Puedes usar servidores proxy en ChromeOS para brindar protección entre tu organización y los sitios que visitan tus usuarios. Los servidores proxy pueden filtrar contenido no seguro o no deseado, mantener ocultas las direcciones IP de los usuarios o filtrar sitios web específicos.
Cuando usas servidores proxy, debes seguir estos pasos:
- Las solicitudes del sitio pasan a través del servidor proxy.
- Luego, el servidor pasa las solicitudes al sitio web.
- El sitio web devuelve la página web al servidor proxy.
- El servidor enruta la página web de vuelta al dispositivo del usuario.
¿Cómo puedo elegir un proxy?
ChromeOS admite diferentes esquemas de proxy, según las necesidades de tu organización, como la seguridad, el tráfico que se debe enviar al proxy o dónde debe ocurrir la resolución de DNS. Para ver todos los esquemas de proxy compatibles con ChromeOS y los detalles de implementación, consulta Compatibilidad con proxy en Chrome.
Es posible que algunos parámetros de configuración de proxy no sean compatibles con otros de red. Por ejemplo, cuando se configura un proxy en ChromeOS, la resolución de DNS ocurre en el servidor, excepto en los proxies socks4, por lo que no es compatible con los parámetros de configuración de DNS personalizados.
Cuando eliges el mecanismo de autenticación de proxy, los diferentes componentes a nivel de ChromeOS tienen capacidades de red diferentes o inferiores a las del navegador Chrome.
Autenticación del proxy a nivel de ChromeOS
Cuando un usuario accede al navegador Chrome, su nombre de usuario y contraseña se almacenan en la caché de autenticación asociada con su perfil y solo se puede acceder a estos datos en las solicitudes de navegación de usuarios del navegador Chrome en el navegador del SO.
Esto significa que los servicios del sistema que requieren conectividad en el navegador Chrome, como las actualizaciones de políticas o la inscripción en kioscos, y en el SO, como las actualizaciones del SO, la carga de informes de fallas o la sincronización de la hora del sistema, no tienen acceso a los nombres de usuario ni las contraseñas. Los administradores de red deben asegurarse de que el tráfico generado por los servicios del sistema omita el paso de autenticación.
Esto también se aplica al tráfico de Google Play y de la app de Google Play.
Para obtener una lista de extremos, que usan los servicios del sistema y Google Play, que deben omitir el paso de autenticación en el proxy, consulta la sección Listas de excepciones de la autenticación de proxy.
La lista de excepciones de proxy se puede reducir de forma significativa en los dispositivos inscritos configurando la política SystemProxySettings para permitir que un servicio del SO autentique los servicios del sistema en el SO y el tráfico de Google Play. Para obtener más información, consulta el parámetro de configuración de Tráfico de proxy autenticado en Configura políticas de dispositivos ChromeOS.
Además, los certificados de la Ac personalizados solo se respetan en el tráfico de usuarios. Cuando el proxy realiza una inspección de TLS, se debe permitir que el tráfico del sistema y el de Android omitan la inspección. Consulta Configurar la inspección de TLS (o SSL) en dispositivos Chrome > Configurar una lista de entidades permitidas de nombre de host.
Cómo configurar un proxy explícito en ChromeOS
Qué parámetro de configuración se debe usar
Puedes configurar proxies en ChromeOS para redes individuales o, de forma global, para todas las redes de tu organización. Los parámetros de configuración de proxy se enumeran a continuación en orden de prioridad:
- Política del usuario ProxySettings: Global
- Extensiones: Global
- Política del usuario OpenNetworkConfiguration: por red
- Política de dispositivo DeviceOpenNetworkConfiguration: por red
- IU de configuración de red: establecida por el usuario por red
En general, los parámetros de configuración de proxy se aplican a todo el SO, con las siguientes excepciones en las que los usuarios deben permitir explícitamente la configuración de proxy en el navegador:
- Los proxies de configurados para extensiones están inhabilitados de forma predeterminada en el modo Incógnito. Los usuarios deben permitir explícitamente que la extensión que controla el proxy se ejecute en modo Incógnito desde la página chrome://extensions.
No puedes aplicar proxies configurados para extensiones en el modo Incógnito, pero puedes bloquear la navegación en modo Incógnito si el usuario no permite una extensión preconfigurada en este modo. Si deseas conocer más detalles, consulta la política MandatoryExtensionsForIncognitoNavigation. - Si usas perfiles secundarios de Lacros, los usuarios pueden habilitar o inhabilitar el uso del proxy configurado en el SO. Para ello, deben ir a la página chrome://settings/system y ajustar la opción Usar la configuración de proxy de ChromeOS de este perfil.
Qué formato de configuración de proxy se debe usar
ChromeOS admite los siguientes formatos de proxy:
- Manual: Una lista estática de identificadores de proxy junto con una lista de excepciones de extremos que deben omitir el proxy
- Secuencia de comandos PAC: Archivo JavaScript que permite configurar reglas más complejas para determinar qué proxy usar para una URL
- Detección automática: El protocolo de detección automática de proxy web (WPAD), que es un mecanismo de descubrimiento en el que se prueban el DNS o el DHCP para obtener la URL de PAC
- Directo: Un seudoproxy que significa que no se usa ningún proxy
Cuando elijas el formato, ten en cuenta lo siguiente:
- La resolución del proxy ocurre antes que la resolución de nombres. Si la lista de excepciones de proxy está configurada con literales de IP, la excepción solo se respeta si el usuario navega a la dirección IP específica, no al nombre de host asociado con la IP. Para obtener más detalles, consulta las Reglas de omisión de proxy.
- Lo siguiente se aplica a la compatibilidad con proxy de Android:
- No se admiten las URLs de PAC con el esquema data://.
- Para la configuración manual de proxy, la lista de excepciones no admite caracteres especiales para direcciones IPv6 ni caracteres que no sean ASCII.
Listas de excepciones de la autenticación del proxy
Servicios del sistema de ChromeOS
| Servicio de Chrome/ChromeOS | Nombres de host |
|---|---|
| Esencial | |
| DMServer | m.google.com |
| Reinscripción forzada para el acceso verificado | chromeos-ca.gstatic.com |
| ChromeOS: Actualizaciones automáticas | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| ChromeOS: Registro de actualización del generador de informes de fallas Chrome: Registros de actualización de WebRTC |
clients2.google.com |
| ChromeOS: sincronización del reloj del sistema tlsdate | clients3.google.com |
| Detección de portal cautivo | www.gstatic.com or accounts.google.com or www.googleapis.com |
| Sube informes para solucionar problemas, descargar Crostini, etcétera | storage.googleapis.com |
| Varios servicios de API | www.googleapis.com |
| Dominio que usa Google: Mantenlo separado de *.google.com para evitar ataques de XSS | *.1e100.net |
| URL de bandaid: Algunas solicitudes se redireccionan a la infraestructura de almacenamiento en caché de Google, que acelera la descarga de la app. | *.gvt1.com |
| Descargar actualizaciones automáticas, imágenes estáticas, etcétera | dl.google.com dl-ssl.google.com |
| Actualizaciones de componentes de Chrome (chrome://components) | update.googleapis.com |
| Muy recomendado | |
| Navegación segura | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Servidor de sincronización de cuentas de Chrome: Sincroniza datos del usuario, como favoritos, recopilación de métricas del usuario y otros servicios. | clients4.google.com |
| Sugerencias del documento del cuadro multifunción | cloudsearch.googleapis.com |
| Cómo descargar personalizaciones del OEM (y otras) | ssl.gstatic.com |
|
Contenido generado por terceros o usuarios, como extensiones o unidades de impresora googleusercontent.com protege las principales Propiedades de Google del contenido generado por usuarios que podría contener errores o hacer que el dominio sea vulnerable a ataques de secuencias de comandos entre sitios de forma malintencionada. |
*.googleusercontent.com |
| Compatibilidad con impresoras: Descarga el PDD de la impresora | printerconfigurations.googleusercontent.com |
| Compatibilidad con periféricos: Enseñanza especializada sobre cómo adaptarse mejor a diversos dispositivos conectados, que actualmente admiten impresoras y pantallas | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Nombres de host |
|---|---|
| Esencial | |
| Imprescindible para aprovisionar e instalar apps | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging, extremos principales de GMS gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Otro | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Extensiones y kiosco
| Servicio de Chrome/ChromeOS | Nombres de host |
|---|---|
| Esencial | |
| Extremo de descarga de la extensión | clients2.google.com clients2.googleusercontent.com chrome.google.com |