Professional Documents
Culture Documents
Manual gateprotect
Instalacin, Administracin & Ejemplos de Instrumentos UTM de Prxima Generacin & Instrumentos Virtuales
Desde junio 2012
Introduccin
1 Introduccion ............................................................................................................................ 9
1.1 A quin est dirigido este manual? .................................................................................................... 9 1.2 Apuntes generales sobre este manual ................................................................................................. 9 1.3 Smbolos utilizados y sugerencias......................................................................................................... 9 1.4 Proteccin y seguridad de los antecedentes ...................................................................................... 10
2 Instalacion ............................................................................................................................. 11
2.1 Instalacin del Servidor de Firewall.................................................................................................... 11 2.1.1 Instalacin de dispositivos ........................................................................................................... 11 2.1.2 Instalacin del Firewall con VMware ............................................................................................ 11 2.1.3 Interfase Serial ............................................................................................................................ 13 2.2 Primera configuracin del Servidor de Firewall usando el Cliente de Administracin ................... 13 2.2.1 Iniciando el Asistente de Configuracin ....................................................................................... 13 2.2.2 Primera configuracin en modo rpido ....................................................................................... 14 2.2.3 Asistente de configuracin de Internet ........................................................................................ 14 2.2.4 Falla-cada (Conexin-de respaldo) .............................................................................................. 16 2.2.5 Continuando la Configuracin del Asistente................................................................................ 17 2.2.6 Primera configuracin en Modo Normal ...................................................................................... 17 2.3 Cambios de configuracin .................................................................................................................. 18 2.4 Licencia ................................................................................................................................................ 18
Introduccin
3.6.7 Usuarios - Trfico ........................................................................................................................ 31 3.6.8 Defensa Visin general ............................................................................................................. 31 3.6.9 Defensa - defensa ....................................................................................................................... 31 3.6.10 Trfico Toda la informacin ...................................................................................................... 31 3.6.11 Trfico - Internet ......................................................................................................................... 31 3.6.12 Trfico Correos electrnicos ..................................................................................................... 31 3.7 Firewall ................................................................................................................................................ 32 3.7.1 Firewall - Seguridad .................................................................................................................... 32 3.7.2 Firewall - Fecha ........................................................................................................................... 33 3.8 Interfaces ............................................................................................................................................. 33 3.8.1 Interfases de redes ...................................................................................................................... 34 3.8.2 VLAN .......................................................................................................................................... 34 3.8.3 Bridge (Bridge) ............................................................................................................................ 35 3.8.4 Interface-VPN-SSL ....................................................................................................................... 35 3.9 Instalaciones de Internet..................................................................................................................... 36 3.9.1 Instalaciones generales de Internet .............................................................................................. 36 3.9.2 Perodo de tiempo para conexiones de Internet ........................................................................... 36 3.9.3 Instalaciones de DNS en las instalaciones de Internet ................................................................... 37 3.9.4 Cuentas DNS Dinmico ............................................................................................................... 37 3.10 Servidor DHCP ..................................................................................................................................... 38 3.10.1 Servidor DHCP ............................................................................................................................ 39 3.10.2 DHCP Rel .................................................................................................................................. 39 3.11 Respaldo automtico .......................................................................................................................... 39 3.12 Instalaciones de Routing ..................................................................................................................... 40 3.12.1 Routes Estticos .......................................................................................................................... 41 3.12.2 Protocolos-routing ...................................................................................................................... 42
4 Proxies ................................................................................................................................... 55
4.1 Introduccin ........................................................................................................................................ 55 4.2 Proxy HTTP ........................................................................................................................................... 55 4.2.1 Modo Transparente .................................................................................................................... 55 4.2.2 Modo normal sin autenticacin ................................................................................................... 55 4.2.3 Modo normal sin autenticacin ................................................................................................... 56 4.2.4 Configuracin del cach ............................................................................................................. 56 4.3 Proxy HTTPS ......................................................................................................................................... 56 4.4 Proxy FTP.............................................................................................................................................. 57 4.5 Proxy SMTP .......................................................................................................................................... 57 4.6 Proxy POP3 ........................................................................................................................................... 57 4.7 Proxy VoIP ............................................................................................................................................ 58 4.7.1 Instalaciones Generales ............................................................................................................... 58 4.7.2 Proxy SIP ..................................................................................................................................... 58
Introduccin
5.2 Inicio de sesin .................................................................................................................................... 61 5.2.1 Inicio de sesin usando un buscador de red................................................................................. 61 5.2.2 Iniciar sesin utilizando Cliente de Autenticacin de Usuario (Cliente-UA) .................................... 61 5.2.3 Inicio de sesin usando Single Sign On ........................................................................................ 62 5.3 Usuarios ............................................................................................................................................... 64 5.4 Ejemplos............................................................................................................................................... 64 5.4.1 Dominio Windows ...................................................................................................................... 64 5.4.2 Servidor terminal ........................................................................................................................ 65
7 LAN-Accounting .................................................................................................................... 70
7.1 Introduccin al LAN-Accounting ........................................................................................................ 70 7.2 Configuracin del LAN-Accounting.................................................................................................... 70 7.2.1 70 7.2.2 70 7.3 70
Introduccin
11.3 Conexiones IPSec ................................................................................................................................. 83 11.3.1 Instalacin manual de una conexin IPSec ................................................................................... 83 11.3.2 L2TP / XAUTH ............................................................................................................................. 85 11.4 VPN sobre SSL ...................................................................................................................................... 88 11.5 VPN sobre SSL sin salida pretederminada .......................................................................................... 90 11.6 El Cliente VPN gateprotect ................................................................................................................. 91 11.6.1 La creacin automatica de una conexin de VPN usando un archivo de configuracin. ................ 91 11.6.2 Creacin manual o edicin de una conexin VPN ........................................................................ 91
Introduccin
19Ejemplos............................................................................................................................... 115
19.1 Introduccin ...................................................................................................................................... 115 19.2 Instalacin de la conexin de Internet con direccin IP fija ........................................................... 116 19.2.1 Instalacin de una linea dedicada con direccin de IP fija usando un router ............................... 116 19.2.2 Instalando una conexin DSL con direccin IP fija ...................................................................... 117 19.2.3 18.2.3 Instalacin de un cable de conexin con direccin IP DHCP ............................................ 117 19.3 Demilitarized zone (DMZ)................................................................................................................. 117 19.3.1 Puerto simple para reenvo ........................................................................................................ 117 19.3.2 Reenvo de puerto con rerouting de puerto ............................................................................... 118 19.3.3 DMZ por fuente IP .................................................................................................................... 119 19.4 Ejemplos para autenticacin de usuario .......................................................................................... 121 19.4.1 Dominio Windows .................................................................................................................... 121 19.4.2 Servidor terminal ...................................................................................................................... 121
Introduccin
2012 gateprotect Aktiengesellschaft Alemania. Todos los derechos reservados. gateprotect Aktiengesellschaft Alemania Valentinskamp 24 - 20354 Hamburgo /Alemania
Ninguna parte de este documento puede ser duplicado o compartido con terceras partes sin la expresa autorizacin escrita de gateprotect AG Alemania. Esto aplica a cualquier manera o mtodo electrnico mecnico. Los dibujos e informacin contenidas en este documento pueden ser cambiadas sin notificacin previa. No aceptamos garanta por la fidelidad del contenido de este manual. Los nombres e informacin usados como ejemplos no son reales, a menos que sea establecido de esa manera. Todos los productos, marcas y nombres son de propiedad del fabricante correspondiente.
Introduccin
PREFACIO
Gracias por escoger un producto de gateprotect. Siempre buscamos mejorar nuestros productos para nuestros clientes. Si detecta fallas o tiene sugerencias para mejorar, por favor contctese con nosotros. Si tiene mayores consultas sobre gateprotect u otros productos, por favor contacte a su distribuidor responsable / o contctenos directamente a: gateprotect Aktiengesellschaft Germany Valentinskamp 24 20354 Hamburgo Alemania
Nos puede ubicar en: Telfono Fax : 01805 428 377 (12 Cent/min) : 01805 428 332 (12 Cent/min)
Ahi encontrar mygateprotect, que ofrece respuestas tiles, informacin de respaldo importante y sugerencias para uso diario.
Introduccin
INTRO D UCC IO N
Con el Firewall gateprotect se ha elegido un sistema de seguridad con los ltimos requisitos de seguridad y muy fcil de operar usando una interface grfica.
Smbolos adicionales son usados en el texto para destacar algunas caractersticas o para indicar elementos que estn operando. Ttulos de dilogos, opciones o botones estn destacados en rojo. Textos, teclado o instrucciones de informacin, estn indicados en el texto por un t i p o d e c o l o r d i f e r e n t e .
Introduccin
10
Introduccin
11
INST AL AC IO N
El firewall consiste de dos partes. El Servidor Firewall y el Cliente para operar el mismo. En este captulo, describimos los pasos necesarios para instalar estos componentes y la instalacin asociada de los distintos componentes del sistema.
2.1.1
Instalacin de dispositivos
Un dispositivo gateprotect se instala con un dispositivo-instalador-firewall-USB. Para crear este dispositivo-USB, se debe bajar la correspondiente version del instalador del firewall desde el sitio web www.gateprotect.com. Se requiere un dispositivo-USB con una capacidad de ms de 1GB. La mayora de los dispositivos-USB en venta debiera funcionar. Una lista de dispositivos-USB probado puede ser encontrada en www.gateprotect.com. Conecte el dispositivo-USB a su Windows-PC y haga funcionar el instalador-USB.
ATENCIN TODA LA INFORMACIN EN EL DISPOSITIVO SE PERDER. UN ASISTENTE-DE INSTALACIN LE INDICAR CMO HACER LA CONFIGURACIN.
Especificaciones
Tambin se puede crear un dispositivo-auto-instalacin-USB. Si se selecciona un archivo de respaldo de un firewall en el asistente-USB-instalacin, este respaldo ser integrado en el dispositivo-USB-instalacin.
ATENCIN ESTE DISPOSITIVO-USB INSTALAR UN FIREWALL SI ES REINICIADO DESDE EL DISPOSITIVO. NO DEJE EL DISPOSITIVO ENCHUFADO EN NINGN OTRO PC MIENTRAS SE EST REINICIANDO. LA INSTALACIN DE FIREWALL SE INICIAR EN CUANTO LA APLICACIN SE REINICIE DESDE EL DISPOSITIVO. (EN ALGUNOS CASOS DEBE SER ACTIVADO EN BIOS.)
Mientras use el dispositivo en instalacin-USB Estndar, existir un proceso de gua que le llevar a la instalacin del CD en la consola.
Vea 2.1.2.
Usando un dispositivo-auto-instalador-USB, la instalacin se ralizar automticamente. El dispositivo emitir un sonido tipo bip, cundo el proceso haya concluido. Desenchufe el Dispositivo-USB y reinicie el aparato.
2.1.2
Con VMware (Estacin de trabajo, Servidor-ESX) es possible montar la imagen ISO que se utilize para quemar el CD. Se puede proceder de manera normal con la instalacin. Requisitos del hardware para la mquina virtual: HDD: 20 GB RAM: 512 MB Estos requerimientos deben ser adaptados al objetivo que se espera lograr y al nmero de usuarios.
Paso 1
Introduccin
12
Paso 2
Un sistema operativo UNIX es iniciado entonces por el CD. Espere hasta que el programa de instalacin abra la ventana de inicio y siga las instrucciones en la pantalla.
NOTA EL PROGRAMA DE INSTALACION DEL SERVIDOR DE FIREWALL NO RESISTE LA OPERACION DE UN MOUSE. USE LAS TECLAS CON LAS FLECHAS PARA NAVEGAR AL INTERIOR DE LOS MENU Y LA BARRA DE ESPACIO PARA NAVEGAR ENTRE LOS MENU. LAS OPCIONES SELECCIONADAS O ACTIVAS SON DESTACADAS EN ROJO O SE USA UN TEXTO EN COLOR ROJO.
Paso 3 Una vez que las condiciones de licencia son aceptada, se inicia el reconocimiento automtico del hardware.
Paso 4
Si desea agregar la configuracin de respaldo de un Firewall anterior en vez de una instalacin nueva, proceda como sigue:
NOTA EL RESPALDO DEBE ESTAR EN UN DISCO O MEMORIA USB, QUE PUEDA SER AUTOMTICAMENTE DETECTADO POR EL SERVIDOR. TAMBIN SE PUEDE SALTAR EL RESPALDO EN ESTE MOMENTO Y OPERARLO DESPUS DE LA INSTALACIN VA EL ADMINISTRADOR DE CLIENTE. MS INFORMACIN EN EL CAPITULO 3.2.1 MENU: ARCHIVO-CREACIN DE RESPALDO.
Paso 5 Seleccin de Disco duro En la ventana de seleccin de disco duro se podra determinar si la instalacin debe realizarse en el disco duro o en dos discos duros.
NOTA SI SE US UNA MQUINA VIRTUAL, USE SOLO UN DISCO DURO VIRTUAL.
Paso 6
Instalando los dispositivos de red Se debe asignar a cada tarjeta de red su propia direccin de IP y una mscara de subred asociada. Para cada tarjeta de red ingrese la direccin de IP en el primer campo y la correspondiente mscara de subred en el segundo campo, e.j. 1 9 2 . 1 6 8 . 1 . 1 / 2 5 5 . 2 5 5 . 2 5 5 . 0 para una red clase C. DHCP no puede ser seleccionada en la instalacin. Nota Si no se ingresa una direccin de IP, la tarjeta ser automticamente desactivada. Los campos se llenan con valores establecidos al ingresar F12.
Paso 7
Ingreso de clave Ingrese una clave vlida en los campos Clave y Confirmar.
ATENCIN
LA CLAVE DEBE TENER POR LO MENOS 6 CARACTERES Y NO PUEDE INCLUIR LETRAS, NUMEROS Y SIMBOLOS. ESTA CLAVE SE CODIFICA Y NO PUEDE SER USADA PARA CONECTARSEAUTOMATICAMENTE AL SERVIDOR DE FIREWALL SIN EL SOPORTE DE GATEPROTECT. TERMINOS GENERALES NO SE REQUIERE DEL INGRESO-DIRECTO.
Progeso de instalacin Si el proceso de instalacin ha sido exitoso, la notificacin Exitoso! Deber aparecer al costado de cada paso de instalacin. Despus de la exitosa instalacin, remueva el CD del equipo y oprima la tecla Retorno para terminar y reiniciar el Servidor de Firewall. Espere hasta que el computador se haya reiniciado completamente. El Servidor de Firewall est ahora listo para ser usado.
Introduccin
13
2.1.3
Interfase Serial
La interface serial hace posible instalar el Firewall sin un monitor ni teclado adicional. Necesita un cable RS232 o RJ45, para conectarse al Puerto serial de los aparatos con el Puerto serial en el PC. Se debe iniciar un ProgramaTerminal (e.j. Putty o Hyperterm) con los siguientes parmetros: Velocidad: Bits de datos: Paridad: Bits de parada: Control de flujo: 9600 8 ninguno 1 ninguno
Conecte las interfases seriales, enchufe el dispositivo-USB al aparato y reinicie el firewall. Despus de algunos segundos, el dilogo-instalacin aparecer en el dilogo del programa terminal. Entonces se puede usar el teclado para hacer las instalaciones. Instalacin del Firewall - Cliente de Administracin. La Cliente de Administracin est en el CD (Menu-Autoinicio) o en el Internet en: www.gateprotect.com. La instalacin se inicia automticamente tras iniciar el archivo.
2.2.1
Paso 1
Inicie el Cliente de Administracin pulsando dos veces en el smbolo en el escritorio o pulsando Inicio > Programas > gateprotect Cliente de Administracin > gateprotect Cliente de administracin.
Paso 2
Se exhibe la ventana inicial de la Configuracin de Asistente. Conecte el Cliente de Administracin al Servidor de Firewall. Para hacer sto, marque el cuadro Buscar Firewall y pulse Prximo>>. La Configuracin de Asistente primero busca el Servidor de Firewall en la red del computador en la que el Cliente de Administracin fue instalado, automticamente busca los primeros (xxx.xxx.xxx.254). Si la Configuracin de Asistente encuentra el Servidor de Firewall en una de las dos direcciones, se salta al siguiente punto 3 y sigue directo con la primera configuracin rpida (Cap. 2.3.2 Primera configuracin en modo rpido) o modo normal (Cap. 2.3.6 Primera configuracin en modo normal). Si la Configuracin de Asistente no encuentra el Servidor de Firewall en ninguna de las dos direcciones, se debe ingresar manualmente la direccin del Servidor de Firewall como se describe en el punto 3.
Paso 3
El dilogo de inscripcin est abierto para crear una conexin manual. Pulse Agregar. a.) El dilogo para la direccin de IP para el Servidor de Firewall est abierto. b.) Ingrese el nombre y direccin del Servidor de Firewall en los campos correspondientes. Deje el Puerto sin modificar (Puerto 3436) y pulse Aceptar. c.) El dilogo de inscripcin se exhibe nuevamente.
Introduccin
14
Ingrese los valores adecuados para acceder al Servidor de Firewall en los campos de nombre de usuario y clave. y pulse Inscribir.
NOTA PARA UNA NUEVA CONFIGURACIN DEL SERVIDOR DE FIREWALL, EL NOMBRE DE USUARIO Y LA CLAVE SIEMPRE ES ADMIN. SE DEBE CAMBIAR ESTA LO ANTES POSIBLE. SI SE HA INSTALADO EL SERVIDOR DE FIREWALL COMO RESPALDO, USE SU NOMBRE DE USUARIO Y CLAVE ASOCIADA PARA ESTE RESPALDO. .
La conexin al Servidor de Firewall est establecida y la Configuracin de Asistente contina con la seleccin en modo configuracin.
2.2.2
Ms ajustes a las instalaciones despus de realizar la primera configuracin usando el Cliente de Administracin.
Paso 1
Se exhibe la ventana dialogo para seleccionar las funciones deseadas. Seleccione las opciones deseadas (como se explica en la ventana dilogo) marcando las opciones relevantes. La configuracin contina con la Configuracin de Asistente de Internet en el punto 2.3.3.
2.2.3
La ventana del dilogo para seleccionar el tipo de conexin que se encuentra abierta. El Servidor de Firewall gateprotect apoya discando-hacia el Internet va modem o Router ISDN, DSL. Dependiendo de qu conexin de Internet se use, por favor siga los pasos de configuracin explicados en el prximo captulo.
2.2.3.1 Paso 1 Instalando una conexin ISDN
Seleccione la opcin ISDN Conexin de Discado en la ventana de dilogo abierta para seleccionar el tipo de conexin.
Paso 2
Una lista de hardware se exhibe en la ventana de dilogo siguiente. Seleccione una de las tarjetas de ISDN de la lista.
Paso 3
Ahora ingrese un nmero de discado para su acceso de Internet. El campo de prefijo solo debe activarse en caso de estar instalando el acceso a Internet va un sistema de telfono. Ingrese el nmero en el campo del prefijo que se requiere para una lnea de intercambio. Ingrese la informacin del cdigo y nmero en los campos correspondientes.
Paso 4
Ingrese la informacin de acceso de su conexin de Internet ISDN entregada por su proveedor de servicio de Internet.
Paso 5
Ingrese la informacin de discado de su conexin ISDN. Si no existe seguridad respecto de cul usar, lea la informacin que aparece en su conexin de ISDN o en su sistema de telfono.
Paso 6
Ingrese la informacin para su conexin de Internet. Si est usando un servidor DNS interno, ingrese aqu la direccin de IP del servidor o use las aplicaciones estndares.
Paso 7
Introduccin
15
Si este control acta como control maestro, al mismo tiempo, es definido como un control de respaldo que puede ser cambiado de ser requerido, se necesita especificar 1-2 servidores externos. Aqu se deben especificar dos direcciones de IP, que de ser posible, deben ser alimentadas por dos proveedores diferentes. Como los ping son regularmente enviados al servidor externo para revisar la disponibilidad de la conexin de Internet, se debe revisar antes si esto permite el ping. El Servidor de Firewall entonces revisa si estos servidores an estn disponibles y si existe una conexin.
NOTA PARA LA CONEXIONES DE ISDN CON UN INTERVALO DEFINIDO, NO SE DEBE INGRESAR UN
TEST DE SERVIDOR. ESO INVALIDARA LA APLICACIN DE INTERVALO.
Seleccione las correspondientes opciones o ingrese la informacin de los campos correspondientes y pulse Siguiente>>.
Paso 8
Ingrese a la conexin de ISDN un nombre claro y con significado ISDN, e.j. "Conexin de Internet por ISDN". Ingrese el nombre en el campo adecuado y pulse "Terminado". Su conexin de Internet est instalada. Si se usa solo esta conexin de Internet va ISDN se pueden saltar los prximos pasos y continuar con el Asistente de Configuracin.
2.2.3.2 Instalando una conexin PPPoE
Se deben seguir los siguientes pasos si se se conectan las tarjetas de red directo a un modem DSL. Si est usando un router DSL para su conexin de Internet, salte este paso y contine con la siguiente accin Chap. 2.2.3.3 Conexin Router.
Paso 1
Una lista de las tarjetas de red instaladas se exhibe en la siguiente ventana de dialogo. Seleccione la tarjeta de red que est conectada al modem DSL.
Paso 3
Ingrese la informacin de acceso para su conexin de Internet ADSL entregada por su proveedor de servicio de Internet.
Paso 4
Ingrese las especificaciones de discado para la conexin ADSL. Si existe incertidumbre respecto de cul usar, lea la informacin contenida en su modem ADSL o conexin de Internet ADSL. Seleccione las opciones correspondientes o ingrese la informacin en el campo correspondiente.
Paso 5
Ingrese las especificaciones para la conexin de Internet. Si usa un servidor interno DNS, ingrese aqu la direccin de IP del servidor o use las especificaciones estndar.
Si este control acta como control maestro y, al mismo tiempo, es definido como control de respaldo que puede ser modificado para tales efectos si fuera necesario, se requiere especificar 1-2 servidores externos. Se deben especificar dos direcciones de IP aqu, que deben ser administradas, si es posible, por dos proveedores distintos. Como los ping son regularmente enviados a servidores externos para revisar la disponibilidad de la conexin de Internet, se debe revisar de manera anticipada si stos permiten hacer ping. El Servidor de Firewall entonces confirma si estos servidores an estn disponibles y si existe conexin. Seleccione las opciones correspondientes o ingrese la informacin en los campos correspondientes.
Introduccin
16
Paso 6
Ingrese un nombre claro y con significado para la conexin ADSL, e.j. "Internet con conexin de modem ADSL". Su conexin al Internet ya est instalada. Si se usa solo esta conexin de Internet via ADSL se pueden saltar los prximos pasos y continuar con el Asistente de Configuracin.
2.2.3.3 Instalando una conexin de Router
Solo se deben seguir los prximos pasos si se conecta al Firewall externo va un router, e.j. un router ADSL al Internet. Si se usa un modem ADSL para la conexin de Internet, por favor lea la seccin anterior sobre Instalacin de una conexin de ADSL.
Paso 1
Seleccione la opcin Conexin Router en la ventana de dilogo para seleccionar un tipo de conexin.
Paso 2
Una lista de las tarjetas de red instaladas se exhibe en la prxima ventana de dialogo. Seleccione la tarjeta de red que est conectada al Router.
Paso 3
Ingrese las instalaciones extendidas para la conexin de Internet. Si usa un servidor DNS interno, ingrese aqu la direccin de IP del servidor o use las instalaciones estndar.
Si este control debe actuar como control maestro y, al mismo tiempo, es definido como un control de respaldo que puede ser alternado si es necesario, se necesita especificar servidor externo 1-2. Se deben especificar aqu dos direcciones de IP, que deben ser administradas por proveedores diferentes si es posible. Como los ping son regularmente enviados a servidores externos para revisar la disponibilidad de la conexin de Internet, se debe revisar anticipadamente si esto permite hacer ping. El Servidor de Firewall entonces revisa si estos servidores an estn disponibles y si existe una conexin.
Paso 4
Ingrese un nombre claro y con significado para esta conexin de Router, e.j. "Conexin de Internet via router de la compaa". Ingrese el nombre en el campo adecuado y pulse Finalizado. Su conexin de Internet est ahora instalada.
2.2.4
Si ya se configur una conexin de Internet y desea configurar otra conexin, es posible configurarla como una conexin de respaldo. La conexin de respaldo es seleccionada si la conexin principal est cancelada. En cuanto la nueva conexin se encuentre en funcionamiento, el firewall volver a esa conexin. Nota En este caso, una direccin de IP (servidor externo) debe ser ingresada en la conexin principal. (Instrucciones para configurar un servidor externo estn explicadas en las secciones de los distintos tipos de conexiones-(ISDN, ADSL, Router).
Introduccin
17
2.2.5
Paso 1
Ingrese una clave para el Cliente de Administracin en la prxima ventana de dilogo del Configurador de Asistente. La clave debe contener a lo menos 6 caracteres y puede incluir letras, nmeros y smbolos. Ingrese la clave en el campo Clave nueva. Confirme esta clave ingresndola en el campo Confirmacin de clave.
Paso 2
Ingrese las funciones para programar la fecha y tiempo del Servidor de Firewall. Seleccione la hora actual de la zona de tiempo dnde se encuentra o especifique si el tiempo del servidor ser regularmente ajustado por un servidor programado desde Internet.
Paso 3
Toda la informacin necesaria ya se encuentra ingresada y el Asistente de Configuracin puede ser cerrado.
Paso 4
Si ya se cuenta con un nmero de licencia vlido para el Servidor de Firewall gateprotect, el Filtro de Contenido de gateprotect o el antivirus gateprotect, se puede ahora activar esta licencia (s) directamente si an no se ha realizado la operacin. No obstante, tambin se puede seleccionar la opcin de activar ms tarde. Informacin adicional se puede encontrar en el captulo sobre administracin de licencia y licencia del Servidor de Firewall gateprotect Captulo 2.5 "Licencia". La configuracin se ha completado. La informacin de configuracin es ahora trasladada al Firewall y el Cliente de Administracin gateprotect para la configuracin de interfase.
2.2.6
Ingrese una clave para el Cliente de Administracin en la siguiente ventana de dilogo del Configurador de Asistente. La clave debe tener a lo menos 6 caracteres y puede incluir letras, nmeros y smbolos.
Paso 3
Ingrese las funciones para la programacin de la fecha y hora del Servidor de Firewall. Seleccione la hora actual de la zona de tiempo y especifique si la hora del servidor ser programada para ser ajustada desde el servidor de Internet.
NOTA NO ES POSIBLE ACTIVAR EL SERVICIO NTP EN ESTE MOMENTO, POR CUANTO LA CONEXION DE INTERNET HA SIDO INSTALADA EN MODO NORMAL. ACTIVE ESTA OPCION EN EL CLIENTE DE ADMINISTRACIN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXION DE INTERNET, POR CUANTO NO SE HA INSTALADO NINGUNA CONEXIN EN MODO NORMAL. ACTIVE ESTA OPCIN EN EL CLIENTE DE ADMINISTRACIN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXIN DE INTERNET.
Paso 4
Toda la informacin necesaria se encuentra ingresada y el Asistente de Configuracin puede ser cerrado.
Paso 5
Si cuenta con un nmero de licencia vlido para el Servidor de Firewall gateprotect, el Filtro de Contenido de gateprotect o el Antivirus gateprotect, se puede activar ahora la licencia(s) de manera directa si esto an no se ha realizado. No obstante, tambin se puede activar en otro momento. Se encontrar informacin en la administracin de licencia y licencia en el captulo sobre Servidor de Firewall Captulo 2.5 "Licencia".
Introduccin
18
La configuracin se ha completado. Los antecedentes de configuracin son transferidos ahora al Firewall y al Cliente de Administracin gateprotect a la interfase de configuracin.
2.4 Licencia
ATENCIN EL FIREWALL FUNCIONA DURANTE 45 DIAS COMO VERSION DE PRUEBA TRAS LA INSTALACIN DEL SERVIDOR. ESTO SE PODRA OBSERVAR CUANDO SE INSCRIBA PARA COMENZAR EL CLIENTE DE ADMINISTRACION. CUANDO ESTE PERIODO HAYA CONCLUIDO, EL FIREWALL PERMANECE ACTIVO CON LA CONFIGURACIN, PERO NO SE PUEDEN REALIZAR MODIFICACIONES Y EL PROTOCOLO HTTP ES BLOQUEADO.
La licencia es administrada por asistente para licencias, ubicado en la pestaa Info del men.
La licencia opera con un archivo .gplf de informacin formateada. Se puede cargar este archivo al firewall, todos los antecedentes sobre la licencia y licenciado son automaticmente agregados en el firewall.
Introduccin
19
Introduccin
20
3.2.1
Menu: Archivo
En el menu Archivo se encontrarn las opciones normales del Windows para abrir, guardar, imprimir y finalizar el programa. Adicionalmente, existen funciones para crear y subir respaldos del Servidor de Firewall.
Opcin
Funcin
Nueva Abrir...
Crea una nueva configuracin de Firewall. Abre una configuracin de Firewall existente directamente conectada desde un Firewall o desde un archivo de configuracin guardado. Guarda la actual configuracin de Firewall directamente a un Firewall conectado. Guarda la configuracin del Firewall actual directo a un Firewall conectado o en un archivo de configuracin en el computador o en la red. Enva a imprimir la configuracin actual, las estadsticas o su monitoreo hacia una impresora conectada. Crea un respaldo de la configuracin de Firewall en un medio de almacenaje. Use esta funcin, por ejemplo para recargar una configuracin despus de una nueva instalacin, o para transferir una configuracin a un segundo Firewall (secundario) para una solucin de alta disponibilidad. Carga la configuracin de Firewall desde un archivo de respaldo y luego la activa. Configura automticamente la funcin de Respaldo Cap. 3.11 Respaldos
Automticos
Imprimir...
Crear Respaldo
Inicia el Asistente de Configuracin en modo rpido o modo normal, para crear una configuracin bsica Chap. 2.3 Primera configuracin del Servidor de
Firewall usando el Cliente de Administracin
Activar
Transfiere una configuracin al Servidor de Firewall sin cerrar primero el Cliente de Administracin . Cambia el idioma del Cliente de Administracin Cierre el Cliente de Administracin de gateprotect tras exhibir varias opciones para cerrar el programa en una ventana de dilogo y confirme que se desea salir.
Idioma Salir...
Introduccin
21
3.2.2
Menu: Opciones
Se pueden configurar las funciones del Servidor y del Cliente de Administracin usando el men Opciones.
Opcin
Funcin
Firewall
Ajusta las funciones generales del servidor a sus necesidades, e.j. red o nombre de administrador, tarjetas de red, funciones de seguridad para la administracin o funciones de fecha y hora. Ajusta y crea certificados del Centro de Comando Configura las interfaces de la red, Interfases V-LANs, Bridges e Interfases VPN-SSL Administracin de protocolos de ruteo Administra a los usuarios y sus derechos especficos sobre el Firewall Administra las conexiones de Internet y cambia las instalaciones globales de DNS o funciones para un DNS dinmico Activa y configura las funciones para el HTTP y VolP Proxy para el Servidor de Firewall Cap. 4 Proxies.
Proxy
Trfico-Ordenamiento
Alta disponibilidad
Define instalaciones para varios Servidores de Firewall que operan como solucin de alta disponibilidad Cap. 11 Alta Disponibilidad.
DHCP Reportando
Configuracin de un Servidor DHCP y Rel. Administra las funciones de reportes , e.j. las opciones de recepcin para la notificacin de correos electrnicos y las funciones para las particiones Cap. 13 Reportando
Autenticacin de usuario
Configura las opciones para la autenticacin del Usuario y registro al HTTP Proxy Cap. 5 Autenticacin del Usuario
Actualizaciones
Introduccin
22
3.2.3
Men: Seguridad
Se puede usar este men para administrar las distintas funciones de seguridad del Servidor de Firewall.
Opcin Funcin
URL-/filtro de Contenido...
Crea listas blancas y negras para los filtros de spam y ajusta el nivel de sensibilidad
Cap. 15 Anti-Spam/Filtro de correo
Anti-Virus
IDS / IPS
Certificado
Abre el certificado de administracin para Autoridades Certificadas, Requerimientos y Certificados de Administracin Muestra los objetos DMZ Muestra una lista de accesos rechazados y permite emitir o rechazar estas conexiones
3.2.4
Se pueden administrar las funciones de las conexiones VPN al Servidor de Firewall usando este menu.
Opcin Funcin
PPTP
Activa las funciones PPTP para el Servidor de Firewall Cap. Conexiones 10.2 PPTP. Activa las funciones IPSec y administra las conexiones IPSec
Cap. 10.3 Conexiones-IPSec.
IPSec
VPN-SSL
VPN Asistente
Crea una nueva conexin VPN e instala todas las confiiguraciones necesarias para dicha conexin VPN.
Introduccin
23
3.2.5
Menu: Red
Este menu contiene herramientas, que apoyan su configuracin, para pruebas de redes o en la solucin de problemas y bsqueda de errores.
Opcin Funcin
Ping
Emita un comando PING a un servidor / computador en red o en Internet. Seleccione como una opcin si el comando PING debe ser emitido desde un computador local o desde el Servidor de Firewall. Emita un comando de TRACEROUTE hacia un computador / servidor en la red o Internet. Preguntas de informacin sobre una direccin con el nombre del servidor.
Traceroute
Realiza una revision de un URL o sitio web usando el URL y Filtro de Contenido
Cap. 6 URL- y Filtro-Contenido.
3.2.6
Menu: Ventana
Escritorio
Cambia la Configuracin de Escritorio para la administracin de la red y funciones del Firewall. Cambia a la vista del reporte con actualizadas notificaciones de sistema y de seguridad. Las Estadsticas muestran estadsticas sobre usuarios de carcter general y de relevancia de seguridad, objetos de red y del Servidor de Firewall. Entrega informacin actualizada sobre hardware y sistemas de proceso del Servidor de Firewall.
Reportes
Estadsticas
Monitoreo
3.2.7
Menu: Informacin
Abre este manual Abre esta ventana de dialogo de licencia para licenciar el Firewall y los productos UTM Exhibe las condiciones de la licencia en formato de documento PDF. Provee informacin sobre el Cliente de Administracin.
Introduccin
24
Todos los objetos conectados a la red (computadores, servidores, grupos de computacin, usuarios VPN, etc.) son exhibidos con sus conexiones asociadas. Objetos nuevos pueden ser agregados en cualquier momento con "Drag & Drop". Se pueden crear reglas para conexin pulsando simplemente en las intersecciones de las lneas de conexin. Objetos individuales pueden ser agrupados usando "drag and drop" y configurados de manera conjunta. Si se arrastra un objeto hacia otro, se consultar si se desea crear un grupo de los dos objetos individuales. Varios objetos y puntos pueden ser seleccionados simultneamente pulsando en un lugar vaco en el escritorio y definiendo el rango deseado con el mouse. Objetos individuales y puntos pueden ser agregados a / removidos de la seleccin usando Ctrl+ botn izquierdo en el mouse. Ctrl + A selecciona todos los objetos y puntos en el escritorio. Si es necesario, las lneas de conexin pueden ser resaltadas varias veces para un mayor resultado. Pulse dos veces en la lnea para crear un nuevo punto de resalto en esta posicin. La regla y los puntos resaltados pueden ser movidos libremente en el escritorio. Los puntos finales de una lnea se adhieren a los objetos respectivos, no obstante pueden ser libremente movidos hacia los costados. Pulsar dos veces en un punto resaltado (excepto los puntos finales) lo elimina.
3.3.1
El escritorio tiene una function de zoom. Esto apoyado por una miniatura (ubicada en el costado inferior derecho de la ventana Ver). El escritorio puede ser reducido a un area de entre 30% y 100%. Si el escritorio completo no est visible, el rango visible se exhibe en un rectngulo azul en miniatura. La miniatura puede ser usada para navegacin (cundo partes del escritorio no estn visible).
Introduccin
25
3.3.2
Capa
El escritorio tiene varias capas definidas como estndar y varios usuarios. La capa estndar, llamada la capa base, puede ser reetiquetada pero no eliminada. Es siempre la primera en la lista. Las capas definidas para el usuario pueden ocultarse. Esto oculta los objetos en las respectivas capas y todas sus lneas asociadas. El rden de las capas definidas como usuarios puede ser modificadas en cualquier momento. Las capas definidas como usuarios pueden ser eliminadas. Sus objetos migran hacia la capa base. Los Objetos pueden ser movidos libremente en todas las capas. Las excepciones son los objetos de INternet. Ellos estn siempre en la capa base. Los Objetos en una capa inferior son desplegados al final en el escritorio y cruzados con objetos de una capa superior.
3.3.3
Barra de herramientas
Para crear un objeto en la configuracin del escritorio, pulse el objeto deseado en la barra de herramientas, mantenga el botn del mouse apretado y arrastre el objeto hacia la configuracin de escritorio. Dependiendo del tipo de objeto, una ventana se abre automticamente para ingresar la informacin para el objeto. Para eliminar un objeto de la configuracin de escritorio, pulse el objeto con el botn derecho del mouse y seleccine el item Delete en el men.
Smbolo
Funcin
Herramienta de seleccin Todas las acciones pueden ser desarrolladas en el Escritorio de Configuracin con la herramienta de seleccin. Se pueden agregar smbolos, mover objetos o seleccionar ciertas funciones. Herramienta de Conexin Se pueden conectar los smbolos entre ellos en la configuracin de escritorio usando la herramienta de conexin. Primero pulse el smbolo de la herramienta de conexin, luego el primer smbolo y luego en el segundo. Los dos smbolos son connectados entre s y el editor de reglas se abre automticamente para determinar las reglas de conexin.
Introduccin
26
Smbolo
Funcin
Internet Pulsando dos veces en el objeto se puede configurar su conexin de Internet. Equipos Arrastre una pieza (computador, servidor, impresora de red, laptop o telfono IP) hacia el Escritorio de Configuracin e ingrese caractersticas adicionales de los objetos en la ventana dilogo. Naturalmente, se puede reparar una pieza del equipo eligiendo el tpo de objeto usando uno de los botones en las caractersticas de la ventana dilogo de objeto..
Grupo El objetivo de un grupo de computadoes es una configuracin clara y simple. Varios computadores en un departamento pueden ser configurados al mismo tiempo. Cada computador recibe todos los derechos que su grupo posee. Arrastre un grupo al Escritorio de Configuracin, ingrese caractersticas adicionales para el grupo en la ventana dilogo y cree nuevos objetos al interior de este grupo. Arrastre objetos individuales que ya se encuentran en el Escritorio de Configuracin hacia el smbolo del grupo con el mouse para asignar este objeto especfico a este grupo. Un grupo de computadores contiene computadores individuales, los que son manualmente agregados o directamente aceptados en este grupo desde el Escritorio de Configuracin.
Grupo Para un grupo de red, seleccione una tarjeta de red del Servidor de Firewall y todos los computadores conectados entonces pertenecern a este grupo. El modo Rango-IP permite configurar una direccin de inicio y trmino. Si el servicio DHCP es configurado por esta interface, tambin es posible elegir este rango. Computador VPN y servidor VPN Arrastre un computador VPN hacia el escritorio, especifique funciones de instalacin para computadores VPN en la ventana de apertura de dilogo y cree una nueva conexin VPN. Ms informacin en objetos VPN y su instalacin en Cap. 10 Virtual Private Networks (VPN)
Grupo VPN Arrastre un grupo VPN al escritorio, especifique funciones generales para el grupo VPN en la ventana de dilogo y agregue el existente usuario VPN a este grupo VPN. Ms informacin en grupos VPN y su instalacin en Cap. 10 Virtual Private Networks (VPN) Usuario-VPN El usuario-VPN puede registrarse via L2TP o XAUTH.
Introduccin
27
Smbolo
Funcin
Objeto-DMZ Tras agregar un Objeto-DMZ en la configuracin de escritorio, el Asistente-DMZ se inicia automticamente y gua hacia todos los pasos necesarios para la configuracin. Usuarios Arrastre un usuario hacia el escritorio e ingrese caractersticias de usuario adicionales en la ventana dilogo. Ms informacin sobre usuarios y su instalacin en Cap. 5 Autenticacin de usuario. Grupos usuarios Arrastre un grupo usuario hacia el escritorio, ingrese mayores funciones para el grupo en la ventana de dilogo y agregue usuarios existentes a este grupo usuario. Ms informacin sobre usuarios y sus instalaciones en Cap. 5 Autenticacin de usuario. Objetos de Notas pueden ser simplemente arrastrados hacia el escritorio. El objeto Notas puede ser usado para apuntes sobre el escritorio y es guardado junto con la configuracin como cualquier otro objeto. Los objetos de Regiones es un asistente para destacar grupos y reas en color. Simplemente arrastre el objeto hacia el escritorio, seleccione el color y grado de transparencia y asignele un nombre. Ahora se puede correr el objeto hacia cualquier lugar y adaptar su tamao.
3.3.4
Servicios Activos
En la ventana de Servicios Activos en el costado izquierdo del Escritorio de Configuracin se encontrar una lista de todos los servicios predefinidos o auto-definidos ingresados previamente a la red. Si se pulsan un servicio desde la lista con el mouse, todos los objetos y lneas de conexin que incluyan este servicio, sern destacadas en color. Todos los otros objetos y lneas de conexin permanecen en gris.
3.3.5
Mayor informacin
Si se pulsa un servicio en la lista, un objeto o un usuario en el Escritorio de Configuracin, se ver informacin suplementaria en el servicio relevante, objeto o usuario en la siguiente ventana Mayor Informacin.
3.3.6
Bsqueda
En la ventana Bsqueda en el costado derecho del Escritorio de Configuracin se podrn buscar computadores individuales, usuarios, grupos o conexiones.
Bsqueda de red
Se puede usar la bsqueda de red para buscar en computadores que an no han sido incluidos como objetos independientes o como parte de un grupo de computador. Para la bsqueda de computadores que ya estn en el Escritorio de Configuracin como objeto o parte de un grupo de computadores marque Exhibir Todo.
NOTA POR FAVOR NOTE QUE UN COMPUTADOR SLO PUEDE SER ENCONTRADO SI EST EN LA RED Y ACCESIBLE.
Introduccin
28
Si arrastra un computador con un mouse hacia un grupo existente en el Escritorio de Configuracin, este computador ser automticamente asignado con los derechos de este grupo.
Lista de usuario
La lista de usuario contiene todos los usuarios ingresados (esto concierne a los usuarios ya definidos, no los del computador). Si se selecciona un usuario con el mouse, se ver en el escritorio el grupo al que este usuario ha sido asignado. Bsqueda de escritorio Se puede hacer una bsqueda de escritorio para buscar entre todos los elementos ya configurados en toda la Configuracin de Escritorio. Los resultados de la bsqueda como se exhibe en una lista expandible clasificada por grupo o tipo de objeto.
3.3.7
Barra de estado
La barra de estado al final del Cliente de Administracin muestra ms informacin: Configuracin actual Tiempo del Servidor Usuarios registrados Direccin IP del servidor de firewall Nmero de versin y descripcin de versin del Cliente de Administracin Tipo de licencia
3.4 Reportes
El sistema de despliegue del Cliente de Administracin y los reportes sobre deteccin de intrusos producido por el Servidor de Firewall. 1. Se puede acceder al reporte pulsando el smbolo reporte en la barra de herramientas o Reportes desde el menu principal. 2. La ventana Reporte Actual muestra una lista de los ltimos 30 reportes de sistema del Servidor de Firewall. Los botones de Reportes de Actualizacin cargan la informacin actual desde el Servidor de Firewall hacia el mostrario de reporte.
Introduccin
29
3. La ventana de Reporte General contiene una lista de todos los reportes del sistema del Servidor de Firewall que pueden ser filtrado a travs de distintos criterios: Por periodo con fecha y hora para inicio y trmino Por el tipo y estatus del reporte Por test-usuario definido Nmero de reportes 4. La ventana del Reporte IDS / IPS nuestra el registro actual de informacin del Sistema de Deteccin de Intrusos y Prevencin.
1. Primero actualice la lista pulsando en el botn Actualizacin. La lista muestra todas las conexiones bloqueadas por el Servidor de Firewall. La flecha roja o verde en la columna Servicio muestra si el orgen de la conexin est en la red interna (fleche verde) o en la red externa (flecha roja) para cada conexin rechazada.
2. Si la lista se vuelve dificultosa para ser revisada por contener un alto nmero de conexiones rechazadas, se puede crear un filtro que solo exhibe algunas conexiones rechazadas. Pulse en el botn Filtro de Despliegue Filter para hacer esto.
Varias opciones de filtro son ahora desplegadas sobre la lista. Se pueden filtrar las conxiones bloqueadas por puerto y protocolo, por origen o destino, o por perodo y lmite de nmero de conexiones desplegadas. Las Entradas dobles son compaginadas y desplegado el nmero de conexiones ignoradas.
3.6 Estadsticas
Para desplegar estadsticas se puede usar el rea de estadsticas integradas en el Cliente de Administracin o el externo, Cliente de Estadstica instalado de manera separada. Ambos programas tienen el mismo rango de funciones. No obstante, se puede conectar slo una entidad a la del Cliente de Administracin con el Servidor de Firewall, en tanto que tantas entidades del Cliente de Estadsticas sean necesarias pueden ser conectadas simultneamente al Servidor de Firewall.
Introduccin
30
3.6.1
Posibilidades de Filtro
Se pueden filtrar estos resultados en la parte superior de la ventana de estadsticas dependiendo de la informacin de estadsticas preparadas: Escritorio: red completa, usuario o computador Perodo: 6, 12 o 24 horas, 7 o 14 das, 1, 3 o 12 meses Perodo auto-definido con datos de fecha y hora de inicio y trmino Ventana de hora : cualquier hora del da con entradas de inicio y trmino Acceso rechazado: ingreso o egreso
3.6.2
Este diagrama muestra las pginas de Internet visitadas, ordenadas por la cantidad de informacin descargada. Si se desea bloquear un URL, pulse el boton derecho en la barra y desde el menu de contexto seleccione la correspondiente categora de lista negra para el URL Pulse dos veces en la barra para transferir las estadsticas para el dominio relevante hacia la vista de Usuarios Destacados. (vea 3.6.6. Listas de Destacados).
3.6.3
Este diagram muestra los URLs bloqueados seleccionados por nmero de intentos de acceso. Si desea desbloquear un URL, pulse el botn derecho sobre la barra correspondiente y seleccione la categora de lista blanca correspondeinte para este URL desde el menu. Pulse dos veces en la barra para transferir las estadsticas para el dominio relevante a la Vista Destacada de Usuario. (vea 3.6.6. Usuarios destacados).
3.6.4
Destacados - servicios
Este diagrama muestra el uso de servicios o protocolos seleccionados por cantidad de informacin. Pulsando dos veces en la barra transferir las estadsticas para el dominio relevante a la vista de Usuarios Destacados. (ver 3.6.6. Empleados Destacados).
3.6.5
Destacados IDS/IPS
Este diagrma muestra los eventos registrados por el Sistema de deteccin y prevencin de intrusos, seleccionado por frecuencia. Si se requiere mayor informacin sobre un evento determinado, pulse en la barra correspondiente. Se puede acceder a una fuente de informacin en la Internet desde el menu, que provee informacin adicional sobre el evento relevante.
Introduccin
31
3.6.6
Usuarios - Destacados
Este diagrama muestra cules usuarios han visitado cules sitios de la red, seleccionados por cantidad de informacin.
3.6.7
Usuarios - Trfico
Este diagrama muestra la cantidad de informacin transferida hacia y desde el Internet por los usuarios.
3.6.8
Este cuadro muestra una cantidad de estadsticas sobre accesos bloqueados, virus encontrado, eventos de Deteccin de Intrusos y spam durante varios perodos.
3.6.9
Defensa - defensa
Este diagram muestra, dependiendo del periodo seleccionado, el nmero de potenciales ataques repelidos. Los accesos de entrada se muestran en rojo, los de salida en verde.
3.6.10 Trfico Toda la informacin Este diagram entrega informacin sobre la cantidad de informacin (trfico), que ha pasado por el Servidor de Firewall en un perodo definido en todos los protocolos.
3.6.11 Trfico - Internet Este diagrama entrega la cantidad de informacin (trfico), que ha pasado a travs del Servidor de Firewall en un perodo definido slo en los protocolos de Internet.
3.6.12 Trfico Correos electrnicos Muestra el trfico de todos los correos electrnicos que han pasado por el Firewall en un perodo definido.
Introduccin
32
3.7 Firewall
Se pueden ajustar las funciones y hacer cambios hacia o para el servidor usando este menu. Al menu de funciones se accede a travs de la opcin Funciones de Servidor.
3.7.1
Firewall - Seguridad
Usando la barra de Seguridad en las Funciones de Servidor en la ventana de dilogo, se pueden cambiar las instalaciones para acceder al Servidor de Firewall desde la red externa o el Internet y expecificar cmo el Servidor de Firewall debe reaccionar a las consultas de ICMP (e.j. para un comando de PING).
NOTA ESTAS FUNCIONES SOLAMENTE SE REFIEREN A ACCESO EXTERNO AL SERVIDOR DE FIREWALL. ACCESO DESDE LA RED INTERNA SIEMPRE ES POSIBLE.
En el rea de Acceso especifique que y cmo se puede acceder al Firewall desde una red externa.
Opcin
Funcin
Denegado
Slo computadores desde la red interna pueden acceder al Servidor de Firewall desde el Cliente de Administracin, acceso externo est denegado. Las mismas funciones como Denegadas, pero el acceso tambin es posible al Servidor de Firewall desde la red externa por VPN. Acceso al servidor est permitido desde la red interna y externa.
Slo VPN
Permitido
ATENCIN ! LAS OPCIONES PERMITIDAS SIGNIFICAN UN RIESGO EN LA SEGURIDAD, POR CUANTO PERMITE A LOS ATACANTES TENER ACCESO AL FIREWALL. BAJO ALGUNAS CIRCUNSTANCIAS NO DEBE SER USADO DE MANERA PERMANENTE.
Por razones de seguridad, el Servidor de Firewall puede ser instalado de esta manera, cosa que el Firewall no responda a los commandos ICMP (PING). Seleccione una de las opciones PING (ICMP) desde el rea Denegado, o Permitido.
NOTA EL BLOQUEO DE COMANDOS ICMP PUEDE INCREMENTAR LA SEGURIDAD DEL FIREWALL. PERO, AL MISMO TIEMPO, IMPIDE CUALQUIER BSQUEDA DE ERROR EN LA RED. SI SE PRODUCE CUALQUIER ERROR EN LA RED, SE DEBE INSTALAR ESTA OPCION PARA PERMITIR UN ERROR DE BSQUEDA ANTES DE EJECUTAR.
Introduccin
33
3.7.2
Firewall - Fecha
El Servidor de Firewall gateprotect trabaja con reglas tiempo-dependientes. Por esta razn se require instalaciones correctas de fecha y hora. Se pueden configurar las funciones para usar un servidor de tiempo en la barra Fecha. 1. Seleccione una de las zonas de tiempo desde la lista Zonas de Tiempo. 2. Revise el sistema de tiempo del Servidor de Firewall en los campos de Fecha y Hora. 3. Si usa un servidor NTP, marque Activo en la seccin de servidor NTP. 4. Se puede usar el tiempo del servidor o ingresar un servidor NTP propio a la lista. a.) Pulse el botn Agregar para agregar un nuevo tiempo de servidor. b.) Ingrese el nombre del tiempo de servidor en el campo de entrada. 5. Si desea que el tiempo del sistema del Servidor de Firewall este disponible en la red interna, marque Tiempo disponible a red interna. El Servidor de Firewall entonces trabaja al mismo tiempo que la hora interna del servidor.
3.8 Interfaces
El dilogo Interfaces puede ser encontrado en Opciones > Interfaces.
En el costado izquierdo hay un rbol que muestra tarjetas de red, VLANs, VPN-SSL-interfases y bridges. Tras seleccionar una rama en el sitio izquierdo los detalles aparecern en el costado derecho.
Introduccin
34
3.8.1
Interfases de redes
Aqu se pueden modificar distintas funciones. El estado de actividad de la interfase de la red puede ser modificado La forma en que la interfase recibe la direccin de IP Agregando direcciones virtuales de IP Definiendo el MTU Estableciendo el color para la configuracin de escritorio
3.8.2
VLAN
VLAN (Virtual Local Area Network) es apoyado como est definido en IEEE 802.1Q. VLAN en una interfase fsica y es tratado como una interfase-ethernet virtual con las mismas caractersticas como la fsica a la que se encuentra adherida. Para usar VLANs en el firewall gateprotect se puede seleccionar la interfase VLAN en cada menu donde se puede seleccionar una tarjeta de red de interfases o un bridge de interfaces. El nombre de una interface VLAN es creado desde el nombre de la red de interface fsica y el VLAN-ID e.j. eth3.1415.eth3 es el nombre de la interface fsica y 1415 es el VLAN-ID.
VLAN puede ser creada de dos formas.
Se selecciona VLAN en el rbol en el costado izquierdo y aparece un botn Agregar. Al pulsar en este boton un nuevo VLAN ser creado. En el sitio derecho se puede definir la instalacin de este VLAN.
Otra forma de hacerlo es arrastrando una tarjeta de Red o bridge de interface en las palabras Interfaces VLAN interfaces. En este caso, una nueva VLAN ser creada usando esta interface.
Introduccin
35
Interfaces VLAN pueden ser creadas en interfaces VLAN. Se puede crear una VLAN en una interface de red que ya es el puerto de una interface bridge. Se puede crear una VLAN en una interface bridge que ya usa una interface VLAN como puerto. Se pueden crear interfaces de VLAN en interfaces VPN-SSL. Se puede crear un VLAN en una interface que es usado para sincronizar alta disponibilidad. La configuracin de las interfaces de VLAN es ms o menos como la configuracin de un interface de tarjeta de red. Adems, se debe instalar una ID nica. Esta ID debe estar entre 1 y 4094.
NOTA SE PUEDE USAR LA MISMA VLAN-ID EN INTERFASES FSICAS MLTIPLES PERO ESTO NO LAS CONECTAR AUTOMTICAMENTE!
Para conectar las VLAN entre s se puede usar routing o bridging. El uso de un bridge para conectar los VLAN integral a las interfaces de VLAN en un bridge como interfaces comunes de Ethernet. Para rutear una VLAN con otra se deben crear conos de escritorio de las VLAN y conectarlas entre ellas.
3.8.3
Bridge (Bridge)
Prximas a las tarjetas de red fsicas incluso las VLAN y las VPN-SSL, pueden ser puertos de un bridge. Existen mltiples formas para crear un bridge. Marque interface mltiple. En el costado derecho aparece un botn Crear Bridge. Si se han marcado interfaces que no son posibles de aadir a un bridge aparecer un mensaje de advertencia. Se pueden arrastrar y dejar caer las interfaces en la palabra Bridges en el costado izquierdo para crear un nuevo bridge. Se puede seleccionar un bridge en el rbol en el costado izquierdo y presionar el botn Agregar. Vea VLAN (3.8.2)
No se puede crear un bridge (bridge) en los siguientes casos:
Los bridges no pueden ser un Puerto de otro bridge. No se puede crear un bridge en una interfase que es usada para sincronizar alta disponibilidad Los bridges no pueden usar interfaces que ya estn siendo usadas por otro bridge. Los bridges no pueden ser creados en interfaces VLAN que son creadas en otro bridge. Los bridges no pueden usar tarjetas de red de interfaces fsicas cuyos interfaces VLAN son usadas en la configescritorio del Cliente de Administracin. No se puede usar una tarjeta de red y su VLAN en el mismo bridge. No se puede crear un bridge en un interface que cuenta con una conexin del cliente de administracin.
3.8.4
Interface-VPN-SSL
Para usar la interface VPN-SSL primero se debe crear un tnel VPN-SSL-bridge en funciones VPN > VPN-SSL. En el dilogo de interfases slo se puede aadir este bridge de interfase VPN-SSL existente. Arrastre y deje caer en un bridge de interfase o cree un nuevo bridge de interfase y use el VPN-SSL (esto aparece si existe uno) como un puerto de su bridge.
Introduccin
36
3.9.1
La barra General es usada para agregar una nueva conexin a la lista de conexiones de Internet, eliminar las conexiones que ya no son requeridas o editar las instalaciones de una conexin.
Balance de Carga (Conexin consecutive)
El balance de carga a travs de varios objetos de Internet es el routing avanzado basado en las diferentes conexiones de Internet. Es posible crear diversos objetos de Internet en el escritorio usando arrastrar y soltar. Para estos objetos de Internet se pueden crear distintas reglas. El servicio para la regla correspondiente es enrutado en la va de esta conexin de Internet. Es incluso posible arrastrar un objeto con varios objetos de Internet. En este caso, los servicios correspondientes son distribuidos en ambas conexiones de Internet.
NOTA SI SE REQUIERE EL USO DE UN PROXY, TODAS LAS CONEXIONES DE INTERNET SE CONECTAN AUTOMTICAMENTE AL OBJETO SELECCIONADO.
Paso 1
La conexin de asistente de Internet se abre. Siga sus instrucciones hasta que la instalacin de la nueva conexin se haya completado. Ver captulo 2.3.2 Primera configuracinen Modo rpido.
Paso 3
Si se ha creado una nueva conexin de Internet, se puede asignar esto a un objeto de Internet usando arrastrar y soltar.
3.9.2
Para usar diferentes conexiones de Internet en momentos distintos, se pueden restringir usando tiempos.
Para definir perodos para su conexin de Internet, pulse en la columna Perodo de la conexin correspondiente en la conexin del dilogo Instalaciones de Internet.
Introduccin
37
Al mantener presionado el botn izquierdo del mouse y arrastrarlo simultneamente sobre el campo, se pueden destacar gris (activo) o blanco (inactivo).
Ms an, se pueden instalar campos individuales como activo o inactivo con el mouse o la completa conexin usando los botones Siempre encendido o Siempre apagado.
NOTA LA NUBE DE INTERNET MUESTRA CON ENCENDIDO O APAGADO SI SU CONEXIN DE INTERNET SE HA ESTABLECIDO, O SI EXISTE Y ESTA FISICAMENTE ACTIVA SU CONEXIN DE ROUTER ENTRE EL FIREWALL Y EL ROUTER. AL PULSAR EN LA NUBE DE INTERNET SE PODRA VER EN LA CONFIGURACIN DE ESCRITORIO UBICADA EN EL COSTADO INFERIOR IZQUIERDO QUE CONEXIN DE DIRECCIN DE IP TIENE LA CONEXIN-
3.9.3
Si se establece una conexin de Internet directa, el DNS global se determina por el router / va de salida o como regla por el proveedor. Si se usa otro servidor DNS, e.j. si opera su propio servidor DNS, se puede ingresar su direccin en las instalaciones de DNS global del servidor de firewall.
Paso 1
Active el Buscador automtico para un servidor DNS para usar el servidor DNS especificado por el router o el proveedor.
Paso 2
Si usa un servidor tipo DNS, desactive el Buscador automtico para un servidor DNS e ingrese la direccin IP de por lo menos un servidor DNS en el campo correspondiente.
3.9.4
Para poder conectarse desde la red externa, e.j. por VPN al servidor de firewall, la direccin de IP del servidor debe ser reconocida en el Internet. Usando el DNS dinmico, el servidor de firewall recibe una direccin fija, e.j. suempresa.dyndns.org en el internet, incluso si no cuenta con una direccin de IP fija para una procedimiento de discado de ISDN o DSL, por ejemplo.
NOTA SE REQUIERE UNA CUENTA DYNDNS CONFIGURADA. MAYOR INFORMACIN EN DNS DINAMICO Y REGISTRO PARA EL PROCESO DE DNS DINMICO PUEDE SER ENCONTRADA EN E.J. HTTP://WWW.DYNDNS.ORG.
Crear una o ms cuentas DynDNS con el soporte de un proveedor DynDNS (e.j. www.dyndns.org).
Paso 2
Instale sus cuentas DynDNS en el firewall. Para instalar el acceso a DNS dinmico, abra el dialogo Internet en el men principal Opciones.
Introduccin
38
Paso 5
Ingrese la informacin proporcionada tras el registro del DynDns en los campos Tipo de servidor, Nombre del dominio, Nombre de usuario y Clave.
Paso 6
Si usa subdominios de la cuenta, marque Habilitar wildcards y seleccione la conexin de Internet deseada.
Tambin se pueden asignar las cuentas de DynDNS en los dilogos de instalacin de las conexiones de Internet.
Servidor Rel
Introduccin
39
Se puede definir un rango de direccin por interfase. Direcciones fijas usando la direccin MAC puede ser especificada por interfase. Direcciones-Esttica IP El pool de Direcciones-IP asignadas de manera dinmica no debe contener Direccin-IP estticas. El pool debe ser adaptado para proveer suficientes direcciones para asignaciones de direcciones-IP estticas.
3.10.2 DHCP Rel Se pueden seleccionar las direcciones de servidor al que los requisitos DHCP son reenviados. Las interfases desde las cules los requerimientos DHCP deben ser reenviados adems deben ser seleccionados (selecciones mltiples son posibles).
Aqu se pueden configurar las instalaciones de servidor de respaldo que est recibiendo. Se puede elegir si se usar FTP o SCP para transferir el archivo.
ATENCIN SIN DECODIFICAR!!!
En las Instalaciones de Archivo, se puede ingresar el nombre para el Archivo de Respaldo. Si se define un nmero mximo de respaldos, un nmero se adjuntar al nombre del archivo. Tras alcanzar el nmero seleccionado de respaldos (predeterminado 20), el nmero se repetir y sobreescribir el ltimo respaldo. Si se selecciona adjuntar al nombre del archivo, la fecha actual crea un archivo incluyendo el nombre de un archivo y fecha. La fecha nunca se repite, por eso los respaldos antiguos no sern sobreescritos.
Slo es posible seleccionar uno de los puntos. En las instalaciones de intervalo de tiempo, es posible agregar un gancho para rear un respaldo cuando se salga del Cliente de Administracin. Este respaldo lleva el nombre del Administrador. Tambin es posible hacer respaldos programados.
Introduccin
40
El botn Instalaciones de Prueba intenta enviar un archivo (llamado "archivo nombre_prueba ") al servidor de respaldo ingresado. Si las instalaciones son correctas, aparecer una ventana, con una respuesta positiva y se puede suprimir el archivo de prueba desde el servidor de respaldo.
Introduccin
41
Se exhiben todos los cuadros de routing que contienen por lo menos un router. El cuadro con ID 254 es la tabla de routing principal que contiene el router definido por el usuario. Debido a la importancia este router es mostrado al inicio de la lista. El cuadro 255 contiene routes locales exclusivos para todas las interfases conocidas. Cuadros con IDSs 1 a 63 para balancear la carga y para las conexiones de Internet. Los routers agregados al cuadro principal tambin son escritos en este cuadro. Los cuadros 64 a 250 son reservados para los routers con direcciones de fuentes (Poltica-Routing) y mostrado cuando se agrega un router con fuente direccin-IP. La columna direccin de destino contiene la direccin-IP del destino del routing. Protocolo muestra quin agreg el router. Routers con el Protocolo kernel o boot son agregadas por el sistema, routers definidos por los usuarios son nombrados gpuser. La columna Tipo contiene el tipo de router, en la mayora de los casos, esto de unidifusin. Puertas de ingreso muestra la direccin-IP de la puerta de ingreso, si se hace roteo a paquetes cuando el destino no es alcanzable por el vnculo. Interfases muestran la interfase del firewall a travs de las cul salen los paquetes. Si se entra por una puerta de ingreso, debe ser accedida por la interfase a la cual se encuentra conectado.
Cada cuadro de routing puede contener reglas-routing, que son parte de la poltica-routing. Las reglas-routing no pueden ser agregadas de manera explcita, son creadas automticamente si: Un nuevo router con fuente IP ha sido agregado Una nueva conexin-Internet ha sido agregada (Balance de carga)
Introduccin
42
En la columna "Match" se escribe el criterio para redireccionar los paquetes-IP hacia otros cuadros. Si un router es editable o agregable, un icono es la segunda columna que se mostrar. Fuente (opcional): decide que solo paquetes de una determinada direccin de fuente son ruteados. Mtrico: El mtrico muestra el costo del router y es interesante en combinacin con los protocolos de routing.
NOTA ESTAS INSTALACIONES NO SE REQUIEREN NORMALMENTE Y DEBEN SER USADAS BAJO ALGUNAS CIRCUNSTANCIAS.
3.12.2 Protocolos-routing
Introduccin
Routing para protocolos de IP decide el reenvo de los paquetes IP, basados en sus direcciones de destino, en un ordenador. Los paquetes routers pueden ser paquetes externos de otro ordenador, o paquetes generados de manera local desde el mismo ordenador. La manera ms fcil es un cuadro de router de esttica existente en el ordenador, el cul decide sobre la base de la direccin de destino, las interfases de salida para los paquetes. La configuracin de un routing esttico es tpico para redes ms pequeas porque en la mayora de los casos hay slo un ordenador actuando como router. (Cap. 3.12.1 Routes de Estticas). En redes ms grandes es ms diferente, complejo para administrar las configuraciones de rutas estticas porque cada ruta u ordenador debe ser configurado manualmente. Para tales redes con mltiples rutas, los routers han compilado protocolos diferentes para un routing dinmico. Cada uno de estos protocolos hace posible que los routers se comuniquen entre s y publiquen diferencias en la topologa de la red. El administrador de la red no tiene que configurar cada aparato, porque la diferencia en la configuracin se informa de manera autnoma. El routing dinmico hace posible, reaccionar en caso de ciertos eventos con un cambio de configuracin. Cuando el enlace la Red troncal de un router se irrumple, el router puede informar a los otros router para buscar un router diferente hacia el destino de acuerdo a los protocolos de routing. "Informacin-Routing " es un router asignado por protocolos de routing.
Introduccin
43
Aqu se pueden crear claves para la Autenticacin-Digestiva-de Mensajes con OSPF y RIP. Las claves pueden ser editadas con un nombre, por ser encontradas fcilmente en los dialogos.
ATENCIN: EL NOMBRE TIENE ESPECIAL RELEVANCIA PARA OSPF, PORQUE EL NOMBRE ES TRANSMITIDO MIENTRAS SE AUTENTIZA Y PUEDE CORRESPONDER A LA CLAVE-ID DE OTROS ROUTERS OSPF.
Las claves se ingresan en texto y tienen una extensin mxima de 16 caracteres. Estas claves estn disponibles para autenticacin con md5
Introduccin
44
Estas listas de filtros permiten filtrar la informacin de routing que fueron transferidas via RIP o OSPF. Debido a eso, slo informacin debidamente especficada puede ser reenviada o almacenada localmente.
NOTA EL FILTRO DE LA INFORMACIN DE ROUTING NO ES NORMALMENTE REQUERIDA Y SOLO DEBE SER USADA BAJO CIERTAS CIRCUNSTANCIAS.
Una lista de filtro consiste en una o ms reglas. Estas reglas permiten o rechazan el reenvo de la informacin especifcada usando diversos criterios. Cada lista de filtro recibe un nombre con el cul podr ser referido posteriormente.
El nombre define la lista de filtro, hacia la cul la regla debe ser agregada. Se puede elegir, si la regla debe permitir o denegar el reenvo de la informacin de routing coincidente.
Criterio:
Interfase: Es la Interfase donde se enva la informacin de salida del routing. Destino: La direccin de destino de la informacin de routing. Ruta de salida: La ruta de salida de la informacin de routing.
Introduccin
45
3.12.2.1
3.12.2.2
Instalaciones RIP
Activo activa o desactiva el soporte RIP. La Actualizacin del timer instala el intervalo (en segundos), en el cul la informacin de routing debe ser enviada a otro routers RIP en la red. Por defecto 30 segundos. Si se instala un valor alto, demora ms en cambiar la informacin de routing. Un valor menor aumenta el trfico de la red. La Validacin de tiempo de espera instala el intervalo, despus del cul los routes RIP fueron invlidados. Si no se recibe ningna Actualizacin hasta que se alcance el tiempo de espera, el router es suprimido y otros routers RIP fueron informados respecto de estas circunstancias. El intervalo de Validacin de tiempo de espera debe ser ms largo que el intervalo de actualizacin. El tiempo de espera para la Limpieza define en qu intervalo es suprimido un router invlido que fue recibido va RIP. Eventos de depuracin enciende la depuracin de eventos RIP como la recepcin de nueva informacin de routing. Paquetes de depuracin enciende la depuracin de paquetes de RIP trasmitidos y recibidos. La informacin de depuracin puede ser encontrada en el reporte.
ATENCIN! ESTA OPCIN SLO SE ACTIVA SI SE REQUIRE LA INFORMACIN PARA DEPURAR. DESACTIVE SI NO SE REQUIEREN.
Via neighbor, se puede ingresar explcitamente al router RIP, que no era accesible va la IP de multi transmisin, pero si tiene uno que no sea soporte para la IP de multi transmisin, se puede ingresar su direccin aqu.
Introduccin
46
Todas las interfases en el sistema que sean utilizables en RIP estn en la lista aqu. No es posible/necesario agregar o sumprimir interfases. Aqu se puede activar RIP en interfases que estn en redes con otros routers RIP. La columna Activar muestra si la interfase tiene el RIP activado o no. Si un interfase es usado por RIP, las actualizaciones de RIP fueron transmitidas y recibidas usando esta interfase. Si una interfase est marcada como Pasiva, solo recibe actualizaciones RIP y no las enva. Horizonte dividido se necesita para prevenir los bucles de enrutamiento en redes ms complejas. La columna Auth. type muestra si las actualizaciones de RIP fueron transmitidas/recibidas usando autenticacin y si es as, cul mtodo de autenticacin es utilizado. Auth. key muestra la clave si se usa autenticacin con texto plano. La utilizacin de la utenticacin MD5, muestra el nombre de la entrada en la lista Auth.
Introduccin
47
Pasivo enciende el modo pasivo (solo cuando se recibe) y Horizonte dividido activa el lit horizon activa la funcin de "Horizonte dividido para prevenir los bucles de enrutamiento.
En el el rea de Autenticacin, se puede seleccionar el tipo de autenticacin. Si se selecciona plaintext, se debe ingresar una clave, usando el menu MD5, que ofrece claves MD5 pre definidas (ver Auth keys).
Reenvo de informacin de ruteo (distribucin del roteo)
La informacin de distribucin de ruteo son las mismas en RIP, OSPF y en la distribucin de ruta Esttica, por lo que el dilogo slo se explica una vez. Los sub items de distribucin de routing definen el objetivo del reenvo; la fuente de contexto del item distribucin de ruteo.
Existen varias posibilidades para la distribucin de ruteo:
RIP a RIP RIP a OSPF RIP a sistema local (esttica) OSPF a OSPF OSPF a RIP OSPF a sistema local (esttica) Sistema Local (esttica) a RIP y a OSPF
ATENCIN! LA DISTRIBUCIN DE RUTEO ES IMPORTANTE SLO SI SE DESEA FILTRAR EL REENVO DE LA INFORMACIN DE RUTEO! PARA HACER ESTO, SE NECESITAN LAS LISTAS DE FILTROS. SI NO SE ESPECIFICAN LAS LISTAS DE FILTRO, TODA LA INFORMACIN DE RUTEO ES REENVIADA, QUE ES HABITUALMENTE EL CASO.
Introduccin
48
Toda la distribucin de ruteo tienen la misma interfase: para este ejemplo, se muestra RIP.
Los filtros previamente creados pueden ser agregados o suprimidos en esta interfase. Se pueden editar en la barra Lista de Filtros.
Este dilogo muestra todos los ingresos que fueron exhibidos en la lista.
Introduccin
49
La interface equivale a agregar un dilogo pero sin casillas ni botones de eleccin. Los detalles fueron desplegados solo para la lista seleccionada.
3.12.2.3
Instalaciones OSPF
La opcin Activo activa el soporte OSPF. El Router ID tiene que ser ingresado y debe ser nico. No se debe ingresar una direccin de IP existente o vlida.
Eventos de depuracin se activa, eventos OSPF (como la cada de un OSPF router) fueron exhibidos en el reporte sobre depuracin.
Si se activa Depuracin LSA , detalles de paquetes LSA (Link State Announcement) tambin fueron exhibidos en el reporte sobre depuracin.
Si Depuracin NSSA es activado, detalles de eventuales reas de NSSA existentes fueron exhibidas en un reporte de depuracin.
Si Paquetes de Depuracin es activado, detalles de todos los paquetes OSPF fueron exhibidos en el reporte sobre depuracin.
ATENCIN! ACTIVE ESTAS OPCIONES SOLO SI SE REQUIERE DEPURAR Y DESACTIVELOS SI EL PROBLEMA ES SOLUCIONADO.
Introduccin
50
Todas las interfases en su sistema, que pueden ser usadas por OSPF, estn listadas aqu. No es posible/necesario agregar o suprimir interfases.
Pasivo indica si una interfase est en modo pasivo o no. Si est, slo recibe paquetes OSPF y no los enva Tipo Aut.muestra el modo de autenticacin. Clave Aut. Muestra la clave de modo de texto plano. Si se usa MD5, muestra el nombre de la entrada en la lista de claves Aut. Tipo de red muestra el tipo de interfase. En la mayora de los casos, debe ser una transmisin. Slo es posible editar las interfases disponibles.
Introduccin
51
Barra General
En el rea Autenticacin, se puede seleccionar el tipo de autenticacin como con RIP. La casilla Pasivo se enciende en el modo pasivo para que la informacin OSPF slo sea recibida y no transmitida.
Se pueden definir los Costos para esta interfase. Mientras ms altos los costos de ruteo, menor debe ser el uso de esta interfase. Estas instalaciones son solo importantes en redes ms complejas. Intervalos muertos define el intervalo para los tiempos de espera y los timers inactivos y tiene que tener el mismo valor en todas las rutas OSPF en la red. Prioridad define la prioridad del router OSPF. El router con la prioridad ms alta se transforma en el router Designado.
Intervalo Hello define el intervalo en el cual los paquetes de hola fueron enviados a otros routers. Esto informa a los otros routers sobre la presencia de ste.
Intervalo de retransmisin define el intervalo en que la base de datos de ruteo y los paquetes LSR (Link State Request) fueron retransmitidos si una transmisin anterior fall.
Retraso de transmisin define el retraso usado para enviar paquetes LSA para que informacin mltiple pueda ser enviada en un paquete LSA.
Barra Tipo de Red
Introduccin
52
En la mayora de los casos, es siempre Transmisin. Punto-a-punto y Punto-a-punto multiple son solo usados en la configuracin de redes muy especiales. Sin-transmisin puede tener sentido si los paquetes de transmisin/multi transmisin fueron reenviados en la red conectada. En este caso, todos los router OSPF tienen que ser ingresados en la lista Vecino, porque pueden ser identificados automticamente.
Areas OSPF
Las reas OSPF son unidades locales para agrupar o separar redes.
Introduccin
53
Cada rea OSPF tiene su propio y nico ID que es representado como direccin de ID. Esta direccin de IP no debe ser existente o vlida. Un caso especial es el rea con la ID 0.0.0.0, este es el rea troncal. Cada rea tiene que estar directamente conectada a un rea troncal. Si esto no es posible, una conexin directa al rea troncal puede tambin ser establecida usando un vnculo virtual. Estas reas pueden usar autenticacin como interfases OSPF.
ATENCIN LAS INSTALACIONES DE AUTENTICACIN DE LAS INTERFACES SON MS IMPORTANTE QUE LAS INSTALACIN DE LAS REAS.
Barra General
ID es la ID del rea que que puede ser ingresada como direccin de IP.
En Interfases Conectadas, se pueden ingresar las interfases que deben pertenecer a esta rea.
Introduccin
54
Las redes exclusivas no fueron anunciadas hacia afuera, sino en el resumen. Barra Tipo Aqu se puede seleccionar el tipo de reas.
Porque Vnculos virtuales solo son permitidos en reas normales, solo pueden ser ingresadas aqu.
NSSA y Areas de Stub pueden definir Costos predeterminados que fueron asignados al predeterminado LSA. Con NSSA, tambin se puede definir el tipo de Traduccin que define la traduccin de Tipo-7 a Tipo-5 LSA. Siempre: siempre ser traducida. Candidato: el router OSPF participa en la eleccin automtica para el traductor. Nunca: no ser traducida.
Vnculo virtual
Direccin es la direccin de IP del router hacia el cual el vnculo virtual debe ser establecido (este router tambin tiene una conexin directa al rea troncal). Un vnculo virtual acta como una interfase OSPF para ofrecer la posibilidad de una conexin directa al rea troncal.
Introduccin
55
P RO X I E S 4.1 Introduccin
Un proxy es un programa, que comunica entre un cliente (una aplicacin, e.j. a buscador de web) y un servidor (e.j. un servidor de web). En el caso ms simple, un proxy simplemente reenva la fecha. No obstante, un proxy habitualmente llena varias funciones al mismo tiempo, por ejemplo caching (almacenamiento intermedio) o control de acceso. El firewall gateprotect ofrece diferentes proxies para diferentes servicios: HTTP Proxy (protege de amenazas cuando se navega por Internet) HTTPS Proxy (tambin permite escanear en la bsqueda de virus en pginas web registradas) FTP Proxy (protege de amenazas cuando se transfiere informacin va FTP) SMTP Proxy (protege de amenazas cuando se envan y reciben correos electrnicos) POP3 Proxy (protege de amenazas cuando se reciben correos) VoIP Proxy (protege de amenazas cuando se usa comunicacin oral en redes de IP)
NOTA EN CONTRASTE CON VERSIONES ANTERIORES DEL FIREWALL, LA ACTIVACION DE UN PROXY PARA UNA CONEXIN YA NO IMPLICA NAT, SI EL PROXY OPERA EN MODO TRANSPARENTE. SI DESEA USAR NAT, DEBE SER ACTIVADA DE MANERA SEPARADA.
Se puede acceder a las instalaciones de HTTP proxy a travs del Cliente de Administracin Opciones > Proxy > HTTP barra Proxy. Para usar el HTTP proxy, se debe seleccionar uno de los siguientes modos:
4.2.1
Modo Transparente
En modo transparente, el servidor de firewall opera automticamente todas las consultas que son hechas usando puerto 80 (HTTP) a travs de proxy. Los usuarios no tienen que hacer ninguna instalacin adicional en el buscador de la web.
4.2.2
En modo normal sin autenticacin, el HTTP proxy del servidor de firewall tiene que estar explcitamente direccionado hacia el puerto 10080. Todos los usuarios deben entrar este puerto especial en sus instalaciones de buscadores de internet.
ATENCIN ! POR FAVOR NOTE QUE SLO LOS PAQUETES DE INFORMACIN HTTP SON RUTEADOS A TRAVS DE PROXY. SI UN PROGRAMA O UN ATACANTE INTENTA OPERAR OTROS PROTOCOLOS A TRAVS DE ESTE PUERTO, ESTOS PAQUETES SERN BLOQUEADOS Y RECHAZADOS.
Introduccin
56
4.2.3
Este modo require autenticacin de usuario adicional. Aqu se puede escoger entre la autenticacin de usuario local de gateprotect local y la autenticacin por un servidor de radio externo.
4.2.4
Se puede configurar el cach completo de acuerdo con sus necesidades. Se puede ajustar el tamao del cach (en MB) y los tamaos mnimos y mximos de los objetos.
Slo pginas que han sido firmadas por un CA enlistado pueden ser visitadas a travs de proxy HTTPS. No obstante, es posible importar su propio CA. Los certificados de CA ms comunes para revisar el servidor de la red son instalados; otros pueden ser agregados (y adems suprimidos) por el administrador de firewall. El proxy HTTPS opera con certificados de servidor de red falsificados emitidos desde un CA propio en el firewall que es provisto al buscador de la red.
Este CA debiera ser importado hacia el buscador de la red. Para este objetivo, puede ser exportado o reemplazado por un CA auto-creado.
Requerimientos del buscador de la red a nuevos servidores de red sern inicialmente rechazados. Todas las nuevas solicitudes fueron presentadas en una lista desde la cual el administrador slo tiene que seleccionar la deseada.
Este requerimiento debe ser desbloqueado creando un certificado falsificado de servidor de red. El periodo de validacin de estos certificados pueden ser libremente seleccionados (predeterminacin de 365 das). Si el administrador de firewall no desea que sus usuarios se conecten a este servidor de red via HTTPS, el puede agregar el dominio del servidor de red a una lista negra.
Introduccin
57
El buscador llama a una pgina https://. Una pgina en blanco sera desplegada, pero un requerimiento es enviado por escrito al Cliente de Administracin.
Paso 2
El autoriza la pgina. Un certificado de reemplazo es creado. El no autoriza la pgina. La pgina permanece bloqueada.
El buscador llama a la pgina https:// nuevamente. a. b. Recibe la pgina con un certificado falsificado. No puede ver la pgina y nunca se hace un requerimiento al Cliente de Administracin nuevamente.
NOTA SI SE REQUIERE UNA PGINA CUYOS CERTIFICADOS NO HAN SIDO FIRMADOS PORT UNO DE LOS CAS SUSCRITOS, EL CA DEL CERTIFICADO TIENE QUE SER IMPORTADO HACIA EL DIALOGO PROXY HTTPS POR ANTICIPADO. SI EL CERTIFICADO DE LA PGINA HTTPS ES AUTO-FIRMADA, ESTE CERTIFICADO DEBE SER IMPORTADO PREVIAMENTE HACIA EL DIALOGO PROXY HTTPS COMO UN CA.
Introduccin
58
4.7.1
Instalaciones Generales
Red Interna
Aqu se puede seleccionar la red local, para el uso de llamadas telefnicas, desde la lista de redes disponibles. Aqu se selecciona la conexin de Internet que el Servidor de Firewall usa para reenviar la conexin VolP, desde la lista de redes disponibles.
Conexin de Internet
NOTA PARA PODER USAR EL PROXY VOLP, SE DEBE INGRESAR LA DIRECCIN DE IP DEL SERVIDOR DE FIREWALL GATEPROTECT CON PUERTO 5060 EN SUS APARATOS VOIP. MAYOR INFORMACIN SOBRE DOCUMENTOS DEL EQUIPO VOLP EST DISPONIBLE.
4.7.2
Proxy SIP
En este dilogo, se puede activar el proxy VolP e instalar las siguientes opciones:
Opcin Descripcin
Si acepta esta casilla, el servidor de firewall acta como Proxy VolP para el protocolo SIP y puede ser direccionado en el puerto 5060. Si acepta esta casilla las informaciones en el protocolo SIP son reenviadas a un proxy SIP externo. Ingrese la direccin de IP y el puerto del proxy SIP externo proxy en el campo correspondiente.
Introduccin
59
5.1.1
Usando la autenticacin, las reglas de Firewall pueden ser instaladas no solo para computadores en red, sino para usuarios individuales independientes del computador.
5.1.2
La Autenticacin de Usuario ofrece la habilidad para establecer reglar para usuarios individuales y de grupos. El firewall opera un servidor de red que procesa exclusivamente el registro de usuarios que estn validados por una autenticacin de dominio. La informacin de inicio de sesin es comparada en el firewall con una base de datos de usuario local. En caso de error la autenticacin de dominio adicionalmente revisa en bsqueda de un Active Directory de Microsoft o servidor LDAP abierto usando el protocolo Kerberos. Si la autenticacin es exitosa, la direccin de IP desde donde provino la solicitud es asignada a las reglas de firewall del usuario. Usuarios inscritos en la base de datos local del firewall pueden cambiar su clave usando el servidor de la red. La clave puede contener hasta 248 caracteres. Claves ms largas son aceptadas, pero sern reducidas automticamente. Computadores especficos como servidores de terminal o servidores para objetivos administrativos son excluidos de la autenticacin de servidor. Solicitudes de inicio de sesin desde estos computadores sern bloqueadas por el servidor de red y su dominio de autenticacin. Computadores especficos como un terminal de servidor para objetivos administrativos pueden ser excludas de la autenticacin de usuario. Solicitudes de inicio de sesin desde estos computadores sern bloqueadas por el servidor de red y el dominio de autenticacin. El Proxy-HTTP puede ser cambiado a modo normal para obligar a los usuarios en un servidor de terminal que inici la sesin. En este escenario la solicitud de permiso es negociada por el Proxy-HTTP y el dominio de autenticacin. El Proxy-HTTP-Proxy puede ser enviado a modo onormal para forzar a los usuarios en un servidor termina a iniciar sesin. En este escenario la solicitud de permiso es negociada por el Proyx-HTTP y el dominio de autenticacin.
El firewall de gateprotect ofrece administracin de usuario local para empresas ms pequeassin administracin central.
En la primera barra, Lista de usuario, se puede agregar, suprimir o editar a usuarios de bases de datos locales. Se requerir ingresar un nombre de usuario y una clave.
Al marcar la casilla Cambiar clave en el prximo inicio de sesin el usuario debe cambiar la clave en el prximo inicio de sesin. El usuario sera guiado hacia la pgina de cambio de clave. El dominio de autenticacin solo acepta iniciar sesin despus que la clave haya sido exitosamente cambiada.
Introduccin
60
Servidor de autenticacin
En la seccin inferior de la barra Opcin > Autenticacin usuario > Instalaciones se pueden ajustar las instalaciones para el servidor de autenticacin. La barra de instalaciones permite configurar un servidor de Active Directory de Microsft o un servidor Open LDAP.
Para el servidor de Active Directory de Microsoft ingrese la direccin de servidor, Puerto-LDAP, nombre de usuario y clave del administrador (es til crear aqu un usuario dedicado) y el nombre del dominio (e.j. empresa.local). Para configurar una direccin de servidor de Open LDAP abierto, Puerto y adicionalmente el Usuario y Base-DN. La cuenta requiere permisos de lectura.
Instalaciones generales En las instalaciones generales se puede activar la autenticacin de usuario. Aqu se instala el modo inicio de sesin y la opcin inicio de sesin. El modo inicio de sesin se establece segn los mtodos:
Instalaciones
Descripcin
Con inicio de sesin simple cada usuario puede conectarse simultneamente desde una direccin de IP. Separacin de sesiones significa que sesiones anteriores anteriores son solo desconectadas cuando un usuario se conecta desde una direccin de IP diferente. En cada sesion sin separacin de cliente en inicio de sesin simple, cada inicio de sesin siguiente sera rechazada. Las advertencias son escritas en este reporte de modo inicio de sesin.
Sin inicio de sesin mltiple un usuario puede estar conectado simultneamente desde hasta 254 direcciones de IP diferentes. En este punto, el Puerto-HTTPS tambin puede ser instalado para el inicio de sesin de red. El puerto estndar 443 es preinstalado por HTTPS.
NOTA CREEE UN "SUPERUSUARIO" LOCAL. ENTONCES SE PODR ACCEDER A DERECHOS ADMINISTRATIVOS EN EL FIREWALL EN CADA WINDOWS PC. PARA DESBLOQUEARLOS, NO ES NECESARIO DESCONECTARSE PERO SE ADQUIEREN DERECHOS SOBRE EL CLIENTE. (E.J. RDP).
Introduccin
61
Grupos de Active Directory: Si se usa un servidor de Active Directory Microsoft para autenticacin, el firewall mostrar el Grupo-AD. Se pueden usar de manera equivalente a los usuarios. El Active Directory administra los derechos de los usuarrios, entendindose que los Usuarios-AD deben ser asignados para definir Grupos-AD. Slo los Grupos-AD son configurados con el firewall.
Instalaciones avanzadas En la barra de instalaciones avanzadas los servicios Kerberos pueden ser activados y si se requieren los nombres de dominio y dominio de firewalls pueden ser ajustados. Si se usa la clave Kerberos sta puede ser importada aqu. Finalmente se cuenta con la opcin de desplegar una landing page cuando alguien que no cuenta con autorizacin intenta acceder al Internet.
5.2.1
Inicio de sesin usando un buscador es muy fcil. Al inicio, se debe ingresar una direccin-IP del servidor-firewall en el campo-direccin del buscador, por ejemplo: https://192.168.12.1 (en este ejemplo, se usa el 443 el puerto predefinido) Despus, es necesario ingresar nombre de usuario y clave. El inicio de sesin est completo despus de pulsar Conectar. De esta manera la posibilidad de conectarse funciona con cada buscador de red y es codificada con SSL. La ventana que fue usada para conectarse debe permanecer abierta durante toda la sesin; de lo contrario su sesin ser cerrada automticamente. Esto es necesario para seguridad cosa que el pc en que un usuario olvid desconectarse no est disponible para cualquier usuario.
5.2.2
Iniciar sesin utilizando Cliente de Autenticacin de Usuario (Cliente-UA) Despus de instalar el Cliente-UA, la direccin de IP del firewall, el nombre de usuario y la clave correspodiente deben ser ingresadas.
Si la clave debe ser almacenada para futuros inicios de sesiones, la casilla Recordar clave debe ser marcada.
Introduccin
62
5.2.3
Single Sign On (SSO) bajo el Firewall de gateprotect significa la conexin por una sola vez de un usuario de dominio al Active Directory para la creacin simultnea de las reglas del firewall. Algunas condiciones deben ser cumplidas para implementar un Single Sign On en un ambiente de Active Directory con el Firewall gateprotect.
Estos incluyen los siguientes pasos:
Creacin de un usuario especial en el servidor de dominio (gpLogin) Creacin de una clave especial en el Servidor de Active Directory Preparacin del firewall Instalacin de la autenticacin de cliente Probar la configuracin
Creando el usuario especial de "gpLogin"
Es absolutamente necesario crear un usuario especial en el Active Directory. El nombre de principal ser asignado a este usuario poteriormente. Este principal es entonces la clave actual usada para comunicarse con el firewall. El usuario no necesita ningn permiso especial por cuanto es slo usado como Pivote para el Principal. El principal es precisamente la clave usada para comunicarse con el firewall. El usuario no necesita ningn permiso especial por cuanto se usa solo como pivote para el Principal. Slo basta crear el usuario como usuario normal de dominio en el dominio. La clave debe tener 8 caracteres para seguridad.
Crear un usuario con nombre y apellido. El nombre de inicio de sesin tiene que ser gpLogin. Es importante que el nombre de usuario sea digitado con L mayscula. Este usuario es creado como usuario de dominio normal. Es importante que la opcin Use tipos de codificaciones DES para esta cuenta sea activada.
Creando la clave principal
Una clave (principal) debe ser creada en el Servidor de Active Directory e importada hacia el Cliente gateprotect Client cosa que el computador cliente pueda conectarse automticamente al firewall despus de que se haya producido la conexin del usuario al dominio de Windows. El firewall necesita un archivo clave para esto. Se necesita el programa Windows ktpass.exe para crear el Principal y este archivo. Este programa est contenido en el Microsoft Resource Kit.
La sintaxis para crear el archivo clave es: ktpass -out key.fw -princ gpLogin/x-series@testcenter.gateprotect.test -pass hello1 crypto DES-CBC-CRC -ptype KRB5_NT_PRINCIPAL -mapuser domain\gpLogin
Introduccin
63
out -> El nombre del archivo principal se establece aqu (Esto sera importado a un firewall despus) princ -> Username/HostnameoftheFirewall@CompleteDomainName pase -> Clave del usuario crypto -> Codificacin de algortmo (siempre qu DES-CBC-CRC) ptype -> El tipo Principal (siempre aqu KRB5_NT_PRINCIPAL) usuario de mapa -> Usuario al cual el Principal est asociado. En este ejemplo, los parmetros aparecen as: Usuario: gpLogin Nombre de dominio del Firewall: series-x Nombre Dominio Completo: testcenter.gateprotect.test Clave del usuario: hello1
La autenticacin de Kerberos puede ser ahora activado bajo Opciones > Autenticacin de usuario > Ingreso Single Sign On y el archivo clave creado previamente puede ser importado. (Por favor ponga atencin a las salidas en el reporte si la importacin falla).
Hay un directorio UAClientSSO en el medio de instalacin gateprotect. Este contiene tres archivos. El primero es el UAClientSSO.exe. Dos parmetros deben ser provistos cuando se inicie el programa. El primero es esl nombre de dominio del firewall (bajo Instalaciones > Autenticacin de usuario > Single Sign On) y la segunda es la direccin de IP en el firewall.
EJEMPLO C:\PROGRAM FILES\GATEPROTECT\UACLIENTSSO.EXE X-SERIES 192.168.0.1 (PROBABLEMENTE CONSTITUYE EL ATAJO MS FCIL DE REALIZAR UTILIZANDO ESTOS PARMETROS)
El Segundo archivo es UAClientSSOSetup.exe. Este programa instala el UAClientSSO.exe as c:\Program Files\gateprotect\UAClientSSO.exe. Ambos parmetros deben tambin ser proporcionados aqu. El tercer archivo es UAClientSSO.msi. Esta es la rutina de instalacin como un archivo MSI que puede ser distribuido a los computadores de manera automtica va distribucin de software (normas de grupo). Ambos parmetros deben ser proporcionados aqu. No es posible pasar parmetros a archivo MSI.
NOTA COPIE UACLIENTSSO.EXE A RED COMPARTIDA "NETLOGON" DEL SERVIDOR DE AD Y CONFIGURE UN INICIO DE CONEXIN DE RED. EJEMPLO .INICIO ERROR! REFERENCIA DE HIPERVNCULO NO VLIDA.SERVIDOR>\NETLOGON\UACLIENTSSO.EXE <HOSTNAMEFIREWALL> <DIRECCIN IP DEL FIREWALL>
Resolviendo problemas
Introduccin
64
Inicio de sesin desde un computador de dominio. Si todo funciona bien, debiera aparecer un cono en la bandeja del sistema, que muestra la conexin. En caso de un error, revise todos los pasos de nuevo. Pruebe la autenticacin sin SSO usando la red de cliente. Inicio Start UAClientSSO.exe con los parmetros desde lalnea de comando. Reinicie el cliente Windows. Revise el reporte de firewall. Revise la diferencia horaria entre el control de dominio, el firewall y los clientes (el tiempo de Kerberos es muy crtico; es til usar ahorradores de tiempo). Si del todo no funciona: Elimine el usuario gpLogin y creelo nuevamente. Despus, cree el archivo clave de nuevo e imprtelo nuevamente.
5.3 Usuarios
Usuarios y Grupos-AD, al igual que los computadores, pueden ser asignados al escritorio como grupos de usuarios individuales. Entonces se definen las normas para estos objetos, que son asignadas a los usuarios en tanto se conectan. Si un usuario se conecta desde un computador, que en s tiene ciertas normas, el usuario est sujeto a las normas de ese computador como a sus normas personales. En los grupos de usuario en el escritorio se pueden elegir usuarios desde la lista de Firewall local o desde el Open LDAP o del servidor de autenticacin Servidor de Active Directory. Adems existe un Grupo especial de Usuarios por Predeterminacin. Ningn usuario puede ser agregado a este grupo. Compromete a todos los usuarios que puedan conectarse, excepto los que no estn en el escritorio como usuarios individuales o miembros de los grupos usuarios. Si un grupo pretederminado es instalado en el escritorio y tiene normas asignadas, cualquier usuario que se instale posteriormente en el Servidor de Active Directory es automticamente asignado al grupo usuario. Tras conectarse este nuevo usuario es entonces automticamente asignado a las normas establecidas. Esto elimina la necesidad de contar con administracin adicional para cada usuario.
5.4 Ejemplos
5.4.1
Dominio Windows
Si cuenta con un dominio Windows, puede conectar la autenticacin de usuario al Controlador de Dominio de Windows. Ingrese la informacin de su controlador de dominio en la barra de Instalaciones del casillero de dilogo Autenticacin de Servidor. En la lista de usuario se vern todos los usuarios que estn en este dominio. Entonces se pueden arrastrar los conos de usuario a la Configuracin de Escritorio y asignarles reglas. El usuario debe ahora llamar la direccin de IP del Firewall con "https" en su buscador y conectar. Si la conexin es exitosa, las normas del usuario del Firewalls son aplicadas a la direccin de IP proporcionada. Si el buscador de Window est cerrado la sesion cookie concluye y las reglas expiran.
Introduccin
65
5.4.2
Servidor terminal
Si se usa un servidor terminal, esto se debe remover de la autenticacin de usuario, por cuanto cuando un usuario est conectado, todos los usuarios adicionales recibirn los mismos derechos que recibi el primer usuario. Para remover el servidor terminal de la autenticacin de usuario proceda como sigue: Pulse dos veces en el smbolo servidor terminal en la configuracin de escritorio. Marque la casilla Excluir este objeto desde la autenticacin de usuario. Hay un Proxy HTTP no transparente para un servidor terminal. Ajuste el Proxy HTTP no transparente instalado para este objetivo bajo Instalaciones > Instalaciones Proxy.
NOTA PARA EL PROXY HTTP EL BUSCADOR DEBE TENER UNA DIRECCIN DE IP FIREWALL EN SU SUBRED Y PUERTO 10080. PARA EVITAR ERRORES DE DESCARGA, ESTA DIRECCIN DE IP DEBE SER INGRESADA EN EL BUSCADOR ECLUIR ESTA DIRECCIN DE IP DEL PROXY.
Todos los usuarios que ahora se conectan al servidor terminal recibirn primero una notificacin cuando abran el buscador pidiendo el nombre de usuario y la clave. En cuanto hayan autenticado usando una autenticacin de usuario local, el Active Directory o el openLDAPA/Krb5, pueden usar el servidor de terminal navegando en el Internet. El usuario conectado puede navegar hasta que la ltima entidad de buscador est cerrada. Cuando el buscador sea reabierto, tambin debern volver a conectarse nuevamente.. Usuarios conectados reciben su instalacin de URL y Filtro de Contenido propio y son conectados a las estadsticas individuales bajo sus nombres.
Introduccin
66
Si el URL de un sitio web contiene terminos que no estn en una lista negra, el acceso a este sitio sera bloqueado. Si ciertos terminos son removidos de la lista de bloqueo, stos pueden ser agregados a una lista blanca.
EJEMPLOS HTTP://WWW.SERVERNAME.COM/SEX/INDEX.HTML EL TRMINO "SEXO" EST EN LA LISTA NEGRA. EL URL ENLISTADO ES POR TANTO BLOQUEADO.
HTTP://WWW.SERVERNAME.COM/SUSSEX.HTML EL NOMBRE DEL SITIO WEB DEL CONDADO SUSSEX TAMBIN CONTIENE EL TRMINO "SEXO" Y PODR POR TANTO TAMBIN SER BLOQUEADO. PARA PREVENIR ESTO, EL TERMINO "SUSSEX" DEBE SER INGRESADO EN UNA LISTA BLANCA.
Durante la instalacin de las listas negras de Cliente de administracin distintas categoras para el filtro URL son creadas por gateprotect. Estas catgoras predefinidas y listas pueden ser suplementadas en cualquier momento va Cliente de administracin y cualquier trmino existente puede ser removido. Alternando el Filtro URL Filter encendido y apagado Activar o desactivar las categoras de Filtro URL usando las Normas de Editor:
Paso 1
Paso 3
En esta barra se puede alternar las categoras encendido y apagado para el Filtro URL individual. En la columna Filtro URL para cada categora marque para agregar la categora a la lista negra o blanca.
Paso 4
Para editar las categoras individuals y listas URL, presione el botn URL / Instalaciones de Contenidos de Filtro. En el dilogo URL / Contenido de Filtro descrito ms abajo, se pueden ajustar las categoras y listas del Filtro URL de manera individual.
Introduccin
67
NOTA TODAS LAS FUNCIONES DEL FILTRO DE CONTENIDO SE DESACTIVARN AUTOMTICAMENTE UNA VEZ QUE LOS 30 DAS DE PRUEBA HAYAN CADUCADO. SI DESEA CONTINUAR USANDO ESTAS FUNCIONES, SE REQUIERE LICENCIA ADICIONAL PARA EL FILTRO DE CONTENIDO. POR FAVOR CONTACTE NUESTRO DEPARTAMENTO DE VENTAS PARA MAYOR INFORMACIN SOBRE LICENCIA DE TECNOLOGA DE FILTRO DE CONTENIDO EN EL SERVIDOR DE FIREWALL GATEPROTECT.
6.2.1
Activar o desactivar categoras de Filtro de Contenido Content usando Reglas del Editor:
Paso 1
Pulse dos veces en la barra URL / Filtro de Contenido Filter en las Reglas del Editor.
Paso 3
En esta barra se pueden ajustar instalaciones generales para el Filtro de Contenido. Use la columna de Filtro de Contenido para activar o desactivar las opciones que corresponden a las categoras individuales.
Paso 4
Para editar las categoras existentes o las listas URL, pulse el botn URL / Instalaciones de Contenido de Filtro
(cf. Cap. 6.3 Configure URL y Filtro de Contenido).
6.3.1
Se puede usar el casillero de dilogo URL / Filtro de Contenido para editar, eliminar o agregar categoras agregar o eliminar terminos en las listas blanco y negro importar y exportar listas blanco y negro
Introduccin
68
Paso 2
Pulse el botn URL / Instalacin de Filtros de Contenido para configurar las categoras existentes y listas URL.
Instalacin
Descripcin
Registros annimos
Marque esta casilla para no conectar nombres de usuarios conectados en la interfase de la red. Esto desactiva las estadsticas para usuarios en administracin de usuarios. No obstante, las estadsticas en niveles de IP continan. Las Categorias entregan detalles de las categoras proporcionadas por gateprotect y creadas y editadas personalmente. En cada caso, la categora consiste en una lista blanco y negro y una seleccin de grupos de contenido. La seccin de Filtro URL muestra todos los ingresos de las listas blanco y negro de cada categora seleccionada. Se pueden ingresar los trminos propios en el casillero de texto Negro y agregulos a la lista negra pulsando la tecla +. Puede ingresar sus trminos propios en el casillero de texto Blanco y agregulos a la lista blanca pulsando la tecla +.
Categoras
Filtro URL
Negro
Blanco
Introduccin
69
Instalacin
Descripcin
Filtro de Contenido
Los grupos de Filtro de Contenido estn proporcionados por Commtouch y no pueden ser modificados. Si posee un URL especfico que fue bloqueado, con este buscador se pueden rpidamente encontrar los terminos en las listas de URL, que le llevarn a un bloqueo.
Bsqueda de URL
6.3.2
Se pueden crear o editar su propias listas de URL en el dialogo URL / Contenido de Filtro, o directamente desde la ventana Estadsticas de la Cliente de administracin y Estadsticas de Cliente.
Paso 1
Paso 2
Introduccin
70
7.2.1 Crear un perfil temporal En el dilogo de configuracin del perfil de tiempo, usted puede elegir el tipo de perfil, siendo cclico o no cclico. El perfil cclico define una cuota de tiempo en un cclo peridico determinado (por ejemplo 6 horas al da). El perfil no cclico establece un marco definido de tiempo para que el usuario tenga acceso a los servicio de red.
7.2.2 Crear un perfil de volmen En el dilogo de configuracin del perfil de volmen tambin puede elegir el tipo de perfil para siendo cclico o no cclico. El perfil cclo define una cuota de volmen en un cclo peridico determinado (por ejemplo por da / semana / mes) y en el no cclico puede establecer un valor fijo. Ambos tipos de perfil ofrecen la posibilidad de diferenciar entre trfico de carga y de descarga. Despus de la configuracin, los perfiles deben ser asignados a los usuarios.
7.3 Activar el LAN-Accounting Las configuraciones de LAN-Accounting nicamente se activarn si el correspondiente estado de LAN-Accounting estn en activo. Para controlar el uso de los servicios de red con marcos de tiempo especfico por da, usted puede usar el editor de reglas.
Introduccin
71
8.1.1
Objetivo
El objetivo de moldear el trfico es para reservar el ancho de banda en las lines para servicios importantes o usuarios preferidos, o contrariamente, para limitar el ancho de banda a determinados usuarios, computadores o servicios. El Servidor de Firewall gateprotect ofrece dos mtodos para archivar esto; el Traffic Shaping y Quality of Services (QoS). Los dos mtodos pueden ser usados de manera individual o de manera conjunta.
NOTA EL TRAFFIC SHAPING IST SLO DISPONIBLE EN LA SERIES-X DEL SERVIDOR DE FIREWALL GATEPROTECT, LAS SERIES A- Y O-SERIES DE LOS SERVIDORES DE FIREWALL GATEPROTECT SOLO OFRECEN QUALITY OF SERVICE.
8.1.2
Respaldo tcnico
Traffic Shaping y Quality of Service son realizados usando diferentes pautas en el Linux Kernel. As, los paquetes IP son ordenados de acuerdo a ciertas reglas. Sin Traffic Shaping y Quality of Service los paquetes son simplemente transferidos en la secuencia de su arrivo y continan su proceso en la lnea (FIFO, first in first out). Con Quality of Service, el Firewall gateprotect realiza el llamado Prio-Qdisc en todas las tarjetas de red y en los tneles VPN para el trfico de redes que ingresa y egresa. Un prerrequisito de Quality of Service son las aplicaciones o aparatos, como el sistema de telfono VolP, posicin de campo TOS (Type of Service) en los paquetes de informacin de IP. El Servidor de Firewall entonces selecciona los paquetes de acuerdo al valor del campo TOS y por ende, a travs de especificaciones importantes hacia varios puntos con diferentes prioridades. Paquetes de informacin del punto con la prioridad ms alta son enviados inmediatamente. Paquetes de informacin con puntos con menor prioridad son slo enviados cuando todos los puntos con mayor prioridad estn vacos. Se puede configurar libremente con paquetes de informacin tratados con la determinada prioridad. El Servidor de Firewall gateprotect solo controla Traffic Shaping en las lneas hacia el Internet. Es un prerrequisito que los anchos de banda de las lneas en la carga y descarga estn instaladas correctamente. Si la ancho de banda est instalada muy lenta, Traffic Shaping detiene el uso ms que el ancho de banda. No obstante, si el ancho de banda est muy alto, la lnea de capacidad acta como un factor limitante y pasa por sobre Traffic Shaping antes que pueda amarrar y regular. El Traffic Shaping en el Servidor de Firewall gateprotect funciona de acuerdo con el modelo HTB model (Hierarchical Token Bucket) con hasta dos niveles jerrquicos. En el nivel superior se pueden especificar de manera separada bandas anchas mnimas o bandas anchas mximas limitadas garantizadas para cargar y descargar objetos individuales en en escritorio de la Cliente de administracin. Si no se instalan ancho de bandas mximas, que son inferior que la entera capacidad de la lnea, ancho de bandas no utilizadas por otros objetos, incluso sobre la ancho de banda mnima garantizada, que a disposicin para otros objetos que puedan ser usados. Bajo el nivel del objeto del ancho de banda asignada a un objeto puede ser pasada a diferentes servicios por el mtodo de nombre, e.j. un mnimo de ancho de banda puede ser garantizada para el servicio individual para el objeto relevante, o los servicios son limitados por un ancho de banda mxima. Estos valores deben encontrarse entre los mrgenes de trabajo del ancho de banda configurada por el objeto. Todos los anchos de banda para Traffic Shapping son especificadas en el Servidor de Firewall gateprotect en Kbit por segundo. Si Traffic Shaping y Quality of Service son usadas al mismo tiempo, ste permanence en las tarjetas de red interna en la intranet con el Prio-Qdisc. En contraste, el Quality of Service se comporta de acuerdo al modelo HTB en las
Introduccin
72
lneas de interfases a las lneas de Internet. El Servidor de Firewall define su propia clase HTB en el nivel superior de los paquetes de informacin con campos TOS establecidos de acuerdo a la configuracin instalada. Entonces, un mnimo y mximo de ancho de banda debe ser configurada para esta clase, cosa que el trfico de red con campos TOS configurados de manera diferente sea reenviado adecuadamente a su prioridad.
Para usar Traffic Shaping primero marque el casillero Traffic Shaping activo.
Hay una barra para cada conexin de Internet (e.j. una conxin de router) con las correspondientes instalaciones de Traffic Shaping para cada conexin. Se deber detallar primero el rango correcto de carga y descarga para la lnea en Kbit/s. Estos valores se podrn encontrar por ejemplo en la informacin de su proveedor de servicios Internet. Existe una lnea para cada item en el escritorio y se pueden ingresar instalaciones para garantizar el rango mximo de trfico de Internet para este objeto en la carga y descarga. Si se marca la casilla el objeto es includo en el Traffic Shaping. Cada lnea puede ser expandida si se pulsa en la flecha anterior a la casilla. Entonces, lneas adicionales aparecen bajo el objeto de servicios individuales permitidos para el objeto. La primera lnea en la ventana es reservada para el servicio de Firewall. Son manejadas juntas como un objeto sobre el escritorio. Si se activa Traffic Shaping para el Servicio de Firewall, entonces se pueden especificar rangos para los servicios individuales en el Firewall, para cada objeto en el escritorio. Puede ser por ejemplo un rango para la red de trfico, que es producida en el Firewall por un Proxy.
Introduccin
73
Usando la tecla Agregar se pueden definir servicios nuevos, para los Quality of Service que deben ser instalados. Ingrese el nombre y valor exadecimal de los campos TOS en los campos correspondientes, con la aplicacin o aparato para el servicio. Informacin relativa a esta documentacin para su aplicacin o dispositivo, o puede consultar a su fabricante sobre este valor. Como administrador tambin puede grabar el trfico de red producido por la aplicacin y remover el paquete de informacin correspondiente. Con varios servicios ingresados, la ubicacin de servicios en la ventana corresponde a su prioridad. El servicio superior tiene la prioridad ms alta. Cambie la prioridad pulsando un servicio y usando la tecla Aumente Prioridad o Reduzca Prioridad. Para usar Quality of Service para el servicio individual, marquee la casilla Activar QoS. Como opcin adicional se puede decidir si Quality of Service tambin puede ser aplicada al Tnel PPTP. Normalmente, no se requerir esta instalacin y se puede dejar este campo desactivado.
NOTA UNA OPCIN ACTIVADA QUALITY OF SERVICE EN PPTP-TUNNELS PONE UNA CARGA SUSTANCIAL EN EL SERVIDOR DE FIREWALL. CUANDO SE ESTABLECE Y CIERRA LA CONEXIN PPTP, QUE PUEDE PROVOCAR RETRASOS EN EL ESTABLECIMIENTO DE LA CONEXIN DE INTERNET. SI SE DESEA USAR QUALITY OF SERVICE SIMULTANEAMENTE CON TRAFFIC SHAPING, EL RANGO DE INFORMACIN EN LA TECLA REGLAS DEBE SER MAYOR QUE ZERO PARA ASEGURAR LA CALIDAD DE SERVICIO PARA LA CARGA Y DESCARGA.
Introduccin
74
N I V E L DE APL I C AC IO N
La Open Source Project L7-Filter ha sido integrada a un Servidor de Firewall gateprotect como un Filtro de Nivel de Aplicacin. El Filtro Project L7 ha sido diseado como iptables adicionales e indentifica los protocolos de la siguiente red de los puestos usados: HTTP FTP POP3 SMTP DNS El Filtro de Nivel de Aplicacin analiza los protocolos antes mencionados y asegura que comandos externos crucen el Filtro. Se puede acceder a las instalaciones del Filtro de Nivel de Aplicacin can acceso de Application Level Filter a travs de Reglas del Editor.
Pulse dos veces en una conexcin en el Escritorio de Configuracin. Las Reglas de Editor comienzan.
Seleccione un servicio, para el cual desea activar o desactivar el Nivel de Aplicacin y pulse en la lista del campo Opciones Adicionales.
Introduccin
75
10.2 Certificados
Lista de certificados.
Los certificados en negrita son CA que pueden ser firmados por otros certificados. No es posible tener ms de un CA firmante y un firmante secundario CA adems de los CA para el Command Center y para el proxy HTTPS. Si se crea un CA, es automticamente el firmante. Se ver adems la solicitud para el firmante. Se ver adems la solicitud creada por el firewall. Sern automticamente eliminadas si se importa el correspondiente certificado
Introduccin
76
firmado. Bajo la lista, se encontrarn botones para crear o eliminar certificados. Ms an, un botn para firmar solicitudes, para importar/exportar, para suspender/devolver y para renovar certificados. En la barra General hacia el costado derecho, se observa informacin general del certificado seleccionado. Esta informacin puede ser buscada usando la casilla Buscar que se encuentra ms abajo. En la casilla inferior Alcance, se observa el objetivo para el cul se puede usar un certificado, y, si aplica, dnde est siendo usado en el momento. El nombre del certificado es siempre formateado de esta manera: "Nombre Comun [Nmero de Serie]".
Dilogo de Certificados - Detalles
Esta lista muestra todos los certificados que son seleccionados o que se encuentran afectados por la accin de eliminar. Se puede seleccionar una razn. No es posible eliminar un certificado que se encuentre en uso.
Introduccin
77
Dilogo de Exportacin
Es posible exportar certificados usando el formato PEM o el PKCS12. Si se usa PEM, solo se puede exportar la clave pblica.
El nombre del archivo de exportacin debe ser entregado. Si se usa PKC12, la clave para el archivo PKCS12 y el archivo codificado con la clave privada debe ser entregada tambin. En ambos formatos toda la cadena de certificacin (clave pblica) ser exportada.
Dilogo de Importacin
Es posible importar certificados en el mismo procedimiento que se puede usar para exportar.
El formato PEM solo importa claves pblicas. No obstante, importa toda la cadena de certificacin para no tener que importar CA y certificados de manera separada. En el uso de PKCS12, se necesita la clave para decodificar el archivo. La clave principal codifica la clave privada nuevamente en el firewall.
Reanudar dilogo
El certificado seleccionado se renueva. Para esto, el firewall crea un certificado nuevo usando la misma clave privada e informacin.
Introduccin
78
10.3 Plantillas
El uso de plantillas es una forma de simplicar el proceso de creacin de certificados que utilizan la misma informacin una y otra vez. Despus que una plantilla haya sido creada, ste se puede usar para completar la informacin en cada certificado de manera automtica. Se pueden crear tantas plantillas sean requeridas y elegir una adecuada en cada ocasin. Las barras Plantillas se encuentran en el dilogo Certificados. Todas las plntillas estn listadas aqu.
Introduccin
79
Instalaciones de OCSP/CRL
Introduccin
80
Es posible recibir un correo para ser informado respecto de cundo recibir informacin, sobre cundo expirar un certificado o si ste ya ha expirado. Esto se puede configurar via Opciones > Reporte.
Introduccin
81
VPNs son usadas para conectar varias ubicaciones a travs de Internet con el nivel ms alto de seguridad posible. Usando conexiones codificadas significa que su equipo o el equipo externo tambin tiene acceso directo a su red corporativa. Ms an, se puede conectar con otras sucursales o casa matriz de su empresa. Con el Firewall gateprotect se pueden usar los tres protocolos ms amplios de PPT, IPSec y SSL (OpenVPN) para una conexin segura. Los siguientes tipos de conexiones se encuentran disponibles.
Desde afuera se instala una conexin a la red corporativa a travs de una conexin cliente-a-servidor. La autenticacin se hace utilizando un nombre de usuario/combinacin de clave (PPTP) o con IPSec usando certificados emitidos o los llamados PSK (preshared key). Adicionalmente, con SSL (Open VPN) con certificados.
ATENCIN ! SOFTWARE DE CLIENTE POR SEPARADO (E.J. GATEPROTECT VPN-CLIENT) SE REQUIERE PARA UNA CONEXIN IPSEC CLIENTE-A-SERVIDOR.
Con una conexin servidor-a-servidor se conectan dos ubicaciones usando un tnel codificado a una red virtual y se puede intercambiar informacin por esta va. Las dos ubicaciones pueden tener direccines fijas de IP. Alternativamente, la conexin adems sirve de soporte para los nombres de dominio DynDNS. Tambin es posible instalar conexiones IPSec entre dos direcciones dinmicas de IP usando DynDNS.
PPTP
El protocolo PPTP fue diseado para el uso cliente-a-servidor. La seguridad del protocolo depende esencialmente de la clave seleccionada (una clave es slo considerada segura si consiste de a lo menos seis, o mejor an ocho caracteres e incluye caracteres especiales, nmeros, maysculas y minsculas. Una conexin de PPTP es muy fcil de instalar, por cuanto el Cliente ya ha sido integrado en versions recientes de Windows connection (2000/XP/VISTA/7).
IPSec
La cuenta IPSec posee un nivel de seguridad mayor que PPTP y adems cumple con requerimientos ms altos. Se necesitan dos VPNIPSec servidores adecuados para una conexin IPSec servidor-a-cliente. Para una conexin clientea-servidor, como se describe arriba, se requerir un software separado para cliente. La configuracin de la conexin se encuentra descrita en las pginas siguientes. El firewall gateprotect es capaz de crear y usar conexiones seguras usando el protocol IPSec. Este est basado en en el modo de tunel ESP. El intercambio clave puede ser alcanzado usando la version 1 del protocolo IKE o usando el reciente IKEv2, selectivamente usando Claves Precompartidas o usando X.509 certificados sumisos. Usando IKEv1, es posible autenticar usando XAUTH. El servidor de firewall es adems capaz de alimentar el IPSec-secured L2TP.
SSL (OpenVPN)
Este tipo VPN ofrece una oportunidad rpida y segura para caputrar un Roadwarrior. La mayor ventaja de SSL (OpenVPN) es el hecho que toda la informacin de trfico opera a travs de los puertos TCP o UDP y no se requiere de protocolos especiales como con PPTP o IPSec.
Introduccin
82
Se requiere un cliente PPTP para poder usar una conexin PPTP (en Windows 2000/XP/VISTA/7 a PPTP el cliente ya est integrado). Para instalar una conexin PPTP, seleccione PPTP... desde el men VPN Settings. El siguiente dilogo aparece:
Marque la casilla Activo. Normalmente no se requiere ajustar las direcciones de Cliente IP esto adems aplica al Gateway. Si desea una resolucin de nombre de su dominio Active Directory, debe ingresar aqu el servidor DNS (normalmente su servidor AD). Si est trabajando con WINS, se puede adems ingresar aqu el servidor. Ahora se puede confirmar este dialgo con OK.
Este Firewall est preparado para aceptar el tunel PPTP y para producir las correspondientes reglas. En el prximo paso se crearn cuentas de usuario PPTP para ser discadas por PPTP. Abra la administracin de usuario. Pulse en Administracin de Usuario en el menu de Instalaciones. Pulse en Agregar para crear un nuevo usuario. Ingrese un nombre de usuario y opcionalmente una descripcin. Asegrse que no hayan espacios en blanco en el nombre de usuario. Seleccion la barra PPTP. Marque la casilla Habilite al usuario para conexiones PPTP en la barra PPTP Asigne al usuario un Direccin IP, o deje el campo en blanco para que una direccin de IP del pool de direcciones pueda ser usada. Ingrese la clave para conectarse a PPTP y pulse OK.
Introduccin
83
Crear un objeto VPN (PPTP) Arrastre un nuevo computador VPN Desde la barra de herramientas a la Configuracin de Escritorio. Ingrese una descriipcin del nuevo objeto en el casillero de dilogo. Marque el casillero PPTP y seleccione un usuario desde el casillero.
Este dilogo muestra todas las conexiones IPSec, separadas en conexiones de servidor-a-servidor y cliente-a-cliente con informacin sobre autenticacin y estatus de la conexin.
Opciones posibles
Habilitado Permite encender y apagar completamente un IPSec. Reiniciar IPSec Reiniciar IPSec, lo que lleva al reinicio de todos los tneles.
Lista de botones con las siguientes acciones (de izquierda a derecha):
Activar/Desactivar conexiones individuales. Reinicie las conexiones individuales (los tneles sern cerrados; iniciar la configuracin si se encuentra debidamente configurada) Agregar, remover, editar y exporter desde la conexin IPSec seleccionada.
Introduccin
84
Client-to-site- General
Nombre Nombre-definido de usuario para la conexin. Instalaciones de Interfase Seleccin de la conexin interfase/Internet para ser usada por el tunel IPSec. Red Local Red Local, que es accesible a travs del tnel.
L2TP activa el uso de IPSec/L2TP. De esta manera, la red local queda desactivada, porque el tnel IPSec es solo usado para paquetes de L2TP y la informacin real es enviada por el tnel hacia el nivel L2TP. Si esto es seleccionado, una confirmacin aparece activando automticamente el IKEv1, desactiva PFS e instala el Puerto y restricciones de protocolo a UDP/1701 para mantener la compatibilidad a los clientes de Windows. Sin L2TP, se puede ingresar una fuente virtual de direccin para el cliente bajo Direccin IP del computador del cliente, lo que es requerido para el uso de cliente VPN gateprotect VPN.
Servidor-a-Servidor General
Nombre, Instalacin de Interfase settings y red local de acuerdo con las instalaciones de clientea-servidor. La Direccin de destino del servidor de IPSec remoto puede ser una direccin de IP o un FQDN. Red remota describe cul red es accesible a travs del tnel. Si se active el IP dinmico, la conexin debe ser iniciada por el servidor remoto. Usando esto, la Direccin de Destino aparece en gruis y no es posible iniciar la conexin a travs de este servidor.
Introduccin
85
El firewall local no deberia iniciar la conexin el servidor remoto crea el tnel. El firewall local debe iniciar la conexin si es requerido se instalar una trampa en el ncleo. La trampa inicia la conexin cuando un paquete debe ser enviado / ruteado lo que, de acuerdo a las instalaciones de red, debe ser enviado a travs del tnel. El firewall local debe siempre iniciar el tnel si no est en funcionamiento.
11.3.2 L2TP / XAUTH Habitualmente las conexiones cliente-a-servidor requieren software de cliente, porque pocos sistemas tienen soporte incorporado, el L2TP asegura la interoperabilidad de sistemas miscelaneous (como Windows) sin el software del cliente. Usando el L2TP, se puede crear una conexin de red. Es importante que solo el PAP puede ser usado para autenticar en el nivel PPP, que eventualmente debe ser activado en el cliente. PAP es habitualmente considerado como inseguro porque la clave es enviada en texto plano. En este caso es seguro porque la conexin PPP se establece despus que se ha creado el tnel PSec, que asegura todo el trfico PPP.
Instalaciones L2TP Global L2TP
Pool de direcciones IP
El pool de direccin IP es un rango desde el cual el cliente recibe su IP. Esto debe ser instalado para usar el L2TP.
Local server IP Direccin que es usada por el firewall como direccin de PPP para comunicarse con los clientes. Esto adems debe ser establecido para usar la direccin de servidor Opcional DNS, que es informada al cliente al iniciar la conexin. WINS es la direccin de servidor opcional que es informada al cliente durante el inicio de la conexin.
Autenticacin PSK
Va el Identificador se puede definir cules identificadores fueron usados en vez de la direccin IP. Aqu aparece la opcin para activar XAUTH (solo con IKEv1): Con XAUTH, el firewall puede ser el servidor o la parte del cliente. Si el firewall acta como servidor, no se debe instalar nada aqu. Esto aparece en la administracin de usuario. (Ver captulo 5.3 Usuarios). Actuando como cliente, se debe ingresar Nombre de Usuario y Clave para autenticar en el servidor remoto.
Introduccin
86
11.3.2.1
Reglas
Las reglas, que definen qu servicios son accesibles a travs de un tnel, son habitualmente establecidas va objetos VPN. (grupos VPN para conexiones de serivdor-a-servidor, conexiones VPN computador para cliente-a-servidor). Dos excepciones son L2TP y tnel XAUTH. Usuarios VPN y grupos VPN fueron creados para manejar estos tipos de objetos. Utilizando la fecha de usuario adicional (nombre de usuario/clave de XAUTH o conexin PAP de L2TP) se produce la validacin contra la autenticacin de usuario. Si este proceso es exitoso, las normas de configuracin de escritorio sern aplicadas a los usuarios especficos. No cobra relevancia el tnel que est usando el usuario. La conexin es posible en cada tnel que ha activado el mecanismo de autenticacin adecuado. Se puede rechazar el uso de tneles especficos a usuarios especficos con la autenticacin anterior ISAKMP.
Certificados - Autenticacin
El certificado debe ser autenticado contra el cliente remoto. Para este certificado, la clave privada debe estar disponible. Se puede elegir entre una autoridad de certificado y un certificado individual para el cliente remoto: Si se elige el CA, se requiere de su clave pblica. Ahora cada certificado (firmado por este CA) es aceptado para esta conexin. En este caso, no es necesario importar un certificado para cada cliente remoto. Se puede seleccionar un certificado como certificado. El cliente remoto debe ser propietario de la clave privada en la iniciacin de la autenticacin. Es posible seleccionar los identificadores.
Se puede usar el Nombre Distinguido de los certificados, que es la forma inusual de conectarse con las versiones 8.1 y mayores de los firewalls gateprotect . Nombre Alternativo de Asunto es la manera usual del firewall gateprotect anterior a la version 9.0 usada para autenticar. Si se desea conectar a una de ellas, se debe usar esta opcin. Identificadores Indefinidos son posible. Se debe destacar que el identificador ingresado aqui debe ser cubierto por el Nombre Distinguido o un Nombre Alternativo de Asunto de los certificados cosa que un tnel sea posible, puede ser til por varias razones editarles manualmente. Adems de la posibilidad de ingresar valores, que son esperados por productor de terceras partes como pares, se pueden usar wildcards. Por ejemplo, se puede elegir una autenticacin CA pero limitar el par por un identificador remoto a todos los miembros de una OU (Organization Unit).
Introduccin
87
Codificacin
Se puede elegir entre IKEv1 (Internet Key Exchange) y su sucesor IKEv2. IKEv2 es ms rpido mientras se inicia el tnel y se redigita. Se mantiene IKEv1por razones de compatibilidad; XAUTH solo es posible con esta versin. Se puede especificar codificacin y algoritmos de autenticacin como tambin grupos DH groups para IKE.
Adems, se puede especificar la Vida til del ISAKMP-SA. Esto no afecta directamente la redigitacin. Para prevenir todos los tneles de la redigitacin al mismo tiempo (lo que provocara una grave recarga de sistema), el momento actual es escogido al azar.
Si se escoge IKEv2, Mobile IKE puede ser activado. Esto permite cambiar la direccin IP de un costado sin abortar el tnel. Se pueden especificar tambin los algortmos codificacin y autenticacin para modo rpido (para negociacin IPSec-SA). Una Vida til para IPSec-SA tambin puede ser especificada. Respecto de ISAKMP-SA, el momento actual de la redigitacin es escogida al azar. Si se escoge IKEv1, PFS (Perfect Forward Secrecy) puede ser activado. Esta caracteristica refuerza la seguridad pero tiene que ser desactivada si el cliente remote no lo apoya (like Windows XP). El uso de IKEv2, PFS siempre se activa. Si se activa el PFS, un grupo Diffie-Helman puede ser definido por PFS via Grupo PFS. La siguiente lista muestra todas las codificaciones de soporte, algortmos de autenticacin y los grupos DH:
Algortmos codificados
Algortmos de autenticacin
Grupos DH
AES 128 AES 196 AES 256 3DES Blowfish 128 Blowfish 192 Blowfish 256
Grupo DH 1 (modp 768) Grupo DH 2 (modp 1024) Grupo DH 5 (modp 1536) Grupo DH 14 (modp 2048) Grupo DH 15 (modp 3072) Grupo DH 16 (modp 4096) Grupo DH 17 (modp 6144) Grupo DH 18 (modp 8192)
Introduccin
88
Instalaciones Avanzadas
Para especificar Puerto y Protocolo se debe usar IPSec. Esto es til si solo se desean enviar paquetes especficos a travs del tnel. Para usar L2TP, se debe seleccionar UDP y puerto 1701.
Se puede elegir uno de los Protocolos predefinidos o digitar uno de los numeros de protocolos que son definidos por IANA.
Respecto de IPSec, el algortmos codificados puede ser elegido al igual que protocolo y puerto en los cuales el firewall escucha las conexiones entrantes.
Introduccin
89
POR FAVOR NOTE QUE SOLO EL PROTOCOLO TCP ES CONFIABLE SI TIENE MS DE UNA CONEXIN INTERNET CON BALANCEO DE CARGA.
Similar a IPSec, un VPN sobre una conexin de SSL tambin renueva la clave mientras la conexin es establecida para aumentar la seguridad. Estos intervalos son libremente configurables para cada tipo de conexin. En la seccin Routing del dilogo, se pueden especificar rutas para los dos primeros tipos de conexiones que fueron agregadas a los clientes remotes/cuadro de ruteo de firewalls. Estas rutas aplican a todas las conexiones. Tambin es posible ingresar por rutas separadas a cada conexin. La opcin Timeout define despus el tiempo ideal en que la conexin se cierra. 0 significa que nunca ser cerrada. Si el cliente usa un DNS definido y/o servidor WINS, se pueden ingresar aqu. El Nivel de registro define cun detallados deben ser los mensajes en el reporte. Tambin es posible seleccionar un certificado de dominio para conexiones VPN sobre SSL. A diferencia de IPSec, esto no es solo para una conexin; es para todo el servicio. Para crear una conexin para el Cliente VPN gateprotect VPN, se debe elegir el tipo de gateprotect VPN Client en el dialogo VPN sobre la conexin SSL.
El Nombre de la conexin es arbitraria. El certificado debe ser un certificado para el cliente que se cre con antelacin. Si no se cre uno, se puede hacer ahora usando el botn Administrador de Certificado. En el campo Redes remotas adicionales, se pueden especificar (adicionales a la ruta general) rutas para esta conexin como se ha mencionado con anteriordad. La direccin de IP del computador del cliente puede pero no necesariamente debe ser entregada. La opcin Default gateway define, si el cliente VPN debe usar el tnel como salida predeterminada o no. Si no se marca esta opcin, rutas concretas deben ser enviadas al cliente. Si la conexin tipo servidor-a-servidor es elegida, se puede especificar Redes locales adicionales que antes fueron tratadas como Redes locales remotas. Esto significa que el firewall remoto agrega rutas a estas redes. Redes, que estn disponibles va el firewall remoto, deben ser entradas en Redes Remotas.
Introduccin
90
Si la conexin es iniciada por este firewall, se deber ingresar un nombre DNS o una direccin IP en el campo Servidor VPN Forneo como tambin en el Puerto de Servidor. Intente establecer la conexin para definir la distancia a travs de la cual el firewall debe intentar conectarse con el servidor remoto. El 0 significa que el firewall lo intentar siempre.
Si se escoge el tipo de conexin Bridging, se puede asignar la conexin a un bridge existente o a uno nuevo.
Introduccin
91
11.6.1 La creacin automatica de una conexin de VPN usando un archivo de configuracin. Durante la instalacin de una conexin de VPN en el servidor de firewall usando Asistente VPN, se puede guardar la conexin en una configuracin con clave protegida.
Paso 1
Abra este archivo pulsando sobre el mismo dos veces. Esto inicia el gateprotect VPN Client asociado.
Paso 3
La conexin VPN se establece y la configuracin est terminada. Opcionalmente es posible importar el archivo de configuracin hacia el Cliente VPN gateprotect usando el botn Importar.
11.6.2 Creacin manual o edicin de una conexin VPN Para crear una conexin VPN manual en el Cliente VPN manual gateprotect, se necesita el certificado del cliente y la clave pblica de los servidores Certificate Authority (Root-CA). Estos archivos pueden ser creados y exportados usando el Administrador de Certificados del firewall. Por favor exporte el certificado del cliente usando el formato PKCS#12. Para crear una conexin, pulse el botn Nuevo ubicado en la ventana principal del Cliente VPN gateprotect y seleccione entre conexin SSL y conexin IPSec. Para editar una conexin existente, pulse en el botn Editar ubicado al costado del nombre de la conexin. El ingreso de esta clave abre el dilogo de las instalaciones.
POR FAVOR NOTE QUE TODAS LAS MODIFICACIONES FUERON DIRECTAMENTE GUARDADAS EN EL ARCHIVO DE CONFIGURACION (.GPCS).
Introduccin
92
11.6.2.1
Archivo es el .gpcs-file (gateprotect Connection Settings), donde todas las conexiones de instalacin quedan guardadas. La direccin / IP de dominio del servidor VPN debe ser ingresada en el campo direccin IP. Los algortmos Puerto, Protocolo y Codificacin deben aparearse con las instalaciones en el servidor VPN. Agregue los certificados exportados a la conexin. Se puede agregar una clave al archivo de conexin o cambiarla. Si se agrega una nueva conexin, deje en blanco el campo Clave antigua.
11.6.2.2
Barra Comun Archivo es el archivo.gpcs-file (gateprotect Instalaciones de Conexin), donde quedan guardadas todas las conexiones de instalacin. El nombre de dominio / direccin IP del servidor IPSec debe ser ingresado al campo Salida Remota. Red remota e IP local deben aparearse con la configuracin de ruteo del servidor IPSec. Las instalaciones pertenecientes a IKE (Internet Key Exchange) e IPSec tambin debe aparearse con las instalaciones del servidor IPSec. Barra de Identicacin Se puede usar un Preshared Key (PSK) para asegurar la conexin pero se recomiendo usar certificados por la existencia de algunas restricciones y mejores mtodos de autenticacin. En la seccin Certificados, se pueden agregar a la conexin los certificados exportados. Algunos clientes remotes necesitan (mayoritariamente en conjunto con la autenticacin de PSK) un Identificador local. Barra de Clave Opcionalmente, se puede agregar una clave al archivo de conexin o editarla. Si se crea una conexin nueva, deje en blanco el campo Clave antigua.
Introduccin
93
Conexiones de informacin directa via conexin de ruta son interrumpidas por un mximo de 4 segundos. Conexiones indirectas (que pasan por un proxy) son completamente desconectadas pero pueden ser reestablecidas despus de un mximo de 4 segundos. Conexiones de informacin via conexiones de discado son completamente desconectadas pero pueden ser reestablecidas despus de una mxima cantidad de 10 segundos.
12.3 Configuracin
General
Para instalar una de Alta Disponibilidad, se necesitan dos servidores de firewall gateprotect identicos con distintas direcciones IP. Es importante que tengan el mismo nmero de redes de interfases. Ambos firewalls necesitan la miisma licencia. El firewall primario y secundario necesitan tener el mismo nombre de dominio.
Introduccin
94
12.3.1 Direcciones IP de la red de interfases Como ha sido mencionado con anterioridad, se deben usar a lo menos dos (mximo cuatro) vnculos dedicados para monitoreo y sincronizacin. Los firewalls son enviados con idnticas redes de interfaces configuradas y necesitan ser configuradas. Direcciones IP en el primario y secundario deben ser diferentes. El firewall primario debe tener la primera direccin de IP de la red usada (e.j. 192.168.0.1) y la direccin IP secundaria debe ser la segunda de la red usada (e.j. 192.168.0.2). Direcciones IP de las interfases de red dedicada deben estar en la misma subred. Direcciones IP de la red de interfases de los firewalls primarios conectada a la red local debe ser identica con la direccin de salida configurada en todos los dominios.
12.3.2 Conectando los firewalls via vnculos dedicados Las interfases de red para los mismos vnculos dedicados deben ser nombradas de manera identica. Por ejemplo, si se desea usar eth3 y eth4 en el firewall primario, se les debe conectar a la misma red de interfases en el firewall secundario. Se recomienda usar cables cruzados para los vnculos dedicados.
12.3.3 Activar el High Availability Conecte al firewall primario usando el Administration Client. Abra el menu High Availability va Opciones > High Availability. Ahora marque la casilla Activa y seleccionad el rol Primario para el firewall. Seleccione la red de interfaces para monitoreo y sincronizacin. Se puede definir si las estadsticas deben ser sincronizadas o no. Confirme sus actualizaciones con OK. Ahora, conecte el firewall secundario y configrelo de manera similar que el firewall primario. Despus de unos 60 segundos que ambos firewalls han sido configurados, High Availability se encuentra en modo operativo.
NOTA SI LOS FIREWALLS ESTN EN MODO OPERATIVO, UN MENSAJE APARECE EN EL REPROTE. SI LOS FIREWALLS ALCANZAN ESTE MODO, SE RECOMIENDA CREAR UN RESPALDO DEL FIREWALL PRIMARIO. SI UN FIREWALL FALLA, SE NECESITA RESPALDAR PARA QUE EL FIREWALL EN FALLA QUEDE OPERATIVO. POR FAVOR CONSIDERE QUE NO SE PUEDE CONECTAR AL FIREWALL SECUNDARIO USANDO EL CLIENTE DE ADIMINISTRACIN.
Introduccin
95
Introduccin
96
Introduccin
97
Los siguientes mensajes pueden aparecer en el reporte tras activar HA si ocurre un error:
High availability started, this firewall is primary High availability started, this firewall is secondary High availability entered discovery state High availability terminates, because roles primary/secondary set incorrectly High availability terminates, because dedicated links configured incorrectly High availability terminates, because not all heartbeat connections could be established
Los siguientes mensajes pueden aparecer en modo operacional:
High availability detected dedicated link eth3 has failed High availability detected dedicated link eth3 is operational again High availability detected all dedicated links have failed High availability detected primary firewall failed, making failover High availability detected secondary firewall failed, restarting with old settings High availability detected harddisk failure on peer firewall
Los siguientes mensajes aparecer, si un administrador edita las instalaciones en su dilogo High Availability:
High availability is not ready to change settings, try again later High availability restarts with new settings High availability temporarily unable to change roles, try again later High availability reboots this firewall to change roles, as ordered by admin High availability terminates, as ordered by admin
Introduccin
98
Cada uno de los grupos contiene varias reglas individuales (firmas), que corresponden a patrones de ataques tpicos, e.j. un trojan, worm u otro ataque. Estas firmas son constantemente cambiadas y deben ser actualizadas manualmente o automticamente en Intenet.
Para poder realizar el anlisis de los patrones de ataque en el perodo de tiempo ms breve y sin demoras, el sistema requiere varias ejecuciones y existe mucha demanda de recarga en los recursos del sistema. Se pueden guardar los recursos del sistema a travs del nmero de reglas y el nmero de sistemas computacionales que deben ser monitoreados y, si es necesario la cantidad de reportes o notificaciones de IDS/IPS.
Port Scanning
Aqui se pueden desactivar el puerto de de IDS para aumentar la actividad del firewall.
Introduccin
99
Se pueden agregar o eliminar redes de computadores individuales o locales de la red interna a un grupo de computadores, o editar los grupos de computadores usando este casillero de dilogo. El botn Agregar abre un dilogo de entrada.
Se puede usar esto para agregar una direccin de IP de un computador o subred con una mascara de subred asociada a la lista.
Direcciones Seleccionadas
Use los botones Agregar, Eliminar y Editar para administrar los servicios, los que solo deben ser monitoreados para algunos computadores. Pulsando el boton Agregar se abre el casillero de dilogo Direccin y se puede ingresar el servicio, la direccin y la mascara de subred de una nueva entrada.
Si un servicio no funciona en el puerto estandar del sistema IDS/IPS se pueden aplicar las reglas a los puertos prededeterminados.
Introduccin
100
13.5 Las reglas IDS e IPS pueden ser extendidas con reglas predeterminadas.
Estas caracterstica deben ser usadas solo por los administradores que tienen un conocimiento acabado de Snort based Intrusion Detection/Prevention Systems. Las reglas Predeterminadas pueden potencialmente bloquear todo el trfico y mostrar la infraestructura de la red como inusable.
Introduccin
101
Actualizaciones manuales
Pulse el boton Actualizaciones manuales para actualizar inmediatamente las firmas de IDS/IPS. El Servidor de Firewall se conecta a un servidor de firmas en Internet y carga desde ahi las firmas recientes.
Actualizaciones automticas
Se puede especificar una lista de actualizaciones regulares en la seccin Actualizaciones Automticas. Abra el casillero de dilogo Instalaciones de Actualizaciones usando el boton Agregar. Desde ah se pueden fijar la hora, fecha e intervalos de actualizaciones automticas.
Introduccin
102
Primero ingrese una cuenta de correo vlida en un servidor SMTP, al cual los correos de reporte pueden ser enviados.
Se puede enviar un correo de prueba con el boton Carta. Esto prueba si las instalaciones se han hecho todas de manera correcta. No obstante, con este objetivo, por lo menos una tarea de reporte debe ser instalada.
Carcterstica de Reportes
Adicionalmente a las instalaciones generales sobre destinatario y contenido, es posible seleccionar diferentes intervalos y niveles de reportes.
Se puede seleccionar el nivel de reporte para todas las secciones desde el Servidor de Firewall.
NOTA
CORREOS PUEDEN AUMENTAR CONSIDERABLEMENTE SU VOLUMEN USANDO ESTA INSTALACIN.
14.2 Particiones
Todas las particiones en el Firewall estn registradas aqu. El Firewall monitorea el nivel de particiones individuales de manera independiente. Si una particin excede un nivel crtico, se informar via correo. Si se excede un lmite superior, el Firewall puede dejar disponible espacio del disco a travs de la compresin o eliminacin de entradas anteriores por ejemplo.
Introduccin
103
Reportes Aqu se puede ingresar el nivel en porcentaje, respecto del cual se desea recibir un reporte. Los correos de reporte son enviados a cada destinatario de la informacin del hardware. Instale los correos de reporte como se describe en el Captulo 13.1.
Liberacin de almacenamiento Ingrese el porcentaje, al cual el espacio del disco debe ser liberado. En este caso, solo informacin Antigua e insignificante ser borrada. Se recibir un correo con informacin sobre la particin de limpieza con los correos de reporte desde la categora
Hardware. Ningn espacio de almacenamiento puede ser removido para particiones con informacin de programa. No obstante, estas particiones tampoco pueden ser escritas del todo.
14.4 SNMP
Desde la versin 8.0, SNMP cuenta con su MIBs propio (gateprotect) es capaz de enviar traps de SNMP. Para usar las nuevas MIBS de gateprotect se debera instalar el software SNMP y luego instalar el nuevo MIBs ubicado en: http://www.gateprotect.de/snmp/
Las instalaciones SNMP-settings estn ubicadas en Opciones > Reporte de Instalaciones > SNMP. Aqu se puede instalar la comunidad y una lista de dominios que recibirn Los traps de SNMP.
Introduccin
104
Introduccin
105
Se puede usar la lista en el costado izquierdo para decidir cul grupo de sistema de informacin ser desplegado en el costado derecho. Se puede actualizar la informacin desplegada de una pgina usado el boton Actualizacin ubicado arriba y, si es necesario, seleccionar opciones adicionales para la evaluacin: especifique el periodo de intervalos para estadsticas programadas, seleccione componentes adicionales si estn disponibles, exhiba o esconda secciones de evaluacin de grficos, etc.
Introduccin
106
Provee informacin de sistema del Servidor de Firewall, los discos duros, el sistema RAID (si estn disponibles) y la red, o tarjetas de red. Provee informacin sobre la capacidad temporal de los recursos del sistema usados y disponibles. Provee informacin temporal sobre ubicacin de discos duros y capacidad. Provee informacin sobre la capacidad de la red, la capacidad de trfico alcanzado y cualquier rango de error. Muestra el porcentaje y aplicaciones temporales de los servicios configurados en el Firewall. Muestra una lista de conexiones VPN activas y usuarios activos.
Proceso
Conexciones Activas
Introduccin
107
Activa Activa el filtro de correo. Modo Lista Blanca Correos de todas las direcciones en esta lista sern reenviados al servidor de correo. Modo Lista Negra Correos de todas las direcciones en esta lista jams sern reenviados al servidor de correo. Rechazo de Correos Correos no deseados sern rechazados con una respuesta RFC-compliant. Correos Eliminados Correos no deseados sern eliminados. El remitente asume que el correo lleg al servidor de correo.
ATENCIN ! LA INSTALACINELIMINAR CORREOS NO RFC-COMPLIANT. PUEDE ELIMINAR CORREOS IMPORTANTES.
Las direcciones de correo en la lista de filtro de correo pueden contener wildcards. * ? Para palabras completas Para caracteres individuales
Si se est conectado a un Servidor de Active Directory todas las direcciones de correo conocidas sern mostradas en la lista en el costado derecho.
16.2 Anti-Spam
Un filtro spam comercial est integrado en el firewall gateprotect. Esto puede opcionalmente ser activado con su licencia propia. Un periodo de prueba de 30-das est normalmente disponible para cada firewall para que se pruebe la efectividad del filtro.
El spam filter ha sido desarrollado por la compaa Commtouch y tiene una funcionalidad completamente diferente a Spamassasin por ejemplo. Si un correo llega al firewall, se genera un valor de este correo. Este valor es enviado a un servidor central Commtouch. Este servidor determina la probabilidad que tiene este correo de ser spam usando una base de datos completa y complejos algortmos. Diferente a los filtros de spam convencionales, aqu no solo se analiza el contenido de los correos si no que adems, la frecuencia de la ocurrencia de este correo en el Internet. Para este objetivo, Commtouch cuenta con programas de anlisis instalados en varios proveedores de correos en el mundo. Esta probabilidad entonces es devuelta al firewall que posiblemente que marca el correo como posible spam.
Usando el deslizador, todos los correos con la categora del deslizador y todas las categoras hacia su derecha son marcadas como spam.
Introduccin
108
Sospechoso Este correo ha ocurrido ya frecuentemente en Internet pero no tan frecuente como para clasificarlo claramente como spam (e.j. el inicio de una campaa spam). Conocido Este correo ya fue visto frecuentemente en Internet que puede ser desginado como spam. No obstante, el remitente no corresponde a una direccin de spam conocida. Confirmado Este correo proviene de una direccin conocida como enviador de correos spam.
Introduccin
109
17.2 Licencia
El Antivirus Scanner del Firewall gateprotect no es un component de la licencia del firewall gateprotect. Se debe adquirir una licencia vlida separada para el escaner de virus. Nuestro departamento de ventas podr proporcionar mayor informacin Si se cuenta con un nmero de licencia vlida para el escner de virus Kaspersky, se debe registrar en el Cliente de administracin del Firewall gateprotect.
ATENCIN! DESPUS DE INSTALAR EL SERVIDOR DE FIREWALL,, EL ESCANER DE VIRUS OPERA DURANTE 45 DIAS COMO VERSIN DE PRUEBA. UNA VEZ QUE ESTE TIEMPO EXPIRE, EL ESCANER DE VIRUS PERMANECE ACTIVO, PERO NO SE EJECUTARN ACTUALIZACIONES ADICIONALES.
17.3 Instalaciones
1. En la seccin Escaner este casillero de dilogo proporciona un resumen de los protocolos de Internet que son monitoreados por el escaner de virus.
2. En la seccin Informacin de Producto se encontrar informacin sobre la validez de la licencia de Antivirus y la fecha de la ltima actualizacin.
Introduccin
110
17.3.2 Escaner Se pueden ajustar las instalaciones para los protocolos relevantes en los casilleros de dilogo Escaner HTTP, Escaner FTP, Escaner POP3 y Escaner SMTP. Se pueden alternar las opciones correspondientes on/off marcando o despejando los casilleros.
Opcin
Significado
Escanear carpetas de archivos Escanear carpetas empaquetadas Escanear carpetas de auto-desempaque Escanear base de correo
Carpetas de arhivos (e.j. zip, tar, arc, rar) son abiertas por el Escaner y los componentes individuales revisados por la existencia de virus. Carpetas empaquetadas son abiertas y sus componentes individuales revisadas por la existencia de virus. Carpetas de auto-desempaque son abiertas y sus componentes individuales revisados por la existencia de virus. Base de datos de correos son revisadas y sus componentes individuales revisados por la existencia de virus. Textos simples en correos son revisados por la existencia de virus. Archivos que claramente son identificados como virus son bloqueados.
Escanear correos de texto Bloquear carpetas con virus Bloquear carpetas sospechosas Block files with warnings
Archivos que el escanner de virus no puede encontrar, abrir o analizar son bloqueados. Archivos, en que una nueva variacin de un virus puede haber sido encontrado, son bloqueados. La informacin es revisada por cdigos con caractersticas similares a un virus o puede causar otros daos. Este mtodo permite reconocimiento de sub variaciones de virus que no tienen firma propia bajo determinadas circunstancias. Especifique el tamao mximo de los archivos en las instalaciones expandidas en el escaner FTP y HTTP que son escaneadas directamente en la memoria principal o excludas del proceso de escaneo por su tamao. Define el lmite de tamao del adjunto que ser escaneado
Instalaciones expandidas
17.3.3 Lista blanca Se pueden ingresar dominio confiable o servidores en una lista en el casillero de dialogo Lista Blanca. Informacin transferida por HTTP o FTP desde estos dominios no es examinada por la existencia de virus. 1. Pulse en el boton Agregar para agregar un dominio a la lista blanca. El casillero de entrada para un dominio confiable se abrir. 2. Ingrese la direccin complete del dominio en el campo de ingreso y pulse OK.
Introduccin
111
17.3.4 Actualizaciones Se puede ejecutar una actualizacin manual en el casillero de dilogo Actualizaciones y editar instalaciones para actualizaciones automticas.
Opciones de actualizacin
La actualizacin del servidor puede ser administrada agregando un nuevo Servidor, limpiando o editando los existentes.
Actualizacin automtica
Ingrese la fecha, hora de la primera actualizacin y los intervalos en los cuales las actualizaciones deben ser realizadas en los correspondientes campos y pulse OK.
Introduccin
112
Se puede alcanzar el dialogo incluyendo las instalaciones de actualizacin de sistema via Opciones > Actualizaciones.
La primera barra en la ventana contiene una lista de actualizaciones conocidas, un campo de texto con informacin detallada de la actualizacin seleccionada, botones para descargar e instalar actualizaciones como tambin un rea de estatus.
Introduccin
113
En la segunda barra, se pueden especificar las instalaciones de las actualizaciones de descarga automatizadas, editar la lista de servidores de actualizaciones y ver el historial de actualizaciones.
18.2 Actualizaciones
Todas las actualizaciones disponibles estn listadas en este dilogo. Esta lista muestra el nombre, el tipo, la fecha de emisin y el estatus de la actualizacin. Nuevas actualizaciones fueron incluidas como tambin otras ya instaladas y que vara en su estatus. Ms an, actualizaciones instaladas no pueden ser desinstaladas una segunda vez.
El sistema de actualizacin se diferencia en cuatro tipos de actualizaciones: Tipo Descripcin
Contiene correcciones que afectan la seguridad del firewall Contiene correcciones, optimacin de actuacin y estabilidad
Eventualmente contiene nuevas funciones basadas en correccin de modulos de firewall Contiene un mejoramiento de nivel hacia la siguiente versin de firewall
Upgrade
En el costado derecho de la lista de actualizaciones, se encuentra un campo de texto con informacin detallada sobre las actualizaciones seleccionadas.
Introduccin
114
ID Nombre Descripcin
Un nmero nico de identificacin Breve descripcin de la actualizacin Contiene una descripcin detallada de la actualizacin
Si la interaccin de un usuario es requerida, el cliente muestra esto en su rea de estatus. Para responder, pulse el boton con la pregunta Respuesta. El cliente ahora muestra un dilogo con la pregunta correspondiente que debe ser respondida. Si no se responde la pregunta, el firewall permanece standby y no instala actualizaciones adicionales.
Introduccin
115
Una empresa con tres departamentos: Marketing Ventas Tecnologa Cada departamento tiene su propia red y estn fsicamente separadas una de la otra (redes de separacin). Ms aun, la empresa tiene un servidor de correo interno, el cual colecciona correos desde servidores de correo externos y los enva a los empleados internamente. La empresa tiene una ubicacin central para almacenamiento de informacin corporativa en la red: un servidor de archivos, ubicado en la misma red que el servidor de correo. Existe una conexin de discado DSL sin limites de tiempos para la conexin de internet.
Las siguientes reglas han sido configuradas usando el Cliente de administracin: Marketing
La red de Marketing (192.168.0.0/24) siempre cuenta con acceso al Internet con los servicios HTTP (pginas de internet), FTP (descarga archivos), HBCI (banco desde el hogar), SMTP (enva correos) and POP3 (recibe correos) sin limites de tiempos o bloqueo de red.
Ventas
La red de Ventas (192.168.1.0/24) puede acceder al Internet con los servicios HTTP (pginas de internet) y FTP (descarga de archivo) durante los das de la semana entre las 8am y las 8pm. Ms aun, el acceso HTTP es limitado por el bloqueo de red y la palabra "Sex".
Tecnologa
La red Tecnologa (192.168.2.0/24) permite acceder al Internet con los servicios HTTP (pginas internet), FTP (descarga archivos), POP3 (correo recibido), SMTP (correo enviado), SSH (acceso remoto codificado), PPTP (acceso remoto codificado) y PING (prueba red) sin tiempos limites o bloqueo de red.
General
Cada red interna puede acceder al servidor interno de correo (via POP3 y SMTP) y el servidor de archivo interno (via NetBIOS, KERBEROS, LDAP and MySQL). El servidor de archivo interno tiene la direccin IP 192.168.0.100 y el servidor de correo interno la direccin de IP 192.168.4.6.
Introduccin
116
19.2.1 Instalacin de una linea dedicada con direccin de IP fija usando un router
Paso 1
216.239.37.96 216.239.37.97
Direcciones de transmisin:
Este es un tpico rango de direccin IP 29bit IP, como lo entregan la mayora de los proveedores de Internet Alemanes. Existen ocho direcciones de IP pero solo se pueden usar cinco como direcciones de envo. Dos de las ocho direcciones fueron usadas como lgica de red (direccin de correo y direccin de transmisin) y una direccin IP es asignada al router del fabricante. Esta es habitualmente la primera IP despus de la direccin de red.
Paso 2
Para poder establecer una conexin de red a travs del router, el firewall debe obtener una de las direcciones usables y la mascara de subred debe ser asignada por el proveedor. Primero, una tarjeta de red (usamos eth0 para este ejemplo) recibe la direccin de red 216.239.37.98 con la mascara de subred 255.255.255.248 en el menu Opciones -> Interfases
Introduccin
117
Paso 3
En el prximo paso, una conexin de router se establece usando la conexin de asistente de Internet via Opciones > Internet usando el boton Agregar.
Paso 4
Ingrese la direccin IP del router del proveedor como direccin de router (en este ejemplo 216.239.37.97).
NOTA SI LA CONEXIN DE INTERNET NO FUNCIONA EN EL PRIMER INTENTO, POR FAVOR REINICIE EL ROUTER. SI DESEA SABER COMO HACER LAS OTRAS CUATRO DIRECCIONES IP UTILIZABLES A TRAVES DEL FIREWALL, POR FAVOR LEA LA SECCION18.3.3 DMZ POR FUENTE IP.
19.2.2 Instalando una conexin DSL con direccin IP fija La instalacin de una conexin DSL con una direccin IP esttica (habitualmente desginada como SDSL, xDSL o DSLBusiness) es como instalar una conexin DSL normal.
NOTA POR FAVOR NO INSTALE LA DIRECCION DE IP FIJA A UNA DE LAS TARJETAS DE RED DEL FIREWALL. PORQUE RECIBIRA TODA LA INFORMACIN DE CONEXIN (INCLUYENDO LA DIRECCIN IP) DE SU PROVEEDOR, NO ES NECESARIO MODIFICAR LES EN EL FIREWALL. ESTO PODRIA CAUSAR PROBLEMAS CON ALGUNOS SERVICIOS.
19.2.3 18.2.3 Instalacin de un cable de conexin con direccin IP DHCP La interfase a la caual el cable modem est conectada debe ser instalada como "Asigne la direccin IP automticamente" en las instalaciones de la Interfase. Al configurar la conexin de Internet seleccione "Conexin Router " y seleccione "Asigne la direccin de router sobre DHCP".
19.3.1 Puerto simple para reenvo En la mayora de los casos, el reenvo de uno o varios puertos se desea para facilitar el acceso al servidor de la red desde el Internet por ejemplo. Paso 1 Para este objetivo, un servidor es arrastrado desde la lista de herramientas hacia el escritorio de configuracin y la direccin IP del servidor es entonces ingresada en el casillero de dilogo que est abierto (en este caso 192.168.4.5) como tambin en la interfase de red hacia la cual el servidor est conectado (here eth4). Para una mayor visin general de la configuracin del escritorio el smbolo recibe un nombre claro (e.j servidor de red).
Paso 2
Ahora se crea una conexin desde el servidor hacia la nube de Internet usando la herramienta de conexin.
Esto abre el editor de Reglas. Use el boton Agregar y seleccione el servicio que debe ser reenviado al servidor (en este caso HTTP). Paso 3 En la columna Accin la flecha Inspeccin Stateful se instala desde el Internet hacia el computador y de vuelta al internet. Estas instalaciones significan que el servidor interno puede ser accedido desde el Internet pero no acceder a Internet por si mismo. Si se desea que el servidor pueda acceder a internet, por favor instale aqu una flecha doble.
Introduccin
118
Paso 4
Pulse en la ltima columna Opciones adicionales y marque el casillero Activar DMZ / reenvio de puerto para este servicio.
NOTA POR FAVOR DEJE EN BLANCO LOS CAMPOS DE ENTRADAS EN ESTA SECCION. LAS FUNCIONES DE ESTOS CAMPOS SE EXPLICA EN LOS PRXIMOS DOS CAPITULOS.
Paso 5
Una vez que el editor de Reglas es confirmado con OK y la configuracin ha sido activada usando F9, toda la informacin que va hacia su direccin IP externa en el puerto 80 es reenviada al servidor de red interna.
NOTA EL REENVO DE PURTO SLO PUEDE SER PROBADO DESDE UN ACCESO EXTERNO. NO SE PUEDE ACCEDER A LA DIRECCIN IP EXTERNA DESDE LA RED LOCAL.
19.3.2 Reenvo de puerto con rerouting de puerto El rerouting de un puerto puede ser til si se desea acceder el mismo servicio (e.j. HTTP) usando una direccin IP. Adems existen ventajas de seguridad si puertos estndares son usados para ciertos servicios (e.j. Telnet, SSH). Se puede re-enrutar un puerto para realizar esto. Este ejemplo se refiere a las instalaciones y reglas hechas en la seccin anterior.
Paso 1
Para este ejemplo, accederemos al servicio SSH (para mantencin remota usando una consola de texto) de nuestro servidor de red (en este caso 192.168.4.5) usando un puerto diferente que el estndar puerto SSH (22/tcp). Elegimos el puerto de acceso externo 10022 que debera ser reenviado a servidor de red en el puerto 22.
Paso 2
Para este objetivo, pulse dos veces en el punto de conexin entre la nube de Internet y el smbolo servidor de red. En las reglas del Editor, seleccione el servicio Definicin libre usando el boton Agregar.
Paso 3
En el casillero de dialogo que ahora aparece, ingrese un nombre para nuestro servicio. Nosotros elegimos SSH 10022. Bajo Puerto ingrese en el primer campo 10022. El segundo campo de Puerto solo se requiere si se desea definir ms de un puerto para este servicio. (Rango de puerto). Bajo Protocolo de transporte, seleccione TCP (Transmission Control Protocol).
Paso 4
En la columna Accin, la flecha Stateful inspection es instalada desde el Internet hacia el computador y devuelta al Internet. Esta instalacin significa que el servidor interno puede ser accedido a Internet pero el servidor no puede accedera Internet por si mismo.
Paso 5
En la ltima columna Opciones adicionales, marque el casillero Active DMZ / puerto de reenvo para este servicio. Porque queremos re-enrutar el puerto de inicio (10022) hacia el servidor de red en el puerto 22, ingrese 22 en el campo Puerto Objetivo. No se requiere NAT para este servicio libremente definido.
Introduccin
119
El servidor de red ahora recibe solicitudes externas en el puerto 10022 en su puerto 22 (que es reservado por SSH).
19.3.3 DMZ por fuente IP Si existe una conexin de Internet con varias direcciones IP fijas, tal vez varios servidores de correo o servidores de red estn operando detrs del firewall con diferentes direcciones IP externas. El servidor de red con la direccin IP interna 192.168.4.5 debe ser accesible con la direccin IP externa 216.239.37.99. El servidor de red con la direccin IP interna 192.168.4.6 debe ser accesible con la direccin IP externa 216.239.37.100.
Paso 1
Primero, debemos asignar la tarjeta de red externa del firewall (que est conectada al router del proveedor) con la direccin IP que ser utilizada.
Paso 2
La tarjeta de red correspondiente conectada al router es seleccionada bajo Opciones > Interfases. La direccin IP virtual es agregada bajo Direcciones IP virtuales.
Paso 3
Ahora, un servidor es arrastrado desde la lista de herramientas hacia la configuracin de escritorio y la direccin interna de IP del servidor es ingresada en el casillero de dilogo abierto (en este caso 192.168.4.5) y la tarjeta de red es seleccionada. Lo mismo se hace para el servidor de correo con la direccin IP interna 192.168.4.6. Para una mayor vista general en el escritorio de configuracin, nombres claros fueron asignados a los smbolos (e.j. servidor de red y servidor de correo).
Introduccin
120
Ahora se crea una conexin desde el servidor hacia la nube de internet usando la herramienta de conexin. En el editor de Reglas, use el botn Agregar para seleccionar el servicio que debe ser reenviado al servidor. El servicio HTTP es insertado entre el servidor de red e Internet.
Paso 2
Marcando Enable DMZ / Port forwarding para este casillero de servicio en Opciones adicionales, se crea el DMZ. Es crucial que la configuracin de direccin IP de arriba tambin sea usada ahora que la direccin IP oficial del servidor de red es ingresada en el campo Source IP. Esta configuracin es activada y el servidor de red puede ser accedida bajo esta direccin IP.
ATENCIN! EL PROXY HTTP NO DEBE SER ACTIVADO EN UN HTTP-DMZ!
Si un servidor de red ha sido instalado como en el ejemplo anterior, su acceso sigue siendo posible solo desde el uso interno de su direccin IP. No obstante, algunas aplicaciones demandan el nombre de dominio del computador, e.j. www.your-company.com.
NOTA
SE PUEDE USAR EL FIREWALL GATEPROTECT PARA EVITAR UN SERVICIO O EL CAMBIO DE NOMBRE DE LOS INGRESOS DESDE EL SERVIDOR.
Crear una conexin desde el smbolo de servidor de red hacia la LAN interno usando la herramienta de conexin. En las Reglas del editor, agregue el servicio HTTP e ingrese la fuente oficial de direccin IP en el DMZ en las opciones Adicionales.
Servidor de correo
Normalmente un servidor de correo se comporta como un HTTP-DMZ. No obstante, existen casos especiales en los que es deseable permitir que algunos servidores de correo se conecten con servidores de correo internos (llamados dominios inteligentes). Aqu el firewall gateprotect ofrece la oportunidad de crear un DMZ dedicado.
Paso 1
Para este objetivo, el servidor de correo interno es instalado como smbolo de servidor individual. Paso 2 Ahora otro smbolo de servidor es arrastrado hacia el escritorio. En la configuracin de Internet es seleccionado como tarjeta de red y la direccin IP es la externa.
ATENCIN ! AL CONECTAR AMBOS SMBOLOS, SE DEBE PULSAR PRIMERO EN EL COMPUTADOR INTERNO Y LUEGO EN EL EXTERNO.
Paso 3
El SMTP est ahora instalado como servicio y el DMZ es activado en opciones Adicionales. El servidor de direccin IP oficial es ingresado como IP Origen.
Introduccin
121
19.4.1 Dominio Windows Si se cuenta con un dominio Windows, se puede conectar al controlador de dominio Windows. Ingrese la informacin de su controlador de dominio en la barra Instalaciones en el casillero de dilogo del servidor de Autenticacin. En la lista de usuario aparecern todos los usuarios del dominio. Entonces se pueden arrastrar los conos de usuario a la configuracin de escritorio y asignarles reglas. Los usuarios deben llamar la direccin IP del servidor de firewall con https en sus buscadores y conectar. Si la conexin es exitosa, las reglas de firewall del usuario son aplicadas a la direccin de IP entregada. Si la ventana del buscador est cerrada, la sesin de cookie termina y las reglas expiran.
19.4.2 Servidor terminal Si se usa un servidor terminal, ste debe ser removido de la autenticacin de usuario, por cuanto de lo contrario cuando un usuario se haya conectado, todos los usuarios restantes recibirn los mismos drechos asignados al primero. Para remover el servidor terminal de la autenticacin de usuario, proceda como se muestra a continuacin:
Paso 1
Paso 2
Marque el casillero Excluya este objeto de la autenticacin de usuario. Para un servidor terminal, se recomienda HTTP-Proxy no transparente Ajuste el HTTP Proxy a no transparente para lograr este objetivo usando Opciones > Proxy.
NOTA LOS BUSCADORES DEBEN INGRESAR EL HTTP-PROXY CON LA DIRECCIN IP DEL FIREWALL EN SUS SUBREDES Y CONFIGURAR EL PUERTO 10080. PARA EVITAR PROBLEMAS DE DESCARGA, LA DIRECCIN IP DE FIREWALL DEBE SER INGRESADA EN LAS INSTALACIONES DEL BUSCADOR ASIGNADAS COMO "EXCLUDE THIS IP ADDRESS FROM PROXY".
Todos los usuarios que ahora se conecten al servidor terminal recibirn primero una notificacin cuando abran el buscador solicitando el nombre de usuario y clave de ingreso. En cuanto stas hayan sido verificadas con la autenticacin local, Active Directory or OpenLDAP/Krb5, podrn usar el servidor terminal para navegar por el internet. Los usuarios conectados pueden navegar hasta que la ltima ventana del buscador sea cerrada. Cundo el buscador sea reabierto, debern volver a conectarse. Usuarios conectados reciben sus propios URL y las instalaciones de filtro de contenido son registradas en las estadsticas individualmente bajo sus nombres o sus direcciones IP.
Introduccin
122
20.1.1 Barra de herramientas Se puede usar la barra de herramientas en las Estadsticas de Cliente para: Imprimir las estadsticas, Cambiar el idioma de Estadsticas de Cliente para menu y uso, Obtener informacin sobre Estadsticas de cliente, Finalizar Estadsticas de Cliente.
20.1.2 Posibilidades de filtro Se pueden filtrar los resultados exhibidos dependiendo de la informacin de estadsticas preparada en la parte superior de la ventana de estadsticas: Escritorio: red completa, usuarios o computadores Perodo: 6, 12 o 24 horas, 7 o 14 das, 1, 3 o 12 meses Perodo de auto-definicin con fecha y hora para inicio y trmino Ventana de tiempo: cualquier hora del da con inicio y fin Acceso bloqueado: ingreso o salida Use el boton Actualizar para descargar la informacin ms reciente desde el servidor de firewall.
20.1.3 Estadsticas Las estadsticas de Estadsticas de cliente tiene el mismo rango de funciones que la Cliente de administracin descrita en 3.6.