Seguridad

En esta pestaña se encuentran diferentes ajustes de seguridad del sistema TeamWox. Están separados en varios bloques: Certificados, Seguridad de contraseñas y sesiones de trabajo, Autenticación, Servidor Proxy y Procesar peticiones públicas.

Seguridad

Certificados

El sistema TeamWox trabaja a través del protocolo HTTPS, el puerto 443. Por defecto, se instala el certificado expedido por MetaQuotes Software CA. Este certificado no es de confianza, por esta razón los navegadores de los usuarios saltan correspondientes avisos. Para evitarlo, puede agregar este certificado a la lista de los certificados de confianza. Para evitarlo, hay que agregar al proveedor de certificados MetaQuotes Software CA a la lista de los de confianza, siguiendo las instrucciones en el apartado "Instalación del certificado".

La parte superior del bloque de certificados contiene la información sobre el certificado instalado en este momento: centro de emisión, receptor y fecha de caducidad. A continuación, vienen diferentes comandos de administración de los certificados:

Solicitud e instalación del certificado

El botón "Solicitar certificado" en la parte parte superior del bloque se utiliza para generar la solicitud en el centro de certificación con el fin de obtener el certificado. Se abrirá la siguiente ventana:

Solicitud del certificado

Aquí se especifica la siguiente información:

Nombre común — nombre principal del certificado.

Ciudad — ciudad donde se encuentra su empresa.

Organización — nombre de su empresa.

Departamento — departamento de su empresa que se encarga de las cuestiones de certificación.

E-Mail — dirección de correo electrónico para ponerse en contacto con su empresa.

País — país donde se encuentra su empresa.

Estado/Provincia — estado/provincia del país donde se encuentra su empresa.

Calle — calle en la que se encuentra su empresa.

Dominio — dominio en el que está instalado su sistema TeamWox.

Longitud de la clave — seleccionar la longitud de la clave: 1024 o 2048 bits.

Después de rellenar todos los datos, haga clic en "Continuar". Si pincha en "Cancelar", la ventana se cierra y la solicitud no se envía. Si pincha en el botón "Continuar", será generada la solicitud para su envío a uno de los centros de certificación de confianza:

Solicitud del certificado

Es necesario copiar esta solicitud y enviarla al centro de certificación seleccionado, siguiendo sus instrucciones.

El artículo "¿Cómo obtener el certificado legal SSL para TeamWox?" ubicado en la página www.teamwox.com contiene la descripción detallada de este proceso.

Debe copiar nuevamente al sistema TeamWox la respuesta que va a recibir del centro de certificación. Para eso tiene que pinchar en el botón "Usar la respuesta del centro de certificación".

apply_requested_certificate

Tiene que pegar en la ventana que aparece la respuesta recibida del centro de certificación. En cuanto pulse en el botón "Aplicar", el certificado será instalado en el sistema TeamWox.

El centro de certificación puede darle la respuesta de dos tipos: en el formato X509 o PKCS. La diferencia consiste en que el último tipo aparte del certificado en sí también contiene los certificados intermedios. De esta manera, durante la instalación del certificado en TeamWox, también se instalan de forma adicional en el servidor todos los certificados intermedios. Esto garantiza que todos los navegadores van a aceptar el certificado instalado en TeamWox como el certificado de confianza.

Dependiendo del tipo, las respuestas de las entidades emisoras van a ser las siguientes:

X509

PKCS

-----BEGIN CERTIFICATE-----

...

-----END CERTIFICATE-----

-----BEGIN PKCS #7 SIGNED DATA-----

...

-----END PKCS #7 SIGNED DATA-----

Es recomendable usar la respuesta en el formato PKCS.

Si antes ha generado varias solicitudes de certificados, el mismo sistema TeamWox determinará el certificado necesario y le aplicará la respuesta pegada recibida del centro de certificación.

Reemisión de certificado

La mayoría de las empresas tiene la posibilidad de usar la opción de reemisión del certificado tantas veces cuanto necesita en el transcurso de todo el período de su vigencia. La reemisión del certificado puede ser necesaria en una de las siguientes ocasiones:

La clave privada ha sido perdida o divulgada a los terceros;

El certificado contiene la información incorrecta;

El certificado no funciona correctamente.

En este caso hay que volver a generar la solicitud del certificado. Luego hay que entrar en la página de la entidad emisora del certificado e iniciar el procedimiento especial de reemisión. A continuación, le indicamos los enlaces a los centros más conocidos:

Thawtehttps://www.thawte.com/reissue

GeoTrusthttp://www.geotrust.com/support/ssl-certificate-reissuance/index.html

Verisignhttp://www.verisign.com/ssl/current-ssl-customers/revoke-replace-ssl/index.html

Una vez que pase el procedimiento de la reemisión, tiene que volver a poner la respuesta del centro de certificación en la ventana correspondiente. Después de eso, el certificado será reinstalado.

Reemplazar el certificado actual por otro certificado (*.pfx)

Para cambiar el certificado actual, haga clic en el botón "Cambiar certificado".

Cargar nuevo certificado

Para especificar un certificado nuevo, haga clic en el botón "Examinar" y seleccione el archivo necesario en la ventana estándar de selección de archivos. Si su certificado tiene contraseña, hay que indicarla en el campo correspondiente. Haga clic en "Cargar" para cargar nuevo certificado, o "Cancelar" para cancelar la operación.

Exportar certificado

El botón "Exportar certificado" se usa para bajar a su ordenador el certificado actual en el archivo PFX. Al pulsarlo, aparece la ventana que le pide la contraseña del certificado. Si no tiene la contraseña, deje este campo en blanco y haga clic en "OK". Después de eso, se abrirá la ventana estándar del navegador donde puede abrir o guardar el archivo.

Seguridad de contraseñas y sesiones de trabajo

Para garantizar la seguridad del sistema, está implementado el control continuo de la complejidad de contraseñas. Cualquier contraseña debe contener no menos de 6 símbolos, incluyendo las minúsculas, mayúsculas y también los números.

Establecer el control de sesiones de trabajo según las direcciones IP

Esta opción sirve para aumentar la seguridad del sistema. Si la activa, las sesiones de conexiones del usuario se vinculan a su dirección IP. De esta manera, si luego va a conectarse desde otra dirección, tendrá que volver a indicar su login y contraseña, independientemente de la opción "Recordarme" durante la autorización.

Requerir el cambio de contraseña de usuario cada N días

Esta opción también sirve para aumentar la seguridad de trabajo con el sistema. Si la política de seguridad de la empresa requiere el cambio de contraseña de usuarios pasado un determinado período de tiempo, active esta opción e indique el número de días necesario. Pasado este plazo, en la interfaz de TeamWox se le mostrará al usuario la ventana del cambio forzado de su contraseña:

Cambio de contraseña

Esta ventana contiene los siguientes campos:

Login — en este campo se muestra el login del usuario.

Nueva contraseña — aquí hay que introducir nueva contraseña. No debe coincidir con la contraseña anterior. Además, la contraseña tiene que ser suficientemente compleja (tener como mínimo 6 símbolos, incluyendo mayúsculas, minúsculas, y también los números).

Confirmación — en este campo hay que volver a introducir su nueva contraseña.

Contraseña actual — para evitar el cambio no autorizado de la contraseña, en este campo hay que poner la contraseña actual.

Esta opción funciona sólo para la autorización con el login y la contraseña. Si el usuario se autoriza a través de Active Directory o con el certificado, la ventana del cambio de la contraseña no va a aparecer.

Autentificación

En el sistema TeamWox está prevista la posibilidad de autentificación de los usuarios por certificados, y también por su login y contraseña en el dominio Active Directory.

Autentificación en el dominio Active Directory

Si activa esta opción, los usuarios podrán entrar en el sistema TeamWox usando su login y contraseña que tienen registrados en Active Directory. En el campo "Dominio" tiene que especificar el nombre de dominio, por ejemplo: "ad.company.com".

Además de tener activada la opción arriba mencionada, el usuario debe disponer del correspondiente permiso "Permitir autentificación en el dominio" que se puede encontrar en la pestaña "Usuarios -> Derechos de acceso", en el bloque "Servidor". Además, los logins de usuarios del sistema TeamWox deben corresponder a los logins en Active Directory.

Utilizando sus credenciales actuales los usuarios de ActiveDirectory también pueden autorizarse en WebDAV para acceder a los "Documentos" y en CalDAV para acceder al "Calendario". Para activar esta opción, hay marcar:  "Usar para autenticación WebDAV en el módulo "Documentos" y "Usar para autenticación CalDAV en el módulo "Calendario" .

security_authentication

Hay que tener en cuenta que con estas opciones existen ciertas limitaciones técnicas que no permiten usar WebDAV y CalDAV a los usuarios que han sido creados en TeamWox manualmente.

Para empezar a trabajar rápidamente en el sistema, se puede importar a los usuarios desde Active Directory.

Usar certificado de usuario

La elección de esta opción le permitirá autentificar a los usuarios según sus certificados expedidos por uno de los centros de certificación de confianza.

En "Revisar por" tiene que elegir el campo del certificado por el que va a pasara la autentificación. Lo puede elegir desde la lista desplegable que se abre si pulsa con el botón izquierdo en este campo. Tendrá disponibles tres opciones: por el nombre común, por la dirección de correo electrónico o por el certificado personal. Conforme a eso, en primero de los casos se realiza la comparación del nombre común que figura en el certificado con el login del usuario en TeamWox. En segundo caso se compara la dirección de correo electrónico que figura en el certificado y el e-mail especificado en los datos de contacto del usuario. Si elige la tercera opción, van a usarse los certificados que han sido generados para los usuarios directamente en el sistema TeamWox.

En el campo "Lista de centros de certificación de confianza" deben estar indicados los certificados públicos recibidos de los centros de confianza, y los que los usuarios puede usar para entrar en el sistema. Para eso hay que dar en el botón "Examinar" e indicar el correspondiente archivo *.cr o *.crt. Para que el certificado agregado funcione, hay que marcar la casilla que le corresponde.

Igual que en el caso anterior, el usuario debe tener asignado el permiso correspondiente "Permitir autentificación según el certificado del centro de certificación" que puede encontrar en la pestaña "Usuarios -> Derechos de acceso", en el bloque "Servidor".

Se puede generar los certificados en la pestaña "Seguridad" dentro de los perfiles de los usuarios.

Servidor proxy

Servidor proxy

Si la conexión a Internet se efectúa a través del servidor proxy, habrá que configurar los siguientes parámetros:

Usar el servidor proxy — para activar el servidor proxy, active este campo marcándolo. A continuación, hay que indicar el servidor y el puerto separados por dos puntos.  Por ejemplo, proxy.company.com:3128.

Login — login para la autorización del servidor proxy.

Contraseña — contraseña para la autorización en el servidor proxy.

Si no hace falta poner la contraseña y el login, deje estos campos en blanco. Acuda a su administrador de sistema para averiguar estos parámetros.

Procesar peticiones públicas

En este bloque se puede configurar los parámetros del acceso público al sistema para los componentes de integración con los recursos externos.

Procesar peticiones públicas

Aquí dispone de las opciones siguientes:

Permitir el acceso público
Para la integración de los módulos "Service Desk" y "Chat" se usa la conexión no autorizada (pública) con el sistema. Si los componentes públicos no se usan, hay que desactivar la opción de esta conexión, quitando la marca de este campo.

Considerar el encabezado X-Forwarded-For para las peticiones desde las siguientes direcciones IP
Los usuarios pueden entrar en el sistema a través de los servicios públicos desde diferentes servidores proxy. En este caso, en las conversaciones del chat, entradas del diario del sistema, etc. será mostrado la dirección del servidor proxy. Si indica la dirección de este servidor proxy en este campo, el sistema TeamWox tratará de identificar la dirección IP real del usuario mediante el encabezado "X-Forwarded-For". Hay que recordar que en este campo deben estar especificadas las direcciones IP únicamente de los servidores de confianza, donde se elimina la posibilidad de transferir las direcciones falsas en las peticiones.

Permitir el uso del protocolo HTTP
Por defecto, las conexiones públicas van por el protocolo protegido HTTPS a través del puerto 443 (SSL). No obstante, si el certificado certificado instalado es autofirmado (por ejemplo, el certificado predeterminado MetaQuotes Software CA), entonces a la hora de enviar las peticiones públicas pueden surgir problemas debido a la política de privacidad del navegador. En esta ocasión, para que los componentes públicos funciones correctamente, es necesario permitir la utilización de la conexión descodificada a través del protocolo HTTP, por el puerto 80. Para eso tiene que poner la marca en este campo.

Una vez comprado e instalado el certificado emitido por el centro de certificaciones de confianza, hay que desactivar la opción "Permitir el uso del protocolo HTTP".

Haga clic en "Guardar" para guardar las modificaciones.