la página de
bloqueo o establecer el directorio donde se generan los logs.
2.3.1.1. Saveconfig
Todas las características que acabamos de mencionar se configuran con un único
comando.
saveconfig FILTER_STATE URL_BLOCK LOGS_DIR FLAG1 BLOCKING_LOGS FLAG2

QUERY_LOGS CRYPT_STATUS
FILTER_STATE: "Active", "Inactive"
URL_BLOCK: Url indicating the blocking page
LOGS_DIR: Directory for logs output (local path)
FLAG1: "0", "1" (Disable/Enable Blocking_Logs)
BLOCKING_LOGS: IP USER DAY RULE CATEGORY FILETYPE URL
Each Value is:"0","1" Example: 0100110
FLAG2: "0", "1" (Disable/Enable Query_Logs)
QUERY_LOGS: IP CLIENT USER GROUP DAY URL TRAFFIC TIME ACCESSES RULE
CATEGORY FILETYPE
Each Value is:"0","1" Example: 010011010011
CRYPT_STATUS: "0", "1" (Disable/Enable encryption of personal information in log
files)
Este es el formato en el que OPTENET CLI nos muestra como utilizar un comando.
“saveconfig” es el nombre del comando y ‘FILTER_STATE’, ‘URL_BLOCK’ y ‘LOGS_DIR’
son algunos de los parámetros de dicho comando.
Si un parámetro sólo puede tomar unos valores concretos, entonces dichos valores se
muestran entrecomillados tras el nombre del parámetro. Por ejemplo en el caso de
“saveconfig”, FILTER_STATE sólo puede tomar los valores: “Active” o “Inactive”.
Nótese que tanto “Active” e “Inactive” tienen el primer carácter en mayúscula y el

resto en minúscula.
2.3.2. Autenticación
En este apartado se puede configurar OPTENET para que realice explícitamente
autenticación de usuarios.
2.3.2.1. Saveauthen
saveauthen AUTENTICATION SERVER TIME PORT

AUTENTICATION: "1" (Active), "0" (Inactive)
SERVER: Server Ip or name
TIME: Expiration time
PORT: Server port
2.3.3. Autenticación LDAP

En este apartado podrá definir nuevos servidores LDAP y modificar o borrar los
existentes.
A la hora de llevar a cabo la autenticación de usuarios se sigue el orden en el que los

servidores han sido definidos.
2.3.3.1. Delauthencache
delauthencache
A este comando no se le pasan parámetros.
2.3.3.2. Sortldap
sortldap SORT LDAP_SERVER
SORT: "Up", "Down"
LDAP_SERVER: LDAP Server name
2.3.3.3. Delldap
delldap LDAP_SERVER
LDAP_SERVER: LDAP Server name
2.3.3.4. Saveldap
saveldap SERVER PORT BASE TYPE ADMIN PASSWORD LDAP_SERVER (OLD_LDAP_SERVER)
SERVER: Server Ip or name
PORT: Server port
BASE_TYPE: Base to search for users and groups
TYPE: "0"(Windows 2000) "1" (Lotus Domino) "2"(iPlanet)
ADMIN: Username to log on to server
Type if not administrator
PASSWORD: Password for username
Type if not administrator
LDAP_SERVER: Server name
OLD_LDAP_SERVER: Old server name or ip
Use OLD_LDAP_SERVER when modifying server, not when creating
El último parámetro va entre paréntesis y esto significa que dicho parámetro es

opcional. Es decir, este comando se puede utilizar para realizar dos peticiones
diferentes. Si no especificamos el último parámetro, crearemos un nuevo servidor LDAP,
y si lo hacemos, entonces estaremos modificando un servidor LDAP existente, cuyo
nombre se especifica mediante el último parámetro.

2.3.4. Clasificación Urls
En esta opción podremos añadir URLs a las diferentes categorías indicando si esa URL
pertenece a una categoría o si no pertenece.
2.3.4.1. Saveurlclas
saveurlclas URL CATEGORIES
URL: Url to be categorized
CATEGORY: An Optenet Server category
YES_NOT: "Yes" "Not"
2.3.4.2. Adduserurl
adduserurl CATEGORY LIST URL
CATEGORY: One of OPTENET Server categories
LIST: "Yes", "Not"
URL: The Url
2.3.4.3. Deluserurl
deluserurl CATEGORY LIST URL
CATEGORY: One of OPTENET Server categories
LIST: "Yes", "Not"
URL: The Url
2.3.5. Reglas de filtrado

Con las reglas de filtrado podemos personalizar cómodamente OPTENET Server para
adaptarlo a las necesidades de nuestra red.
En esta opción podrá definir esas reglas y todos su criterios: Grupos de IPs, Usuarios,
Grupos de Usuarios, Categorías, URLs, Ficheros y Horarios.
2.3.5.1. Addrule
addrule
2.3.5.2. Sortrules
sortrules SORT RULE_NAME
SORT: "Up", "Down"
RULE_NAME: Name of the rule to be sorted
2.3.5.3. Delrule
delrule RULE_NAME
RULE_NAME: Name of the rule to be deleted
2.3.5.4. Renrule
renrule OLD_RULE_NAME NEW_RULE_NAME
OLD_RULE_NAME: Old name of the rule
NEW_RULE_NAME: New name of the rule

2.3.5.5. Addips
addips RULE_NAME FROM_IP TO_IP
RULE_NAME: Name of the rule
FROM_IP: First ip of ip range
TO_IP: Last ip of ip range
2.3.5.6. Delips
delips RULE_NAME FROM_IP TO_IP
FROM_IP: First ip of ip range
TO_IP: Last ip of ip range
2.3.5.7. Savecat
savecat RULE_NAME CAT1 CAT2 ... CATN
CAT1,...CATN: An Optenet Server category
Categories not typed will be disabled
Este comando no tiene un número fijo de parámetros ya que se pueden pasar tantos
nombres de categorías como queramos. Las categorías cuyo nombre no se pase como
parámetro serán desactivadas, y aquellas que se pasen como parámetro serán activadas.
2.3.5.8. Addurlyes
addurlyes RULE_NAME URL_YES
URL_YES: The url to be added
2.3.5.9. Delurlyes
delurlyes RULE_NAME URL_YES
URL_YES: The url to be deleted
2.3.5.10.adduser
adduser RULE_NAME USER
USER: User affected by the rule
2.3.5.11.Deluser
del user RULE_NAME USER
USER: User affected by the rule
2.3.5.12.Addhours
addhours RULE_NAME FIRST_HOUR LAST_HOUR FIRST_MINUTE LAST_MINUTE
HOUR_INTERVAL: Hour range. Type XX:XX-XX:XX. Example: 08:30-19:37
Hours should be in range 0-59

Minutes should be in range 0-23
Todos los parámetros de este comando menos el primero, son enteros y están
comprendidos en un rango. Si se teclean caracteres o un entero fuera del rango,
OPTENET CLI devolverá error.
2.3.5.13.Delhours
delhours RULE_NAME HOUR_INTERVAL
HOUR_INTERVAL: Hour range (8:30-19:37)
El segundo parámetro es un intervalo de hora, y es importante seguir el formato que se

especifica, es decir: XX:XX-XX:XX
Si se introduce el intervalo de horas con otro formato, OPTENET CLI devolverá error.
2.3.5.14.Saveday
saveday RULE_NAME DAY1 DAY2 ... DAY7
DAY*: A valid week day
"Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday", "Saturday"
2.3.5.15.Addurlnot
addurlnot RULE_NAME URL_NOT
URL_NOT: Url affected by the rule
2.3.5.16.Delurlnot
delurlnot RULE_NAME URL_NOT
URL_NOT: Url affected by the rule
2.3.5.17.Savefile
savefile RULE_NAME FILE_TYPE1 FILE_TYPE2 ... FILE_TYPE7
FILE_TYPE*: A valid file type (mp3, avi,...)
2.3.6. Actualizaciones
OPTENET Server periódicamente se conecta a la WWW de OPTENET para actualizar sus
listas, y poder filtrar las nuevas direcciones categorizadas de Internet que van surgiendo
día a día. Con esta opción se trata de definir la frecuencia de actualización de las listas.
2.3.6.1. Saveact
saveact FRECUENCY DAY_OF_WEEK DAY_OF_MONTH START_HOUR
END_HOUR TRY_INTERVAL PROXY_ADDR PORT PROXY
FRECUENCY: "Daily", "Weekly", "Monthly"
DAY_OF_WEEK:"Sunday", "Monday", "Tuesday", "Wednesday", "Thursday", "Friday",
"Saturday"
DAY_OF_MONTH: "1", "2", "...", "28"

START_HOUR: "0", "1", "...", "23"
END_HOUR: "1", "2", "...", "24"
TIME_INTERVAL: Time between tries
PROXY_ADDR: Proxy address
PORT: Proxy port
PROXY: "0", "1"
Hay que tener cuidado con los caracteres en mayúsculas y minúsculas.
2.3.7. Identificación administrador

Para asegurar la privacidad de la configuración y administración, el servidor WWW
requiere que el usuario sea autenticado, por lo que pedirá nombre de usuario y
contraseña. Por defecto, el nombre de usuario es optenet y la contraseña 12345678.
Estos valores pueden ser cambiados desde la administración WWW mediante la opción
Identificación Administrador.
Debe tener en cuenta que la creación / edición de usuarios depende de ciertos

permisos. Por defecto los permisos que tiene para realizar estas operaciones son los del
perfil Administrator (“optenet”, “12345678”). Para cambiar dichos permisos, edite las
dos primeras líneas del fichero cli.conf.
2.3.7.1. Addadmin
addadmin NEW_USER_NAME NEW_PASSWORD ENABLED PROFILE
NEW_USER_NAME: New user name
NEW_PASSWORD: New password for new user name
ENABLED: Profile enabled ("1") or disabled ("0")
PROFILE: "1" (Ordinary administrator)
"2" (Local administrator)
"3" (Urls administrator)
"4" (Reports administrator)
"5" (Sensitive information administrator)
2.3.7.2. Saveadmin
saveadmin OLD_USER_NAME NEW_USER_NAME NEW_PASSWORD ENABLED PROFILE
OLD_USER_NAME: Old user name
NEW_USER_NAME: New user name
NEW_PASSWORD: New password for new user name
ENABLED: Profile enabled ("1") or disabled ("0")
2.3.7.3. Deladmin
deladmin USER_NAME PROFILE
USER_NAME: Administrator user name

2.3.8. Gestión en cluster

OPTENET Server permite manejar múltiples instancias de OPTENET Server que estén
ejecutándose en diferentes máquinas. Podemos crear, editar, eliminar y conectarnos a
tantas instancias de OPTENET Server como deseemos.
2.3.8.1. Cluster
cluster FLAG
FLAG: "1" (Enable 'Working with Clusters')
"0" (Disable 'Working with Clusters')
2.3.8.2. Addcluster
addcluster CLUSTER_NAME
CLUSTER_NAME: Name of new cluster
2.3.8.3. Savecluster
savecluster CLUSTER_NAME NEW_NAME
CLUSTER_NAME: Name of cluster
NEW_NAME: New Name for cluster
2.3.8.4. Delcluster
delcluster CLUSTER_NAME
CLUSTER_NAME: Name of cluster
2.3.8.5. Addserver
addserver SERVER_NAME SERVER_IP SERVER_PORT HTTP_FLAG USERNAME PASSWORD
CLUSTER_NAME
SERVER_NAME: Name of new server
SERVER_IP: Ip address of new server
SERVER_PORT: Port where server listens
HTTP_FLAG: "1" (Http), "0" (Https)
USERNAME: Username to log on to the server
PASSWORD: Password to log on to the server
CLUSTER_NAME: Server's cluster name
2.3.8.6. Saveserver
saveserver SERVER_NAME SERVER_OLD_NAME SERVER_IP SERVER_PORT HTTP_FLAG
USERNAME PASSWORD CLUSTER_NAME
SERVER_NAME: New name for server
SERVER_OLD_NAME: Server old name
SERVER_IP: Ip address of server

SERVER_PORT: Port where the server listens
HTTP_FLAG: "1" (Http), "0" (Https)
USERNAME: Username to log on to the server
PASSWORD: Password to log on to the server
2.3.8.7. Delserver
delserver SERVER_NAME CLUSTER_NAME
SERVER_NAME: Name of server
2.3.9. Informes
OPTENET Server permite configurar una herramienta de informes (OPTENET Reporter) la
cual recibirá los logs.
2.3.9.1. StoreReporter
storereporter REPORTER_IP REPORTER_PORT
REPORTER_IP: Ip address where OPTENET Reporter is current running
REPORTER_PORT: Port number where OPTENET Reporter is current listening
2.4. PROBLEMAS MÁS COMUNES
En este apartado se describen los problemas más comunes y la forma de

solucionarlos.
2.4.1. No logra arrancar OPTENET CLI

Compruebe que el ejecutable de OPTENET CLI (optenetcli) se encuentra en el directorio
actual. Verifique que el fichero de configuración (cli.conf) también lo está.
2.4.2. Se muestra un mensaje de error al ejecutar un comando

Si recibe un mensaje de error en alguno de los parámetros, compruébelos uno a uno.
Verifique también los caracteres en mayúsculas y minúsculas del comando y sus
parámetros.
Si el error se refiere a que la configuración no pudo ser añadida, compruebe primero

que OPTENET Server está ejecutándose. A continuación compruebe que los datos del
fichero de configuración (user, password, ip, puerto) son correctos.
Por último compruebe que no hay que atravesar ningún proxy para llegar a OPTENET
Server.

2.4.3. Ejecuta un comando pero no se refleja su cambio en OPTENET
Server
Si ejecuta un comando de OPTENET CLI, no recibe ningún error sino un mensaje
diciendo que la configuración ha sido añadida, y sin embargo comprueba que los
cambios que esperaba al ejecutar dicho comando no se han producido, entonces el
problema reside en que alguno de los parámetros hace referencia a un elemento que no
existe.
Dicho elemento puede ser: Una regla, Una categoría, Un tipo de archivo, Un nombre o Ip
de servidor,...
3. CONFIGURACION DEL PROXY OPTENET

El proxy Optenet tiene ciertos parámetros configurables como son el puerto en el que
escucha, ( y en el caso de tener un proxy detrás) la opción de introducir los datos de ese
proxy encadenado.
Estas opciones son accesibles mediante el icono situado en la barra de tareas:

Figura Anexo 1: Icono de administración del proxy
Al hacer click sobre el icono con el botón derecho o izquierdo del ratón, aparecerá el
siguiente menú contextual donde podremos seleccionar la opción deseada:
Figura Anexo 2: Menú contextual del proxy Optenet
3.1. Configuración de un proxy encadenado (Configuración proxy)
Si se desea configurar un proxy encadenado (chained proxy) mediante la siguiente

pantalla se admiten los datos necesarios: la IP del proxy y el puerto en el que escucha:
Figura Anexo 3: Menú de configuración del proxy encadenado
3.2. Administración del Optenet Server (Administración Optenet

Server)

Haciendo click sobre esta opción se abrirá un navegador mostrando la página de
administración del filtro de OPTENET.
3.3. Configuración del puerto (Puerto Proxy)
Para modificar el puerto en el que escucha el proxy por defecto es posible hacer click
sobre esta opción y modificarlo fácilmente:
Figura Anexo 4: Menú de configuración del puerto en el que escucha el proxy Optenet

4. DESCRIPCIÓN DE LAS CATEGORÍAS DE OPTENET
A continuación se enumeran las categorías que ofrece OPTENET junto a una breve
descripción de las mismas:
1. Azar: Páginas web de casinos on-line y bingos. También incluye páginas donde se
pueda apostar, por ejemplo quinielas, loterías, etc.
2. Construcción de explosivos: Páginas web sobre cómo construir explosivos.
3. Compras: Páginas web dónde se puede comprar productos y servicios.
4. Deportes: Páginas web con contenidos relativos a equipos e información deportiva.
5. Drogas: Páginas web con contenidos sobre drogas tanto animando a su consumo
como facilitando lugares y contactos donde conseguirlas. No están incluidas las
páginas que informan sobre los efectos perjudiciales de las drogas.
6. Economía: Páginas web relacionadas con la banca, mercados de valores, inversiones

financieras, etc.
7. Educación: Páginas web relacionadas con colegios, institutos, universidades,

academias y cursos en general.
8. Empleo: Páginas web relacionadas con ofertas de trabajo y demandas de empleo.

También incluye páginas "caza - talentos".
9. Entretenimiento: Páginas web con información relativa a películas, teatro, libros,

restaurantes, hobbies, etc. Contenidos sobre cómo emplear el tiempo libre en
general excepto contenidos pertenecientes a azar, deportes, juegos y viajes que
están incluidos en sus propias categorías.
10. Hackers: Páginas web que contienen software ilegal. Páginas que contienen
herramientas de cómo piratear programas y documentación sobre cómo saltarse la
seguridad informática en general.
11. Informática: Páginas web con información relacionada con hardware, software,
Internet, etc.
12. Juegos: Páginas web donde se puede jugar on-line o descargarse juegos
informáticos.
13. Modelos: Páginas web donde se pueden encontrar fotos de modelos (tanto
masculinos como femeninos). Las páginas donde este tipo de fotos muestren modelos
totalmente o parcialmente desnudos pueden estar incluidos en la categoría de
pornografía.
14. Música: Páginas web donde se puede descargar o comprar música, páginas con
información relacionada con cantantes y grupos de música en general.

15. Racismo: Páginas web con contenido abiertamente xenófobo o que incita al
comportamiento racista por motivos de religión, cultura, raza, ideología, etc.
16. Pornografía: Páginas web de contenido pornográfico y erótico. También incluye el

acceso a sitios de descarga dónde se encuentra material de este tipo.
17. Prensa: Páginas web de periódicos y revistas virtuales.
18. Rosa: Páginas web con contenidos relacionados con celebridades. También incluye
contenidos relacionados con la moda, decoración, estética, etc.
19. Sectas: Páginas web con contenidos relacionado con sectas peligrosas y que son
aceptadas universalmente como tales. No se incluyen aquellas que por legislación de
diferentes países son consideradas como sectas en unos y cómo asociaciones
religiosas con todos sus derechos en otras.
20. Viajes: Páginas web de agencias de viajes, información turística, hoteles y

alojamientos, medios de transporte.
21. Violencia: Páginas web con contenidos abiertamente de naturaleza violenta o que
incitan a la violencia o la defienden.
22. Correo web: Sitos web que proporcionan servicios para enviar mensajes de correo
electrónico.
23. Chat: Sitos web que proporcionan servicios para comunicarse (chat) con otros
usuarios en tiempo real.
* En algunas ocasiones una página web puede pertenecer a más de una categoría.

5. ICAP NOW
NetCache implementa un método ICAP diferente denominado icap now. Se diferencian
de los métodos icap habituales en que la petición ICAP es pasada al servidor ICAP en
este caso OPTENET Server antes incluso de realizar la autenticación de usuario. Esto
puede llegar a ser útil en el caso de que se quiera realizar operaciones diferentes
dependiendo del resultado que devuelva el servidor ICAP decidiendo, por ejemplo, pedir
únicamente autenticación a los usuarios que vayan a acceder a determinadas categorías.
OPTENET Server tiene implementado un servicio ICAP denominado reqmod_category

cuya única misión es categorizar los accesos que le llegan por ese servicio. A diferencia
de los otros dos servicios (reqmod_netcache y respmod_netcache) OPTENET Server no
bloquea ningún acceso, simplemente lo clasifica devolviendo la categoría a NetCache.
Para evitar que un acceso pueda ser catalogado con más de una categoría, OPTENET
Server utiliza el fichero de configuración etc/catpriority.txt que existe dentro de su
directorio de instalación para que el caso de conflicto entre categorías se le asigne la
que antes aparece en dicho fichero. Las categorías que no aparezcan se considerarán
cómo las menos prioritarias, si ninguna de las posibles categoría está escrita (por estar
ambas categorías creadas por el administrador) se elige la que primero se creó en el
sistema. Puede editar catpriority.txt y ordenar las categorías a su gusto. Una vez
guardado deberá rearrancar el filtro para que su ordenación tenga efecto. Además
puede añadir nuevas categorías al fichero modificando también el primer número que
aparece en el fichero ya que indica el número de categorías que tiene el mismo.
A continuación se muestra un ejemplo de configuración de un NetCache en el que se ha

definido el servicio reqmod_category con el fin de solicitar autenticación a todos los
accesos que no pertenezcan a la categoría Intranet:

Figura Anexo 5: Configuración del servicio reqmod_category
Figura Anexo 6: Configuración de NetCache utilizando icap_now
Para poder utilizar correctamente este nuevo servicio debemos indicarle a OPTENET
Server que lance mas hilos con el fin de atender a las peticiones de este nuevo servicio.
Ello se indica en las versiones Windows modificando la clave del registro:
HKEY LOCAL MACHINE\SOFTWARE\OPTENET\OPTENET Server\IcapServices
Escribiendo el valor 3.
Para las versiones Unix, deberá modificar el script /usr/local/optenet/RunOPTENET
anadiendo el parámetro -icap_services 3
En ambos casos deberá reiniciar el filtro para que la configuración tenga efecto.

6. MONITORIZACIÓN SNMP (SÓLO PLATAFORMA LINUX)
El filtro tiene la posibilidad de ser monitorizado mediante el protocolo SNMP, con lo cual
es fácilmente integrable en los sistemas de monitorización del mercado.
Para ello, la distribución del filtro incluye un Agente SNMP, que funciona como un
servicio totalmente autónomo, y mantiene actualizados los valores de los parámetros
sobre el estado del filtro en tiempo real.
Por defecto, el agente escuchará en el puerto 161, aunque es configurable, con el fin de
poder tener varios agentes en la misma máquina.
Los parámetros que son susceptibles de ser monitorizados son los siguientes:
• -Estado del filtro: ACTIVO / NO ACTIVO/APAGADO

(ID: .1.3.6.1.4.1.2021.254.1.0)
• ACTIVO: El filtro se encuentra activo en ese momento. (Valor 1)
• NO ACTIVO: El filtro se encuentra encendido pero no activo. (Valor 0)
• APAGADO: El filtro no está en ejecución. (Valor -1)
• -Número de peticiones por segundo: X.

(ID: .1.3.6.1.4.1.2021.254.2.0.0)
• -Número de bloqueos por segundo: X.

(ID: .1.3.6.1.4.1.2021.254.3.0.1849.0)
Además se incluye completa información sobre el sistema, por ejemplo:
• -Hora/fecha del sistema.

(ID: .1.3.6.1.4.1.2021.4.0)
• -Tiempo del agente en ejecución.

(ID: .1.3.6.1.2.1.1.3)
• -Nombre del servidor.

(ID: .1.3.6.1.2.1.1.5)
6.1.1. Ejecución del agente SNMP
Para activar el agente SNMP de Optenet debe ejecutarse el siguiente comando:
OptenetSnmp [–h] [–v] [–f] [–p PORT] [–l LOG_FILE]
-h Muestra la ayuda en línea de comandos

-v Muestra la versión del producto

-f No se ejecuta en un hilo hijo
-p para establecer un puerto en el que escucha peticiones diferente al 161
-l para cambiar el fichero de log por defecto
(/usr/local/optenet/logs/optenet_snmp.log)
6.1.2. Arranque automático
Si se desea que el agente SNMP arranque junto con el filtro de manera

automática, será necesario editar los ficheros: “RunOPTENET” y “filterinit”, y quitar los
comentarios de las líneas indicadas, donde aparecen las llamadas necesarias para iniciar
y apagar el agente OptenetSnmp.
Por defecto, en el fichero de arranque aparece como puerto donde escucha el agente
Snmp: 10237.
6.1.3. Configuración del agente
El agente cuenta con un fichero de configuración cuyo nombre es: “snmp.conf”,

con la siguiente información:
Stat-url= 192.168.0.240 // URL o IP donde escucha el filtro

Stat-port= 10234 // Puerto en el que escucha el servidor web del filtro (CGI de
estadísticas)
7. RECARGAR
Esta opción provoca que el filtro lea de nuevo todos sus ficheros de configuración así
como la base de datos de URLs. Opción útil si desea "clonar" la configuración de un filtro
a otro servidor que se ha incorporado recientemente a la gestión en cluster de
organización, sin necesidad de parar y volver a arrancar el filtro. ATENCIÓN, utilice esta
opción solamente en caso necesario, ya que la recarga de la base de datos es un proceso
costoso en uso de CPU. Para lanzar al recarga debe ejecutar el siguiente cgi:
http://ip_del_filtro:10237/cgi-bin/resetconf?

INDICE DE FIGURAS
Figura 3.1: Idioma de la instalación de OPTENET Server............................................................. 11
Figura 3.2: Directorio de instalación de OPTENET Server............................................................ 11
Figura 3.3: Protocolo de comunicación entre OPTENET Server y el proxy......................................... 12
Figura 3.4: Proxies de Microsoft u OPTENET proxy.................................................................... 12
Figura 3.5: idioma por defecto de OPTENET Server................................................................... 13
Figura 3.6: Copiando OPTENET Server................................................................................... 13
Figura 3.8: Parámetros de OPTENET Server en el Registro de Windows........................................... 16
Figura 3.9: Servicio de OPTENET Server. ............................................................................... 17
Figura 3.10: Plugin de captura de datos de OPTENET Server........................................................ 18
Figura 3.11: Ventana de bienvenida del software de instalación................................................... 23
Figura 3.12: Ventana de condiciones generales de utilización ..................................................... 23
Figura 3.13: Ventana de selección del volumen de destino.......................................................... 24
Figura 3.14: Instalación de OPTENET Server y de OPTENET Reporter.............................................. 24
Figura 3.15: Personalización de la Instalación ......................................................................... 25
Figura 3.16: Fin de la instalación de OPTENET ........................................................................ 25
Figura 3.17: Administración del plugin de captura de datos de OPTENET Server................................ 29
Figura 3.18: Administración del plugin de captura de datos de OPTENET Server para Proxy Server. ........ 30
Figura 3.20: Notificación de éxito de obtención de parámetros automática. .................................... 34
Figura 3.21: Creación de un servicio “response modification” en BlueCoat. ..................................... 35
Figura 3.22: Creación de una política de acceso en BlueCoat. ...................................................... 35
Figura 3.23: Conexión de la política y el servicio en BlueCoat...................................................... 36
Figura 3.24: Creación de una política de contenido en BlueCoat................................................... 36
Figura 3.25: Conexión de la política y el servicio en BlueCoat...................................................... 37
Figura 3.26: Creación de un servicio REQMOD en NetCache. ........................................................ 38
Figura 3.27: Creación de un servicio RESPMOD en NetCache ........................................................ 39
Figura 3.28: Configuración de control de accesos conectados a los servicios creados en NetCache. ......... 40
Figura 3.29: Habilitado de los servicios creados en NetCache. ..................................................... 41
Figura 5.1: Ventana de autenticación de usuario para acceder a la Administración WWW .................... 44
Figura 5.2: Ventana de Introducción de la Administración WWW. ................................................. 45
Figura 5.3: Ventana de Introducción de la Administración WWW en francés. .................................... 46
Figura 5.4: Ventana de Documentación de la Administración WWW. .............................................. 47
Figura 5.5: Ventana de Configuración de la Administración WWW................................................. 48
Figura 5.6: Página de bloqueo de OPTENET Server.................................................................... 49
Figura 5.7: Ventana de Autenticación de la Administración WWW................................................. 51
Figura 5.8 Configuración de los Servidores LDAP. ..................................................................... 52
Figura 5.9 Configuración de un servidor LDAP ActiveDirectory ..................................................... 54
Figura 5.10 Configuración de un servidor LDAP iPlanet .............................................................. 55
Figura 5.11 Configuración de Servidores Windows. ................................................................... 56
Figura 5.12 Configuración de un Servidor Windows. .................................................................. 57
Figura 5.13 Configuración de OPTENET Proxy.......................................................................... 58
Figura 5.14: Ventana para añadir Categorías de la Administración WWW. ....................................... 62
Figura 5.15: Ventana para Clasificación de URLs de la Administración WWW.................................... 62
Figura 5.16: Clasificación de URLs como pornografía................................................................. 63
Figura 5.17: Ventana Reglas de Filtrado de la Administración WWW. ............................................. 64
Figura 5.18: Ventana principal de Modificación de una Regla de Filtrado. ....................................... 65
Figura 5.19: Ventana para Cambiar el Nombre de una Regla de Filtrado. ........................................ 66
Figura 5.20: Ventana para Seleccionar las Categorías que debe tener en cuenta una Regla. ................. 67
Figura 5.21: Ventana para Seleccionar los tipos de Fichero a tener en cuenta por una Regla................. 68
Figura 5.22: Ventana para Seleccionar las IPs a tener en cuenta por una Regla. ................................ 68
Figura 5.23: Ventana para Seleccionar los Usuarios a tener en cuenta por una Regla. ......................... 69
Figura 5.24: Ventana para Seleccionar los Grupos de Usuarios a tener en cuenta por una Regla. ............ 70
Figura 5.25: Ventana para establecer el número máximo de horas a tener en cuenta por una Regla. ...... 71
Figura 5.26: Ventana para Establecer los Horarios a tener en cuenta por una Regla ........................... 71
Figura 5.27: Ventana para Asociar URLs a una Regla con independencia de su categorización................ 72
Figura 5.28: Ventana para Desligar URLs da una Regla con independencia de su categorización ............. 73
Figura 5.29: Ventana de Actualizaciones de la Administración WWW ............................................. 75
Figura 5.30. Ventana indicando que no es posible contactar con OPTENET Reporter ........................... 76

Figura 5. 31: Ventana de Modificación de Perfil de Administrador. ............................................... 79
Figura 5.32: Ventana de Configuración de Bloqueo por intentos repetidos a URLs con acceso denegado. .. 80
Figura 5.33: Ventana para Desbloquear Usuarios anteriormente bloqueados. ................................... 81
Figura 5.34: Vista principal de la Administración WEB. .............................................................. 82
Figura 5.35: Ventana de administración de la Gestión en Cluster.................................................. 83
Figura 5.36: Ventana que aparece al desactivar la Gestión en Cluster............................................ 84
Figura 5.37: Ventana de Inserción del Nombre del Cluster. ......................................................... 84
Figura 5.38: Ventana de Informe de las comunicaciones con los Servidores de un Cluster..................... 85
Figura 5.39: Ventana de Inserción de Parámetros de un Servidor del Cluster.................................... 86
Figura 5.41: Ventana que aparece tras conectar correctamente con un servidor. .............................. 89
Figura 5.41: Ventana de Informe de las comunicaciones con un Servidor. ........................................ 89
Figura 5.42 Ventana de información del Sistema...................................................................... 91
Figura Anexo 1: Icono de administración del proxy .................................................................. 110
Figura Anexo 2: Menú contextual del proxy Optenet ................................................................ 110
Figura Anexo 3: Menú de configuración del proxy encadenado .................................................... 110
Figura Anexo 4: Menú de configuración del puerto en el que escucha el proxy Optenet ...................... 111
Figura Anexo 5: Configuración del servicio reqmod_category...................................................... 115
Figura Anexo 6: Configuración de NetCache utilizando icap_now ................................................. 115

Manual de Optenet - Filtrador de Webs en Servidores

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de Optenet - Filtrador de Webs en Servidores

Cargado por

Copyright:

Formatos disponibles

OPTENET Server 5.

2. NUEVAS CARACTERÍSTICAS DE LA VERSIÓN 5.21 ................................................. 8

Manual de Usuario Optenet Server. Versión 5.21 2

Manual de Usuario Optenet Server. Versión 5.21 3

1. ADMINISTRACIÓN DE OPTENET SERVER A TRAVÉS DE UNA CONEXIÓN SEGURA (SOLO

2. ADMINISTRACIÓN DE OPTENET A TRAVÉS DE LA LÍNEA DE COMANDOS (OPTENET CLI

Manual de Usuario Optenet Server. Versión 5.21 4

5. ICAP NOW ............................................................................................. 114

6. MONITORIZACIÓN SNMP (SÓLO PLATAFORMA LINUX) ........................................ 116

Manual de Usuario Optenet Server. Versión 5.21 5

OPTENET es un sistema de filtrado que permite optimizar los recursos de Internet de la

Si el conjunto de reglas establece que la página solicitada debe permitirse la página se

La característica principal de OPTENET Server consiste en la categorización de

Manual de Usuario Optenet Server. Versión 5.21 6

Además, OPTENET Server cuenta con las siguientes características:

♦ Actualización automática de las listas.

Manual de Usuario Optenet Server. Versión 5.21 7

• Distribuye la nueva versión de la herramienta de informes (OPTENET Reporter

• Integración con Firewall One.

• El número de categorías pre-establecidas en el filtro más aquellas añadidas por el

Manual de Usuario Optenet Server. Versión 5.21 8

3.1. Requisitos del sistema

3.1.1. En sistemas Windows

3.1.2. En sistemas Linux

3.1.3. En sistemas Solaris

3.1.4. En sistemas AIX

3.1.5. Para Mac OS X

♦ Mac OS X 10.3.3 o posterior.

Manual de Usuario Optenet Server. Versión 5.21 9

Además al final de la instalación de OPTENET Server se le da la posibilidad de instalar

3.2.1. En sistemas Windows:

A continuación se detalla el proceso de instalación de OPTENET Server únicamente.

La primera pantalla que se le muestra es para seleccionar el idioma durante la

Manual de Usuario Optenet Server. Versión 5.21 10

Se muestra a continuación una ventana donde se pregunta si desea instalar OPTENET

Figura 3.2: Directorio de instalación de OPTENET Server.

Pulsando el botón siguiente se le permitirá seleccionar el protocolo de comunicación

Manual de Usuario Optenet Server. Versión 5.21 11

Si ha seleccionado RPC en la pantalla anterior entonces puede configurar OPTENET

Figura 3.4: Proxies de Microsoft u OPTENET proxy.

A continuación, debe seleccionar el idioma por defecto de OPTENET Server

Manual de Usuario Optenet Server. Versión 5.21 12

Pulsando el botón Siguiente el programa de instalación instalará todos los elementos

Figura 3.6: Copiando OPTENET Server.

Por último, el instalador le preguntará si desea instalar OPTENET Reporter.

Manual de Usuario Optenet Server. Versión 5.21 13

• Desinstalar OPTENET Server: Este elemento desinstala OPTENET Server de su

• Administración: Si escoge este elemento se le abrirá un navegador y se

• Home OPTENET: Este elemento le abrirá un navegador y se conectará a la

• Manual de usuario:: Este elemento le permitirá acceder a la última versión

Para guardar los parámetros básicos de OPTENET Server el programa de instalación

Manual de Usuario Optenet Server. Versión 5.21 14

Datos del sistema

- HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET

- HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\OPTENET Proxy

- HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Current Version\ Uninstall\OPTENET

Manual de Usuario Optenet Server. Versión 5.21 15

Elementos de OPTENET Server

El segundo elemento de OPTENET Server es un servicio/proceso de Windows que analiza

Puede realizar la misma comprobación para OPTENET Reporter y OPTENET Proxy.

Manual de Usuario Optenet Server. Versión 5.21 16

3.2.1.1. Integración con Microsoft ISA-Server

Manual de Usuario Optenet Server. Versión 5.21 17

- - Directorio cgibin: Contiene código JavaScript utilizado por la Administración WWW