Puedes utilizar servidores proxy en ChromeOS para proteger tu organización de los sitios que visitan tus usuarios. Los servidores proxy pueden filtrar el contenido no seguro o no deseado, ocultar las direcciones IP de los usuarios o filtrar sitios web concretos.
Cuando utilizas servidores proxy, se siguen estos pasos:
- Las solicitudes del sitio pasan por el servidor proxy.
- A continuación, el servidor envía las solicitudes al sitio web.
- El sitio web devuelve la página web al servidor proxy.
- El servidor redirige la página web al dispositivo del usuario.
¿Cómo se elige un proxy?
ChromeOS admite diferentes esquemas de proxy en función de las necesidades de tu organización, como la seguridad, el tráfico que se debe desviar a un servidor proxy o los casos en que se debe aplicar la resolución de DNS. Para ver todos los esquemas de proxy compatibles en ChromeOS, así como información sobre la implementación, consulta el artículo Compatibilidad de proxy en Chrome.
Es posible que algunas configuraciones de proxy no sean compatibles con otros ajustes de red. Por ejemplo, cuando se configura un proxy en ChromeOS, la resolución de DNS se produce en el servidor, excepto en los proxies socks4, por lo que no es compatible con las configuraciones de DNS personalizadas.
Al elegir el mecanismo de autenticación de proxy, los distintos componentes a nivel de ChromeOS tienen diferentes o menos funciones de red que las del navegador Chrome.
Autenticación de proxy a nivel de ChromeOS
Cuando un usuario inicia sesión en el navegador Chrome, su nombre de usuario y contraseña se almacenan en la caché de autenticación asociada a su perfil, y solo pueden acceder a ellos las solicitudes de navegación del usuario del navegador Chrome desde el navegador del SO.
Esto significa que los servicios del sistema que requieren conectividad en el navegador Chrome, como las actualizaciones de políticas o el registro de kiosco, y en el SO, como las actualizaciones del SO, la subida de informes sobre fallos o la sincronización de la hora del sistema, no tienen acceso a los nombres de usuario ni las contraseñas. Los administradores de redes deben asegurarse de que el tráfico generado por los servicios del sistema omita el paso de autenticación.
Esto también se aplica al tráfico de Google Play y de las aplicaciones de Google Play.
Para ver una lista de los endpoints utilizados por los servicios del sistema y Google Play que deberían omitir el paso de autenticación en el proxy, consulta la sección Listas de omisión de autenticación de proxy.
La lista de omisión de proxy se puede reducir considerablemente en los dispositivos registrados si se configura la política SystemProxySettings para permitir que un servicio de SO autentique los servicios del sistema en el SO y el tráfico de Google Play. Para obtener más información, consulta el ajuste Tráfico mediante proxy autenticado del artículo Configurar políticas de dispositivos ChromeOS.
Además, los certificados AC personalizados solo se respetan en el tráfico de usuarios. Cuando el proxy realiza la inspección TLS, el tráfico del sistema y el de Android deberían poder saltarse la inspección. Consulta el artículo Configurar la inspección TLS (o SSL) en dispositivos Chrome > Definir una lista de nombres de host permitidos.
Cómo configurar un proxy explícito en ChromeOS
Qué ajuste usar
Puedes configurar proxies en ChromeOS para redes concretas o, de forma global, para todas las redes de tu organización. Las configuraciones de proxy se muestran a continuación por orden de prioridad:
- Política de usuarios ProxySettings: global
- Extensiones: global
- Política de usuarios OpenNetworkConfiguration: por red
- Política de dispositivos DeviceOpenNetworkConfiguration: por red
- UI de configuración de red: definido por el usuario por red
En general, las configuraciones de proxy se aplican a todo el sistema operativo, excepto a las siguientes excepciones, en las que los usuarios deben permitir explícitamente la configuración de proxy en el navegador:
- Los proxies de conjunto de extensiones están inhabilitados de forma predeterminada en el modo Incógnito. Los usuarios deben permitir explícitamente que la extensión que controla el proxy se ejecute en el modo Incógnito desde la página chrome://extensions.
En el modo Incógnito, no puedes implementar obligatoriamente proxies configurados con extensiones, pero puedes bloquear la navegación en Incógnito si el usuario no permite una extensión preconfigurada en el modo Incógnito. Para obtener más detalles, consulta la política MandatoryExtensionsForIncognitoNavigation. - Si utilizas perfiles secundarios de Lacros, los usuarios pueden habilitar o inhabilitar el uso del proxy configurado en el SO. Para ello, deben ir a la página chrome://settings/system y modificar la opción Usar la configuración de proxy de ChromeOS en este perfil.
Qué formato de configuración de proxy utilizar
ChromeOS admite los siguientes formatos de proxy:
- Manual: lista estática de identificadores de proxy junto con una lista de omisión de endpoints que deben omitir el proxy
- Secuencia de comandos PAC: archivo JavaScript que permite configurar reglas más complejas para determinar qué proxy se debe utilizar para una URL
- Detección automática: protocolo de detección automática de proxy web (WPAD), que es un mecanismo de detección en el que se comprueba el DNS o el DHCP para obtener la URL de PAC.
- Directo: un pseudoproxy que indica que no se está utilizando ningún proxy.
A la hora de elegir el formato, ten en cuenta lo siguiente:
- La resolución del proxy tiene lugar antes que la del nombre. Si la lista de omisión de proxy se configura con literales de IP, la excepción solo se tendrá en cuenta si el usuario se desplaza hasta la dirección IP concreta, no hasta el nombre de host asociado a dicha IP. Para obtener más información, consulta la sección Reglas de omisión de proxy.
- La información siguiente se aplica a la compatibilidad de Android con proxy:
- No se admiten las URLs de PAC del tipo data://
- En el caso de la configuración manual de proxy, la lista de omisión no admite caracteres especiales para direcciones IPv6 ni caracteres que no sean ASCII
Listas de omisión de autenticación de proxy
Servicios del sistema ChromeOS
| Servicio de Chrome/ChromeOS | Nombres de host |
|---|---|
| Esencial | |
| DMServer | m.google.com |
| Obligación de volver a realizar el registro con Acceso verificado | chromeos-ca.gstatic.com |
| ChromeOS: actualizaciones automáticas | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| Chrome OS: registro de actualizaciones del informe sobre fallos Chrome: registros de actualizaciones de WebRTC |
clients2.google.com |
| Chrome OS: sincronización del reloj del sistema tlsdate | clients3.google.com |
| Detección de portales cautivos | www.gstatic.com, accounts.google.com o www.googleapis.com |
| Subir informes para solucionar problemas, descargar Crostini, etc. | storage.googleapis.com |
| Varios servicios de API | www.googleapis.com |
| Dominio utilizado por Google: mantenlo separado de *.google.com para evitar ataques de XSS. | *.1e100.net |
| URL bandaid: algunas solicitudes se redirigen a la infraestructura de almacenamiento en caché de Google que acelera la descarga de aplicaciones. | *.gvt1.com |
| Descargar actualizaciones automáticas, imágenes estáticas, etc. | dl.google.com dl-ssl.google.com |
| Actualizaciones de los componentes de Chrome (chrome://components) | update.googleapis.com |
| Muy recomendado | |
| Navegación segura | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Servidor de sincronización de cuentas de Chrome: sincroniza los datos de usuario, como los marcadores, la recogida de métricas de usuario y otros servicios. | clients4.google.com |
| Sugerencias de documento de omnibox | cloudsearch.googleapis.com |
| Descargar personalizaciones del fabricante (y otras) | ssl.gstatic.com |
|
Contenido de terceros o generado por usuarios, como unidades de impresora o extensiones googleusercontent.com protege las principales propiedades de Google del contenido generado por usuarios que podría incluir errores o hacer que el dominio sea vulnerable de forma malintencionada a ataques de cross-site scripting |
*.googleusercontent.com |
| Compatibilidad con impresoras: descarga PDD de la impresora | printerconfigurations.googleusercontent.com |
| Compatibilidad con periféricos: recibe instrucciones especializadas sobre cómo adaptarte mejor a distintos dispositivos conectados (actualmente admite impresoras y pantallas) | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Nombres de host |
|---|---|
| Esencial | |
| Básica para aprovisionar e instalar aplicaciones | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging y endpoints principales de GMS gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Otro | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Extensiones y kiosco
| Servicio de Chrome/ChromeOS | Nombres de host |
|---|---|
| Esencial | |
| Endpoint de descarga de la extensión | clients2.google.com clients2.googleusercontent.com chrome.google.com |