Redes gestionadas y departamentos de IT

¿Está instalando i-Tree Eco en una red informática gestionada por un departamento de IT con reglas para la instalación de software y el acceso al sitio web? Si es así, por favor revise y envíe lo siguiente a sus gerentes de IT para que puedan permitir que i-Tree Eco funcione correctamente en su entorno informático.

i-Tree Eco es una aplicación de software de escritorio que se conecta y depende de muchos recursos de Internet HTTP, HTTPS y FTP. Accede al sitio web de i-Tree para mostrar contenido actualizado con frecuencia, como archivos PDF de Adobe, así como herramientas de mapeo web mediante Google Maps. Interactúa con nuestro servidor para permitir la recolección de datos de campo para múltiples usuarios a través de navegadores web móviles en teléfonos y tabletas. También envía y recupera archivos para su procesamiento a través de FTP. Para que el i-Tree Eco funcione, debe ser tratado como un navegador web.

El método más sencillo para asegurar que Eco funciona es habilitar la función de User Prompting en el momento de su instalación. Esto permitirá a Microsoft Windows solicitar al usuario durante su instalación que permita a Eco acceder a todos los recursos web que necesite. En una instalación normal de Windows, Windows indica al usuario si debe permitir o no que i-Tree Eco acceda a Internet. Cuando el usuario haga clic en "Sí" en este mensaje, se agregará automáticamente una excepción al cortafuegos del usuario que concede al ejecutable i-Tree Eco acceso a Internet, independientemente del número de puerto o protocolo.

Esta situación se produce porque Microsoft no mantiene un método coherente para agregar reglas al Firewall de Windows de una versión de Windows a la siguiente. Nos disculpamos por este inconveniente, sin embargo, hay poco que podemos hacer para contrarrestarlo, ya que estamos bloqueados por la configuración de políticas en las redes gestionadas.

El método más difícil es añadir una excepción al cortafuegos del usuario que garantiza el acceso completo a Internet para el ejecutable i-Tree Eco. No se recomienda apuntar a nombres de dominio, números de puerto o direcciones IP explícitos porque no podemos garantizar que no los añadiremos o modificaremos en el futuro. La mejor manera de que un departamento de TI descubra la regla adecuada es instalar el software en un equipo con el indicador de comandos activado y, a continuación, copiar/duplicar la regla generada por Windows en su política de firewall corporativo. i-Tree Eco tiene dos (2) ejecutables (32 y 64 bits), por lo que debe generarse una regla para cada uno de ellos a fin de garantizar su correcto funcionamiento en todos los ordenadores instalados.

Como ya se ha mencionado, i-Tree Eco utiliza FTP, HTTP y HTTPS para comunicarse con nuestros servidores. FTP por naturaleza del protocolo requiere tanto UDP como TCP para funcionar correctamente. HTTP y HTTPS actualmente sólo utilizan TCP. Por lo tanto, un departamento de TI puede optar por crear una regla para cada ejecutable i-Tree Eco que permita a la aplicación Eco utilizar CUALQUIER protocolo, o puede optar por crear reglas adicionales para permitir sólo el tráfico UDP y TCP para cada ejecutable. Si decide intentar establecer reglas de Firewall, lo siguiente puede ser efectivo para usted en el momento de escribir este documento:

FTP utiliza dos conexiones TCP. El cliente, i-Tree Eco en este caso, se conecta inicialmente en el puerto 21 a nuestro servidor para establecer una conexión de comandos. En una sesión FTP activa, el servidor intentará conectarse de nuevo al cliente en el puerto TCP 21. Debido a Network Address Translation, también conocido como NAT, esto normalmente no es posible porque la dirección IP pública desde la vista del servidor FTP no es la dirección IP del cliente. Debido a esto, i-Tree Eco recurre a conexiones pasivas en las que el servidor abre un puerto TCP adicional y le indica al cliente a través de la conexión de comandos establecida actualmente en el puerto 21 a qué puerto conectarse. Sin un software especial para interceptar el tráfico FTP y para agregar dinámicamente reglas que permitan al cliente conectarse al servidor en el puerto especificado, el cliente debe tener permiso para conectarse vía TCP a TODOS los puertos del servidor. Cabe señalar que estas son las mismas reglas que los navegadores web modernos requieren para funcionar. Sin embargo, los navegadores como Chrome ya han comenzado a utilizar otros protocolos de aplicación que añaden protocolos y puertos IP adicionales a la mezcla.

Lo anterior puede ser demasiado permisivo para algunas organizaciones. Para esas organizaciones, pueden limitar las reglas a la aplicación i-Tree Eco solamente, tal como lo hacen para un navegador web instalado. Las reglas recomendadas para el Firewall de Windows son: