Manual 9.1 GateProtec Español

1 Introduccin
Claridad Perfeccin Seguridad

Manual
gateprotect

Instalacin, Administracin & Ejemplos
de Instrumentos UTM de Prxima Generacin &
Instrumentos Virtuales

Desde junio 2012

2 Introduccin
1 Introduccion ............................................................................................................................ 9
1.1 A quin est dirigido este manual? .................................................................................................... 9
1.2 Apuntes generales sobre este manual ................................................................................................. 9
1.3 Smbolos utilizados y sugerencias......................................................................................................... 9
1.4 Proteccin y seguridad de los antecedentes ...................................................................................... 10
2 Instalacion ............................................................................................................................. 11
2.1 Instalacin del Servidor de Firewall .................................................................................................... 11
2.1.1 Instalacin de dispositivos ........................................................................................................... 11
2.1.2 Instalacin del Firewall con VMware ............................................................................................ 11
2.1.3 Interfase Serial ............................................................................................................................ 13
2.2 Primera configuracin del Servidor de Firewall usando el Cliente de Administracin ................... 13
2.2.1 Iniciando el Asistente de Configuracin ....................................................................................... 13
2.2.2 Primera configuracin en modo rpido ....................................................................................... 14
2.2.3 Asistente de configuracin de Internet ........................................................................................ 14
2.2.4 Falla-cada (Conexin-de respaldo) .............................................................................................. 16
2.2.5 Continuando la Configuracin del Asistente ................................................................................ 17
2.2.6 Primera configuracin en Modo Normal ...................................................................................... 17
2.3 Cambios de configuracin .................................................................................................................. 18
2.4 Licencia ................................................................................................................................................ 18
3 Uso del cliente de administracion ...................................................................................... 19
3.1 Programa interfase y controles .......................................................................................................... 19
3.2 Men del Cliente de Administracin .................................................................................................. 20
3.2.1 Menu: Archivo ............................................................................................................................ 20
3.2.2 Menu: Opciones ......................................................................................................................... 21
3.2.3 Men: Seguridad ........................................................................................................................ 22
3.2.4 Men: Funciones VPN ................................................................................................................. 22
3.2.5 Menu: Red .................................................................................................................................. 23
3.2.6 Menu: Ventana ........................................................................................................................... 23
3.2.7 Menu: Informacin ..................................................................................................................... 23
3.3 La Configuracin de Escritorio ........................................................................................................... 24
3.3.1 Zoom a la interfase de configuracin .......................................................................................... 24
3.3.2 Capa .......................................................................................................................................... 25
3.3.3 Barra de herramientas ................................................................................................................. 25
3.3.4 Servicios Activos ......................................................................................................................... 27
3.3.5 Mayor informacin ..................................................................................................................... 27
3.3.6 Bsqueda ................................................................................................................................... 27
3.3.7 Barra de estado .......................................................................................................................... 28
3.4 Reportes ............................................................................................................................................... 28
3.5 Acceso denegado ................................................................................................................................ 29
3.6 Estadsticas ........................................................................................................................................... 29
3.6.1 Posibilidades de Filtro .................................................................................................................. 30
3.6.2 Pginas de Internet - Destacadas ................................................................................................. 30
3.6.3 URL bloqueados Destacados ..................................................................................................... 30
3.6.4 Destacados - servicios ................................................................................................................. 30
3.6.5 Destacados IDS/IPS ................................................................................................................... 30
3.6.6 Usuarios - Destacados ................................................................................................................. 31

3 Introduccin
3.6.7 Usuarios - Trfico ........................................................................................................................ 31
3.6.8 Defensa Visin general ............................................................................................................. 31
3.6.9 Defensa - defensa ....................................................................................................................... 31
3.6.10 Trfico Toda la informacin ...................................................................................................... 31
3.6.11 Trfico - Internet ......................................................................................................................... 31
3.6.12 Trfico Correos electrnicos ..................................................................................................... 31
3.7 Firewall ................................................................................................................................................ 32
3.7.1 Firewall - Seguridad .................................................................................................................... 32
3.7.2 Firewall - Fecha ........................................................................................................................... 33
3.8 Interfaces ............................................................................................................................................. 33
3.8.1 Interfases de redes ...................................................................................................................... 34
3.8.2 VLAN .......................................................................................................................................... 34
3.8.3 Bridge (Bridge) ............................................................................................................................ 35
3.8.4 Interface-VPN-SSL ....................................................................................................................... 35
3.9 Instalaciones de Internet ..................................................................................................................... 36
3.9.1 Instalaciones generales de Internet .............................................................................................. 36
3.9.2 Perodo de tiempo para conexiones de Internet ........................................................................... 36
3.9.3 Instalaciones de DNS en las instalaciones de Internet ................................................................... 37
3.9.4 Cuentas DNS Dinmico ............................................................................................................... 37
3.10 Servidor DHCP ..................................................................................................................................... 38
3.10.1 Servidor DHCP ............................................................................................................................ 39
3.10.2 DHCP Rel .................................................................................................................................. 39
3.11 Respaldo automtico .......................................................................................................................... 39
3.12 Instalaciones de Routing ..................................................................................................................... 40
3.12.1 Routes Estticos .......................................................................................................................... 41
3.12.2 Protocolos-routing ...................................................................................................................... 42
4 Proxies ................................................................................................................................... 55
4.1 Introduccin ........................................................................................................................................ 55
4.2 Proxy HTTP ........................................................................................................................................... 55
4.2.1 Modo Transparente .................................................................................................................... 55
4.2.2 Modo normal sin autenticacin ................................................................................................... 55
4.2.3 Modo normal sin autenticacin ................................................................................................... 56
4.2.4 Configuracin del cach ............................................................................................................. 56
4.3 Proxy HTTPS ......................................................................................................................................... 56
4.4 Proxy FTP .............................................................................................................................................. 57
4.5 Proxy SMTP .......................................................................................................................................... 57
4.6 Proxy POP3 ........................................................................................................................................... 57
4.7 Proxy VoIP ............................................................................................................................................ 58
4.7.1 Instalaciones Generales ............................................................................................................... 58
4.7.2 Proxy SIP ..................................................................................................................................... 58
5 Autenticacin de usuario .................................................................................................... 59
5.1 Respaldo tcnico y preparacin .......................................................................................................... 59
5.1.1 Objetivo de la Autenticacin de Usuario ...................................................................................... 59
5.1.2 Respaldo tcnico y preparaciones ................................................................................................ 59

4 Introduccin
5.2 Inicio de sesin .................................................................................................................................... 61
5.2.1 Inicio de sesin usando un buscador de red................................................................................. 61
5.2.2 Iniciar sesin utilizando Cliente de Autenticacin de Usuario (Cliente-UA) .................................... 61
5.2.3 Inicio de sesin usando Single Sign On ........................................................................................ 62
5.3 Usuarios ............................................................................................................................................... 64
5.4 Ejemplos ............................................................................................................................................... 64
5.4.1 Dominio Windows ...................................................................................................................... 64
5.4.2 Servidor terminal ........................................................................................................................ 65
6 URL Filtro de contenido ....................................................................................................... 66
6.1 Filtro URL ............................................................................................................................................. 66
6.2 Filtro de Contenido ............................................................................................................................. 67
6.2.1 Alternando el Filtro de Contenido encendido y apagado ............................................................. 67
6.3 Configure el URL y el Filtro de Contenido ......................................................................................... 67
6.3.1 Configuracin usando el URL / dialogo Filtro de Contenido ......................................................... 67
6.3.2 Agregar URLs usando el Cliente de administracin o Estadsticas de Cliente ................................. 69
7 LAN-Accounting .................................................................................................................... 70
7.1 Introduccin al LAN-Accounting ........................................................................................................ 70
7.2 Configuracin del LAN-Accounting .................................................................................................... 70
7.2.1 70
7.2.2 70
7.3 70
8 Traffic shaping & Quality of Services (QOS) ..................................................................... 71
8.1 Introduccin ........................................................................................................................................ 71
8.1.1 Objetivo ...................................................................................................................................... 71
8.1.2 Respaldo tcnico ......................................................................................................................... 71
8.2 Instalando Traffic Shaping .................................................................................................................. 72
8.3 Instalaciones para Quality of Service .................................................................................................. 73
9 Nivel de aplicacion ............................................................................................................... 74
10CertificaDOs .......................................................................................................................... 75
10.1 Introduccin ........................................................................................................................................ 75
10.2 Certificados .......................................................................................................................................... 75
10.3 Plantillas ............................................................................................................................................... 78
10.4 OCSP / CRL ............................................................................................................................................ 79
10.5 Reportes para certificados .................................................................................................................. 80
11Virtual Private Networks (VPN) .......................................................................................... 81
11.1 Introduccin ........................................................................................................................................ 81
11.2 Conexiones PPTP ................................................................................................................................. 82
11.2.1 Instalacin de conexin manual de PPTP Cliente-a-Servidor ......................................................... 82

5 Introduccin
11.3 Conexiones IPSec ................................................................................................................................. 83
11.3.1 Instalacin manual de una conexin IPSec ................................................................................... 83
11.3.2 L2TP / XAUTH ............................................................................................................................. 85
11.4 VPN sobre SSL ...................................................................................................................................... 88
11.5 VPN sobre SSL sin salida pretederminada .......................................................................................... 90
11.6 El Cliente VPN gateprotect ................................................................................................................. 91
11.6.1 La creacin automatica de una conexin de VPN usando un archivo de configuracin. ................ 91
11.6.2 Creacin manual o edicin de una conexin VPN ........................................................................ 91
12High Availability ................................................................................................................... 93
12.1 Functionamiento ................................................................................................................................. 93
12.2 Tiempos de cada durante falla .......................................................................................................... 93
12.3 Configuracin ...................................................................................................................................... 93
12.3.1 Direcciones IP de la red de interfases ........................................................................................... 94
12.3.2 Conectando los firewalls via vnculos dedicados .......................................................................... 94
12.3.3 Activar el High Availability ........................................................................................................... 94
12.4 Editar las instalaciones de High Availability ...................................................................................... 96
12.5 Desactivar High Availability ................................................................................................................ 96
12.6 Cambio de roles ................................................................................................................................... 96
12.7 Comisionar un firewall tras falla ........................................................................................................ 96
12.8 Reestablecer respaldo o Actualizacin de software .......................................................................... 96
12.9 Mensajes de Reportes ......................................................................................................................... 97
13Intrusion Detection and Prevention System (IDS/IPS) .................................................... 98
13.1 Configuracin de Perfiles IDS/IPS ....................................................................................................... 98
13.2 Configuracin de Red IDS/IPS Interna/Externa .................................................................................. 99
13.3 Configuracin de Restricciones IDS/IPS .............................................................................................. 99
13.4 Activacin del Intrusion Detection and Prevention System ............................................................ 100
13.5 Las reglas IDS e IPS pueden ser extendidas con reglas predeterminadas. ...................................... 100
13.6 Actualizacin de patrones IDS/IPS .................................................................................................... 100
14Reporte ................................................................................................................................ 102
14.1 General .............................................................................................................................................. 102
14.2 Particiones ......................................................................................................................................... 102
14.3 Exportacin de Syslog ....................................................................................................................... 103
14.4 SNMP .................................................................................................................................................. 103
15Monitoreo ............................................................................................................................ 105
15.1 Introduccin ...................................................................................................................................... 105
15.2 Componentes exhibidos en monitoreo ............................................................................................ 106

6 Introduccin
16Anti-Spam / Filtro de correo ............................................................................................. 107
16.1 Filtro de correo .................................................................................................................................. 107
16.2 Anti-Spam .......................................................................................................................................... 107
16.3 Marcar como Spam ............................................................................................................................ 108
17Proteccin de Virus ............................................................................................................ 109
17.1 Introduccin ...................................................................................................................................... 109
17.2 Licencia .............................................................................................................................................. 109
17.3 Instalaciones ...................................................................................................................................... 109
17.3.1 Instalaciones de antivirus: General ............................................................................................. 109
17.3.2 Escaner ..................................................................................................................................... 110
17.3.3 Lista blanca ............................................................................................................................... 110
17.3.4 Actualizaciones ......................................................................................................................... 111
18Actualizaciones ................................................................................................................... 112
18.1 Introduccin ...................................................................................................................................... 112
18.2 Actualizaciones .................................................................................................................................. 113
18.3 Descargue actualizaciones automticamente ................................................................................. 114
18.4 Actualizaciones de descarga manuales ............................................................................................ 114
18.5 Actualizacin de instalaciones .......................................................................................................... 114
18.6 Instalacin de actualizaciones desde el dispositivo de almacenamiento local .............................. 114
18.7 Interaccin de actualizacin ............................................................................................................. 114
19Ejemplos ............................................................................................................................... 115
19.1 Introduccin ...................................................................................................................................... 115
19.2 Instalacin de la conexin de Internet con direccin IP fija ........................................................... 116
19.2.1 Instalacin de una linea dedicada con direccin de IP fija usando un router ............................... 116
19.2.2 Instalando una conexin DSL con direccin IP fija ...................................................................... 117
19.2.3 18.2.3 Instalacin de un cable de conexin con direccin IP DHCP ............................................ 117
19.3 Demilitarized zone (DMZ) ................................................................................................................. 117
19.3.1 Puerto simple para reenvo ........................................................................................................ 117
19.3.2 Reenvo de puerto con rerouting de puerto ............................................................................... 118
19.3.3 DMZ por fuente IP .................................................................................................................... 119
19.4 Ejemplos para autenticacin de usuario .......................................................................................... 121
19.4.1 Dominio Windows .................................................................................................................... 121
19.4.2 Servidor terminal ...................................................................................................................... 121
20Estadisticas .......................................................................................................................... 122
20.1 Uso de Estadsticas de Cliente/Estadsticas ....................................................................................... 122
20.1.1 Barra de herramientas ............................................................................................................... 122
20.1.2 Posibilidades de filtro ................................................................................................................ 122
20.1.3 Estadsticas ............................................................................................................................... 122

7 Introduccin

2012 gateprotect Aktiengesellschaft Alemania. Todos los derechos reservados.
gateprotect Aktiengesellschaft Alemania
Valentinskamp 24 - 20354 Hamburgo /Alemania

Ninguna parte de este documento puede ser duplicado o compartido con terceras partes sin la expresa autorizacin escrita de
gateprotect AG Alemania. Esto aplica a cualquier manera o mtodo electrnico mecnico.
Los dibujos e informacin contenidas en este documento pueden ser cambiadas sin notificacin previa. No aceptamos garanta por
la fidelidad del contenido de este manual.
Los nombres e informacin usados como ejemplos no son reales, a menos que sea establecido de esa manera.
Todos los productos, marcas y nombres son de propiedad del fabricante correspondiente.

8 Introduccin

PREFACIO
Gracias por escoger un producto de gateprotect.
Siempre buscamos mejorar nuestros productos para nuestros clientes. Si detecta fallas o tiene sugerencias para
mejorar, por favor contctese con nosotros.

Si tiene mayores consultas sobre gateprotect u otros productos, por favor contacte a su distribuidor responsable /
o contctenos directamente a:
gateprotect Aktiengesellschaft Germany
Valentinskamp 24
20354 Hamburgo
Alemania

Nos puede ubicar en:
Telfono : 01805 428 377 (12 Cent/min)
Fax : 01805 428 332 (12 Cent/min)

Actualizaciones de seguridad y otra informacin:
http://www.gateprotect.com

Ahi encontrar mygateprotect, que ofrece respuestas tiles, informacin de respaldo importante y sugerencias para
uso diario.

9 Introduccin
1 I NTRODUCCION
Con el Firewall gateprotect se ha elegido un sistema de seguridad con los ltimos requisitos de seguridad y muy
fcil de operar usando una interface grfica.
1.1 A quin est dirigido este manual?
Este manual est dirigido a administradores de sistemas que instalan y configuran el sistema de Firewall gateprotect.
Conocimiento especializado es requerido en las siguientes reas para comprender las funciones, instalaciones y
procesos:
Conocimiento general en tecnologa de redes y protocolos de redes
Administracin y configuracin del Sistema Operativo de Windows
Sistema de usuario y derechos de administracin
1.2 Apuntes generales sobre este manual
Este manual est organizado de la siguiente manera:
Capitulo introductorio con apuntes generales sobre el producto y usando la documentacin de producto.
Requerimientos del sistema, instalacin del servidor de Firewall y de la Cliente de administracin del Firewall.
Uso del Firewall con la Cliente de administracin y configuracin del Servidor de Firewall
Descripcin tcnica de los componentes del Firewall y sus instalaciones (Proxy, Autenticacin de Usuario, URL &
Filtro de Contenido, Trfico, Nivel de Implementacin, VPN, Alta Disponibilidad, Detector de Intrusos, Informes,
Antispam y Antivirus).
Descripcin de las Estadsticas del Cliente como software de informacin propia
Casos tpicos
1.3 Smbolos utilizados y sugerencias
NOTA
ESTE SMBOLO DESTACA INFORMACIN IMPORTANTE Y DE UTILIDAD.
ATENCIN
ESTE SMBOLO MUESTRA QUE SE DEBE PONER ATENCIN.
EJEMPLO
ESTE SMBOLO INDICA UN EJEMPLO EXPLICATORIO. VALORES Y NUMEROS (A MENOS QUE SEA EXPLICADO DE OTRA MANERA) SON USADOS COMO EJEMPLOS Y PUEDEN SER
DIFERENTES RESPECTO DE LOS VALORES ACTUALES.
Smbolos adicionales son usados en el texto para destacar algunas caractersticas o para indicar elementos que estn
operando.
Ttulos de dilogos, opciones o botones estn destacados en rojo.
Textos, teclado o instrucciones de informacin, estn indicados en el texto por un t i po de c ol or di f er ent e.

10 Introduccin
1.4 Proteccin y seguridad de los antecedentes
Bajo algunas circunstancias, los antecedentes personales pueden ser procesados y usados por el Firewall gatepro-
tect. En Alemania, la Ley Federal de Proteccin de la Informacin (BDSG), entre otros, aplica al procesamiento y uso
de dichos antecedentes personales. Por favor lea en detalle las leyes locales de otros pases.
La proteccin de los antecedentes protege a los individuos cosa que sus derechos personales no sean afectados por
la exposicin de sus antecedentes personales. Ms an, la proteccin de antecedentes blinda los antecedentes de
mal uso en todas las fases del proceso.

11 Introduccin
2 I NSTALACION
El firewall consiste de dos partes. El Servidor Firewall y el Cliente para operar el mismo. En este captulo, describimos
los pasos necesarios para instalar estos componentes y la instalacin asociada de los distintos componentes del
sistema.
2.1 Instalacin del Servidor de Firewall
La actualizacin a la siguiente version ms avanzada o volver a guarder las fallas de fbrica son las nicas razones
para reinstalar el Firewall. Un CD de instalacin es slo necesario si se compr un aparato virtual.
2.1.1 Instalacin de dispositivos
Un dispositivo gateprotect se instala con un dispositivo-instalador-firewall-USB. Para crear este dispositivo-USB, se
debe bajar la correspondiente version del instalador del firewall desde el sitio web www.gateprotect.com.
Se requiere un dispositivo-USB con una capacidad de ms de 1GB. La mayora de los dispositivos-USB en venta
debiera funcionar. Una lista de dispositivos-USB probado puede ser encontrada en www.gateprotect.com.
Conecte el dispositivo-USB a su Windows-PC y haga funcionar el instalador-USB.
ATENCIN
TODA LA INFORMACIN EN EL DISPOSITIVO SE PERDER. UN ASISTENTE-DE INSTALACIN LE INDICAR CMO HACER LA CONFIGURACIN.
Especificaciones
Tambin se puede crear un dispositivo-auto-instalacin-USB.
Si se selecciona un archivo de respaldo de un firewall en el asistente-USB-instalacin, este respaldo ser integrado
en el dispositivo-USB-instalacin.
ATENCIN
ESTE DISPOSITIVO-USB INSTALAR UN FIREWALL SI ES REINICIADO DESDE EL DISPOSITIVO. NO DEJE EL DISPOSITIVO ENCHUFADO EN NINGN OTRO PC MIENTRAS SE EST
REINICIANDO.
LA INSTALACIN DE FIREWALL SE INICIAR EN CUANTO LA APLICACIN SE REINICIE DESDE EL DISPOSITIVO. (EN ALGUNOS CASOS DEBE SER ACTIVADO EN BIOS.)
Mientras use el dispositivo en instalacin-USB Estndar, existir un proceso de gua que le llevar a la instalacin del
CD en la consola.
Vea 2.1.2.
Usando un dispositivo-auto-instalador-USB, la instalacin se ralizar automticamente. El dispositivo emitir un
sonido tipo bip, cundo el proceso haya concluido. Desenchufe el Dispositivo-USB y reinicie el aparato.
2.1.2 Instalacin del Firewall con VMware
Con VMware (Estacin de trabajo, Servidor-ESX) es possible montar la imagen ISO que se utilize para quemar el CD.
Se puede proceder de manera normal con la instalacin.
Requisitos del hardware para la mquina virtual:
HDD: 20 GB
RAM: 512 MB
Estos requerimientos deben ser adaptados al objetivo que se espera lograr y al nmero de usuarios.
Paso 1
Inserte el CD-Instalacin en el CD-drive del VMware-PC e inicie la mquina virtual.
NOTA
SI EL CD NO ES IDENTIFICADO CORRECTAMENTE, LA APLICACIN BIOS DEBE SER CAMBIADA ANTES DE INSTALAR.

12 Introduccin
Paso 2
Un sistema operativo UNIX es iniciado entonces por el CD. Espere hasta que el programa de instalacin abra la
ventana de inicio y siga las instrucciones en la pantalla.
NOTA
EL PROGRAMA DE INSTALACION DEL SERVIDOR DE FIREWALL NO RESISTE LA OPERACION DE UN MOUSE. USE LAS TECLAS CON LAS FLECHAS PARA NAVEGAR AL INTERIOR DE LOS
MENU Y LA BARRA DE ESPACIO PARA NAVEGAR ENTRE LOS MENU. LAS OPCIONES SELECCIONADAS O ACTIVAS SON DESTACADAS EN ROJO O SE USA UN TEXTO EN COLOR ROJO.
Paso 3
Una vez que las condiciones de licencia son aceptada, se inicia el reconocimiento automtico del hardware.
Paso 4
Seleccione el tipo de instalacin
A. Nueva instalacin B. Instalacin de un respaldo
Si desea agregar la configuracin de respaldo de un Firewall anterior en vez de una instalacin nueva, proceda
como sigue:
NOTA
EL RESPALDO DEBE ESTAR EN UN DISCO O MEMORIA USB, QUE PUEDA SER AUTOMTICAMENTE DETECTADO POR EL SERVIDOR. TAMBIN SE PUEDE SALTAR EL RESPALDO EN
ESTE MOMENTO Y OPERARLO DESPUS DE LA INSTALACIN VA EL ADMINISTRADOR DE CLIENTE. MS INFORMACIN EN EL CAPITULO 3.2.1 MENU: ARCHIVO-CREACIN DE
RESPALDO.
Paso 5
Seleccin de Disco duro
En la ventana de seleccin de disco duro se podra determinar si la instalacin debe realizarse en el disco duro o en dos discos
duros.
NOTA
SI SE US UNA MQUINA VIRTUAL, USE SOLO UN DISCO DURO VIRTUAL.
Paso 6
Instalando los dispositivos de red
Se debe asignar a cada tarjeta de red su propia direccin de IP y una mscara de subred asociada. Para cada tarjeta
de red ingrese la direccin de IP en el primer campo y la correspondiente mscara de subred en el segundo campo,
e.j. 192. 168. 1. 1 / 255. 255. 255. 0 para una red clase C. DHCP no puede ser seleccionada en la instalacin.
Nota
Si no se ingresa una direccin de IP, la tarjeta ser automticamente desactivada. Los campos se llenan con valores
establecidos al ingresar F12.
Paso 7
Ingreso de clave
Ingrese una clave vlida en los campos Clave y Confirmar.
ATENCIN
LA CLAVE DEBE TENER POR LO MENOS 6 CARACTERES Y NO PUEDE INCLUIR LETRAS, NUMEROS Y SIMBOLOS. ESTA CLAVE SE CODIFICA Y NO PUEDE SER USADA PARA CONECTARSE-
AUTOMATICAMENTE AL SERVIDOR DE FIREWALL SIN EL SOPORTE DE GATEPROTECT. SE PUEDE ACCEDER AL SERVIDOR DE FIREWALL VA EL ADMINISTRADOR DE CLIENTE Y EN
TERMINOS GENERALES NO SE REQUIERE DEL INGRESO-DIRECTO.
La instalacin real se inicia en el prximo paso.
Paso 8
Progeso de instalacin
Si el proceso de instalacin ha sido exitoso, la notificacin Exitoso! Deber aparecer al costado de cada paso de
instalacin. Despus de la exitosa instalacin, remueva el CD del equipo y oprima la tecla Retorno para terminar y
reiniciar el Servidor de Firewall.
Espere hasta que el computador se haya reiniciado completamente.
El Servidor de Firewall est ahora listo para ser usado.

13 Introduccin
2.1.3 Interfase Serial
La interface serial hace posible instalar el Firewall sin un monitor ni teclado adicional. Necesita un cable RS232 o
RJ45, para conectarse al Puerto serial de los aparatos con el Puerto serial en el PC. Se debe iniciar un Programa-
Terminal (e.j. Putty o Hyperterm) con los siguientes parmetros:
Velocidad: 9600
Bits de datos: 8
Paridad: ninguno
Bits de parada: 1
Control de flujo: ninguno
Conecte las interfases seriales, enchufe el dispositivo-USB al aparato y reinicie el firewall. Despus de algunos
segundos, el dilogo-instalacin aparecer en el dilogo del programa terminal. Entonces se puede usar el teclado
para hacer las instalaciones.
Instalacin del Firewall - Cliente de Administracin.
La Cliente de Administracin est en el CD (Menu-Autoinicio) o en el Internet en: www.gateprotect.com.
La instalacin se inicia automticamente tras iniciar el archivo.
2.2 Primera configuracin del Servidor de Firewall usando el Cliente de Administracin
Tras la instalacin del Servidor de Firewall y del Cliente de Administracin, primero realice una configuracin inicial.
El Cliente de Administracin permite operar el Servidor de Firewall en modo rpido o en modo normal.
2.2.1 Iniciando el Asistente de Configuracin
Paso 1
Inicie el Cliente de Administracin pulsando dos veces en el smbolo en el escritorio o pulsando Inicio > Programas
> gateprotect Cliente de Administracin > gateprotect Cliente de administracin.

Paso 2
Se exhibe la ventana inicial de la Configuracin de Asistente.
Conecte el Cliente de Administracin al Servidor de Firewall. Para hacer sto, marque el cuadro Buscar Firewall y
pulse Prximo>>.
La Configuracin de Asistente primero busca el Servidor de Firewall en la red del computador en la que el Cliente de
Administracin fue instalado, automticamente busca los primeros (xxx.xxx.xxx.254). Si la Configuracin de
Asistente encuentra el Servidor de Firewall en una de las dos direcciones, se salta al siguiente punto 3 y sigue
directo con la primera configuracin rpida (Cap. 2.3.2 Primera configuracin en modo rpido) o modo normal
(Cap. 2.3.6 Primera configuracin en modo normal).
Si la Configuracin de Asistente no encuentra el Servidor de Firewall en ninguna de las dos direcciones, se debe
ingresar manualmente la direccin del Servidor de Firewall como se describe en el punto 3.

Paso 3
El dilogo de inscripcin est abierto para crear una conexin manual.
Pulse Agregar.
a.) El dilogo para la direccin de IP para el Servidor de Firewall est abierto.
b.) Ingrese el nombre y direccin del Servidor de Firewall en los campos correspondientes. Deje el Puerto sin
modificar (Puerto 3436) y pulse Aceptar.
c.) El dilogo de inscripcin se exhibe nuevamente.

14 Introduccin
Ingrese los valores adecuados para acceder al Servidor de Firewall en los campos de nombre de usuario y clave. y
pulse Inscribir.
NOTA
PARA UNA NUEVA CONFIGURACIN DEL SERVIDOR DE FIREWALL, EL NOMBRE DE USUARIO Y LA CLAVE SIEMPRE ES ADMIN. SE DEBE CAMBIAR ESTA LO ANTES POSIBLE. SI SE HA
INSTALADO EL SERVIDOR DE FIREWALL COMO RESPALDO, USE SU NOMBRE DE USUARIO Y CLAVE ASOCIADA PARA ESTE RESPALDO. .
La conexin al Servidor de Firewall est establecida y la Configuracin de Asistente contina con la seleccin en
modo configuracin.
2.2.2 Primera configuracin en modo rpido
Ms ajustes a las instalaciones despus de realizar la primera configuracin usando el Cliente de Administracin.
Paso 1
Seleccione la opcin rpida.
Paso 2
Se exhibe la ventana dialogo para seleccionar las funciones deseadas.
Seleccione las opciones deseadas (como se explica en la ventana dilogo) marcando las opciones relevantes.
La configuracin contina con la Configuracin de Asistente de Internet en el punto 2.3.3.
2.2.3 Asistente de configuracin de Internet
La ventana del dilogo para seleccionar el tipo de conexin que se encuentra abierta. El Servidor de Firewall
gateprotect apoya discando-hacia el Internet va modem o Router ISDN, DSL. Dependiendo de qu conexin de
Internet se use, por favor siga los pasos de configuracin explicados en el prximo captulo.
2.2.3.1 Instalando una conexin ISDN
Paso 1
Seleccione la opcin ISDN Conexin de Discado en la ventana de dilogo abierta para seleccionar el tipo de
conexin.
Paso 2
Una lista de hardware se exhibe en la ventana de dilogo siguiente. Seleccione una de las tarjetas de ISDN de la
lista.
Paso 3
Ahora ingrese un nmero de discado para su acceso de Internet. El campo de prefijo solo debe activarse en caso de
estar instalando el acceso a Internet va un sistema de telfono. Ingrese el nmero en el campo del prefijo que se
requiere para una lnea de intercambio. Ingrese la informacin del cdigo y nmero en los campos
correspondientes.
Paso 4
Ingrese la informacin de acceso de su conexin de Internet ISDN entregada por su proveedor de servicio de
Internet.
Paso 5
Ingrese la informacin de discado de su conexin ISDN. Si no existe seguridad respecto de cul usar, lea la
informacin que aparece en su conexin de ISDN o en su sistema de telfono.
Paso 6
Ingrese la informacin para su conexin de Internet. Si est usando un servidor DNS interno, ingrese aqu la
direccin de IP del servidor o use las aplicaciones estndares.
Paso 7
Con el control de respaldo definido para tolerancia a fallas (Internet)

15 Introduccin
Si este control acta como control maestro, al mismo tiempo, es definido como un control de respaldo que puede
ser cambiado de ser requerido, se necesita especificar 1-2 servidores externos. Aqu se deben especificar dos
direcciones de IP, que de ser posible, deben ser alimentadas por dos proveedores diferentes. Como los ping son
regularmente enviados al servidor externo para revisar la disponibilidad de la conexin de Internet, se debe revisar
antes si esto permite el ping. El Servidor de Firewall entonces revisa si estos servidores an estn disponibles y si
existe una conexin.
NOTA
PARA LA CONEXIONES DE ISDN CON UN INTERVALO DEFINIDO, NO SE DEBE INGRESAR UN TEST DE SERVIDOR. ESO INVALIDARA LA APLICACIN DE INTERVALO.
Seleccione las correspondientes opciones o ingrese la informacin de los campos correspondientes y pulse Si-
guiente>>.

Paso 8
Ingrese a la conexin de ISDN un nombre claro y con significado ISDN, e.j. "Conexin de Internet por ISDN".
Ingrese el nombre en el campo adecuado y pulse "Terminado". Su conexin de Internet est instalada. Si se usa
solo esta conexin de Internet va ISDN se pueden saltar los prximos pasos y continuar con el Asistente de
Configuracin.
2.2.3.2 Instalando una conexin PPPoE
Se deben seguir los siguientes pasos si se se conectan las tarjetas de red directo a un modem DSL. Si est usando un
router DSL para su conexin de Internet, salte este paso y contine con la siguiente accin Chap. 2.2.3.3
Conexin Router.
Paso 1
Seleccione opcin Conexin PPPoE en la ventana de dilogo.

Paso 2
Una lista de las tarjetas de red instaladas se exhibe en la siguiente ventana de dialogo. Seleccione la tarjeta de red
que est conectada al modem DSL.

Paso 3
Ingrese la informacin de acceso para su conexin de Internet ADSL entregada por su proveedor de servicio de
Internet.

Paso 4
Ingrese las especificaciones de discado para la conexin ADSL. Si existe incertidumbre respecto de cul usar, lea la
informacin contenida en su modem ADSL o conexin de Internet ADSL.
Seleccione las opciones correspondientes o ingrese la informacin en el campo correspondiente.
Paso 5
Ingrese las especificaciones para la conexin de Internet. Si usa un servidor interno DNS, ingrese aqu la direccin de
IP del servidor o use las especificaciones estndar.

Con control de respaldo definido para falla-cada (Internet)
Si este control acta como control maestro y, al mismo tiempo, es definido como control de respaldo que puede ser
modificado para tales efectos si fuera necesario, se requiere especificar 1-2 servidores externos. Se deben especificar
dos direcciones de IP aqu, que deben ser administradas, si es posible, por dos proveedores distintos. Como los ping
son regularmente enviados a servidores externos para revisar la disponibilidad de la conexin de Internet, se debe
revisar de manera anticipada si stos permiten hacer ping. El Servidor de Firewall entonces confirma si estos
servidores an estn disponibles y si existe conexin.
Seleccione las opciones correspondientes o ingrese la informacin en los campos correspondientes.

16 Introduccin
Paso 6
Ingrese un nombre claro y con significado para la conexin ADSL, e.j. "Internet con conexin de modem ADSL". Su
conexin al Internet ya est instalada.
Si se usa solo esta conexin de Internet via ADSL se pueden saltar los prximos pasos y continuar con el Asistente de
Configuracin.
2.2.3.3 Instalando una conexin de Router
Solo se deben seguir los prximos pasos si se conecta al Firewall externo va un router, e.j. un router ADSL al
Internet. Si se usa un modem ADSL para la conexin de Internet, por favor lea la seccin anterior sobre Instalacin
de una conexin de ADSL.
Paso 1
Seleccione la opcin Conexin Router en la ventana de dilogo para seleccionar un tipo de conexin.

Paso 2
Una lista de las tarjetas de red instaladas se exhibe en la prxima ventana de dialogo.
Seleccione la tarjeta de red que est conectada al Router.

Paso 3
Ingrese las instalaciones extendidas para la conexin de Internet. Si usa un servidor DNS interno, ingrese aqu la
direccin de IP del servidor o use las instalaciones estndar.

Con un control de respaldo definido para falla-cada (Internet)
Si este control debe actuar como control maestro y, al mismo tiempo, es definido como un control de respaldo que
puede ser alternado si es necesario, se necesita especificar servidor externo 1-2. Se deben especificar aqu dos
direcciones de IP, que deben ser administradas por proveedores diferentes si es posible. Como los ping son
regularmente enviados a servidores externos para revisar la disponibilidad de la conexin de Internet, se debe revisar
anticipadamente si esto permite hacer ping. El Servidor de Firewall entonces revisa si estos servidores an estn
disponibles y si existe una conexin.

Paso 4
Ingrese un nombre claro y con significado para esta conexin de Router, e.j. "Conexin de Internet via router de la
compaa". Ingrese el nombre en el campo adecuado y pulse Finalizado. Su conexin de Internet est ahora
instalada.
2.2.4 Falla-cada (Conexin-de respaldo)
Si ya se configur una conexin de Internet y desea configurar otra conexin, es posible configurarla como una
conexin de respaldo. La conexin de respaldo es seleccionada si la conexin principal est cancelada. En cuanto la
nueva conexin se encuentre en funcionamiento, el firewall volver a esa conexin.
Nota
En este caso, una direccin de IP (servidor externo) debe ser ingresada en la conexin principal. (Instrucciones para
configurar un servidor externo estn explicadas en las secciones de los distintos tipos de conexiones-(ISDN, ADSL,
Router).

17 Introduccin
2.2.5 Continuando la Configuracin del Asistente
Paso 1
Ingrese una clave para el Cliente de Administracin en la prxima ventana de dilogo del Configurador de
Asistente. La clave debe contener a lo menos 6 caracteres y puede incluir letras, nmeros y smbolos. Ingrese la
clave en el campo Clave nueva. Confirme esta clave ingresndola en el campo Confirmacin de clave.

Paso 2
Ingrese las funciones para programar la fecha y tiempo del Servidor de Firewall. Seleccione la hora actual de la zona
de tiempo dnde se encuentra o especifique si el tiempo del servidor ser regularmente ajustado por un servidor
programado desde Internet.

Paso 3
Toda la informacin necesaria ya se encuentra ingresada y el Asistente de Configuracin puede ser cerrado.

Paso 4
Si ya se cuenta con un nmero de licencia vlido para el Servidor de Firewall gateprotect, el Filtro de Contenido de
gateprotect o el antivirus gateprotect, se puede ahora activar esta licencia (s) directamente si an no se ha realizado
la operacin. No obstante, tambin se puede seleccionar la opcin de activar ms tarde. Informacin adicional se
puede encontrar en el captulo sobre administracin de licencia y licencia del Servidor de Firewall gateprotect
Captulo 2.5 "Licencia".
La configuracin se ha completado. La informacin de configuracin es ahora trasladada al Firewall y el Cliente de
Administracin gateprotect para la configuracin de interfase.
2.2.6 Primera configuracin en Modo Normal
Si ya se ha realizado la primera configuracin en modo rpido, se puede saltar el prximo captulo.

Paso 1
Seleccione la opcin normal.

Paso 2
Ingrese una clave para el Cliente de Administracin en la siguiente ventana de dilogo del Configurador de
Asistente. La clave debe tener a lo menos 6 caracteres y puede incluir letras, nmeros y smbolos.

Paso 3
Ingrese las funciones para la programacin de la fecha y hora del Servidor de Firewall. Seleccione la hora actual de
la zona de tiempo y especifique si la hora del servidor ser programada para ser ajustada desde el servidor de
Internet.
NOTA
NO ES POSIBLE ACTIVAR EL SERVICIO NTP EN ESTE MOMENTO, POR CUANTO LA CONEXION DE INTERNET HA SIDO INSTALADA EN MODO NORMAL. ACTIVE ESTA OPCION EN EL
CLIENTE DE ADMINISTRACIN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXION DE INTERNET, POR CUANTO NO SE HA INSTALADO NINGUNA CONEXIN
EN MODO NORMAL. ACTIVE ESTA OPCIN EN EL CLIENTE DE ADMINISTRACIN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXIN DE INTERNET.
Paso 4
Toda la informacin necesaria se encuentra ingresada y el Asistente de Configuracin puede ser cerrado.

Paso 5
Si cuenta con un nmero de licencia vlido para el Servidor de Firewall gateprotect, el Filtro de Contenido de
gateprotect o el Antivirus gateprotect, se puede activar ahora la licencia(s) de manera directa si esto an no se ha
realizado. No obstante, tambin se puede activar en otro momento. Se encontrar informacin en la administracin
de licencia y licencia en el captulo sobre Servidor de Firewall Captulo 2.5 "Licencia".

18 Introduccin
La configuracin se ha completado. Los antecedentes de configuracin son transferidos ahora al Firewall y al Cliente
de Administracin gateprotect a la interfase de configuracin.
2.3 Cambios de configuracin
Si desea ajustar el Servidor de Configuracin a sus requerimientos individuales, encontrar mayor informacin en los
temas relevantes y posibilidades de instalacin en los siguientes captulos.
2.4 Licencia
ATENCIN
EL FIREWALL FUNCIONA DURANTE 45 DIAS COMO VERSION DE PRUEBA TRAS LA INSTALACIN DEL SERVIDOR. ESTO SE PODRA OBSERVAR CUANDO SE INSCRIBA PARA COMENZAR EL
CLIENTE DE ADMINISTRACION. CUANDO ESTE PERIODO HAYA CONCLUIDO, EL FIREWALL PERMANECE ACTIVO CON LA CONFIGURACIN, PERO NO SE PUEDEN REALIZAR
MODIFICACIONES Y EL PROTOCOLO HTTP ES BLOQUEADO.
La licencia es administrada por asistente para licencias, ubicado en la pestaa Info del men.

La licencia opera con un archivo .gplf de informacin formateada.
Se puede cargar este archivo al firewall, todos los antecedentes sobre la licencia y licenciado son automaticmente
agregados en el firewall.

19 Introduccin
3 USO DEL CLI ENTE DE ADMI NISTRACION
Se pueden administrar todas las funciones del Servidor de Firewall gateprotect usando el Cliente de Administracin.
Este captulo explica cmo usar este programa, qu posibilidades ofrece el Cliente de Administracin y cmo se
pueden realizar configuraciones bsicas de instalacin.

3.1 Programa interfase y controles
Cundo el programa se inicia se encontrar el escritorio de configuracin. Esta es la interfase de administracin
central, con la cual se pueden realizar todos los ajustes necesarios a las funciones de instalacin del Firewall.

20 Introduccin
3.2 Men del Cliente de Administracin
3.2.1 Menu: Archivo
En el menu Archivo se encontrarn las opciones normales del Windows para abrir, guardar, imprimir y finalizar el
programa. Adicionalmente, existen funciones para crear y subir respaldos del Servidor de Firewall.

Opcin Funcin
Nueva Crea una nueva configuracin de Firewall.
Abrir... Abre una configuracin de Firewall existente directamente conectada desde un Fi-
rewall o desde un archivo de configuracin guardado.
Guardar Guarda la actual configuracin de Firewall directamente a un Firewall conectado.
Guardar como... Guarda la configuracin del Firewall actual directo a un Firewall conectado o en un
archivo de configuracin en el computador o en la red.
Imprimir... Enva a imprimir la configuracin actual, las estadsticas o su monitoreo hacia una
impresora conectada.
Crear Respaldo Crea un respaldo de la configuracin de Firewall en un medio de almacenaje. Use
esta funcin, por ejemplo para recargar una configuracin despus de una nueva
instalacin, o para transferir una configuracin a un segundo Firewall (secundario)
para una solucin de alta disponibilidad.
Importar Respaldo Carga la configuracin de Firewall desde un archivo de respaldo y luego la activa.
Respaldo Automatico
Configura automticamente la funcin de Respaldo Cap. 3.11 Respaldos
Automticos
Reinicio de la
configuracin del
asistente
Inicia el Asistente de Configuracin en modo rpido o modo normal, para crear
una configuracin bsica Chap. 2.3 Primera configuracin del Servidor de
Firewall usando el Cliente de Administracin
Activar Transfiere una configuracin al Servidor de Firewall sin cerrar primero el Cliente de
Administracin .
Idioma Cambia el idioma del Cliente de Administracin
Salir... Cierre el Cliente de Administracin de gateprotect tras exhibir varias opciones para
cerrar el programa en una ventana de dilogo y confirme que se desea salir.

21 Introduccin
3.2.2 Menu: Opciones
Se pueden configurar las funciones del Servidor y del Cliente de Administracin usando el men Opciones.

Opcin Funcin
Firewall Ajusta las funciones generales del servidor a sus necesidades, e.j. red o nombre de
administrador, tarjetas de red, funciones de seguridad para la administracin o
funciones de fecha y hora.
Centro de Comando Ajusta y crea certificados del Centro de Comando
Interfases Configura las interfaces de la red, Interfases V-LANs, Bridges e Interfases VPN-SSL
Routing Administracin de protocolos de ruteo
Administracin de usuario Administra a los usuarios y sus derechos especficos sobre el Firewall
Internet Administra las conexiones de Internet y cambia las instalaciones globales de DNS o
funciones para un DNS dinmico
Proxy Activa y configura las funciones para el HTTP y VolP Proxy para el Servidor de Fi-
rewall Cap. 4 Proxies.
Trfico-Ordenamiento
Configura las funciones para el Ordenamiento del Trfico y Calidad de Servicios
Cap. 7 Ordenamiento de Trfico & Calidad de Servicios.
Alta disponibilidad Define instalaciones para varios Servidores de Firewall que operan como solucin
de alta disponibilidad Cap. 11 Alta Disponibilidad.
DHCP Configuracin de un Servidor DHCP y Rel.
Reportando Administra las funciones de reportes , e.j. las opciones de recepcin para la notifi-
cacin de correos electrnicos y las funciones para las particiones Cap. 13 Re-
portando
Autenticacin de usuario Configura las opciones para la autenticacin del Usuario y registro al HTTP Proxy
Cap. 5 Autenticacin del Usuario
Actualizaciones Administracin de la actualizacin del Firewall

22 Introduccin
3.2.3 Men: Seguridad
Se puede usar este men para administrar las distintas funciones de seguridad del Servidor de Firewall.
Opcin Funcin
URL-/filtro de
Contenido...

Activa y configura las funciones del URL y Filtro de Contenido
Cap. 6 URL- y Contenido-Filtro.
Anti-Spam / Filtro de
Correo

Crea listas blancas y negras para los filtros de spam y ajusta el nivel de sensibilidad
Cap. 15 Anti-Spam/Filtro de correo
Anti-Virus

Activa y administra las funciones para el escaner de Antivirus
Cap. 16 Proteccin de Virus
IDS / IPS

Administra las funciones para Detectar Instrusos y para el Sistema de Prevencin
Cap. 12 Detector y Prevencin
Certificado Abre el certificado de administracin para Autoridades Certificadas, Requerimientos
y Certificados de Administracin
Lista-DMZ Muestra los objetos DMZ
Acceso denegado Muestra una lista de accesos rechazados y permite emitir o rechazar estas conexiones
3.2.4 Men: Funciones VPN
Se pueden administrar las funciones de las conexiones VPN al Servidor de Firewall usando este menu.
Opcin Funcin
PPTP
Activa las funciones PPTP para el Servidor de Firewall Cap. Conexiones 10.2 PPTP.
IPSec

Activa las funciones IPSec y administra las conexiones IPSec
Cap. 10.3 Conexiones-IPSec.
VPN-SSL

Activa conexiones VPN-SSL y administra las caractersticas VPN-SSL y Clien Cap.
10.4 VPN sobre SSL.
VPN Asistente

Crea una nueva conexin VPN e instala todas las confiiguraciones necesarias para
dicha conexin VPN.

23 Introduccin
3.2.5 Menu: Red
Este menu contiene herramientas, que apoyan su configuracin, para pruebas de redes o en la solucin de
problemas y bsqueda de errores.
Opcin Funcin
Ping

Emita un comando PING a un servidor / computador en red o en Internet. Se-
leccione como una opcin si el comando PING debe ser emitido desde un compu-
tador local o desde el Servidor de Firewall.
Traceroute

Emita un comando de TRACEROUTE hacia un computador / servidor en la red o
Internet.
Pregunta nombre ser-
vidor
Preguntas de informacin sobre una direccin con el nombre del servidor.
Anlisis del bloqueo de la
Red
Realiza una revision de un URL o sitio web usando el URL y Filtro de Contenido
Cap. 6 URL- y Filtro-Contenido.
3.2.6 Menu: Ventana
Interacta entre las diferentes ventanas del Clientes de Administracin
Opcin Funcin
Escritorio

Cambia la Configuracin de Escritorio para la administracin de la red y
funciones del Firewall.
Reportes

Cambia a la vista del reporte con actualizadas notificaciones de sistema y de
seguridad.
Estadsticas

Las Estadsticas muestran estadsticas sobre usuarios de carcter general y de
relevancia de seguridad, objetos de red y del Servidor de Firewall.
Monitoreo

Entrega informacin actualizada sobre hardware y sistemas de proceso del
Servidor de Firewall.
3.2.7 Menu: Informacin
Ofrece al usuario la ayuda estndar de Windows y funciones de soporte.
Opcin Funcin-
Manual de usuario Abre este manual
Licencia gateprotect Abre esta ventana de dialogo de licencia para licenciar el Firewall y los
productos UTM
Muestra trminos de licencia Exhibe las condiciones de la licencia en formato de documento PDF.
Sobre Provee informacin sobre el Cliente de Administracin.

24 Introduccin
3.3 La Configuracin de Escritorio
La interfase del usuario muestra la principal area de trabajo del Firewall gateprotect. Usando la configuracin
escritorio; siempre se debe tener una vista completa de toda la red.

Todos los objetos conectados a la red (computadores, servidores, grupos de computacin, usuarios VPN, etc.) son
exhibidos con sus conexiones asociadas.
Objetos nuevos pueden ser agregados en cualquier momento con "Drag & Drop".
Se pueden crear reglas para conexin pulsando simplemente en las intersecciones de las lneas de conexin.
Objetos individuales pueden ser agrupados usando "drag and drop" y configurados de manera conjunta.
Si se arrastra un objeto hacia otro, se consultar si se desea crear un grupo de los dos objetos individuales.
Varios objetos y puntos pueden ser seleccionados simultneamente pulsando en un lugar vaco en el escritorio y
definiendo el rango deseado con el mouse. Objetos individuales y puntos pueden ser agregados a / removidos de la
seleccin usando Ctrl+ botn izquierdo en el mouse.
Ctrl + A selecciona todos los objetos y puntos en el escritorio.
Si es necesario, las lneas de conexin pueden ser resaltadas varias veces para un mayor resultado. Pulse dos veces
en la lnea para crear un nuevo punto de resalto en esta posicin. La regla y los puntos resaltados pueden ser
movidos libremente en el escritorio.
Los puntos finales de una lnea se adhieren a los objetos respectivos, no obstante pueden ser libremente movidos
hacia los costados.
Pulsar dos veces en un punto resaltado (excepto los puntos finales) lo elimina.
3.3.1 Zoom a la interfase de configuracin
El escritorio tiene una function de zoom. Esto apoyado por una miniatura (ubicada en el costado inferior derecho
de la ventana Ver). El escritorio puede ser reducido a un area de entre 30% y 100%. Si el escritorio completo no
est visible, el rango visible se exhibe en un rectngulo azul en miniatura. La miniatura puede ser usada para
navegacin (cundo partes del escritorio no estn visible).

25 Introduccin
3.3.2 Capa

El escritorio tiene varias capas definidas como estndar y varios usuarios. La
capa estndar, llamada la capa base, puede ser reetiquetada pero no
eliminada. Es siempre la primera en la lista.
Las capas definidas para el usuario pueden ocultarse. Esto oculta los objetos
en las respectivas capas y todas sus lneas asociadas. El rden de las capas
definidas como usuarios puede ser modificadas en cualquier momento. Las
capas definidas como usuarios pueden ser eliminadas. Sus objetos migran
hacia la capa base.
Los Objetos pueden ser movidos libremente en todas las capas. Las
excepciones son los objetos de INternet. Ellos estn siempre en la capa base.
Los Objetos en una capa inferior son desplegados al final en el escritorio y
cruzados con objetos de una capa superior.

3.3.3 Barra de herramientas
Para crear un objeto en la configuracin del escritorio, pulse el objeto deseado en la barra de herramientas, man-
tenga el botn del mouse apretado y arrastre el objeto hacia la configuracin de escritorio. Dependiendo del tipo de
objeto, una ventana se abre automticamente para ingresar la informacin para el objeto.
Para eliminar un objeto de la configuracin de escritorio, pulse el objeto con el botn derecho del mouse y seleccine
el item Delete en el men.

Smbolo Funcin

Herramienta de seleccin
Todas las acciones pueden ser desarrolladas en el Escritorio de Configuracin con la
herramienta de seleccin. Se pueden agregar smbolos, mover objetos o seleccionar ciertas
funciones.

Herramienta de Conexin
Se pueden conectar los smbolos entre ellos en la configuracin de escritorio usando la
herramienta de conexin. Primero pulse el smbolo de la herramienta de conexin, luego el
primer smbolo y luego en el segundo. Los dos smbolos son connectados entre s y el editor de
reglas se abre automticamente para determinar las reglas de conexin.

26 Introduccin
Smbolo Funcin

Internet
Pulsando dos veces en el objeto se puede configurar su conexin de Internet.

Equipos
Arrastre una pieza (computador, servidor, impresora de red, laptop o telfono IP) hacia el
Escritorio de Configuracin e ingrese caractersticas adicionales de los objetos en la ventana
dilogo.
Naturalmente, se puede reparar una pieza del equipo eligiendo el tpo de objeto usando uno
de los botones en las caractersticas de la ventana dilogo de objeto..

Grupo
El objetivo de un grupo de computadoes es una configuracin clara y simple. Varios
computadores en un departamento pueden ser configurados al mismo tiempo. Cada
computador recibe todos los derechos que su grupo posee.
Arrastre un grupo al Escritorio de Configuracin, ingrese caractersticas adicionales para el
grupo en la ventana dilogo y cree nuevos objetos al interior de este grupo.
Arrastre objetos individuales que ya se encuentran en el Escritorio de Configuracin hacia el
smbolo del grupo con el mouse para asignar este objeto especfico a este grupo.
Un grupo de computadores contiene computadores individuales, los que son manualmente
agregados o directamente aceptados en este grupo desde el Escritorio de Configuracin.

Grupo
Para un grupo de red, seleccione una tarjeta de red del Servidor de Firewall y todos los
computadores conectados entonces pertenecern a este grupo.
El modo Rango-IP permite configurar una direccin de inicio y trmino. Si el servicio DHCP es
configurado por esta interface, tambin es posible elegir este rango.

Computador VPN y servidor VPN
Arrastre un computador VPN hacia el escritorio, especifique funciones de instalacin para
computadores VPN en la ventana de apertura de dilogo y cree una nueva conexin VPN. Ms
informacin en objetos VPN y su instalacin en Cap. 10 Virtual Private Networks (VPN)

Grupo VPN
Arrastre un grupo VPN al escritorio, especifique funciones generales para el grupo VPN en la
ventana de dilogo y agregue el existente usuario VPN a este grupo VPN.
Ms informacin en grupos VPN y su instalacin en Cap. 10 Virtual Private Networks (VPN)

Usuario-VPN
El usuario-VPN puede registrarse via L2TP o XAUTH.

27 Introduccin
Smbolo Funcin

Objeto-DMZ
Tras agregar un Objeto-DMZ en la configuracin de escritorio, el Asistente-DMZ se inicia
automticamente y gua hacia todos los pasos necesarios para la configuracin.

Usuarios
Arrastre un usuario hacia el escritorio e ingrese caractersticias de usuario adicionales en la ven-
tana dilogo.
Ms informacin sobre usuarios y su instalacin en Cap. 5 Autenticacin de usuario.

Grupos usuarios
Arrastre un grupo usuario hacia el escritorio, ingrese mayores funciones para el grupo en la
ventana de dilogo y agregue usuarios existentes a este grupo usuario.
Ms informacin sobre usuarios y sus instalaciones en Cap. 5 Autenticacin de usuario.

Objetos de Notas pueden ser simplemente arrastrados hacia el escritorio. El objeto Notas puede
ser usado para apuntes sobre el escritorio y es guardado junto con la configuracin como
cualquier otro objeto.

Los objetos de Regiones es un asistente para destacar grupos y reas en color. Simplemente
arrastre el objeto hacia el escritorio, seleccione el color y grado de transparencia y asignele un
nombre. Ahora se puede correr el objeto hacia cualquier lugar y adaptar su tamao.
3.3.4 Servicios Activos
En la ventana de Servicios Activos en el costado izquierdo del Escritorio de Configuracin se encontrar una lista de
todos los servicios predefinidos o auto-definidos ingresados previamente a la red. Si se pulsan un servicio desde la
lista con el mouse, todos los objetos y lneas de conexin que incluyan este servicio, sern destacadas en color.
Todos los otros objetos y lneas de conexin permanecen en gris.
3.3.5 Mayor informacin
Si se pulsa un servicio en la lista, un objeto o un usuario en el Escritorio de Configuracin, se ver informacin su-
plementaria en el servicio relevante, objeto o usuario en la siguiente ventana Mayor Informacin.
3.3.6 Bsqueda
En la ventana Bsqueda en el costado derecho del Escritorio de Configuracin se podrn buscar computadores indi-
viduales, usuarios, grupos o conexiones.

Bsqueda de red
Se puede usar la bsqueda de red para buscar en computadores que an no han sido incluidos como objetos inde-
pendientes o como parte de un grupo de computador. Para la bsqueda de computadores que ya estn en el Escri-
torio de Configuracin como objeto o parte de un grupo de computadores marque Exhibir Todo.
NOTA
POR FAVOR NOTE QUE UN COMPUTADOR SLO PUEDE SER ENCONTRADO SI EST EN LA RED Y ACCESIBLE.

28 Introduccin
Si arrastra un computador con un mouse hacia un grupo existente en el Escritorio de Configuracin, este
computador ser automticamente asignado con los derechos de este grupo.

Lista de usuario
La lista de usuario contiene todos los usuarios ingresados (esto concierne a los usuarios ya definidos, no los del
computador). Si se selecciona un usuario con el mouse, se ver en el escritorio el grupo al que este usuario ha sido
asignado.

Bsqueda de escritorio
Se puede hacer una bsqueda de escritorio para buscar entre todos los elementos ya configurados en toda la
Configuracin de Escritorio. Los resultados de la bsqueda como se exhibe en una lista expandible clasificada por
grupo o tipo de objeto.
3.3.7 Barra de estado
La barra de estado al final del Cliente de Administracin muestra ms informacin:
Configuracin actual
Tiempo del Servidor
Usuarios registrados
Direccin IP del servidor de firewall
Nmero de versin y descripcin de versin del Cliente de Administracin
Tipo de licencia

3.4 Reportes
El sistema de despliegue del Cliente de Administracin y los reportes sobre deteccin de intrusos producido por el
1. Se puede acceder al reporte pulsando el smbolo reporte en la barra de herramientas o Reportes desde el menu
principal.
2. La ventana Reporte Actual muestra una lista de los ltimos 30 reportes de sistema del Servidor de Firewall. Los
botones de Reportes de Actualizacin cargan la informacin actual desde el Servidor de Firewall hacia el
mostrario de reporte.

29 Introduccin
3. La ventana de Reporte General contiene una lista de todos los reportes del sistema del Servidor de Firewall que
pueden ser filtrado a travs de distintos criterios:
Por periodo con fecha y hora para inicio y trmino
Por el tipo y estatus del reporte
Por test-usuario definido
Nmero de reportes
4. La ventana del Reporte IDS / IPS nuestra el registro actual de informacin del Sistema de Deteccin de Intrusos y
Prevencin.
3.5 Acceso denegado
Abra el dilogo desde el menu principal Seguridad, luego seleccione Acceso Denegado.

1. Primero actualice la lista pulsando en el botn Actualizacin.
La lista muestra todas las conexiones bloqueadas por el Servidor de Firewall. La flecha roja o verde en la columna
Servicio muestra si el orgen de la conexin est en la red interna (fleche verde) o en la red externa (flecha roja)
para cada conexin rechazada.

2. Si la lista se vuelve dificultosa para ser revisada por contener un alto nmero de conexiones rechazadas, se
puede crear un filtro que solo exhibe algunas conexiones rechazadas. Pulse en el botn Filtro de Despliegue
Filter para hacer esto.

Varias opciones de filtro son ahora desplegadas sobre la lista. Se pueden filtrar las conxiones bloqueadas por puerto
y protocolo, por origen o destino, o por perodo y lmite de nmero de conexiones desplegadas. Las Entradas dobles
son compaginadas y desplegado el nmero de conexiones ignoradas.
3.6 Estadsticas
Para desplegar estadsticas se puede usar el rea de estadsticas integradas en el Cliente de Administracin o el ex-
terno, Cliente de Estadstica instalado de manera separada. Ambos programas tienen el mismo rango de funciones.
No obstante, se puede conectar slo una entidad a la del Cliente de Administracin con el Servidor de Firewall, en
tanto que tantas entidades del Cliente de Estadsticas sean necesarias pueden ser conectadas simultneamente al

30 Introduccin
3.6.1 Posibilidades de Filtro
Se pueden filtrar estos resultados en la parte superior de la ventana de estadsticas dependiendo de la informacin
de estadsticas preparadas:
Escritorio: red completa, usuario o computador
Perodo: 6, 12 o 24 horas, 7 o 14 das, 1, 3 o 12 meses
Perodo auto-definido con datos de fecha y hora de inicio y trmino
Ventana de hora : cualquier hora del da con entradas de inicio y trmino
Acceso rechazado: ingreso o egreso

El botn de Actualizacin sube la informacin actual desde el Servidor de Firewall.
3.6.2 Pginas de Internet - Destacadas
Este diagrama muestra las pginas de Internet visitadas, ordenadas por la cantidad de informacin descargada. Si se
desea bloquear un URL, pulse el boton derecho en la barra y desde el menu de contexto seleccione la correspon-
diente categora de lista negra para el URL
Pulse dos veces en la barra para transferir las estadsticas para el dominio relevante hacia la vista de Usuarios Desta-
cados.
(vea 3.6.6. Listas de Destacados).

3.6.3 URL bloqueados Destacados
Este diagram muestra los URLs bloqueados seleccionados por nmero de intentos de acceso. Si desea desbloquear
un URL, pulse el botn derecho sobre la barra correspondiente y seleccione la categora de lista blanca
correspondeinte para este URL desde el menu. Pulse dos veces en la barra para transferir las estadsticas para el
dominio relevante a la Vista Destacada de Usuario. (vea 3.6.6. Usuarios destacados).
3.6.4 Destacados - servicios
Este diagrama muestra el uso de servicios o protocolos seleccionados por cantidad de informacin. Pulsando dos
veces en la barra transferir las estadsticas para el dominio relevante a la vista de Usuarios Destacados. (ver 3.6.6.
Empleados Destacados).
3.6.5 Destacados IDS/IPS
Este diagrma muestra los eventos registrados por el Sistema de deteccin y prevencin de intrusos, seleccionado por
frecuencia. Si se requiere mayor informacin sobre un evento determinado, pulse en la barra correspondiente. Se
puede acceder a una fuente de informacin en la Internet desde el menu, que provee informacin adicional sobre el
evento relevante.

31 Introduccin
3.6.6 Usuarios - Destacados
Este diagrama muestra cules usuarios han visitado cules sitios de la red, seleccionados por cantidad de
informacin.
3.6.7 Usuarios - Trfico
Este diagrama muestra la cantidad de informacin transferida hacia y desde el Internet por los usuarios.
3.6.8 Defensa Visin general
Este cuadro muestra una cantidad de estadsticas sobre accesos bloqueados, virus encontrado, eventos de Deteccin
de Intrusos y spam durante varios perodos.
3.6.9 Defensa - defensa
Este diagram muestra, dependiendo del periodo seleccionado, el nmero de potenciales ataques repelidos. Los ac-
cesos de entrada se muestran en rojo, los de salida en verde.
3.6.10 Trfico Toda la informacin
Este diagram entrega informacin sobre la cantidad de informacin (trfico), que ha pasado por el Servidor de
Firewall en un perodo definido en todos los protocolos.
3.6.11 Trfico - Internet
Este diagrama entrega la cantidad de informacin (trfico), que ha pasado a travs del Servidor de Firewall en un
perodo definido slo en los protocolos de Internet.
3.6.12 Trfico Correos electrnicos
Muestra el trfico de todos los correos electrnicos que han pasado por el Firewall en un perodo definido.

32 Introduccin
3.7 Firewall
Se pueden ajustar las funciones y hacer cambios hacia o para el servidor usando este menu. Al menu de funciones
se accede a travs de la opcin Funciones de Servidor.
3.7.1 Firewall - Seguridad
Usando la barra de Seguridad en las Funciones de Servidor en la ventana de dilogo, se pueden cambiar las
instalaciones para acceder al Servidor de Firewall desde la red externa o el Internet y expecificar cmo el Servidor de
Firewall debe reaccionar a las consultas de ICMP (e.j. para un comando de PING).
NOTA
ESTAS FUNCIONES SOLAMENTE SE REFIEREN A ACCESO EXTERNO AL SERVIDOR DE FIREWALL. ACCESO DESDE LA RED INTERNA SIEMPRE ES POSIBLE.

En el rea de Acceso especifique que y cmo se puede acceder al
Firewall desde una red externa.

Seleccione una de las opciones desde Denegado, slo VPN o Permitido.

Opcin Funcin
Denegado Slo computadores desde la red interna pueden acceder al Servidor de Firewall
desde el Cliente de Administracin, acceso externo est denegado.
Slo VPN Las mismas funciones como Denegadas, pero el acceso tambin es posible al Servi-
dor de Firewall desde la red externa por VPN.
Permitido Acceso al servidor est permitido desde la red interna y externa.

ATENCIN !
LAS OPCIONES PERMITIDAS SIGNIFICAN UN RIESGO EN LA SEGURIDAD, POR CUANTO PERMITE A LOS ATACANTES TENER ACCESO AL FIREWALL. BAJO ALGUNAS CIRCUNSTANCIAS NO
DEBE SER USADO DE MANERA PERMANENTE.
Por razones de seguridad, el Servidor de Firewall puede ser instalado de esta manera, cosa que el Firewall no
responda a los commandos ICMP (PING).
Seleccione una de las opciones PING (ICMP) desde el rea Denegado, o Permitido.

NOTA
EL BLOQUEO DE COMANDOS ICMP PUEDE INCREMENTAR LA SEGURIDAD DEL FIREWALL. PERO, AL MISMO TIEMPO, IMPIDE CUALQUIER BSQUEDA DE ERROR EN LA RED. SI SE
PRODUCE CUALQUIER ERROR EN LA RED, SE DEBE INSTALAR ESTA OPCION PARA PERMITIR UN ERROR DE BSQUEDA ANTES DE EJECUTAR.

33 Introduccin
3.7.2 Firewall - Fecha
El Servidor de Firewall gateprotect trabaja con reglas tiempo-dependientes. Por esta razn se require instalaciones
correctas de fecha y hora. Se pueden configurar las funciones para usar un servidor de tiempo en la barra Fecha.
1. Seleccione una de las zonas de tiempo desde la lista Zonas de Tiempo.
2. Revise el sistema de tiempo del Servidor de Firewall en los campos de Fecha y Hora.
3. Si usa un servidor NTP, marque Activo en la seccin de servidor NTP.
4. Se puede usar el tiempo del servidor o ingresar un servidor NTP propio a la lista.
a.) Pulse el botn Agregar para agregar un nuevo tiempo de servidor.
b.) Ingrese el nombre del tiempo de servidor en el campo de entrada.
5. Si desea que el tiempo del sistema del Servidor de Firewall este disponible en la red interna, marque Tiempo
disponible a red interna. El Servidor de Firewall entonces trabaja al mismo tiempo que la hora interna del
servidor.

3.8 Interfaces
El dilogo Interfaces puede ser encontrado en Opciones > Interfaces.

En el costado izquierdo hay un rbol que muestra tarjetas de red, VLANs, VPN-SSL-interfases y bridges. Tras
seleccionar una rama en el sitio izquierdo los detalles aparecern en el costado derecho.

34 Introduccin
3.8.1 Interfases de redes
Aqu se pueden modificar distintas funciones.
El estado de actividad de la interfase de la red puede ser modificado
La forma en que la interfase recibe la direccin de IP
Agregando direcciones virtuales de IP
Definiendo el MTU
Estableciendo el color para la configuracin de escritorio
3.8.2 VLAN
VLAN (Virtual Local Area Network) es apoyado como est definido en IEEE 802.1Q. VLAN en una interfase fsica y es
tratado como una interfase-ethernet virtual con las mismas caractersticas como la fsica a la que se encuentra
adherida. Para usar VLANs en el firewall gateprotect se puede seleccionar la interfase VLAN en cada menu donde se
puede seleccionar una tarjeta de red de interfases o un bridge de interfaces. El nombre de una interface VLAN es
creado desde el nombre de la red de interface fsica y el VLAN-ID e.j. eth3.1415.eth3 es el nombre de la
interface fsica y 1415 es el VLAN-ID.

VLAN puede ser creada de dos formas.
Se selecciona VLAN en el rbol en el costado izquierdo y aparece un botn Agregar. Al pulsar en este boton un
nuevo VLAN ser creado. En el sitio derecho se puede definir la instalacin de este VLAN.

Otra forma de hacerlo es arrastrando una tarjeta de Red o bridge de interface en las palabras Interfaces VLAN inter-
faces. En este caso, una nueva VLAN ser creada usando esta interface.

35 Introduccin
Se puede crear una VLAN en los siguientes casos:
Interfaces VLAN pueden ser creadas en interfaces VLAN.
Se puede crear una VLAN en una interface de red que ya es el puerto de una interface bridge.
Se puede crear una VLAN en una interface bridge que ya usa una interface VLAN como puerto.
Se pueden crear interfaces de VLAN en interfaces VPN-SSL.
Se puede crear un VLAN en una interface que es usado para sincronizar alta disponibilidad.
La configuracin de las interfaces de VLAN es ms o menos como la configuracin de un interface de tarjeta de red.
Adems, se debe instalar una ID nica. Esta ID debe estar entre 1 y 4094.
NOTA
SE PUEDE USAR LA MISMA VLAN-ID EN INTERFASES FSICAS MLTIPLES PERO ESTO NO LAS CONECTAR AUTOMTICAMENTE!
Para conectar las VLAN entre s se puede usar routing o bridging.
El uso de un bridge para conectar los VLAN integral a las interfaces de VLAN en un bridge como interfaces comunes
de Ethernet.
Para rutear una VLAN con otra se deben crear conos de escritorio de las VLAN y conectarlas entre ellas.
3.8.3 Bridge (Bridge)
Prximas a las tarjetas de red fsicas incluso las VLAN y las VPN-SSL, pueden ser puertos de un bridge.
Existen mltiples formas para crear un bridge.
Marque interface mltiple. En el costado derecho aparece un botn Crear Bridge. Si se han marcado interfaces que
no son posibles de aadir a un bridge aparecer un mensaje de advertencia.
Se pueden arrastrar y dejar caer las interfaces en la palabra Bridges en el costado izquierdo para crear un nuevo
bridge.
Se puede seleccionar un bridge en el rbol en el costado izquierdo y presionar el botn Agregar. Vea VLAN (3.8.2)

No se puede crear un bridge (bridge) en los siguientes casos:
Los bridges no pueden ser un Puerto de otro bridge.
No se puede crear un bridge en una interfase que es usada para sincronizar alta disponibilidad
Los bridges no pueden usar interfaces que ya estn siendo usadas por otro bridge.
Los bridges no pueden ser creados en interfaces VLAN que son creadas en otro bridge.
Los bridges no pueden usar tarjetas de red de interfaces fsicas cuyos interfaces VLAN son usadas en la config-
escritorio del Cliente de Administracin.
No se puede usar una tarjeta de red y su VLAN en el mismo bridge.
No se puede crear un bridge en un interface que cuenta con una conexin del cliente de administracin.
3.8.4 Interface-VPN-SSL
Para usar la interface VPN-SSL primero se debe crear un tnel VPN-SSL-bridge en funciones VPN > VPN-SSL.
En el dilogo de interfases slo se puede aadir este bridge de interfase VPN-SSL existente. Arrastre y deje caer en
un bridge de interfase o cree un nuevo bridge de interfase y use el VPN-SSL (esto aparece si existe uno) como un
puerto de su bridge.

36 Introduccin
3.9 Instalaciones de Internet
Aqu se configura la conexin al Internet. Se pueden agregar varias conexiones y limitarlas con tiempo. Se puede
instalar una conexin de discado ISDN, una conexin ADSL o una conexin de router. Se debe seleccionar una
conexin router para todas las conexiones que usan una puerta de entrada. La forma de instalar los diferentes tipos
de conexiones se explica abajo. Se puede alcanzar el dilogo de Internet va Opciones > Internet.
3.9.1 Instalaciones generales de Internet
La barra General es usada para agregar una nueva conexin a la lista de conexiones de Internet, eliminar las
conexiones que ya no son requeridas o editar las instalaciones de una conexin.

Balance de Carga (Conexin consecutive)
El balance de carga a travs de varios objetos de Internet es el routing
avanzado basado en las diferentes conexiones de Internet.
Es posible crear diversos objetos de Internet en el escritorio usando
arrastrar y soltar. Para estos objetos de Internet se pueden crear distintas
reglas. El servicio para la regla correspondiente es enrutado en la va de esta
conexin de Internet.

Es incluso posible arrastrar un objeto con varios objetos de Internet. En este caso, los servicios correspondientes son
distribuidos en ambas conexiones de Internet.
NOTA
SI SE REQUIERE EL USO DE UN PROXY, TODAS LAS CONEXIONES DE INTERNET SE CONECTAN AUTOMTICAMENTE AL OBJETO SELECCIONADO.
Paso 1
Para agregar una nueva conexin de Internet, pulse el botn Agregar.
Paso 2
La conexin de asistente de Internet se abre. Siga sus instrucciones hasta que la instalacin de la nueva conexin se
haya completado. Ver captulo 2.3.2 Primera configuracinen Modo rpido.
Paso 3
Si se ha creado una nueva conexin de Internet, se puede asignar esto a un objeto de Internet usando arrastrar y
soltar.
3.9.2 Perodo de tiempo para conexiones de Internet
Para usar diferentes conexiones de Internet en momentos distintos, se pueden restringir usando tiempos.

Para definir perodos para su conexin de Internet, pulse en la
columna Perodo de la conexin correspondiente en la conexin
del dilogo Instalaciones de Internet.

37 Introduccin
Al mantener presionado el botn izquierdo
del mouse y arrastrarlo simultneamente
sobre el campo, se pueden destacar gris
(activo) o blanco (inactivo).

Ms an, se pueden instalar campos
individuales como activo o inactivo con el
mouse o la completa conexin usando los
botones Siempre encendido o Siempre
apagado.

NOTA
LA NUBE DE INTERNET MUESTRA CON ENCENDIDO O APAGADO SI SU CONEXIN DE INTERNET SE HA ESTABLECIDO, O SI EXISTE Y ESTA FISICAMENTE ACTIVA SU
CONEXIN DE ROUTER ENTRE EL FIREWALL Y EL ROUTER. AL PULSAR EN LA NUBE DE INTERNET SE PODRA VER EN LA CONFIGURACIN DE ESCRITORIO UBICADA EN EL COSTADO
INFERIOR IZQUIERDO QUE CONEXIN DE DIRECCIN DE IP TIENE LA CONEXIN-
3.9.3 Instalaciones de DNS en las instalaciones de Internet
Si se establece una conexin de Internet directa, el DNS global se determina por el router / va de salida o como
regla por el proveedor. Si se usa otro servidor DNS, e.j. si opera su propio servidor DNS, se puede ingresar su
direccin en las instalaciones de DNS global del servidor de firewall.
Paso 1
Active el Buscador automtico para un servidor DNS para usar el servidor DNS especificado por el router o el
proveedor.
Paso 2
Si usa un servidor tipo DNS, desactive el Buscador automtico para un servidor DNS e ingrese la direccin IP de por
lo menos un servidor DNS en el campo correspondiente.
3.9.4 Cuentas DNS Dinmico
Para poder conectarse desde la red externa, e.j. por VPN al servidor de firewall, la direccin de IP del servidor debe
ser reconocida en el Internet. Usando el DNS dinmico, el servidor de firewall recibe una direccin fija, e.j.
suempresa.dyndns.org en el internet, incluso si no cuenta con una direccin de IP fija para una procedimiento de
discado de ISDN o DSL, por ejemplo.
NOTA
SE REQUIERE UNA CUENTA DYNDNS CONFIGURADA. MAYOR INFORMACIN EN DNS DINAMICO Y REGISTRO PARA EL PROCESO DE DNS DINMICO PUEDE SER ENCONTRADA
EN E.J. HTTP://WWW.DYNDNS.ORG.
Secuencia de operacin para cuentas DynDNS mltiples:
Paso 1
Crear una o ms cuentas DynDNS con el soporte de un proveedor DynDNS
(e.j. www.dyndns.org).
Paso 2
Instale una o ms conexiones en el firewall.
Paso 3
Instale sus cuentas DynDNS en el firewall.
Para instalar el acceso a DNS dinmico, abra el dialogo Internet en el men principal Opciones.

38 Introduccin

Paso 4
Marque Activar cuenta usando esta cuenta.

Paso 5
Ingrese la informacin proporcionada tras el registro del DynDns
en los campos Tipo de servidor, Nombre del dominio, Nombre de
usuario y Clave.

Paso 6
Si usa subdominios de la cuenta, marque Habilitar wildcards y
seleccione la conexin de Internet deseada.

Tambin se pueden asignar las cuentas de DynDNS en los
dilogos de instalacin de las conexiones de Internet.

3.10 Servidor DHCP
El firewall gateprotect ofrece la habilidad de asignar una direccin de IP junto con otros parmetros de configura-
cin (como gateway, servidor DNS, servidor NTP ) usando un servidor DHCP.
Por otro lado, tambin es posible reenviar un servidor DHCP existente en otras redes para configurar la otra red
(DHCP Rel).

Tambin se puede elegir entre dos modos de operacin:
Servidor
Rel

39 Introduccin
3.10.1 Servidor DHCP
Se puede seleccionar en qu interfase se puede operar el servidor.

Se puede definir un rango de direccin por interfase.
Direcciones fijas usando la direccin MAC puede ser
especificada por interfase.
Direcciones-Esttica IP
El pool de Direcciones-IP asignadas de manera dinmica no debe
contener Direccin-IP estticas. El pool debe ser adaptado para proveer
suficientes direcciones para asignaciones de direcciones-IP estticas.

3.10.2 DHCP Rel
Se pueden seleccionar las direcciones de servidor al que los requisitos DHCP son reenviados.
Las interfases desde las cules los requerimientos DHCP deben ser reenviados adems deben ser seleccionados
(selecciones mltiples son posibles).
3.11 Respaldo automtico
Es posible configurar la creacin de respaldos automticos. Si el menu Archivo > Respaldo automtico se
encontrar en la siguiente ventana.

Aqu se pueden configurar las instalaciones de servidor de
respaldo que est recibiendo. Se puede elegir si se usar FTP o
SCP para transferir el archivo.
ATENCIN SIN DECODIFICAR!!!
En las Instalaciones de Archivo, se puede ingresar el nombre para
el Archivo de Respaldo.
Si se define un nmero mximo de respaldos, un nmero se
adjuntar al nombre del archivo. Tras alcanzar el nmero
seleccionado de respaldos (predeterminado 20), el nmero se
repetir y sobreescribir el ltimo respaldo.
Si se selecciona adjuntar al nombre del archivo, la fecha actual
crea un archivo incluyendo el nombre de un archivo y fecha. La
fecha nunca se repite, por eso los respaldos antiguos no sern
sobreescritos.

Slo es posible seleccionar uno de los puntos.
En las instalaciones de intervalo de tiempo, es posible agregar un gancho para rear un respaldo cuando se salga del
Cliente de Administracin. Este respaldo lleva el nombre del Administrador. Tambin es posible hacer respaldos
programados.

40 Introduccin
El botn Instalaciones de Prueba intenta enviar un archivo (llamado "archivo nombre_prueba ") al servidor de
respaldo ingresado. Si las instalaciones son correctas, aparecer una ventana, con una respuesta positiva y se puede
suprimir el archivo de prueba desde el servidor de respaldo.
3.12 Instalaciones de Routing
Las instalaciones de routing se separan en dos grupos. La administracin de rutas estticas y la administracin de
protocolos de routing como OSPF y RIP.
Las rutas estticas afectan los firewalls y son interesantes para los Administradores de redes ms pequeas.
La administracin de protocolos de routing son ms adecuados para administrar redes mayores con grandes
estructuras WAN.

41 Introduccin
3.12.1 Routes Estticos
Standard-Routing

Se exhiben todos los cuadros de routing que contienen por lo menos un router. El cuadro con ID 254 es la tabla de
routing principal que contiene el router definido por el usuario. Debido a la importancia este router es mostrado al
inicio de la lista. El cuadro 255 contiene routes locales exclusivos para todas las interfases conocidas. Cuadros con
IDSs 1 a 63 para balancear la carga y para las conexiones de Internet. Los routers agregados al cuadro principal
tambin son escritos en este cuadro. Los cuadros 64 a 250 son reservados para los routers con direcciones de
fuentes (Poltica-Routing) y mostrado cuando se agrega un router con fuente direccin-IP.
La columna direccin de destino contiene la direccin-IP del destino del routing. Protocolo muestra quin
agreg el router. Routers con el Protocolo kernel o boot son agregadas por el sistema, routers definidos por los
usuarios son nombrados gpuser. La columna Tipo contiene el tipo de router, en la mayora de los casos, esto de
unidifusin. Puertas de ingreso muestra la direccin-IP de la puerta de ingreso, si se hace roteo a paquetes
cuando el destino no es alcanzable por el vnculo. Interfases muestran la interfase del firewall a travs de las cul
salen los paquetes. Si se entra por una puerta de ingreso, debe ser accedida por la interfase a la cual se encuentra
conectado.

Cada cuadro de routing puede contener reglas-routing, que son parte de la poltica-routing. Las reglas-routing no
pueden ser agregadas de manera explcita, son creadas automticamente si:
Un nuevo router con fuente IP ha sido agregado
Una nueva conexin-Internet ha sido agregada (Balance de carga)

42 Introduccin

En la columna "Match" se escribe el criterio para redireccionar los paquetes-IP hacia otros cuadros.
Si un router es editable o agregable, un icono es la segunda columna que se mostrar.
Fuente (opcional): decide que solo paquetes de una determinada direccin de fuente son ruteados. Mtrico: El
mtrico muestra el costo del router y es interesante en combinacin con los protocolos de routing.
NOTA
ESTAS INSTALACIONES NO SE REQUIEREN NORMALMENTE Y DEBEN SER USADAS BAJO ALGUNAS CIRCUNSTANCIAS.
3.12.2 Protocolos-routing
Introduccin
Routing para protocolos de IP decide el reenvo de los paquetes IP, basados en sus direcciones de destino, en un
ordenador. Los paquetes routers pueden ser paquetes externos de otro ordenador, o paquetes generados de
manera local desde el mismo ordenador.
La manera ms fcil es un cuadro de router de esttica existente en el ordenador, el cul decide sobre la base de la
direccin de destino, las interfases de salida para los paquetes. La configuracin de un routing esttico es tpico para
redes ms pequeas porque en la mayora de los casos hay slo un ordenador actuando como router. (Cap. 3.12.1
Routes de Estticas).
En redes ms grandes es ms diferente, complejo para administrar las configuraciones de rutas estticas porque
cada ruta u ordenador debe ser configurado manualmente. Para tales redes con mltiples rutas, los routers han
compilado protocolos diferentes para un routing dinmico. Cada uno de estos protocolos hace posible que los
routers se comuniquen entre s y publiquen diferencias en la topologa de la red. El administrador de la red no tiene
que configurar cada aparato, porque la diferencia en la configuracin se informa de manera autnoma.
El routing dinmico hace posible, reaccionar en caso de ciertos eventos con un cambio de configuracin. Cuando el
enlace la Red troncal de un router se irrumple, el router puede informar a los otros router para buscar un router
diferente hacia el destino de acuerdo a los protocolos de routing.
"Informacin-Routing " es un router asignado por protocolos de routing.

43 Introduccin
Claves de Autenticacin (son para RIP y OSPF)

Aqu se pueden crear claves para la Autenticacin-Digestiva-de Mensajes con OSPF y RIP. Las claves pueden ser edi-
tadas con un nombre, por ser encontradas fcilmente en los dialogos.
ATENCIN: EL NOMBRE TIENE ESPECIAL RELEVANCIA PARA OSPF, PORQUE EL NOMBRE ES TRANSMITIDO MIENTRAS SE AUTENTIZA Y PUEDE CORRESPONDER A LA CLAVE-ID DE
OTROS ROUTERS OSPF.
Las claves se ingresan en texto y tienen una extensin mxima de 16 caracteres.
Estas claves estn disponibles para autenticacin con md5

Agregando o editando claves

44 Introduccin
Listas de filtros (son para todas las secciones de distribucin de routing)

Crear nuevas listas de Filtros
Estas listas de filtros permiten filtrar la informacin de routing que fueron transferidas via RIP o OSPF. Debido a eso,
slo informacin debidamente especficada puede ser reenviada o almacenada localmente.
NOTA
EL FILTRO DE LA INFORMACIN DE ROUTING NO ES NORMALMENTE REQUERIDA Y SOLO DEBE SER USADA BAJO CIERTAS CIRCUNSTANCIAS.
Una lista de filtro consiste en una o ms reglas. Estas reglas permiten o rechazan el reenvo de la informacin
especifcada usando diversos criterios. Cada lista de filtro recibe un nombre con el cul podr ser referido
posteriormente.

Crear nuevas Reglas y agregarlas a las listas de Filtro existentes
El nombre define la lista de filtro, hacia la cul la regla debe ser
agregada. Se puede elegir, si la regla debe permitir o denegar el
reenvo de la informacin de routing coincidente.

Criterio:
Interfase: Es la Interfase donde se enva la informacin de salida del
routing.
Destino: La direccin de destino de la informacin de routing.
Ruta de salida: La ruta de salida de la informacin de routing.

45 Introduccin
3.12.2.1
3.12.2.2 Instalaciones RIP

Activo activa o desactiva el soporte RIP.
La Actualizacin del timer instala el intervalo (en segundos), en el cul la informacin de routing debe ser enviada a
otro routers RIP en la red. Por defecto 30 segundos. Si se instala un valor alto, demora ms en cambiar la
informacin de routing. Un valor menor aumenta el trfico de la red.
La Validacin de tiempo de espera instala el intervalo, despus del cul los routes RIP fueron invlidados. Si no se
recibe ningna Actualizacin hasta que se alcance el tiempo de espera, el router es suprimido y otros routers RIP
fueron informados respecto de estas circunstancias. El intervalo de Validacin de tiempo de espera debe ser ms
largo que el intervalo de actualizacin.
El tiempo de espera para la Limpieza define en qu intervalo es suprimido un router invlido que fue recibido va
RIP.
Eventos de depuracin enciende la depuracin de eventos RIP como la recepcin de nueva informacin de routing.
Paquetes de depuracin enciende la depuracin de paquetes de RIP trasmitidos y recibidos. La informacin de
depuracin puede ser encontrada en el reporte.
ATENCIN!
ESTA OPCIN SLO SE ACTIVA SI SE REQUIRE LA INFORMACIN PARA DEPURAR. DESACTIVE SI NO SE REQUIEREN.
Via neighbor, se puede ingresar explcitamente al router RIP, que no era accesible va la IP de multi transmisin,
pero si tiene uno que no sea soporte para la IP de multi transmisin, se puede ingresar su direccin aqu.

46 Introduccin
Creacin de una lista de vecino, simple lista de IP

Lista RIP de interfase
El resumen de todas las interfases disponibles y sus actuales instalaciones.

Todas las interfases en el sistema que sean utilizables en RIP estn en la lista aqu. No es posible/necesario agregar o
sumprimir interfases. Aqu se puede activar RIP en interfases que estn en redes con otros routers RIP.
La columna Activar muestra si la interfase tiene el RIP activado o no. Si un interfase es usado por RIP, las
actualizaciones de RIP fueron transmitidas y recibidas usando esta interfase. Si una interfase est marcada como
Pasiva, solo recibe actualizaciones RIP y no las enva.
Horizonte dividido se necesita para prevenir los bucles de enrutamiento en redes ms complejas.
La columna Auth. type muestra si las actualizaciones de RIP fueron transmitidas/recibidas usando autenticacin y si
es as, cul mtodo de autenticacin es utilizado.
Auth. key muestra la clave si se usa autenticacin con texto plano. La utilizacin de la utenticacin MD5, muestra el
nombre de la entrada en la lista Auth.

47 Introduccin
Las interfases disponibles solo pueden ser editadas

Activar activa el interfase para RIP.

Pasivo enciende el modo pasivo (solo cuando se
recibe) y Horizonte dividido activa el lit horizon activa
la funcin de "Horizonte dividido para prevenir los
bucles de enrutamiento.

En el el rea de Autenticacin, se puede seleccionar el
tipo de autenticacin. Si se selecciona plaintext, se
debe ingresar una clave, usando el menu MD5, que
ofrece claves MD5 pre definidas (ver Auth keys).

Reenvo de informacin de ruteo (distribucin del
roteo)

La informacin de distribucin de ruteo son las mismas en RIP, OSPF y en la distribucin de ruta Esttica, por lo que
el dilogo slo se explica una vez.
Los sub items de distribucin de routing definen el objetivo del reenvo; la fuente de contexto del item distribucin
de ruteo.

Existen varias posibilidades para la distribucin de ruteo:
RIP a RIP
RIP a OSPF
RIP a sistema local (esttica)
OSPF a OSPF
OSPF a RIP
OSPF a sistema local (esttica)
Sistema Local (esttica) a RIP y a OSPF

ATENCIN!
LA DISTRIBUCIN DE RUTEO ES IMPORTANTE SLO SI SE DESEA FILTRAR EL REENVO DE LA INFORMACIN DE RUTEO! PARA HACER ESTO, SE NECESITAN LAS LISTAS DE FILTROS. SI NO
SE ESPECIFICAN LAS LISTAS DE FILTRO, TODA LA INFORMACIN DE RUTEO ES REENVIADA, QUE ES HABITUALMENTE EL CASO.

48 Introduccin
Toda la distribucin de ruteo tienen la misma interfase: para este ejemplo, se muestra RIP.

Los filtros previamente creados pueden ser agregados o suprimidos en esta interfase. Se pueden editar en la barra
Lista de Filtros.

Agregar nuevas listas
Este dilogo muestra todos los ingresos que fueron exhibidos en la lista.

49 Introduccin
La interface equivale a agregar un dilogo pero sin casillas ni botones de eleccin.
Los detalles fueron desplegados solo para la lista seleccionada.

3.12.2.3 Instalaciones OSPF
La opcin Activo activa el soporte OSPF.
El Router ID tiene que ser ingresado y debe ser nico. No se debe ingresar una direccin de IP existente o vlida.

Eventos de depuracin se activa, eventos OSPF
(como la cada de un OSPF router) fueron
exhibidos en el reporte sobre depuracin.

Si se activa Depuracin LSA , detalles de paquetes
LSA (Link State Announcement) tambin fueron
exhibidos en el reporte sobre depuracin.

Si Depuracin NSSA es activado, detalles de
eventuales reas de NSSA existentes fueron
exhibidas en un reporte de depuracin.

Si Paquetes de Depuracin es activado, detalles de todos los paquetes OSPF fueron exhibidos en el reporte sobre
depuracin.

ATENCIN!
ACTIVE ESTAS OPCIONES SOLO SI SE REQUIERE DEPURAR Y DESACTIVELOS SI EL PROBLEMA ES SOLUCIONADO.

50 Introduccin
Interfases OSPF, similar a interfases RIP
Todas las interfases en su sistema, que pueden ser usadas por OSPF, estn listadas aqu. No es posible/necesario
agregar o suprimir interfases.

Pasivo indica si una interfase est en modo pasivo o no. Si est, slo recibe paquetes OSPF y no los enva

Tipo Aut.muestra el modo de autenticacin.

Clave Aut. Muestra la clave de modo de texto plano. Si se usa MD5, muestra el nombre de la entrada en la lista de
claves Aut.

Tipo de red muestra el tipo de interfase. En la mayora de los casos, debe ser una transmisin.

Slo es posible editar las interfases disponibles.

51 Introduccin
Instalaciones de interfases OSPF
Barra General

Activar activa OSPF en esta interfase.

En el rea Autenticacin, se puede seleccionar
el tipo de autenticacin como con RIP.
La casilla Pasivo se enciende en el modo pasivo
para que la informacin OSPF slo sea recibida
y no transmitida.

Se pueden definir los Costos para esta
interfase. Mientras ms altos los costos de
ruteo, menor debe ser el uso de esta
interfase. Estas instalaciones son solo
importantes en redes ms complejas.
Intervalos muertos define el intervalo para los
tiempos de espera y los timers inactivos y tiene
que tener el mismo valor en todas las rutas
OSPF en la red.
Prioridad define la prioridad del router OSPF. El
router con la prioridad ms alta se transforma
en el router Designado.

Intervalo Hello define el intervalo en el cual los paquetes de hola fueron enviados a otros routers. Esto informa a los
otros routers sobre la presencia de ste.

Intervalo de retransmisin define el intervalo en que la base de datos de ruteo y los paquetes LSR (Link State
Request) fueron retransmitidos si una transmisin anterior fall.

Retraso de transmisin define el retraso usado para enviar paquetes LSA para que informacin mltiple pueda ser
enviada en un paquete LSA.

Barra Tipo de Red

52 Introduccin
Define el tipo de red de la interfase.

En la mayora de los casos, es siempre
Transmisin.
Punto-a-punto y Punto-a-punto multiple son
solo usados en la configuracin de redes muy
especiales.
Sin-transmisin puede tener sentido si los
paquetes de transmisin/multi transmisin
fueron reenviados en la red conectada.
En este caso, todos los router OSPF tienen
que ser ingresados en la lista Vecino, porque
pueden ser identificados automticamente.

Areas OSPF
Las reas OSPF son unidades locales para agrupar o separar redes.

53 Introduccin
Cada rea OSPF tiene su propio y nico ID que es representado como direccin de ID. Esta direccin de IP no debe
ser existente o vlida. Un caso especial es el rea con la ID 0.0.0.0, este es el rea troncal. Cada rea tiene que estar
directamente conectada a un rea troncal. Si esto no es posible, una conexin directa al rea troncal puede tambin
ser establecida usando un vnculo virtual.
Estas reas pueden usar autenticacin como interfases OSPF.
ATENCIN
LAS INSTALACIONES DE AUTENTICACIN DE LAS INTERFACES SON MS IMPORTANTE QUE LAS INSTALACIN DE LAS REAS.

Tipos de reas existentes:
Normal
NSSA
Stub

Agregue o edite las reas
Barra General

ID es la ID del rea que que puede ser ingresada como
direccin de IP.

Autenticacinn es igual a las instalaciones de interfases
OSPF.

En Interfases Conectadas, se pueden ingresar las
interfases que deben pertenecer a esta rea.

Se pueden resumir redes en Resmenes (Superredes).

54 Introduccin
Las redes exclusivas no fueron anunciadas hacia afuera, sino en el resumen.
Barra Tipo
Aqu se puede seleccionar el tipo de reas.

Porque Vnculos virtuales solo son permitidos en reas
normales, solo pueden ser ingresadas aqu.

NSSA y Areas de Stub pueden definir Costos
predeterminados que fueron asignados al
predeterminado LSA. Con NSSA, tambin se puede
definir el tipo de Traduccin que define la traduccin de
Tipo-7 a Tipo-5 LSA. Siempre: siempre ser traducida.
Candidato: el router OSPF participa en la eleccin
automtica para el traductor. Nunca: no ser traducida.

Vnculo virtual

Direccin es la direccin de IP del router hacia el cual el
vnculo virtual debe ser establecido (este router tambin
tiene una conexin directa al rea troncal). Un vnculo
virtual acta como una interfase OSPF para ofrecer la
posibilidad de una conexin directa al rea troncal.

55 Introduccin
4 PROXI ES
4.1 Introduccin
Un proxy es un programa, que comunica entre un cliente (una aplicacin, e.j. a buscador de web) y un servidor (e.j.
un servidor de web). En el caso ms simple, un proxy simplemente reenva la fecha. No obstante, un proxy
habitualmente llena varias funciones al mismo tiempo, por ejemplo caching (almacenamiento intermedio) o control
de acceso.
El firewall gateprotect ofrece diferentes proxies para diferentes servicios:
HTTP Proxy (protege de amenazas cuando se navega por Internet)
HTTPS Proxy (tambin permite escanear en la bsqueda de virus en pginas web registradas)
FTP Proxy (protege de amenazas cuando se transfiere informacin va FTP)
SMTP Proxy (protege de amenazas cuando se envan y reciben correos electrnicos)
POP3 Proxy (protege de amenazas cuando se reciben correos)
VoIP Proxy (protege de amenazas cuando se usa comunicacin oral en redes de IP)

NOTA
EN CONTRASTE CON VERSIONES ANTERIORES DEL FIREWALL, LA ACTIVACION DE UN PROXY PARA UNA CONEXIN YA NO IMPLICA NAT, SI EL PROXY OPERA EN MODO
TRANSPARENTE. SI DESEA USAR NAT, DEBE SER ACTIVADA DE MANERA SEPARADA.
4.2 Proxy HTTP
El servidor de firewall gateprotect usa el bien probado y extremadamente estable Squid proxy. Acta como un
interfase para el Filtro de Contenido opcional y la solucin de Antivirus. El proxy puede funcionar en modo
transparente o normal y ofrece una funcin ajustable de caching. El proxy HTTP es requerido para usar las
estadsticas de pgina web.
ATENCIN !
EL PROXY HTTP PROXY SLO PUEDE SER USADO COMO FILTRO DE SALIDA Y NUNCA DEBE SER USADO EN UN DMZ.
Se puede acceder a las instalaciones de HTTP proxy a travs del Cliente de Administracin Opciones > Proxy > HTTP
barra Proxy.
Para usar el HTTP proxy, se debe seleccionar uno de los siguientes modos:
4.2.1 Modo Transparente
En modo transparente, el servidor de firewall opera automticamente todas las consultas que son hechas usando
puerto 80 (HTTP) a travs de proxy. Los usuarios no tienen que hacer ninguna instalacin adicional en el buscador
de la web.
4.2.2 Modo normal sin autenticacin
En modo normal sin autenticacin, el HTTP proxy del servidor de firewall tiene que estar explcitamente direccionado
hacia el puerto 10080. Todos los usuarios deben entrar este puerto especial en sus instalaciones de buscadores de
internet.
ATENCIN !
POR FAVOR NOTE QUE SLO LOS PAQUETES DE INFORMACIN HTTP SON RUTEADOS A TRAVS DE PROXY. SI UN PROGRAMA O UN ATACANTE INTENTA OPERAR OTROS
PROTOCOLOS A TRAVS DE ESTE PUERTO, ESTOS PAQUETES SERN BLOQUEADOS Y RECHAZADOS.

56 Introduccin
4.2.3 Modo normal sin autenticacin
Este modo require autenticacin de usuario adicional. Aqu se puede escoger entre la autenticacin de usuario local
de gateprotect local y la autenticacin por un servidor de radio externo.
4.2.4 Configuracin del cach
Se puede configurar el cach completo de acuerdo con sus necesidades.
Se puede ajustar el tamao del cach (en MB) y los tamaos mnimos y mximos de los objetos.
4.3 Proxy HTTPS
Si el HTTPS proxy es activado en una lnea de conexin, la conexin HTTPS (inscrita) es administrada por el proxy
transparente en el firewall. Esto significa que el usuario no tiene que hacer ningna instalacin proxy en su servidor
web.
El HTTPS proxy opera como "hombre en el medio"; esto significa que hace sus propias conexiones al buscador de
la web y al servidor de la web. Operando de esta manera, puede revisar contenidos, usar bloqueo de la web, filtro
de contenido y escanear en bsqueda de virus. Las instalaciones para esto fueron heredadas del HTTP proxy.

Slo pginas que han sido firmadas por un CA
enlistado pueden ser visitadas a travs de proxy
HTTPS. No obstante, es posible importar su propio
CA. Los certificados de CA ms comunes para
revisar el servidor de la red son instalados; otros
pueden ser agregados (y adems suprimidos) por
el administrador de firewall. El proxy HTTPS opera
con certificados de servidor de red falsificados
emitidos desde un CA propio en el firewall que es
provisto al buscador de la red.

Este CA debiera ser importado hacia el buscador
de la red. Para este objetivo, puede ser exportado
o reemplazado por un CA auto-creado.

Requerimientos del buscador de la red a nuevos
servidores de red sern inicialmente rechazados.
Todas las nuevas solicitudes fueron presentadas en
una lista desde la cual el administrador slo tiene
que seleccionar la deseada.

Este requerimiento debe ser desbloqueado creando un certificado falsificado de servidor de red.
El periodo de validacin de estos certificados pueden ser libremente seleccionados (predeterminacin de 365 das).
Si el administrador de firewall no desea que sus usuarios se conecten a este servidor de red via HTTPS, el puede
agregar el dominio del servidor de red a una lista negra.

57 Introduccin
Flujo de trabajo del Proxy HTTPS:
Paso 1
El buscador llama a una pgina https://. Una pgina en blanco sera desplegada, pero un requerimiento es enviado
por escrito al Cliente de Administracin.
Paso 2
El Administrador abre el dilogo Proxy en el Cliente de Administracin.
a. El autoriza la pgina. Un certificado de reemplazo es creado.
b. El no autoriza la pgina. La pgina permanece bloqueada.
Paso 3
El buscador llama a la pgina https:// nuevamente.
a. Recibe la pgina con un certificado falsificado.
b. No puede ver la pgina y nunca se hace un requerimiento al Cliente de Administracin nuevamente.
NOTA
SI SE REQUIERE UNA PGINA CUYOS CERTIFICADOS NO HAN SIDO FIRMADOS PORT UNO DE LOS CAS SUSCRITOS, EL CA DEL CERTIFICADO TIENE QUE SER IMPORTADO HACIA EL
DIALOGO PROXY HTTPS POR ANTICIPADO. SI EL CERTIFICADO DE LA PGINA HTTPS ES AUTO-FIRMADA, ESTE CERTIFICADO DEBE SER IMPORTADO PREVIAMENTE HACIA EL
DIALOGO PROXY HTTPS COMO UN CA.
4.4 Proxy FTP
El programa frox, de fuente abierta, acta como Proxy FTP en el servidor de firewall gateprotect. Este proxy acta
como un interfase para la solucin de antivirus y como soporte activo para FTP.
ATENCIN !
EL PROXY FTP SLO DEBE SER USADO COMO FILTRO DE SALIDA Y NUNCA SER USADO EN UN DMZ.
4.5 Proxy SMTP
El pimp de Proxy SMTP Proxy ha sido desarrollado por el AG de gateprotect. Acta como una interface para la
solucin de antivirus y para el filtro de correos no deseados. Es el nico proxy que que se configure en el DMZ con
su propio servidor de correo.
4.6 Proxy POP3
El Proxy POP3 pimp tambin ha sido desarrollado por el AG de gateprotect. Tambin acta como una interfase para
la solucin de antivirus y para el filtro de correos no deseados.
ATENCIN !
EL PROXY POP3 DEBE USARSE SLO COMO FILTRO DE SALIDA Y NUNCA EN UN DMZ.

58 Introduccin
4.7 Proxy VoIP
Con el Proxy VoIP, se puede usar el servidor de firewall
gateprotect como proxy para el procolo SIP. Se encuentran las
instalaciones del Proxy VolP en el Cliente de Administracin
va la barra Opciones > Proxy > VoIP proxy.

4.7.1 Instalaciones Generales
El dilogo proporciona las siguientes opciones:
Opcin Descripcin
Red Interna Aqu se puede seleccionar la red local, para el uso de llamadas telefnicas, desde la lista
de redes disponibles.
Conexin de Inter-
net
Aqu se selecciona la conexin de Internet que el Servidor de Firewall usa para reenviar la
conexin VolP, desde la lista de redes disponibles.

NOTA
PARA PODER USAR EL PROXY VOLP, SE DEBE INGRESAR LA DIRECCIN DE IP DEL SERVIDOR DE FIREWALL GATEPROTECT CON PUERTO 5060 EN SUS APARATOS VOIP. MAYOR
INFORMACIN SOBRE DOCUMENTOS DEL EQUIPO VOLP EST DISPONIBLE.
4.7.2 Proxy SIP
En este dilogo, se puede activar el proxy VolP e instalar las siguientes opciones:
Opcin Descripcin
Proxy SIP Activo Si acepta esta casilla, el servidor de firewall acta como Proxy VolP para el protocolo SIP y
puede ser direccionado en el puerto 5060.
Reenve
informacin a un
SIP externo
Si acepta esta casilla las informaciones en el protocolo SIP son reenviadas a un proxy SIP
externo. Ingrese la direccin de IP y el puerto del proxy SIP externo proxy en el campo
correspondiente.

59 Introduccin
5 AUTENTI CACI N DE USUARIO
5.1 Respaldo tcnico y preparacin
5.1.1 Objetivo de la Autenticacin de Usuario
Usando la autenticacin, las reglas de Firewall pueden ser instaladas no solo para computadores en red, sino para
usuarios individuales independientes del computador.
5.1.2 Respaldo tcnico y preparaciones
La Autenticacin de Usuario ofrece la habilidad para establecer reglar para usuarios individuales y de grupos. El
firewall opera un servidor de red que procesa exclusivamente el registro de usuarios que estn validados por una
autenticacin de dominio. La informacin de inicio de sesin es comparada en el firewall con una base de datos de
usuario local. En caso de error la autenticacin de dominio adicionalmente revisa en bsqueda de un Active
Directory de Microsoft o servidor LDAP abierto usando el protocolo Kerberos. Si la autenticacin es exitosa, la
direccin de IP desde donde provino la solicitud es asignada a las reglas de firewall del usuario. Usuarios inscritos en
la base de datos local del firewall pueden cambiar su clave usando el servidor de la red. La clave puede contener
hasta 248 caracteres. Claves ms largas son aceptadas, pero sern reducidas automticamente. Computadores
especficos como servidores de terminal o servidores para objetivos administrativos son excluidos de la autenticacin
de servidor. Solicitudes de inicio de sesin desde estos computadores sern bloqueadas por el servidor de red y su
dominio de autenticacin. Computadores especficos como un terminal de servidor para objetivos administrativos
pueden ser excludas de la autenticacin de usuario. Solicitudes de inicio de sesin desde estos computadores sern
bloqueadas por el servidor de red y el dominio de autenticacin. El Proxy-HTTP puede ser cambiado a modo normal
para obligar a los usuarios en un servidor de terminal que inici la sesin. En este escenario la solicitud de permiso
es negociada por el Proxy-HTTP y el dominio de autenticacin.
El Proxy-HTTP-Proxy puede ser enviado a modo onormal para forzar a los usuarios en un servidor termina a iniciar
sesin. En este escenario la solicitud de permiso es negociada por el Proyx-HTTP y el dominio de autenticacin.

Inicio de sesin de usuarios locales
El firewall de gateprotect ofrece administracin de usuario local para
empresas ms pequeassin administracin central.

En la primera barra, Lista de usuario, se puede agregar, suprimir o editar a
usuarios de bases de datos locales. Se requerir ingresar un nombre de
usuario y una clave.

Al marcar la casilla Cambiar clave en el prximo inicio de sesin el
usuario debe cambiar la clave en el prximo inicio de sesin. El usuario
sera guiado hacia la pgina de cambio de clave. El dominio de
autenticacin solo acepta iniciar sesin despus que la clave haya sido
exitosamente cambiada.

60 Introduccin
Servidor de autenticacin
En la seccin inferior de la barra Opcin > Autenticacin usuario > Instalaciones se pueden ajustar las instalaciones
para el servidor de autenticacin. La barra de instalaciones permite configurar un servidor de Active Directory de
Microsft o un servidor Open LDAP.

Para el servidor de Active Directory de Microsoft
ingrese la direccin de servidor, Puerto-LDAP,
nombre de usuario y clave del administrador (es
til crear aqu un usuario dedicado) y el nombre
del dominio (e.j. empresa.local).
Para configurar una direccin de servidor de
Open LDAP abierto, Puerto y adicionalmente el
Usuario y Base-DN. La cuenta requiere permisos
de lectura.

Instalaciones generales
En las instalaciones generales se puede activar la autenticacin de usuario. Aqu se instala el modo inicio de sesin y
la opcin inicio de sesin. El modo inicio de sesin se establece segn los mtodos:

Instalaciones Descripcin
Inicio de sesin simple Con inicio de sesin simple cada usuario puede conectarse simultneamente desde
una direccin de IP.
El inicio de sesin simple
con separacin de
sesiones
Separacin de sesiones significa que sesiones anteriores anteriores son solo
desconectadas cuando un usuario se conecta desde una direccin de IP diferente.
En cada sesion sin separacin de cliente en inicio de sesin simple, cada inicio de
sesin siguiente sera rechazada.
Inicio de sesin mltiple
(con advertencia en el
reporte)
Las advertencias son escritas en este reporte de modo inicio de sesin.
Inicio de sesin mltiple Sin inicio de sesin mltiple un usuario puede estar conectado simultneamente
desde hasta 254 direcciones de IP diferentes.
Puerto de red de inicio
de sesin
En este punto, el Puerto-HTTPS tambin puede ser instalado para el inicio de sesin
de red. El puerto estndar 443 es preinstalado por HTTPS.

NOTA
CREEE UN "SUPERUSUARIO" LOCAL. ENTONCES SE PODR ACCEDER A DERECHOS ADMINISTRATIVOS EN EL FIREWALL EN CADA WINDOWS PC. PARA DESBLOQUEARLOS, NO ES
NECESARIO DESCONECTARSE PERO SE ADQUIEREN DERECHOS SOBRE EL CLIENTE. (E.J. RDP).

61 Introduccin
Grupos de Active Directory:
Si se usa un servidor de Active Directory Microsoft para autenticacin, el firewall mostrar el Grupo-AD. Se pueden
usar de manera equivalente a los usuarios. El Active Directory administra los derechos de los usuarrios,
entendindose que los Usuarios-AD deben ser asignados para definir Grupos-AD. Slo los Grupos-AD son
configurados con el firewall.

Instalaciones avanzadas
En la barra de instalaciones avanzadas los servicios Kerberos pueden ser activados y si se requieren los nombres de
dominio y dominio de firewalls pueden ser ajustados. Si se usa la clave Kerberos sta puede ser importada aqu.
Finalmente se cuenta con la opcin de desplegar una landing page cuando alguien que no cuenta con autorizacin
intenta acceder al Internet.
5.2 Inicio de sesin
Se puede iniciar sesin por diferentes vas:
Iniciar sesin usando un buscador de red
Iniciar sesin usando la Autenticacin de Cliente
Iniciar session usando ingreso nico
5.2.1 Inicio de sesin usando un buscador de red
Inicio de sesin usando un buscador es muy fcil.
Al inicio, se debe ingresar una direccin-IP del servidor-firewall en el campo-direccin del buscador, por ejemplo:
https://192.168.12.1 (en este ejemplo, se usa el 443 el puerto predefinido)
Despus, es necesario ingresar nombre de usuario y clave. El inicio de sesin est completo despus de pulsar
Conectar. De esta manera la posibilidad de conectarse funciona con cada buscador de red y es codificada con SSL.
La ventana que fue usada para conectarse debe permanecer abierta durante toda la sesin; de lo contrario su sesin
ser cerrada automticamente. Esto es necesario para seguridad cosa que el pc en que un usuario olvid
desconectarse no est disponible para cualquier usuario.
5.2.2 Iniciar sesin utilizando Cliente de Autenticacin de Usuario (Cliente-UA)
Despus de instalar el Cliente-UA, la direccin de IP del firewall, el
nombre de usuario y la clave correspodiente deben ser ingresadas.

Si la clave debe ser almacenada para futuros inicios de sesiones, la casilla
Recordar clave debe ser marcada.

62 Introduccin
5.2.3 Inicio de sesin usando Single Sign On
Single Sign On (SSO) bajo el Firewall de gateprotect significa la conexin por una sola vez de un usuario de dominio
al Active Directory para la creacin simultnea de las reglas del firewall.
Algunas condiciones deben ser cumplidas para implementar un Single Sign On en un ambiente de Active Directory
con el Firewall gateprotect.

Estos incluyen los siguientes pasos:
Creacin de un usuario especial en el servidor de dominio (gpLogin)
Creacin de una clave especial en el Servidor de Active Directory
Preparacin del firewall
Instalacin de la autenticacin de cliente
Probar la configuracin

Creando el usuario especial de "gpLogin"
Es absolutamente necesario crear un usuario especial en el Active Directory. El nombre de principal ser asignado
a este usuario poteriormente. Este principal es entonces la clave actual usada para comunicarse con el firewall. El
usuario no necesita ningn permiso especial por cuanto es slo usado como Pivote para el Principal.
El principal es precisamente la clave usada para comunicarse con el firewall. El usuario no necesita ningn
permiso especial por cuanto se usa solo como pivote para el Principal. Slo basta crear el usuario como usuario
normal de dominio en el dominio. La clave debe tener 8 caracteres para seguridad.

Crear un usuario con nombre y apellido.
El nombre de inicio de sesin tiene que ser gpLogin. Es
importante que el nombre de usuario sea digitado con
L mayscula.
Este usuario es creado como usuario de dominio
normal.
Es importante que la opcin Use tipos de codificaciones
DES para esta cuenta sea activada.

Creando la clave principal
Una clave (principal) debe ser creada en el Servidor de
Active Directory e importada hacia el Cliente
gateprotect Client cosa que el computador cliente
pueda conectarse automticamente al firewall despus
de que se haya producido la conexin del usuario al
dominio de Windows.
El firewall necesita un archivo clave para esto. Se
necesita el programa Windows ktpass.exe para crear
el Principal y este archivo. Este programa est
contenido en el Microsoft Resource Kit.

La sintaxis para crear el archivo clave es:
kt pas s - out key . f w - pr i nc gpL ogi n/ x - s er i es @t es t c ent er . gat epr ot ec t . t es t - pas s hel l o1 -
c r y pt o DES- CBC- CRC - pt y pe KRB5_NT_PRI NCI PAL - mapus er domai n\ gpL ogi n

63 Introduccin
Explicacin de los PARAMETROS
out -> El nombre del archivo principal se establece aqu (Esto sera importado a un firewall despus)
princ -> Username/HostnameoftheFirewall@CompleteDomainName
pase -> Clave del usuario
crypto -> Codificacin de algortmo (siempre qu DES-CBC-CRC)
ptype -> El tipo Principal (siempre aqu KRB5_NT_PRINCIPAL)
usuario de mapa -> Usuario al cual el Principal est asociado.
En este ejemplo, los parmetros aparecen as:
Usuario: gpLogin
Nombre de dominio del Firewall: series-x
Nombre Dominio Completo: testcenter.gateprotect.test
Clave del usuario: hello1

Preparacin del Firewall
La autenticacin de Kerberos puede ser ahora activado bajo Opciones > Autenticacin de usuario > Ingreso Single
Sign On y el archivo clave creado previamente puede ser importado.
(Por favor ponga atencin a las salidas en el reporte si la importacin falla).

Preparacin del cliente de Windows
Hay un directorio UAClientSSO en el medio de instalacin gateprotect. Este contiene tres archivos. El primero es el
UAClientSSO.exe. Dos parmetros deben ser provistos cuando se inicie el programa. El primero es esl nombre de
dominio del firewall (bajo Instalaciones > Autenticacin de usuario > Single Sign On) y la segunda es la direccin de
IP en el firewall.
EJEMPLO
C:\PROGRAM FILES\GATEPROTECT\UACLIENTSSO.EXE X-SERIES 192.168.0.1
(PROBABLEMENTE CONSTITUYE EL ATAJO MS FCIL DE REALIZAR UTILIZANDO ESTOS PARMETROS)

El Segundo archivo es UAClientSSOSetup.exe.
Este programa instala el UAClientSSO.exe as c:\Program Files\gateprotect\UAClientSSO.exe.
Ambos parmetros deben tambin ser proporcionados aqu.

El tercer archivo es UAClientSSO.msi.
Esta es la rutina de instalacin como un archivo MSI que puede ser distribuido a los computadores de manera
automtica va distribucin de software (normas de grupo).
Ambos parmetros deben ser proporcionados aqu. No es posible pasar parmetros a archivo MSI.
NOTA
COPIE UACLIENTSSO.EXE A RED COMPARTIDA "NETLOGON" DEL SERVIDOR DE AD Y CONFIGURE UN INICIO DE CONEXIN DE RED.
EJEMPLO
.INICIO ERROR! REFERENCIA DE HIPERVNCULO NO VLIDA.SERVIDOR>\NETLOGON\UACLIENTSSO.EXE <HOSTNAMEFIREWALL> <DIRECCIN IP DEL FIREWALL>

Resolviendo problemas
Si ha seguido los pasos, es momento de comprobar las instalaciones.

64 Introduccin
Inicio de sesin desde un computador de dominio. Si todo funciona bien, debiera aparecer un cono en la bandeja
del sistema, que muestra la conexin.
En caso de un error, revise todos los pasos de nuevo.
Pruebe la autenticacin sin SSO usando la red de cliente.
Inicio Start UAClientSSO.exe con los parmetros desde lalnea de comando.
Reinicie el cliente Windows.
Revise el reporte de firewall.
Revise la diferencia horaria entre el control de dominio, el firewall y los clientes (el tiempo de Kerberos es muy
crtico; es til usar ahorradores de tiempo). Si del todo no funciona: Elimine el usuario gpLogin y creelo nuevamente.
Despus, cree el archivo clave de nuevo e imprtelo nuevamente.
5.3 Usuarios
Usuarios y Grupos-AD, al igual que los computadores, pueden ser asignados al escritorio como grupos de usuarios
individuales. Entonces se definen las normas para estos objetos, que son asignadas a los usuarios en tanto se
conectan.
Si un usuario se conecta desde un computador, que en s tiene ciertas normas, el usuario est sujeto a las normas
de ese computador como a sus normas personales.
En los grupos de usuario en el escritorio se pueden elegir usuarios desde la lista de Firewall local o desde el Open
LDAP o del servidor de autenticacin Servidor de Active Directory.
Adems existe un Grupo especial de Usuarios por Predeterminacin.
Ningn usuario puede ser agregado a este grupo. Compromete a todos los usuarios que puedan conectarse,
excepto los que no estn en el escritorio como usuarios individuales o miembros de los grupos usuarios. Si un grupo
pretederminado es instalado en el escritorio y tiene normas asignadas, cualquier usuario que se instale
posteriormente en el Servidor de Active Directory es automticamente asignado al grupo usuario. Tras conectarse
este nuevo usuario es entonces automticamente asignado a las normas establecidas. Esto elimina la necesidad de
contar con administracin adicional para cada usuario.
5.4 Ejemplos
5.4.1 Dominio Windows
Si cuenta con un dominio Windows, puede conectar la autenticacin de usuario al Controlador de Dominio de
Windows.
Ingrese la informacin de su controlador de dominio en la barra de Instalaciones del casillero de dilogo
Autenticacin de Servidor. En la lista de usuario se vern todos los usuarios que estn en este dominio. Entonces se
pueden arrastrar los conos de usuario a la Configuracin de Escritorio y asignarles reglas.
El usuario debe ahora llamar la direccin de IP del Firewall con "https" en su buscador y conectar. Si la conexin es
exitosa, las normas del usuario del Firewalls son aplicadas a la direccin de IP proporcionada.
Si el buscador de Window est cerrado la sesion cookie concluye y las reglas expiran.

65 Introduccin
5.4.2 Servidor terminal

Si se usa un servidor terminal, esto se debe remover de la autenticacin de usuario, por cuanto cuando un usuario
est conectado, todos los usuarios adicionales recibirn los mismos derechos que recibi el primer usuario.
Para remover el servidor terminal de la autenticacin de usuario proceda como sigue:
Pulse dos veces en el smbolo servidor terminal en la configuracin de escritorio.
Marque la casilla Excluir este objeto desde la autenticacin de usuario.
Hay un Proxy HTTP no transparente para un servidor terminal. Ajuste el Proxy HTTP no transparente instalado para
este objetivo bajo Instalaciones > Instalaciones Proxy.

NOTA
PARA EL PROXY HTTP EL BUSCADOR DEBE TENER UNA DIRECCIN DE IP FIREWALL EN SU SUBRED Y PUERTO 10080. PARA EVITAR ERRORES DE DESCARGA, ESTA DIRECCIN DE
IP DEBE SER INGRESADA EN EL BUSCADOR ECLUIR ESTA DIRECCIN DE IP DEL PROXY.
Todos los usuarios que ahora se conectan al servidor terminal recibirn primero una notificacin cuando abran el
buscador pidiendo el nombre de usuario y la clave. En cuanto hayan autenticado usando una autenticacin de
usuario local, el Active Directory o el openLDAPA/Krb5, pueden usar el servidor de terminal navegando en el
Internet.
El usuario conectado puede navegar hasta que la ltima entidad de buscador est cerrada. Cuando el buscador sea
reabierto, tambin debern volver a conectarse nuevamente..
Usuarios conectados reciben su instalacin de URL y Filtro de Contenido propio y son conectados a las estadsticas
individuales bajo sus nombres.

66 Introduccin
6 URL FILTRO DE CONTENI DO
6.1 Filtro URL
La funcin del Filtro URL del Servidor de Firewall gateprotect consiste en revisar la direccin de Internet (URL, Uni-
form Resource Locator que contiene nombres de servidor, pasajes y nombres de archivos) recibidos en la informa-
cin de comunicacin HTTP para trminos permitidos y/o no permitidos de acuerdo a su clasificacin en la lista
blanco y negro.
NOTA
LA INFORMACIN DE COMUNICACIN HTTP DE UNA CONEXIN PUEDE SOLO SER FILTRADA ADEMAS POR LISTAS DE URL SI EL USO DE PROXY HTTP ES ACTIVADO EN EDITOR DE
NORMAS PARA ESTA CONEXIN.
Si el URL de un sitio web contiene terminos que no estn en una lista negra, el acceso a este sitio sera bloqueado. Si
ciertos terminos son removidos de la lista de bloqueo, stos pueden ser agregados a una lista blanca.

EJEMPLOS
HTTP://WWW.SERVERNAME.COM/SEX/INDEX.HTML
EL TRMINO "SEXO" EST EN LA LISTA NEGRA. EL URL ENLISTADO ES POR TANTO BLOQUEADO.

HTTP://WWW.SERVERNAME.COM/SUSSEX.HTML
EL NOMBRE DEL SITIO WEB DEL CONDADO SUSSEX TAMBIN CONTIENE EL TRMINO "SEXO" Y PODR POR TANTO TAMBIN SER BLOQUEADO. PARA PREVENIR ESTO, EL TERMINO
"SUSSEX" DEBE SER INGRESADO EN UNA LISTA BLANCA.

Durante la instalacin de las listas negras de Cliente de administracin distintas categoras para el filtro URL son
creadas por gateprotect. Estas catgoras predefinidas y listas pueden ser suplementadas en cualquier momento va
Cliente de administracin y cualquier trmino existente puede ser removido.
Alternando el Filtro URL Filter encendido y apagado
Activar o desactivar las categoras de Filtro URL usando las Normas de Editor:
Paso 1
Pulsar dos veces en una conexin en el Escritorio de Configuracin.
Paso 2
Marcar en la barra URL / Filtro de Contenido en el casillero de dilogo Editor de Reglas.

Paso 3
En esta barra se puede alternar las categoras encendido y
apagado para el Filtro URL individual.
En la columna Filtro URL para cada categora marque para
agregar la categora a la lista negra o blanca.

Paso 4
Para editar las categoras individuals y listas URL, presione el
botn URL / Instalaciones de Contenidos de Filtro.
En el dilogo URL / Contenido de Filtro descrito ms abajo, se
pueden ajustar las categoras y listas del Filtro URL de manera
individual.

67 Introduccin
6.2 Filtro de Contenido
Si los sitios de red no cuentan con trminos comprobables en los URLs, un solo Filtro URL, como est descrito en el
captulo anterior, es insuficiente. Por tanto, como mtodo de filtro adicional, el Servidor de Firewall gateprotect
permite filtrar informacin de comunicacin HTTP usando el contenido de los sitios de red. Para este objetivo, un
Filtro de Contenido es integrado al Servidor de Firewall, que est basado en tecnologas de contenidos de Comm-
touch.
Similares a cada una de las mquinas en el Internet, Commtouch busca sitios web disponibles, los analiza y catego-
riza y agrupa el resultado en una base de datos.

NOTA
TODAS LAS FUNCIONES DEL FILTRO DE CONTENIDO SE DESACTIVARN AUTOMTICAMENTE UNA VEZ QUE LOS 30 DAS DE PRUEBA HAYAN CADUCADO. SI DESEA CONTINUAR
USANDO ESTAS FUNCIONES, SE REQUIERE LICENCIA ADICIONAL PARA EL FILTRO DE CONTENIDO. POR FAVOR CONTACTE NUESTRO DEPARTAMENTO DE VENTAS PARA MAYOR
INFORMACIN SOBRE LICENCIA DE TECNOLOGA DE FILTRO DE CONTENIDO EN EL SERVIDOR DE FIREWALL GATEPROTECT.
6.2.1 Alternando el Filtro de Contenido encendido y apagado
Activar o desactivar categoras de Filtro de Contenido Content usando Reglas del Editor:
Paso 1
Pulse dos veces en una conexin sobre la Configuracin de Escritorio.
Paso 2
Pulse dos veces en la barra URL / Filtro de Contenido Filter en las Reglas del Editor.

Paso 3
En esta barra se pueden ajustar instalaciones generales para el
Filtro de Contenido.
Use la columna de Filtro de Contenido para activar o
desactivar las opciones que corresponden a las categoras
individuales.
Paso 4
Para editar las categoras existentes o las listas URL, pulse el
botn URL / Instalaciones de Contenido de Filtro
(cf. Cap. 6.3 Configure URL y Filtro de Contenido).

6.3 Configure el URL y el Filtro de Contenido
6.3.1 Configuracin usando el URL / dialogo Filtro de Contenido
Se puede usar el casillero de dilogo URL / Filtro de Contenido para
editar, eliminar o agregar categoras
agregar o eliminar terminos en las listas blanco y negro
importar y exportar listas blanco y negro

68 Introduccin
Se puede acceder a este dilogo desde Editor de Reglas como sigue:
Paso 1
Pulse en la barra URL / Filtro de Contenido en el Editor de Reglas.

Paso 2
Pulse el botn URL / Instalacin de Filtros de Contenido para configurar las categoras existentes y listas URL.

El dilogo URL / Filtro de Contenido Filter se exhibe.

Instalacin Descripcin
Registros annimos Marque esta casilla para no conectar nombres de usuarios conectados en la
interfase de la red. Esto desactiva las estadsticas para usuarios en administracin
de usuarios. No obstante, las estadsticas en niveles de IP continan.
Categoras Las Categorias entregan detalles de las categoras proporcionadas por gateprotect
y creadas y editadas personalmente. En cada caso, la categora consiste en una
lista blanco y negro y una seleccin de grupos de contenido.
Filtro URL La seccin de Filtro URL muestra todos los ingresos de las listas blanco y negro de
cada categora seleccionada.
Negro Se pueden ingresar los trminos propios en el casillero de texto Negro y agregu-
los a la lista negra pulsando la tecla +.
Blanco Puede ingresar sus trminos propios en el casillero de texto Blanco y agregulos a
la lista blanca pulsando la tecla +.

69 Introduccin
Instalacin Descripcin
Filtro de Contenido Los grupos de Filtro de Contenido estn proporcionados por Commtouch y no
pueden ser modificados.
Bsqueda de URL Si posee un URL especfico que fue bloqueado, con este buscador se pueden
rpidamente encontrar los terminos en las listas de URL, que le llevarn a un
bloqueo.
6.3.2 Agregar URLs usando el Cliente de administracin o Estadsticas de Cliente
Se pueden crear o editar su propias listas de URL en el dialogo URL / Contenido de Filtro, o directamente desde la
ventana Estadsticas de la Cliente de administracin y Estadsticas de Cliente.
Paso 1
Pulse el boton-derecho en el ingreso adecuado para hacer esto.

Paso 2
Elija desde el menu la categora a la cul la entrada debe ser asignada.

70 Introduccin
7 LAN- ACCOUNTI NG
7.1 Introduccin al LAN-Accounting
LAN-Accounting es la recoleccin de datos de clients relacionados con el uso del servicio de la red. Generalmente
los datos recolectados contienen la duracin y la cantidad de utilizacin de los servicios de red. Estos datos ayudan a
desarrollar sistemas para contabilizar y restringir los servicios prestados. El LAN-Accounting de gateprotect ofrece la
posibilidad de controlar el tiempo y trfico dentro de la red de los usuarios. Se permite la configuracin de los
perfiles en relacin al tiempo y volmen.
7.2 Configuracin del LAN-Accounting
Para acceder al dilogo LAN-Accounting eliga Opciones en el menu principal y haga clic en LAN-Accounting.

7.2.1 Crear un perfil temporal
En el dilogo de configuracin del perfil de tiempo, usted puede elegir el tipo de perfil, siendo cclico o no cclico. El
perfil cclico define una cuota de tiempo en un cclo peridico determinado (por ejemplo 6 horas al da). El perfil no
cclico establece un marco definido de tiempo para que el usuario tenga acceso a los servicio de red.

7.2.2 Crear un perfil de volmen
En el dilogo de configuracin del perfil de volmen tambin puede elegir el tipo de perfil para siendo cclico o no
cclico. El perfil cclo define una cuota de volmen en un cclo peridico determinado (por ejemplo por da / semana
/ mes) y en el no cclico puede establecer un valor fijo. Ambos tipos de perfil ofrecen la posibilidad de diferenciar
entre trfico de carga y de descarga. Despus de la configuracin, los perfiles deben ser asignados a los usuarios.

7.3 Activar el LAN-Accounting
Las configuraciones de LAN-Accounting nicamente se activarn si el correspondiente estado de LAN-Accounting
estn en activo. Para controlar el uso de los servicios de red con marcos de tiempo especfico por da, usted puede
usar el editor de reglas.

71 Introduccin
8 TRAFFI C SHAPI NG & QUALITY OF SERVI CES (QOS)
8.1 Introduccin
8.1.1 Objetivo
El objetivo de moldear el trfico es para reservar el ancho de banda en las lines para servicios importantes o
usuarios preferidos, o contrariamente, para limitar el ancho de banda a determinados usuarios, computadores o
servicios. El Servidor de Firewall gateprotect ofrece dos mtodos para archivar esto; el Traffic Shaping y Quality of
Services (QoS). Los dos mtodos pueden ser usados de manera individual o de manera conjunta.

NOTA
EL TRAFFIC SHAPING IST SLO DISPONIBLE EN LA SERIES-X DEL SERVIDOR DE FIREWALL GATEPROTECT, LAS SERIES A- Y O-SERIES DE LOS SERVIDORES DE FIREWALL
GATEPROTECT SOLO OFRECEN QUALITY OF SERVICE.
8.1.2 Respaldo tcnico
Traffic Shaping y Quality of Service son realizados usando diferentes pautas en el Linux Kernel. As, los paquetes IP
son ordenados de acuerdo a ciertas reglas.
Sin Traffic Shaping y Quality of Service los paquetes son simplemente transferidos en la secuencia de su arrivo y
continan su proceso en la lnea (FIFO, first in first out).
Con Quality of Service, el Firewall gateprotect realiza el llamado Prio-Qdisc en todas las tarjetas de red y en los
tneles VPN para el trfico de redes que ingresa y egresa. Un prerrequisito de Quality of Service son las aplicaciones
o aparatos, como el sistema de telfono VolP, posicin de campo TOS (Type of Service) en los paquetes de
informacin de IP.
El Servidor de Firewall entonces selecciona los paquetes de acuerdo al valor del campo TOS y por ende, a travs de
especificaciones importantes hacia varios puntos con diferentes prioridades. Paquetes de informacin del punto con
la prioridad ms alta son enviados inmediatamente. Paquetes de informacin con puntos con menor prioridad son
slo enviados cuando todos los puntos con mayor prioridad estn vacos. Se puede configurar libremente con
paquetes de informacin tratados con la determinada prioridad.
El Servidor de Firewall gateprotect solo controla Traffic Shaping en las lneas hacia el Internet. Es un prerrequisito
que los anchos de banda de las lneas en la carga y descarga estn instaladas correctamente. Si la ancho de banda
est instalada muy lenta, Traffic Shaping detiene el uso ms que el ancho de banda.
No obstante, si el ancho de banda est muy alto, la lnea de capacidad acta como un factor limitante y pasa por
sobre Traffic Shaping antes que pueda amarrar y regular.
El Traffic Shaping en el Servidor de Firewall gateprotect funciona de acuerdo con el modelo HTB model
(Hierarchical Token Bucket) con hasta dos niveles jerrquicos.
En el nivel superior se pueden especificar de manera separada bandas anchas mnimas o bandas anchas mximas
limitadas garantizadas para cargar y descargar objetos individuales en en escritorio de la Cliente de administracin.
Si no se instalan ancho de bandas mximas, que son inferior que la entera capacidad de la lnea, ancho de bandas
no utilizadas por otros objetos, incluso sobre la ancho de banda mnima garantizada, que a disposicin para otros
objetos que puedan ser usados.
Bajo el nivel del objeto del ancho de banda asignada a un objeto puede ser pasada a diferentes servicios por el
mtodo de nombre, e.j. un mnimo de ancho de banda puede ser garantizada para el servicio individual para el
objeto relevante, o los servicios son limitados por un ancho de banda mxima. Estos valores deben encontrarse
entre los mrgenes de trabajo del ancho de banda configurada por el objeto. Todos los anchos de banda para
Traffic Shapping son especificadas en el Servidor de Firewall gateprotect en Kbit por segundo.
Si Traffic Shaping y Quality of Service son usadas al mismo tiempo, ste permanence en las tarjetas de red interna
en la intranet con el Prio-Qdisc. En contraste, el Quality of Service se comporta de acuerdo al modelo HTB en las

72 Introduccin
lneas de interfases a las lneas de Internet. El Servidor de Firewall define su propia clase HTB en el nivel superior de
los paquetes de informacin con campos TOS establecidos de acuerdo a la configuracin instalada. Entonces, un
mnimo y mximo de ancho de banda debe ser configurada para esta clase, cosa que el trfico de red con campos
TOS configurados de manera diferente sea reenviado adecuadamente a su prioridad.
8.2 Instalando Traffic Shaping
Traffic Shaping est solo disponible en las Series-X y solo en el GPA 400. Se pueden configurar Traffic Shaping via
Instalaciones > Traffic Shaping en la barra Reglas.

Para usar Traffic Shaping primero marque el casillero Traffic Shaping activo.

Hay una barra para cada conexin de Internet (e.j. una conxin de router) con las correspondientes instalaciones de
Traffic Shaping para cada conexin. Se deber detallar primero el rango correcto de carga y descarga para la lnea
en Kbit/s. Estos valores se podrn encontrar por ejemplo en la informacin de su proveedor de servicios Internet.
Existe una lnea para cada item en el escritorio y se pueden ingresar instalaciones para garantizar el rango mximo
de trfico de Internet para este objeto en la carga y descarga. Si se marca la casilla el objeto es includo en el Traffic
Shaping.
Cada lnea puede ser expandida si se pulsa en la flecha anterior a la casilla. Entonces, lneas adicionales aparecen
bajo el objeto de servicios individuales permitidos para el objeto.
La primera lnea en la ventana es reservada para el servicio de Firewall. Son manejadas juntas como un objeto sobre
el escritorio. Si se activa Traffic Shaping para el Servicio de Firewall, entonces se pueden especificar rangos para los
servicios individuales en el Firewall, para cada objeto en el escritorio. Puede ser por ejemplo un rango para la red de
trfico, que es producida en el Firewall por un Proxy.

73 Introduccin
8.3 Instalaciones para Quality of Service
Dependiendo de sus Aparatos, encontrar las Instalaciones para Quality of Service via Opciones > Traffic Shaping
bajo la barra QoS tab o via Opciones > Quality of Service.

Usando la tecla Agregar se pueden definir servicios nuevos, para los Quality of Service que deben ser instalados.
Ingrese el nombre y valor exadecimal de los campos TOS en los campos correspondientes, con la aplicacin o
aparato para el servicio. Informacin relativa a esta documentacin para su aplicacin o dispositivo, o puede
consultar a su fabricante sobre este valor. Como administrador tambin puede grabar el trfico de red producido
por la aplicacin y remover el paquete de informacin correspondiente.
Con varios servicios ingresados, la ubicacin de servicios en la ventana corresponde a su prioridad. El servicio
superior tiene la prioridad ms alta. Cambie la prioridad pulsando un servicio y usando la tecla
Aumente Prioridad o Reduzca Prioridad.
Para usar Quality of Service para el servicio individual, marquee la casilla Activar QoS. Como opcin adicional se
puede decidir si Quality of Service tambin puede ser aplicada al Tnel PPTP. Normalmente, no se requerir esta
instalacin y se puede dejar este campo desactivado.

NOTA
UNA OPCIN ACTIVADA QUALITY OF SERVICE EN PPTP-TUNNELS PONE UNA CARGA SUSTANCIAL EN EL SERVIDOR DE FIREWALL. CUANDO SE ESTABLECE Y CIERRA LA CONEXIN
PPTP, QUE PUEDE PROVOCAR RETRASOS EN EL ESTABLECIMIENTO DE LA CONEXIN DE INTERNET. SI SE DESEA USAR QUALITY OF SERVICE SIMULTANEAMENTE CON TRAFFIC
SHAPING, EL RANGO DE INFORMACIN EN LA TECLA REGLAS DEBE SER MAYOR QUE ZERO PARA ASEGURAR LA CALIDAD DE SERVICIO PARA LA CARGA Y DESCARGA.

74 Introduccin
9 NI VEL DE APLI CACION
La Open Source Project L7-Filter ha sido integrada a un Servidor de Firewall gateprotect como un Filtro de Nivel de
Aplicacin. El Filtro Project L7 ha sido diseado como iptables adicionales e indentifica los protocolos de la siguiente
red de los puestos usados:
HTTP
FTP
POP3
SMTP
DNS
El Filtro de Nivel de Aplicacin analiza los protocolos antes mencionados y asegura que comandos externos crucen
el Filtro.
Se puede acceder a las instalaciones del Filtro de Nivel de Aplicacin can acceso de Application Level Filter a travs
de Reglas del Editor.

Pulse dos veces en una conexcin en el Escritorio de Configuracin.
Las Reglas de Editor comienzan.

Seleccione un servicio, para el cual desea activar o desactivar el Nivel de Aplicacin y pulse en la lista del campo
Opciones Adicionales.

El siguiente dilogo Opciones Adicionales se
exhibe.

75 Introduccin
10 CERTIFI CADOS
10.1 Introduccin
Para asegurar una conexin codificada, el firewall gateprotect usa certificados digitales como los que se encuentran
descritos en el estndar X.509. Esto afecta varias secciones: IPSec y VPN-SSL, la Autenticacin de Usuario en el
firewall, el proxy HTTPS asi como las conexiones desde el Command center hacia los firewalls administrados.
Para administrar los certificados con este objetivo, el firewall gateprotect est equipado con una interfase de
administracin. El firewall en s acta como autoridad de certificacin. Para hacer esto, se requiere del denominado
certificado-CA. Para centralizar la administracin de los certificados, se sugiere crear un certificado-CA en un
firewall central y usarlo para firmar cada certificado usado para la aplicacin. Esto se llama cadena de certificacin
single-staged.
Todos los certificados para aplicaciones deben ser firmados por el firewall central. Si se necesita un certificado para
otro cortafuengo (un outpost), se debe crear una solicitud. La solicitud debe estar firmada por el firewall central. La
solicitud aprobada que se cre debe ser importada por el firewall outpost para ser usada.
Si sus outposts pudieran tener la habilidad de crear certificados esencialmente para objetivos locales que sean
reconocidos como vlidos para su entera organizacin, se pueden usar cadenas de certificacin multi etapas. Para
alcanzar dicha cadena, se requiere de un certificado Root-CA en el firewall central con el cual se firma el certificado-
CA secundario. Se requiere crear solicitudes para estos certificados-CA secundarios en el firewall outpost. Tras
importar los certificados-CA firmados, los firewalls outpost por si mismos pueden firmar certificados para aplicacio.
Para exhibir estas conexiones de manera clara, el firewall gateprotect los exhibe un un esquema-rbol.
10.2 Certificados
Lista de certificados.

Los certificados en negrita son CA que pueden ser firmados por otros certificados.
No es posible tener ms de un CA firmante y un firmante secundario CA adems de los CA para el Command
Center y para el proxy HTTPS.
Si se crea un CA, es automticamente el firmante. Se ver adems la solicitud para el firmante. Se ver adems la
solicitud creada por el firewall. Sern automticamente eliminadas si se importa el correspondiente certificado

76 Introduccin
firmado. Bajo la lista, se encontrarn botones para crear o eliminar certificados. Ms an, un botn para firmar
solicitudes, para importar/exportar, para suspender/devolver y para renovar certificados.
En la barra General hacia el costado derecho, se observa informacin general del certificado seleccionado. Esta
informacin puede ser buscada usando la casilla Buscar que se encuentra ms abajo. En la casilla inferior Alcance,
se observa el objetivo para el cul se puede usar un certificado, y, si aplica, dnde est siendo usado en el
momento. El nombre del certificado es siempre formateado de esta manera: "Nombre Comun [Nmero de Serie]".

Dilogo de Certificados - Detalles
En esta barra se encontrar ms informacin sobre el certificado seleccionado.

Dilogo para eliminacin
Esta lista muestra todos los certificados que son seleccionados o que se encuentran afectados por la accin de
eliminar. Se puede seleccionar una razn. No es posible eliminar un certificado que se encuentre en uso.

77 Introduccin
Dilogo de Exportacin
Es posible exportar certificados usando el formato PEM o el PKCS12. Si se usa PEM, solo se puede exportar la clave
pblica.

El nombre del archivo de exportacin debe ser
entregado. Si se usa PKC12, la clave para el
archivo PKCS12 y el archivo codificado con la
clave privada debe ser entregada tambin. En
ambos formatos toda la cadena de certificacin
(clave pblica) ser exportada.

Dilogo de Importacin
Es posible importar certificados en el mismo procedimiento que se puede usar para exportar.

El formato PEM solo importa claves pblicas.
No obstante, importa toda la cadena de
certificacin para no tener que importar CA y
certificados de manera separada. En el uso de
PKCS12, se necesita la clave para decodificar el
archivo. La clave principal codifica la clave
privada nuevamente en el firewall.

Reanudar dilogo

El certificado seleccionado se renueva. Para esto, el firewall crea
un certificado nuevo usando la misma clave privada e informacin.

78 Introduccin
10.3 Plantillas
El uso de plantillas es una forma de simplicar el proceso de creacin de certificados que utilizan la misma informa-
cin una y otra vez. Despus que una plantilla haya sido creada, ste se puede usar para completar la informacin
en cada certificado de manera automtica. Se pueden crear tantas plantillas sean requeridas y elegir una adecuada
en cada ocasin.
Las barras Plantillas se encuentran en el dilogo Certificados. Todas las plntillas estn listadas aqu.

Agregar/Editar una Plantilla

79 Introduccin
10.4 OCSP / CRL
En casos como la renuncia de un colaborador o la prdida de una clave privada, el certificado correspondiente debe
ser bloqueado para garantizar la seguridad de la compaa. Esto ocurre en el certificado emitido por el firewall. La
eliminacin del certificado en el firewall emisor siempre incluye la revocacin del certificado. Para lograr que el esta-
tus de un certificado sea accesible para otros firewalls incluya siempre la revocacin del certificado. Para que el esta-
tus de un certificado sea accesible a otros firewalls, el firewall gateprotect implementa dos mecanismos distintos.
Usando el Online Certificate Status Protocol (OCSP), el firewall remoto solicita el estatus del certificado desde el
firewall emisor en el momento que el certificado es requerido. Adems, el firewall puede exponer listas revocatorias
(CRLs, Certificate Revocation Lists) en intervalos predefinidos, que pueden ser descargados por los firewalls remotos.
Ahora la aplicacin solo debe revisar si el CRL actual y adecuado enlist el certificado como bloqueado. VPN-SSL
solo sirve de soporte para el CRL.
Para usar el CRL y/o OCSP, el servicio en general debe ser activado una vez con las instalaciones necesarias
(particularmente el Puerto para requerimientos en linea). Mientras se crea o renueva un CA, se debe declarar si los
requerimientos CRLs y/o OCSP deben ser creados/firmados y bajo cul direccin (URL) este servicio debe ser
ofrecido. Estas opciones fueron guardadas en los certificados para que las aplicaciones o firewalls remotos sepan
dnde verificar el estatus de un certificado.

Instalaciones de OCSP/CRL

80 Introduccin
10.5 Reportes para certificados

Es posible recibir un correo para ser informado
respecto de cundo recibir informacin, sobre
cundo expirar un certificado o si ste ya ha
expirado.

Esto se puede configurar via Opciones >
Reporte.

81 Introduccin
11 VI RTUAL PRI VATE NETWORKS ( VPN)
11.1 Introduccin
VPN Virtual Private Network
VPNs son usadas para conectar varias ubicaciones a travs de Internet con el nivel ms alto de seguridad posible.
Usando conexiones codificadas significa que su equipo o el equipo externo tambin tiene acceso directo a su red
corporativa. Ms an, se puede conectar con otras sucursales o casa matriz de su empresa.
Con el Firewall gateprotect se pueden usar los tres protocolos ms amplios de PPT, IPSec y SSL (OpenVPN) para una
conexin segura. Los siguientes tipos de conexiones se encuentran disponibles.

Conexin Cliente-a-Servidor (PPTP/IPSec/SSL)
Desde afuera se instala una conexin a la red corporativa a travs de una conexin cliente-a-servidor.
La autenticacin se hace utilizando un nombre de usuario/combinacin de clave (PPTP) o con IPSec usando
certificados emitidos o los llamados PSK (preshared key). Adicionalmente, con SSL (Open VPN) con certificados.
ATENCIN !
SOFTWARE DE CLIENTE POR SEPARADO (E.J. GATEPROTECT VPN-CLIENT) SE REQUIERE PARA UNA CONEXIN IPSEC CLIENTE-A-SERVIDOR.
Conexin Servidor-a-Servidor (IPSec/SSL)
Con una conexin servidor-a-servidor se conectan dos ubicaciones usando un tnel codificado a una red virtual y se
puede intercambiar informacin por esta va. Las dos ubicaciones pueden tener direccines fijas de IP.
Alternativamente, la conexin adems sirve de soporte para los nombres de dominio DynDNS. Tambin es posible
instalar conexiones IPSec entre dos direcciones dinmicas de IP usando DynDNS.

PPTP
El protocolo PPTP fue diseado para el uso cliente-a-servidor. La seguridad del protocolo depende esencialmente de
la clave seleccionada (una clave es slo considerada segura si consiste de a lo menos seis, o mejor an ocho
caracteres e incluye caracteres especiales, nmeros, maysculas y minsculas.
Una conexin de PPTP es muy fcil de instalar, por cuanto el Cliente ya ha sido integrado en versions recientes de
Windows connection (2000/XP/VISTA/7).

IPSec
La cuenta IPSec posee un nivel de seguridad mayor que PPTP y adems cumple con requerimientos ms altos. Se
necesitan dos VPNIPSec servidores adecuados para una conexin IPSec servidor-a-cliente. Para una conexin cliente-
a-servidor, como se describe arriba, se requerir un software separado para cliente. La configuracin de la conexin
se encuentra descrita en las pginas siguientes.
El firewall gateprotect es capaz de crear y usar conexiones seguras usando el protocol IPSec. Este est basado en en
el modo de tunel ESP.
El intercambio clave puede ser alcanzado usando la version 1 del protocolo IKE o usando el reciente IKEv2,
selectivamente usando Claves Precompartidas o usando X.509 certificados sumisos. Usando IKEv1, es posible
autenticar usando XAUTH. El servidor de firewall es adems capaz de alimentar el IPSec-secured L2TP.

SSL (OpenVPN)
Este tipo VPN ofrece una oportunidad rpida y segura para caputrar un Roadwarrior. La mayor ventaja de SSL
(OpenVPN) es el hecho que toda la informacin de trfico opera a travs de los puertos TCP o UDP y no se requiere
de protocolos especiales como con PPTP o IPSec.

82 Introduccin
11.2 Conexiones PPTP
Es posible crear una conexin PPTP-VPN usando el Asistente VPN (VPN Settings > VPN Asistente). Porque esto es
auto-explicativo, este manual solo describe la conexin de manual de creacin de un PPTP.
11.2.1 Instalacin de conexin manual de PPTP Cliente-a-Servidor
Crear una conexin PPTP
Se requiere un cliente PPTP para poder usar una conexin PPTP (en Windows 2000/XP/VISTA/7 a PPTP el cliente ya
est integrado).
Para instalar una conexin PPTP, seleccione PPTP... desde el men VPN Settings.
El siguiente dilogo aparece:

Marque la casilla Activo. Normalmente no se requiere ajustar las
direcciones de Cliente IP esto adems aplica al Gateway. Si desea una
resolucin de nombre de su dominio Active Directory, debe ingresar
aqu el servidor DNS (normalmente su servidor AD). Si est trabajando
con WINS, se puede adems ingresar aqu el servidor. Ahora se puede
confirmar este dialgo con OK.

Crear usuarios PPTP
Este Firewall est preparado para aceptar el tunel PPTP y para producir las correspondientes reglas. En el prximo
paso se crearn cuentas de usuario PPTP para ser discadas por PPTP. Abra la administracin de usuario.
Pulse en Administracin de Usuario en el menu de Instalaciones.
Pulse en Agregar para crear un nuevo usuario.
Ingrese un nombre de usuario y opcionalmente una
descripcin.
Asegrse que no hayan espacios en blanco en el nombre de
usuario.
Seleccion la barra PPTP.
Marque la casilla Habilite al usuario para conexiones PPTP en
la barra PPTP
Asigne al usuario un Direccin IP, o deje el campo en blanco
para que una direccin de IP del pool de direcciones pueda
ser usada.
Ingrese la clave para conectarse a PPTP y pulse OK.

La instalacin de la cuenta de usuario ha sido completada.

83 Introduccin
Crear un objeto VPN (PPTP)

Arrastre un nuevo computador VPN
Desde la barra de herramientas a la Configuracin de
Escritorio.
Ingrese una descriipcin del nuevo objeto en el casillero de
dilogo.
Marque el casillero PPTP y seleccione un usuario desde el
casillero.

11.3 Conexiones IPSec
Es posible crear una conexin IPSec-VPn usarndo el VPN Asistente (VPN Settings > VPN Asistente). Porque esto es
auto-explicatorio, este manual solo describe la creacin manual de una conexin IPSec.
11.3.1 Instalacin manual de una conexin IPSec
Conexiones IPSec / Instalaciones globales
Este dilogo muestra todas las conexiones IPSec, separadas en conexiones de servidor-a-servidor y cliente-a-cliente
con informacin sobre autenticacin y estatus de la conexin.

Opciones posibles
Habilitado
Permite encender y apagar completamente un IPSec.
Reiniciar IPSec
Reiniciar IPSec, lo que lleva al reinicio de todos los tneles.

Lista de botones con las siguientes acciones (de izquierda a
derecha):
Activar/Desactivar conexiones individuales.
Reinicie las conexiones individuales (los tneles sern
cerrados; iniciar la configuracin si se encuentra
debidamente configurada)
Agregar, remover, editar y exporter desde la conexin IPSec
seleccionada.

84 Introduccin
Client-to-site- General

Nombre
Nombre-definido de usuario para la conexin.

Instalaciones de Interfase
Seleccin de la conexin interfase/Internet
para ser usada por el tunel IPSec.

Red Local
Red Local, que es accesible a travs del tnel.

Instalaciones del cliente
L2TP activa el uso de IPSec/L2TP. De esta manera, la red local queda desactivada, porque el tnel IPSec es solo
usado para paquetes de L2TP y la informacin real es enviada por el tnel hacia el nivel L2TP. Si esto es
seleccionado, una confirmacin aparece activando automticamente el IKEv1, desactiva PFS e instala el Puerto y
restricciones de protocolo a UDP/1701 para mantener la compatibilidad a los clientes de Windows.
Sin L2TP, se puede ingresar una fuente virtual de direccin para el cliente bajo Direccin IP del computador del
cliente, lo que es requerido para el uso de cliente VPN gateprotect VPN.

Servidor-a-Servidor General

Nombre, Instalacin de Interfase settings y red
local de acuerdo con las instalaciones de cliente-
a-servidor.
La Direccin de destino del servidor de IPSec
remoto puede ser una direccin de IP o un
FQDN.
Red remota describe cul red es accesible a
travs del tnel.
Si se active el IP dinmico, la conexin debe ser
iniciada por el servidor remoto. Usando esto, la
Direccin de Destino aparece en gruis y no es
posible iniciar la conexin a travs de este
servidor.

85 Introduccin
Las siguientes opciones son posibles mientras se establece la conexin:
El firewall local no deberia iniciar la conexin el servidor remoto crea el tnel.
El firewall local debe iniciar la conexin si es requerido se instalar una trampa en el ncleo. La trampa inicia la
conexin cuando un paquete debe ser enviado / ruteado lo que, de acuerdo a las instalaciones de red, debe ser
enviado a travs del tnel.
El firewall local debe siempre iniciar el tnel si no est en funcionamiento.
11.3.2 L2TP / XAUTH
Habitualmente las conexiones cliente-a-servidor requieren software de cliente, porque pocos sistemas tienen
soporte incorporado, el L2TP asegura la interoperabilidad de sistemas miscelaneous (como Windows) sin el software
del cliente. Usando el L2TP, se puede crear una conexin de red. Es importante que solo el PAP puede ser usado
para autenticar en el nivel PPP, que eventualmente debe ser activado en el cliente. PAP es habitualmente
considerado como inseguro porque la clave es enviada en texto plano. En este caso es seguro porque la conexin
PPP se establece despus que se ha creado el tnel PSec, que asegura todo el trfico PPP.

Instalaciones L2TP Global L2TP

Pool de direcciones IP
El pool de direccin IP es un rango desde el cual el
cliente recibe su IP. Esto debe ser instalado para usar
el L2TP.

Local server IP
Direccin que es usada por el firewall como direccin de PPP para comunicarse con los clientes. Esto adems debe
ser establecido para usar la direccin de servidor Opcional DNS, que es informada al cliente al iniciar la conexin.
WINS es la direccin de servidor opcional que es informada al cliente durante el inicio de la conexin.

Autenticacin PSK

Va el Identificador se puede definir cules
identificadores fueron usados en vez de la direccin IP.
Aqu aparece la opcin para activar XAUTH (solo con
IKEv1):
Con XAUTH, el firewall puede ser el servidor o la parte
del cliente. Si el firewall acta como servidor, no se
debe instalar nada aqu. Esto aparece en la
administracin de usuario. (Ver captulo 5.3
Usuarios).
Actuando como cliente, se debe ingresar Nombre de
Usuario y Clave para autenticar en el servidor remoto.

86 Introduccin
11.3.2.1 Reglas
Las reglas, que definen qu servicios son accesibles a travs de un tnel, son habitualmente establecidas va objetos
VPN. (grupos VPN para conexiones de serivdor-a-servidor, conexiones VPN computador para cliente-a-servidor). Dos
excepciones son L2TP y tnel XAUTH. Usuarios VPN y grupos VPN fueron creados para manejar estos tipos de obje-
tos.
Utilizando la fecha de usuario adicional (nombre de usuario/clave de XAUTH o conexin PAP de L2TP) se produce la
validacin contra la autenticacin de usuario. Si este proceso es exitoso, las normas de configuracin de escritorio
sern aplicadas a los usuarios especficos.
No cobra relevancia el tnel que est usando el usuario. La conexin es posible en cada tnel que ha activado el
mecanismo de autenticacin adecuado. Se puede rechazar el uso de tneles especficos a usuarios especficos con la
autenticacin anterior ISAKMP.

Certificados - Autenticacin

El certificado debe ser autenticado contra el
cliente remoto. Para este certificado, la clave
privada debe estar disponible.
Se puede elegir entre una autoridad de certificado
y un certificado individual para el cliente remoto:
Si se elige el CA, se requiere de su clave pblica.
Ahora cada certificado (firmado por este CA) es
aceptado para esta conexin. En este caso, no es
necesario importar un certificado para cada cliente
remoto.
Se puede seleccionar un certificado como
certificado. El cliente remoto debe ser propietario
de la clave privada en la iniciacin de la
autenticacin.
Es posible seleccionar los identificadores.

Las siguientes opciones estn disponibles:
Se puede usar el Nombre Distinguido de los certificados, que es la forma inusual de conectarse con las versiones
8.1 y mayores de los firewalls gateprotect .
Nombre Alternativo de Asunto es la manera usual del firewall gateprotect anterior a la version 9.0 usada para
autenticar. Si se desea conectar a una de ellas, se debe usar esta opcin.
Identificadores Indefinidos son posible. Se debe destacar que el identificador ingresado aqui debe ser cubierto por el
Nombre Distinguido o un Nombre Alternativo de Asunto de los certificados cosa que un tnel sea posible, puede ser
til por varias razones editarles manualmente. Adems de la posibilidad de ingresar valores, que son esperados por
productor de terceras partes como pares, se pueden usar wildcards. Por ejemplo, se puede elegir una autenticacin
CA pero limitar el par por un identificador remoto a todos los miembros de una OU (Organization Unit).

87 Introduccin
Codificacin

Se puede elegir entre IKEv1 (Internet Key
Exchange) y su sucesor IKEv2. IKEv2 es ms
rpido mientras se inicia el tnel y se redigita. Se
mantiene IKEv1por razones de compatibilidad;
XAUTH solo es posible con esta versin.
Se puede especificar codificacin y algoritmos de
autenticacin como tambin grupos DH groups
para IKE.

Adems, se puede especificar la Vida til del
ISAKMP-SA. Esto no afecta directamente la
redigitacin. Para prevenir todos los tneles de
la redigitacin al mismo tiempo (lo que
provocara una grave recarga de sistema), el
momento actual es escogido al azar.

Si se escoge IKEv2, Mobile IKE puede ser activado. Esto permite cambiar la direccin IP de un costado sin abortar el
tnel.
Se pueden especificar tambin los algortmos codificacin y autenticacin para modo rpido (para negociacin
IPSec-SA).
Una Vida til para IPSec-SA tambin puede ser especificada. Respecto de ISAKMP-SA, el momento actual de la
redigitacin es escogida al azar.
Si se escoge IKEv1, PFS (Perfect Forward Secrecy) puede ser activado. Esta caracteristica refuerza la seguridad pero
tiene que ser desactivada si el cliente remote no lo apoya (like Windows XP). El uso de IKEv2, PFS siempre se activa.
Si se activa el PFS, un grupo Diffie-Helman puede ser definido por PFS via Grupo PFS.
La siguiente lista muestra todas las codificaciones de soporte, algortmos de autenticacin y los grupos DH:

Algortmos codificados Algortmos de autenticacin Grupos DH
AES 128 SHA 1 Grupo DH 1 (modp 768)
3DES SHA 512 Grupo DH 14 (modp 2048)
Blowfish 128 MD5 Grupo DH 15 (modp 3072)
Blowfish 192 Grupo DH 16 (modp 4096)
Blowfish 256 Grupo DH 17 (modp 6144)
Grupo DH 18 (modp 8192)

88 Introduccin
Instalaciones Avanzadas

Para especificar Puerto y Protocolo se debe usar IPSec. Esto es
til si solo se desean enviar paquetes especficos a travs del
tnel. Para usar L2TP, se debe seleccionar UDP y puerto 1701.

Se puede elegir uno de los Protocolos predefinidos o digitar
uno de los numeros de protocolos que son definidos por IANA.

Por lo menos se puede activar Compresin de Datos que usa
IPComp.

11.4 VPN sobre SSL
Es posible crear una conexin VPN sobre SSL usando el VPN Asistente (VPN Settings > VPN Asistente). Porque esto
es auto-explicatorio este manual solo describe la creacin manual de un VPN sobre una conexin SSL.
VPN sobre SSL ofrece la posibilidad de crear conexiones cliente-a-servidor, conexiones de servidor-a-servidor y SSL
bridges. Esta conexin siempre es basada en certificacin y depende de la administracin de un certificado de
trabajo.
Se pueden establecer instalaciones generales para conexiones cliente-a-servidor, servidor-a-servidor con routing y
conexiones de servidor-a-servidor con bridging via la barra Instalaciones.

Respecto de IPSec, el algortmos codificados puede ser elegido al igual que protocolo y puerto en los cuales el fire-
wall escucha las conexiones entrantes.

89 Introduccin
POR FAVOR NOTE QUE SOLO EL PROTOCOLO TCP ES CONFIABLE SI TIENE MS DE UNA CONEXIN INTERNET CON BALANCEO DE CARGA.
Similar a IPSec, un VPN sobre una conexin de SSL tambin renueva la clave mientras la conexin es establecida pa-
ra aumentar la seguridad. Estos intervalos son libremente configurables para cada tipo de conexin.
En la seccin Routing del dilogo, se pueden especificar rutas para los dos primeros tipos de conexiones que fueron
agregadas a los clientes remotes/cuadro de ruteo de firewalls. Estas rutas aplican a todas las conexiones. Tambin
es posible ingresar por rutas separadas a cada conexin.
La opcin Timeout define despus el tiempo ideal en que la conexin se cierra. 0 significa que nunca ser cerrada.
Si el cliente usa un DNS definido y/o servidor WINS, se pueden ingresar aqu.
El Nivel de registro define cun detallados deben ser los mensajes en el reporte.
Tambin es posible seleccionar un certificado de dominio para conexiones VPN sobre SSL. A diferencia de IPSec,
esto no es solo para una conexin; es para todo el servicio.
Para crear una conexin para el Cliente VPN gateprotect VPN, se debe elegir el tipo de gateprotect VPN Client en el
dialogo VPN sobre la conexin SSL.

El Nombre de la conexin es arbitraria. El certificado debe ser un certificado para el cliente que se cre con
antelacin. Si no se cre uno, se puede hacer ahora usando el botn Administrador de Certificado.
En el campo Redes remotas adicionales, se pueden especificar (adicionales a la ruta general) rutas para esta
conexin como se ha mencionado con anteriordad. La direccin de IP del computador del cliente puede pero no
necesariamente debe ser entregada.
La opcin Default gateway define, si el cliente VPN debe usar el tnel como salida predeterminada o no. Si no se
marca esta opcin, rutas concretas deben ser enviadas al cliente.
Si la conexin tipo servidor-a-servidor es elegida, se puede especificar Redes locales adicionales que antes fueron
tratadas como Redes locales remotas. Esto significa que el firewall remoto agrega rutas a estas redes.
Redes, que estn disponibles va el firewall remoto, deben ser entradas en Redes Remotas.

90 Introduccin
Si la conexin es iniciada por este firewall, se deber ingresar un nombre DNS o una direccin IP en el campo
Servidor VPN Forneo como tambin en el Puerto de Servidor. Intente establecer la conexin para definir la distancia
a travs de la cual el firewall debe intentar conectarse con el servidor remoto. El 0 significa que el firewall lo
intentar siempre.

Si se escoge el tipo de conexin Bridging, se puede asignar la conexin a un bridge existente o a uno nuevo.

11.5 VPN sobre SSL sin salida pretederminada
Usando VPN sobre SSL es posible obligar al cliente a usar el tnel VPN como salida predeterminada. Esta opcin
potencia la seguridad y debiera ser usada en la mayora de los casos porque malware en el cliente ya no permite
enviar informacin a travs de la conexin adicional de Internet adicional que se encuentra disponible.
Si no desea usar esta opcin (e.j. para soporte de un colaborador) los siguientes pasos son requeridos:
Desactive la opcin Default gateway en el Cliente de Administracin de gateprotect usando Instalaciones VPN >
VPN SSL y la debida conexin.
Si el Cliente VPN gateprotect ahora se conecta al firewall, rutas adicional no fueron agregadas al cuadro de ruta del
cliente. Esto tambin significa que el computador del cliente no sabe el camino hacia la red de la empresa. Por tal
motivo, se debe asegurar que se hayan instalado rutas va Redes remotas adicionales o en el VPN general sobre las
instalaciones de SSL.

91 Introduccin
11.6 El Cliente VPN gateprotect
El Cliente VPN gateprotect ofrece un mtodo fcil y seguro para
crear tneles VPN va VPN sobre SSL o IPSec.
Se ha creado una conexin VPN en el servidor de firewall gatepro-
tect usando el VPN client-to-server asistente (con VPN sobre SSL o
IPSec), se debe ser capaz de guardar un archivo de configuracin
VPN en su disco duro o en un aparato removible.
Si se ha instalado el Cliente VPN gateprotect antes, pulsando dos
veces en el archivo de configuracin automticamente se agrega la
conexin al cliente. Tras requerir la clave, el tnel VPN queda es-
tablecido. Cuando se remueve el dispositivo en el archivo de confi-
guracin, el cliente queda desconectado automticamente.

11.6.1 La creacin automatica de una conexin de VPN usando un archivo de configuracin.
Durante la instalacin de una conexin de VPN en el servidor de firewall usando Asistente VPN, se puede guardar la
conexin en una configuracin con clave protegida.
Paso 1
Transfiera al cliente el archivo de configuracin va correo electrnico o va un dispositivo removible.
Paso 2
Abra este archivo pulsando sobre el mismo dos veces.
Esto inicia el gateprotect VPN Client asociado.
Paso 3
Ingrese la clave para el archivo de configuracin.
Paso 4
La conexin VPN se establece y la configuracin est terminada.

Opcionalmente es posible importar el archivo de configuracin hacia el Cliente VPN gateprotect usando el botn
Importar.
11.6.2 Creacin manual o edicin de una conexin VPN
Para crear una conexin VPN manual en el Cliente VPN manual gateprotect, se necesita el certificado del cliente y la
clave pblica de los servidores Certificate Authority (Root-CA). Estos archivos pueden ser creados y exportados
usando el Administrador de Certificados del firewall. Por favor exporte el certificado del cliente usando el formato
PKCS#12.
Para crear una conexin, pulse el botn Nuevo ubicado en la ventana principal del Cliente VPN gateprotect y
seleccione entre conexin SSL y conexin IPSec.
Para editar una conexin existente, pulse en el botn Editar ubicado al costado del nombre de la conexin. El
ingreso de esta clave abre el dilogo de las instalaciones.
POR FAVOR NOTE QUE TODAS LAS MODIFICACIONES FUERON DIRECTAMENTE GUARDADAS EN EL ARCHIVO DE CONFIGURACION (.GPCS).

92 Introduccin
11.6.2.1 Instalaciones de un VPN sobre una conexin SSL

Archivo es el .gpcs-file (gateprotect Connection Settings),
donde todas las conexiones de instalacin
quedan guardadas.
La direccin / IP de dominio del servidor VPN debe ser
ingresada en el campo direccin IP.
Los algortmos Puerto, Protocolo y Codificacin deben
aparearse con las instalaciones en el servidor
VPN.
Agregue los certificados exportados a la conexin.
Se puede agregar una clave al archivo de conexin o
cambiarla. Si se agrega una nueva conexin, deje
en blanco el campo Clave antigua.

11.6.2.2 Instalaciones de una conexin IPSec
Barra Comun
Archivo es el archivo.gpcs-file (gateprotect Instalaciones de
Conexin), donde quedan guardadas todas las conexiones de
instalacin.
El nombre de dominio / direccin IP del servidor IPSec debe ser
ingresado al campo Salida Remota.
Red remota e IP local deben aparearse con la configuracin de
ruteo del servidor IPSec.
Las instalaciones pertenecientes a IKE (Internet Key Exchange)
e IPSec tambin debe aparearse con las instalaciones del
servidor IPSec.
Barra de Identicacin
Se puede usar un Preshared Key (PSK) para asegurar la
conexin pero se recomiendo usar certificados por la
existencia de algunas restricciones y mejores mtodos de
autenticacin.
En la seccin Certificados, se pueden agregar a la conexin los
certificados exportados.
Algunos clientes remotes necesitan (mayoritariamente en conjunto con la autenticacin de PSK) un Identificador
local.
Barra de Clave
Opcionalmente, se puede agregar una clave al archivo de conexin o editarla.
Si se crea una conexin nueva, deje en blanco el campo Clave antigua.

93 Introduccin
12 HI GH AVAILABILITY
12.1 Functionamiento
High Availability (HA) es usado en caso de error del hardware para proveer los servicios del firewall acortando los
tiempos sin la intervencin manual.
La tcnica consiste de un firewall primario y otro secundario conectado a un encadenamiento de monitoreo mutuo
y sincronizando las configuraciones y estatus. Si el firewall principal no funciona, el firewall secundario toma las
tareas; esto se denomina falla. Si el firewall secundario falla, una advertencia aparecer impresa en el reporte del
firewall principal.
En el caso de una falla, el firewall secundario se transforma en el nuevo primario. El nuevo firewall primario asume
toda la configuracin, incluyendo las direcciones de IP y MAC del fallido firewall.
Tras su reparacin, el firewall puede ser reconctado al HA-Cluster. En este procedimiento, mecanismos especiales
aseguran que el nuevo firewall integrado reciba las direcciones secundarias de IP y MAC y solo un firewall es
etiquetado como primario en todas las ocasiones. Esto elmina el riesgo de un conflicto de direccin IP.
Se recomienda el uso de interfaces de red, porque el monitoreo y sincronizacin causan alto trfico de informacin.
Adicionalmente, se recomienda el uso de cables-cruzados porque la fecha no est codificada.
Si se usa solo un vinculo dedicado para el monitoreo y sincronizacin y este falla por alguna razn, los firewalls no
pueden monitorear al otro. Como resultado, ambos firewalls pensarn que el otro ha fallado. En esta situacin
ambos firewalls quedarn en modo primario. Para evitar un escenario as se recomienda usar dos conexiones
dedicados.

12.2 Tiempos de cada durante falla
Los tiempos de cada de las conexiones de informacin directa dependen del tipo de conexin de Internet y si stas
pasan o no a travs de proxy.

La actual version cuenta con las siguientes especificaciones:
Conexiones de informacin directa via conexin de ruta son interrumpidas por un mximo de 4 segundos.
Conexiones indirectas (que pasan por un proxy) son completamente desconectadas pero pueden ser reestablecidas
despus de un mximo de 4 segundos.
Conexiones de informacin via conexiones de discado son completamente desconectadas pero pueden ser
reestablecidas despus de una mxima cantidad de 10 segundos.

12.3 Configuracin
General
Para instalar una de Alta Disponibilidad, se necesitan dos servidores de firewall gateprotect identicos con distintas
direcciones IP. Es importante que tengan el mismo nmero de redes de interfases.
Ambos firewalls necesitan la miisma licencia.
El firewall primario y secundario necesitan tener el mismo nombre de dominio.

94 Introduccin
12.3.1 Direcciones IP de la red de interfases
Como ha sido mencionado con anterioridad, se deben usar a lo menos dos (mximo cuatro) vnculos dedicados para
monitoreo y sincronizacin. Los firewalls son enviados con idnticas redes de interfaces configuradas y necesitan
ser configuradas.
Direcciones IP en el primario y secundario deben ser diferentes. El firewall primario debe tener la primera direccin
de IP de la red usada (e.j. 192.168.0.1) y la direccin IP secundaria debe ser la segunda de la red usada (e.j.
192.168.0.2).
Direcciones IP de las interfases de red dedicada deben estar en la misma subred.
Direcciones IP de la red de interfases de los firewalls primarios conectada a la red local debe ser identica con la
direccin de salida configurada en todos los dominios.
12.3.2 Conectando los firewalls via vnculos dedicados
Las interfases de red para los mismos vnculos dedicados deben ser nombradas de manera identica. Por ejemplo, si
se desea usar eth3 y eth4 en el firewall primario, se les debe conectar a la misma red de interfases en el firewall
secundario. Se recomienda usar cables cruzados para los vnculos dedicados.
12.3.3 Activar el High Availability
Conecte al firewall primario usando el Administration Client. Abra el menu High Availability va Opciones > High
Availability. Ahora marque la casilla Activa y seleccionad el rol Primario para el firewall. Seleccione la red de
interfaces para monitoreo y sincronizacin. Se puede definir si las estadsticas deben ser sincronizadas o no.
Confirme sus actualizaciones con OK. Ahora, conecte el firewall secundario y configrelo de manera similar que el
firewall primario. Despus de unos 60 segundos que ambos firewalls han sido configurados, High Availability se
encuentra en modo operativo.

NOTA
SI LOS FIREWALLS ESTN EN MODO OPERATIVO, UN MENSAJE APARECE EN EL REPROTE. SI LOS FIREWALLS ALCANZAN ESTE MODO, SE RECOMIENDA CREAR UN RESPALDO DEL
FIREWALL PRIMARIO. SI UN FIREWALL FALLA, SE NECESITA RESPALDAR PARA QUE EL FIREWALL EN FALLA QUEDE OPERATIVO. POR FAVOR CONSIDERE QUE NO SE PUEDE CONECTAR
AL FIREWALL SECUNDARIO USANDO EL CLIENTE DE ADIMINISTRACIN.

95 Introduccin
Esta ilustracin muestra el dilogo de configuracin y High Availability.

96 Introduccin
12.4 Editar las instalaciones de High Availability
Mientras los firewalls estn en modo operacional, se pueden editar las instalaciones de High Availability. Para eso,
conctese al firewall primario en Cliente de Administracin. Abra el dilogo de High Availability via Opciones >
High Availability. En este dilogo, se puede elegir si la informacin de estadstica debe ser sincronizada o no.
Confirme su instalacin pulsando OK.
NOTA
CAMBIOS EN LAS INSTALACIONES PROVOCARAN EL REINICIO DE HIGH AVAILABILITY EN AMBOS FIREWALLS.
12.5 Desactivar High Availability
En el modo operacional ya est predeterminados, conctese al firewall primario usando el Cliente de
Administracin. Abra el dilogo High Availability en el menu Opciones. Ahora desactive el casillero Activo. HA
automticamente se desactiva del Firewall secundario. Si el modo operacional no est predeterminado, conctese a
cada uno de los firewalls usando el Cliente de Administracin y desactivando High Availability.
12.6 Cambio de roles
La sobre imposicin de la tarea de firewall primario se llama cambio de rol. Esto ocurre automticamente si el
firewall primario falla. Tambin es posible cambiar roles mientras los firewalls estn en modo operacional. Para esto
se debe conectar al firewall primario usando el Cliente de Administracin y abrir el dilogo High Availability. Ahora
pulse el botn Cambio de Roles.
NOTA
EL CAMBIO DE ROLES NO PUEDE OCURRIR ANTES QUE HIGH AVAILABILITY IS SE ENCUENTRE EN MODO OPERACIONAL. CON FAILOVER EL CAMBIO DE ROLES LLEVA A LA
INTERRUPCION DE LOS SERVICIOS QUE ESTN OPERANDO..
12.7 Comisionar un firewall tras falla
Si uno de los dos firewalls falla cosa que el software de firewall no necesita ser instalado tras la reparacin, no se
requiere de acciones especiales para reiniciar: El firewall automticamente determina su rol HA como asimismo su
MAC y direcciones de IP. Si la falla de un firewall y su reparacin son combinadas con la reinstalacin del software
de firewall, se debe instalar High Avialability en la siguiente forma: Ponga el firewall en una red separada e instale el
software de firewall con el respaldo del firewall primario. Finalmente, pong el firewall devuelta en el grupo de High
Availability y reincielo. El firewall entonces determina su rol HA como tambin su MAC y direcciones IP
automticamente.
NOTA
ANTES DE REINICIAR EL FIREWALL REPARADO EN EL GRUPO ASEGRESE QUE LAS REDES DE INTERFASES ESTN CONECTADAS AL FIREWALL PRIMARIO DE LA MISMA MANERA QUE SE
ENCONTRABAN ANTES DE OCURRIR LA FALLA.
12.8 Reestablecer respaldo o Actualizacin de software
Conctese al firewall primario usando la Cliente de administracin. Abra el dilogo High Availability via el menu
Opciones. Ahora desactive High Availability, esto hace que el firewall secundario est accesible via el Cliente de
Administracin.
Reestablezca el respaldo o aplique un software actualizado en ambos firewalls y suelte las preguntas para reinicio.
Ahora reactive High Availability en ambos firewalls. Despus de alcanzar el modo operacional, ejecute dos cambios
de roles: Aplique un cambio de rol en el firewall primario, ahora el firewall secundario se transforma en el nuevo
firewall primario. Tras alcanzar el modo operacional de HA, ejecute el segundo cambio de rol en el nuevo firewall
primario. Algunas actualizaciones requieren el reinicio de los firewalls. Si un reinicio es necesario aparece en la
descripcin en el menu de actualizacin.
NOTA
ESTE DOBLE CAMBIO DE ROL ASEGURA QUE EL RESPALDO O SOFTWARE DE ACTUALIZACIONES HAYAN SIDO APLICADOS DE MANERA CORRECTA.

97 Introduccin
12.9 Mensajes de Reportes
El flujo de trabajo del High Availability se documenta en un reporte. Normalmente, mensajes consecutivos como los
que se indican aparecen en el reporte tras activar HA:
High availability se ha iniciado, this firewall is primary
High availability started, this firewall is secondary
High availability entered discovery state
High availability entered handshake state
High availability entered heartbeat state
High availability is operational

Los siguientes mensajes pueden aparecer en el reporte tras activar HA si ocurre un error:
High availability started, this firewall is primary
High availability started, this firewall is secondary
High availability entered discovery state
High availability terminates, because roles primary/secondary set incorrectly
High availability terminates, because dedicated links configured incorrectly
High availability terminates, because not all heartbeat connections could be established

Los siguientes mensajes pueden aparecer en modo operacional:
High availability detected dedicated link eth3 has failed
High availability detected dedicated link eth3 is operational again
High availability detected all dedicated links have failed
High availability detected primary firewall failed, making failover
High availability detected secondary firewall failed, restarting with old settings
High availability detected harddisk failure on peer firewall

Los siguientes mensajes aparecer, si un administrador edita las instalaciones en su dilogo High Availability:
High availability is not ready to change settings, try again later
High availability restarts with new settings
High availability temporarily unable to change roles, try again later
High availability reboots this firewall to change roles, as ordered by admin
High availability terminates, as ordered by admin

98 Introduccin
13 I NTRUSION DETECTION AND PREVENTION SYSTEM (I DS/ I PS)
The Intrusion Detection System (IDS) y el Intrusion Prevention System (IPS) son sistemas para reconocer y prevenir
ataques.
Estn basados en la Fuente abierta de anlisis Intrusion-Detection-System Snort y monitorea la informacin de
comunicacin con Internet en ambas direcciones usando reglas de grupos predefinidas, que pueden reconocer
ataques tpicos.

Cada uno de los grupos contiene varias reglas individuales (firmas), que corresponden a patrones de ataques tpicos,
e.j. un trojan, worm u otro ataque. Estas firmas son constantemente cambiadas y deben ser actualizadas
manualmente o automticamente en Intenet.

Para poder realizar el anlisis de los patrones de ataque en el perodo de tiempo ms breve y sin demoras, el sistema
requiere varias ejecuciones y existe mucha demanda de recarga en los recursos del sistema. Se pueden guardar los
recursos del sistema a travs del nmero de reglas y el nmero de sistemas computacionales que deben ser
monitoreados y, si es necesario la cantidad de reportes o notificaciones de IDS/IPS.
13.1 Configuracin de Perfiles IDS/IPS
Se puede alcanzar el casillero de dilogo de configuracin de IDS/IPS seleccionando IDS/IPS desde el menu de
Seguridad principal.
Para configurar el IDS/IPS el Firewall gateprotect usa perfiles. Cada perfil puede ser ajustado y asignado a una red
de interfase. Las reglas de un perfil pueden ser ajustadas a distintos estados. El IPS ofrece 5 estados diferentes,
DISABLE, LOG, DROP, DROP_LOG y REJECT para configurar reglas individualmente, el IDS tiene dos estados
diferentes, LOG y DISABLE. Los estados definen cmo se define el trfico que se apareja con las reglas.
La configuracin IDS tambin contiene un deslizante que puede ser usado para disminuir y aumentar fcilmente la
cantidad de reglas.

Port Scanning
Aqui se pueden desactivar el
puerto de de IDS para aumentar
la actividad del firewall.

99 Introduccin
13.2 Configuracin de Red IDS/IPS Interna/Externa
El IDS/IPS solo produce reportes de alarma si se registran ataques en las direcciones de IP de un grupo determinado
de computadores. Un grupo de computadores puede estar compuesto de computadores individuales o redes
completas que estn ubicadas en el rea protegida de la red.

Se pueden agregar o eliminar redes de
computadores individuales o locales de
la red interna a un grupo de
computadores, o editar los grupos de
computadores usando este casillero de
dilogo. El botn Agregar abre un
dilogo de entrada.

Se puede usar esto para agregar una
direccin de IP de un computador o
subred con una mascara de subred
asociada a la lista.

13.3 Configuracin de Restricciones IDS/IPS
El Intrusion Detection System debe monitorear sistemas de computacin especiales o redes, e.j. un servidor de red,
un servidor de correo o un DMZ en particular. Se pueden ingresar los servicios y direcciones IP para este tipo de
sistema computacional o red en la ventana de configuracin marcada Restricciones.

Direcciones Seleccionadas
Use los botones Agregar, Eliminar y Editar
para administrar los servicios, los que solo
deben ser monitoreados para algunos
computadores.
Pulsando el boton Agregar se abre el
casillero de dilogo Direccin y se puede
ingresar el servicio, la direccin y la
mascara de subred de una nueva entrada.

Instalaciones extendidas y servicios
Si un servicio no funciona en el puerto
estandar del sistema IDS/IPS se pueden
aplicar las reglas a los puertos
prededeterminados.

100 Introduccin
13.4 Activacin del Intrusion Detection and Prevention System
Se puede acceder al casillero de dilogo de configuracin de IDS/IPS seleccionando IDS/IPS desde el menu principal
Seguridad.
Para activar un perfil seleccionado asgnelo a una interfase.

13.5 Las reglas IDS e IPS pueden ser extendidas con reglas predeterminadas.
Estas caracterstica deben ser usadas solo por los administradores que tienen un conocimiento acabado de Snort
based Intrusion Detection/Prevention Systems. Las reglas Predeterminadas pueden potencialmente bloquear todo el
trfico y mostrar la infraestructura de la red como inusable.

13.6 Actualizacin de patrones IDS/IPS
Como los mtodos de ataque estn contnuamente cambiando, e.j. por la explotacin de nuevos espacios de
seguridad, las firmas de Intrusion Detection System and Prevention System debe ser reglarmente actualizadas para
reconocer semejantes ataques. Las instalaciones para estas actualizaciones estn disponibles en la configurecin de
dilogo IDS/IPS en la ventana Actualizaciones. Al cambiar el paso de actualizacin a
http://ipsupdate.gateprotect.com/full es posible alternar desde las reglas bsicas hacia la totalidad de reglas.
RECOMENDADO SOLO PARA EXPERTOS

101 Introduccin

Actualizaciones manuales
Pulse el boton Actualizaciones manuales
para actualizar inmediatamente las
firmas de IDS/IPS. El Servidor de Firewall
se conecta a un servidor de firmas en
Internet y carga desde ahi las firmas
recientes.

Actualizaciones automticas
Se puede especificar una lista de
actualizaciones regulares en la seccin
Actualizaciones Automticas. Abra el
casillero de dilogo Instalaciones de
Actualizaciones usando el boton
Agregar. Desde ah se pueden fijar la
hora, fecha e intervalos de
actualizaciones automticas.

102 Introduccin
14 REPORTE
14.1 General
Se pueden enviar correos a si mismos con extractos del archivo usando Instalaciones > Reporting Settings.

Primero ingrese una cuenta de correo vlida en un
servidor SMTP, al cual los correos de reporte pueden
ser enviados.

Se puede enviar un correo de prueba con el boton
Carta. Esto prueba si las instalaciones se han hecho
todas de manera correcta. No obstante, con este
objetivo, por lo menos una tarea de reporte debe ser
instalada.

Cree cuntas tareas de reporte sean necesarias
pulsando el boton Agregar.

Carcterstica de Reportes
Adicionalmente a las instalaciones generales sobre destinatario y
contenido, es posible seleccionar diferentes intervalos y niveles de
reportes.

Se puede seleccionar el nivel de reporte para todas las secciones
desde el Servidor de Firewall.

Errores y Advertencias & Informacin es el nivel de reporte ms
comprensible.

NOTA
CORREOS PUEDEN AUMENTAR CONSIDERABLEMENTE SU VOLUMEN USANDO ESTA INSTALACIN.
14.2 Particiones
Todas las particiones en el Firewall estn registradas aqu. El Firewall monitorea el nivel de particiones individuales
de manera independiente. Si una particin excede un nivel crtico, se informar via correo. Si se excede un lmite
superior, el Firewall puede dejar disponible espacio del disco a travs de la compresin o eliminacin de entradas
anteriores por ejemplo.

103 Introduccin
Se pueden modificar las instalaciones:
Reportes
Aqu se puede ingresar el nivel en porcentaje,
respecto del cual se desea recibir un reporte. Los
correos de reporte son enviados a cada destinatario
de la informacin del hardware. Instale los correos de
reporte como se describe en el Captulo 13.1.

Liberacin de almacenamiento
Ingrese el porcentaje, al cual el espacio del disco
debe ser liberado. En este caso, solo informacin
Antigua e insignificante ser borrada. Se recibir un
correo con informacin sobre la particin de limpieza
con los correos de reporte desde la categora

Hardware.
Ningn espacio de almacenamiento puede ser removido para particiones con informacin de programa. No
obstante, estas particiones tampoco pueden ser escritas del todo.

14.3 Exportacin de Syslog
El: Syslog es un protocolo basado en TCP/IP para la transmisin de mensajes. El firewall puede ser expandido a uno o
ms servidores de Syslog. Para estos efectos ingrese el servidor Syslog en el Dilogo Syslog bajo Reportando
Instalaciones. Los firewalls de registros sern entonces exportados tambin a servidores ingresados aqu.
14.4 SNMP
Desde la versin 8.0, SNMP cuenta con su MIBs propio (gateprotect) es capaz de enviar traps de SNMP.
Para usar las nuevas MIBS de gateprotect se debera instalar el software SNMP y luego instalar el nuevo MIBs
ubicado en:
http://www.gateprotect.de/snmp/

Las instalaciones SNMP-settings estn ubicadas en
Opciones > Reporte de Instalaciones > SNMP. Aqu
se puede instalar la comunidad y una lista de
dominios que recibirn Los traps de SNMP.

104 Introduccin
En la barra SNMP-traps se puede seleccionar cules traps sern enviadas.

DATO
ENTRE UN EVENTO Y EL SNMP-TRAP PUEDE HABER HASTA 60 SEGUNDOS.

105 Introduccin
15 MONITOREO
15.1 Introduccin
El Monitoreo otorga informacin actualizada del hardware y del sistema.

Se puede usar la lista en el costado izquierdo para decidir cul grupo de sistema de informacin ser desplegado en
el costado derecho.
Se puede actualizar la informacin desplegada de una pgina usado el boton Actualizacin ubicado arriba y, si es
necesario, seleccionar opciones adicionales para la evaluacin:
especifique el periodo de intervalos para estadsticas programadas,
seleccione componentes adicionales si estn disponibles,
exhiba o esconda secciones de evaluacin de grficos, etc.

106 Introduccin
15.2 Componentes exhibidos en monitoreo
Monitoreo Descripcin
Informacin de
hardware
Provee informacin de sistema del Servidor de Firewall, los discos duros, el sistema
RAID (si estn disponibles) y la red, o tarjetas de red.
Recursos del Sistema Provee informacin sobre la capacidad temporal de los recursos del sistema usados y
disponibles.
Discos duros Provee informacin temporal sobre ubicacin de discos duros y capacidad.
Red Provee informacin sobre la capacidad de la red, la capacidad de trfico alcanzado y
cualquier rango de error.
Proceso Muestra el porcentaje y aplicaciones temporales de los servicios configurados en el
Firewall.
Conexciones Activas Muestra una lista de conexiones VPN activas y usuarios activos.

107 Introduccin
16 ANTI-SPAM / FILTRO DE CORREO
16.1 Filtro de correo
El filtro de correo es solo utilizable en conexin con el SMTP proxy. Con el filtro de correo se pueden filtrar correos
por sus direcciones de destinatario. Si se filtran no llegan al servidor de correo real. Se puede configurar el filtro de
correo en Seguridad > AntiSpam / Filtro de Correo.

Instalaciones posibles:
Activa
Activa el filtro de correo.
Modo Lista Blanca
Correos de todas las direcciones en esta lista sern reenviados al servidor de correo.
Modo Lista Negra
Correos de todas las direcciones en esta lista jams sern reenviados al servidor de correo.
Rechazo de Correos
Correos no deseados sern rechazados con una respuesta RFC-compliant.
Correos Eliminados
Correos no deseados sern eliminados. El remitente asume que el correo lleg al servidor de correo.
ATENCIN !
LA INSTALACINELIMINAR CORREOS NO RFC-COMPLIANT. PUEDE ELIMINAR CORREOS IMPORTANTES.

Las direcciones de correo en la lista de filtro de correo pueden contener wildcards.
* Para palabras completas
? Para caracteres individuales
Si se est conectado a un Servidor de Active Directory todas las direcciones de correo conocidas sern mostradas en
la lista en el costado derecho.
16.2 Anti-Spam
Un filtro spam comercial est integrado en el firewall gateprotect. Esto puede opcionalmente ser activado con su
licencia propia.
Un periodo de prueba de 30-das est normalmente disponible para cada firewall para que se pruebe la efectividad
del filtro.

El spam filter ha sido desarrollado por la compaa Commtouch y tiene una funcionalidad completamente diferente
a Spamassasin por ejemplo.
Si un correo llega al firewall, se genera un valor de este correo. Este valor es enviado a un servidor central
Commtouch. Este servidor determina la probabilidad que tiene este correo de ser spam usando una base de datos
completa y complejos algortmos. Diferente a los filtros de spam convencionales, aqu no solo se analiza el
contenido de los correos si no que adems, la frecuencia de la ocurrencia de este correo en el Internet.
Para este objetivo, Commtouch cuenta con programas de anlisis instalados en varios proveedores de correos en el
mundo.
Esta probabilidad entonces es devuelta al firewall que posiblemente que marca el correo como posible spam.

Usando el deslizador, todos los correos con la categora del deslizador y todas las categoras hacia su derecha son
marcadas como spam.

108 Introduccin

Sospechoso
Este correo ha ocurrido ya frecuentemente en Internet
pero no tan frecuente como para clasificarlo claramente
como spam (e.j. el inicio de una campaa spam).
Conocido
Este correo ya fue visto frecuentemente en Internet que
puede ser desginado como spam. No obstante, el
remitente no corresponde a una direccin de spam
conocida.
Confirmado
Este correo proviene de una direccin conocida como
enviador de correos spam.

16.3 Marcar como Spam
Se pueden marcar los correos identificados como spam.

Adjunto
El correo original ser adjuntado a un nuevo correo que
describe el spam encontrado. El spam-subjet y el X-
Header tambin son adjuntados.
Asunto
En este caso solo el subject del correo original ser
reemplazado con el subject modificado del asunto
desde el spam-tagging-dialog. Tambin son agregados
los X-Headers.
Encabezado
Un encabezado ser agregado para detector Spam-
Mails. Estos son los X-Header:
X-Pimp-Spa
m-Class: Este X-header puede tener el valor
commtouch, si el spam es identificado por
Commtouch. O el valor spam, si el spam es causado
por una entrada de lista negra.
X-Pimp-Spam-Class-Num:
Este X-header describe la probabilidad del spam.
Los valores pueden ser NONE, UNKNOWN, SUSPECT,
BULK, CONFIRMED, BLACKLISTED.

109 Introduccin
17 PROTECCIN DE VI RUS
17.1 Introduccin
El Servidor de Firewall gateprotect protege su red interna de virus de computacin usando el escaner de virus inte-
grado Kaspersky. Como uno de los ms conocidos proveedores de soluciones de proteccin de virus, Kaspersky
ofrece la mejor proteccin posible de virus computacional peligroso con actualizaciones regulares del patrn de vi-
rus y motores de proteccin.
17.2 Licencia
El Antivirus Scanner del Firewall gateprotect no es un component de la licencia del firewall gateprotect. Se debe
adquirir una licencia vlida separada para el escaner de virus. Nuestro departamento de ventas podr proporcionar
mayor informacin Si se cuenta con un nmero de licencia vlida para el escner de virus Kaspersky, se debe
registrar en el Cliente de administracin del Firewall gateprotect.
ATENCIN!
DESPUS DE INSTALAR EL SERVIDOR DE FIREWALL,, EL ESCANER DE VIRUS OPERA DURANTE 45 DIAS COMO VERSIN DE PRUEBA. UNA VEZ QUE ESTE TIEMPO EXPIRE, EL ESCANER DE
VIRUS PERMANECE ACTIVO, PERO NO SE EJECUTARN ACTUALIZACIONES ADICIONALES.
17.3 Instalaciones
17.3.1 Instalaciones de antivirus: General

1. En la seccin Escaner este casillero de dilogo
proporciona un resumen de los protocolos de
Internet que son monitoreados por el escaner de
virus.

2. En la seccin Informacin de Producto se
encontrar informacin sobre la validez de la
licencia de Antivirus y la fecha de la ltima
actualizacin.

3. El boton Ejecute actualizacin permite actualizar
manualmente las definiciones de virus.

110 Introduccin
17.3.2 Escaner
Se pueden ajustar las instalaciones para los protocolos relevantes en los casilleros de dilogo Escaner HTTP, Escaner
FTP, Escaner POP3 y Escaner SMTP. Se pueden alternar las opciones correspondientes on/off marcando o
despejando los casilleros.

Opcin Significado
Escanear carpetas de
archivos
Carpetas de arhivos (e.j. zip, tar, arc, rar) son abiertas por el Escaner y los
componentes individuales revisados por la existencia de virus.
Escanear carpetas em-
paquetadas
Carpetas empaquetadas son abiertas y sus componentes individuales revisadas por
la existencia de virus.
Escanear carpetas de
auto-desempaque
Carpetas de auto-desempaque son abiertas y sus componentes individuales
revisados por la existencia de virus.
Escanear base de correo Base de datos de correos son revisadas y sus componentes individuales revisados
por la existencia de virus.
Escanear correos de texto Textos simples en correos son revisados por la existencia de virus.
Bloquear carpetas con vi-
rus
Archivos que claramente son identificados como virus son bloqueados.
Bloquear carpetas
sospechosas
Archivos que el escanner de virus no puede encontrar, abrir o analizar son
bloqueados.
Block files with warnings Archivos, en que una nueva variacin de un virus puede haber sido encontrado,
son bloqueados.
Activar scan heuristic La informacin es revisada por cdigos con caractersticas similares a un virus o
puede causar otros daos. Este mtodo permite reconocimiento de sub variaciones
de virus que no tienen firma propia bajo determinadas circunstancias.
Instalaciones expandidas Especifique el tamao mximo de los archivos en las instalaciones expandidas en el
escaner FTP y HTTP que son escaneadas directamente en la memoria principal o
excludas del proceso de escaneo por su tamao.
Tamao mximo de
escaneo (POP3- & SMTP)
Define el lmite de tamao del adjunto que ser escaneado
17.3.3 Lista blanca
Se pueden ingresar dominio confiable o servidores en una lista en el casillero de dialogo Lista Blanca. Informacin
transferida por HTTP o FTP desde estos dominios no es examinada por la existencia de virus.

1. Pulse en el boton Agregar para agregar un dominio a la lista blanca.
El casillero de entrada para un dominio confiable se abrir.

2. Ingrese la direccin complete del dominio en el campo de ingreso y pulse OK.

111 Introduccin
17.3.4 Actualizaciones
Se puede ejecutar una actualizacin manual en el casillero de dilogo Actualizaciones y editar instalaciones para ac-
tualizaciones automticas.

Opciones de actualizacin
La actualizacin del servidor puede ser administrada agregando un nuevo Servidor, limpiando o editando los ex-
istentes.

Actualizacin automtica
Ingrese la fecha, hora de la primera actualizacin y los intervalos en los cuales las actualizaciones deben ser realiza-
das en los correspondientes campos y pulse OK.

112 Introduccin
18 ACTUALIZACIONES
18.1 Introduccin
El sistema de actualizacin gateprotect ofrece la posibilidad de mantener su firewall siempre actualizado. Hotfixes,
actualizaciones de seguridad y nuevas funciones pueden ser instaladas rpido y de manera directa en el servidor de
firewall. Ms aun, el sistema de actualizacin est equipado con varias funciones para informar al administrador si
nuevas actualizaciones estn disponibles. El historial de actualizaciones instaladas tambin est disponible.
Para prevenir la instalacin de actualizaciones denegadas o maliciosas en el firewall, todas las actualizaciones fueron
firmadas digitalmente por gateprotect. Solo actualizaciones con una firma vlida fueron listadas e implementadas.
Todas las otras fueron eliminadas por el sistema.
Las actualizaciones pueden ser descargadas automticamente o manualmente desde el servidor de actualizaciones.
En el caso que el firewall no tenga una conexin de internet, es posible instalar actualizaciones usando aparatos de
almacenamiento local.

Se puede alcanzar el dialogo incluyendo las instalaciones de actualizacin de sistema via Opciones >
Actualizaciones.

La primera barra en la ventana contiene una lista de actualizaciones conocidas, un campo de texto con informacin
detallada de la actualizacin seleccionada, botones para descargar e instalar actualizaciones como tambin un rea
de estatus.

113 Introduccin
En la segunda barra, se pueden especificar las instalaciones de las actualizaciones de descarga automatizadas, editar
la lista de servidores de actualizaciones y ver el historial de actualizaciones.

18.2 Actualizaciones
Todas las actualizaciones disponibles estn listadas en este dilogo. Esta lista muestra el nombre, el tipo, la fecha de
emisin y el estatus de la actualizacin. Nuevas actualizaciones fueron incluidas como tambin otras ya instaladas y
que vara en su estatus. Ms an, actualizaciones instaladas no pueden ser desinstaladas una segunda vez.

El sistema de actualizacin se diferencia en cuatro tipos de actualizaciones:
Tipo Descripcin
Security hotfix Contiene correcciones que afectan la seguridad del firewall
Recommended
hotfix
Contiene correcciones, optimacin de actuacin y estabilidad
Hotfix Eventualmente contiene nuevas funciones basadas en correccin de modulos de
firewall
Upgrade Contiene un mejoramiento de nivel hacia la siguiente versin de firewall

En el costado derecho de la lista de actualizaciones, se encuentra un campo de texto con informacin detallada
sobre las actualizaciones seleccionadas.

114 Introduccin
Este campo muestra la siguiente informacin:
Informacin Descripcin
ID Un nmero nico de identificacin
Nombre Breve descripcin de la actualizacin
Descripcin Contiene una descripcin detallada de la actualizacin

Ms an, de ser aplicable se enlistan las dependencias.
18.3 Descargue actualizaciones automticamente
El firewall puede buscar nuevas actualizaciones automticamente. Para activar esta funcin, abra el dilogo
Actualizaciones, seleccion la barra Instalaciones y marque el casillero Buscar nuevas actualizaciones
automticamente. Se puede especificar el Intervalo en el cual el servidor de firewall debe buscar las actualizaciones.
Se puede elegir entre horario, diario o semanal. En el campo Hora de inicio, se puede digitar la fecha de la primera
bsqueda. Todas las actualizaciones siguientes ocurren en la hora ingresada.
Si la opcin Instale nuevas actualizaciones automticamente es activada, nuevas actualizaciones se instalaron
automticamente en el servidor de firewall. La seguridad de esta funcin est limitada y se recomienda el uso de
hotfixes.
18.4 Actualizaciones de descarga manuales
Para buscar actualizaciones manualmente, abra el dilogo Actualizaciones y seleccione la barra Actualizaciones.
Marque el boton Bsqueda de actualizaciones. Este proceso puede demorar. Se puede observer el progreso de la
bsqueda en el rea de estatus. Despus que la bsqueda haya terminado, la lista de actualizacin se actualiza.
18.5 Actualizacin de instalaciones
Para instalar actualizaciones disponibles, abra la barra de dilogo Actualizaciones y seleccione la barra
Actualizaciones. Seleccione las actualizaciones que desea instalar y pulse el boton Instalar todas las actualizaciones
seleccionadas.
18.6 Instalacin de actualizaciones desde el dispositivo de almacenamiento local
Para instalar una actualizacin desde el dispositivo de almacenamiento local, abra las Actualizaciones y seleccione la
barra Actualizaciones. Pulse el boton Actualizar manualmente que abre el archivo. Seleccione el archivo de
actualizacin que ser cargado y pulse OK. Este archivo es ahora transferido al firewall. El servidor de firewall ahora
revisa la firma del archivo y muestra la actualizacin en la lista de actualizaciones desde la cual puede ser instalado.
Este proceso puede demorar. Se puede observar el proceso en el rea de estatus.
18.7 Interaccin de actualizacin
El sistema de actualizacin permite que el firewall muestre informacin o interacte con el usuario mientras se
instalan ciertas actualizaciones. Esta interaccin puede hacer preguntas si/no o un campo de input con una
pregunta. En cuanto el firewall reciba la respuesta, la respuesta ser exhibida en un dilogo de mensaje.

Si la interaccin de un usuario es requerida, el cliente muestra esto en su rea de estatus. Para responder, pulse el
boton con la pregunta Respuesta. El cliente ahora muestra un dilogo con la pregunta correspondiente que debe
ser respondida. Si no se responde la pregunta, el firewall permanece standby y no instala actualizaciones adicion-
ales.

115 Introduccin
19 EJEMPLOS
19.1 Introduccin
Este capitulo se refiere a varios ejemplos de problemas que ocurren en la prctica. Para simplificar las cosas, la
siguiente configuracin es utilizada cada vez como punto de inicio y suplementada dependiendo del ejemplo. Toda
la informacin usada es ficticia y solo pretende ser un ejemplo.

Una empresa con tres departamentos:
Marketing
Ventas
Tecnologa
Cada departamento tiene su propia red y estn fsicamente separadas una de la otra (redes de separacin).
Ms aun, la empresa tiene un servidor de correo interno, el cual colecciona correos desde servidores de correo ex-
ternos y los enva a los empleados internamente.
La empresa tiene una ubicacin central para almacenamiento de informacin corporativa en la red: un servidor de
archivos, ubicado en la misma red que el servidor de correo.
Existe una conexin de discado DSL sin limites de tiempos para la conexin de internet.

Las siguientes reglas han sido configuradas usando el Cliente de administracin:

Marketing
La red de Marketing (192.168.0.0/24) siempre cuenta con acceso al Internet con los servicios HTTP (pginas de
internet), FTP (descarga archivos), HBCI (banco desde el hogar), SMTP (enva correos) and POP3 (recibe correos) sin
limites de tiempos o bloqueo de red.

Ventas
La red de Ventas (192.168.1.0/24) puede acceder al Internet con los servicios HTTP (pginas de internet) y FTP
(descarga de archivo) durante los das de la semana entre las 8am y las 8pm. Ms aun, el acceso HTTP es limitado
por el bloqueo de red y la palabra "Sex".

Tecnologa
La red Tecnologa (192.168.2.0/24) permite acceder al Internet con los servicios HTTP (pginas internet), FTP
(descarga archivos), POP3 (correo recibido), SMTP (correo enviado), SSH (acceso remoto codificado), PPTP (acceso
remoto codificado) y PING (prueba red) sin tiempos limites o bloqueo de red.

General
Cada red interna puede acceder al servidor interno de correo (via POP3 y SMTP) y el servidor de archivo interno (via
NetBIOS, KERBEROS, LDAP and MySQL). El servidor de archivo interno tiene la direccin IP 192.168.0.100 y el
servidor de correo interno la direccin de IP 192.168.4.6.

116 Introduccin
19.2 Instalacin de la conexin de Internet con direccin IP fija
19.2.1 Instalacin de una linea dedicada con direccin de IP fija usando un router
Paso 1
Se ha recibido la siguiente ifnormacin de su proveedor:
216.239.37.96 / 29 or 216.239.37.96 / 255.255.255.248

Esta red est dividida en las siguientes secciones
Direccin de red: 216.239.37.96
Router del proveedor (gateway): 216.239.37.97
Uso propio: 216.239.37.98 216.239.37.102 (cinco direcciones)
Direcciones de transmisin: 216.239.37.103
Este es un tpico rango de direccin IP 29bit IP, como lo entregan la mayora de los proveedores de Internet
Alemanes. Existen ocho direcciones de IP pero solo se pueden usar cinco como direcciones de envo.
Dos de las ocho direcciones fueron usadas como lgica de red (direccin de correo y direccin de transmisin) y una
direccin IP es asignada al router del fabricante. Esta es habitualmente la primera IP despus de la direccin de red.

Paso 2
Para poder establecer una conexin de red a travs del router, el firewall debe obtener una de las direcciones
usables y la mascara de subred debe ser asignada por el proveedor.
Primero, una tarjeta de red (usamos eth0 para este ejemplo) recibe la direccin de red 216.239.37.98 con la
mascara de subred 255.255.255.248 en el menu Opciones -> Interfases

117 Introduccin
Paso 3
En el prximo paso, una conexin de router se establece usando la conexin de asistente de Internet via Opciones >
Internet usando el boton Agregar.
Paso 4
Ingrese la direccin IP del router del proveedor como direccin de router (en este ejemplo 216.239.37.97).
NOTA
SI LA CONEXIN DE INTERNET NO FUNCIONA EN EL PRIMER INTENTO, POR FAVOR REINICIE EL ROUTER. SI DESEA SABER COMO HACER LAS OTRAS CUATRO DIRECCIONES IP
UTILIZABLES A TRAVES DEL FIREWALL, POR FAVOR LEA LA SECCION18.3.3 DMZ POR FUENTE IP.
19.2.2 Instalando una conexin DSL con direccin IP fija
La instalacin de una conexin DSL con una direccin IP esttica (habitualmente desginada como SDSL, xDSL o DSL-
Business) es como instalar una conexin DSL normal.
NOTA
POR FAVOR NO INSTALE LA DIRECCION DE IP FIJA A UNA DE LAS TARJETAS DE RED DEL FIREWALL. PORQUE RECIBIRA TODA LA INFORMACIN DE CONEXIN (INCLUYENDO LA
DIRECCIN IP) DE SU PROVEEDOR, NO ES NECESARIO MODIFICAR LES EN EL FIREWALL. ESTO PODRIA CAUSAR PROBLEMAS CON ALGUNOS SERVICIOS.
19.2.3 18.2.3 Instalacin de un cable de conexin con direccin IP DHCP
La interfase a la caual el cable modem est conectada debe ser instalada como "Asigne la direccin IP
automticamente" en las instalaciones de la Interfase. Al configurar la conexin de Internet seleccione "Conexin
Router " y seleccione "Asigne la direccin de router sobre DHCP".
19.3 Demilitarized zone (DMZ)
19.3.1 Puerto simple para reenvo
En la mayora de los casos, el reenvo de uno o varios puertos se desea para facilitar el acceso al servidor de la red
desde el Internet por ejemplo.
Paso 1
Para este objetivo, un servidor es arrastrado desde la lista de herramientas
hacia el escritorio de configuracin y la direccin IP del servidor es
entonces ingresada en el casillero de dilogo que est abierto (en este
caso 192.168.4.5) como tambin en la interfase de red hacia la cual el
servidor est conectado (here eth4).
Para una mayor visin general de la configuracin del escritorio el
smbolo recibe un nombre claro (e.j servidor de red).

Paso 2
Ahora se crea una conexin desde el servidor hacia la nube de Internet
usando la herramienta de conexin.

Esto abre el editor de Reglas. Use el boton Agregar y seleccione el servicio que debe ser reenviado al servidor (en
este caso HTTP).
Paso 3
En la columna Accin la flecha Inspeccin Stateful se instala
desde el Internet hacia el computador y de vuelta al internet.
Estas instalaciones significan que el servidor interno puede ser
accedido desde el Internet pero no acceder a Internet por si
mismo. Si se desea que el servidor pueda acceder a internet,
por favor instale aqu una flecha doble.

118 Introduccin
Paso 4
Pulse en la ltima columna Opciones adicionales y
marque el casillero Activar DMZ / reenvio de puerto
para este servicio.

NOTA
POR FAVOR DEJE EN BLANCO LOS CAMPOS DE ENTRADAS EN ESTA SECCION. LAS
FUNCIONES DE ESTOS CAMPOS SE EXPLICA EN LOS PRXIMOS DOS CAPITULOS.

Paso 5
Una vez que el editor de Reglas es confirmado con OK
y la configuracin ha sido activada usando F9, toda la
informacin que va hacia su direccin IP externa en el
puerto 80 es reenviada al servidor de red interna.
NOTA
EL REENVO DE PURTO SLO PUEDE SER PROBADO DESDE UN ACCESO EXTERNO. NO SE
PUEDE ACCEDER A LA DIRECCIN IP EXTERNA DESDE LA RED LOCAL.
19.3.2 Reenvo de puerto con rerouting de puerto
El rerouting de un puerto puede ser til si se desea acceder el mismo servicio (e.j. HTTP) usando una direccin IP.
Adems existen ventajas de seguridad si puertos estndares son usados para ciertos servicios (e.j. Telnet, SSH). Se
puede re-enrutar un puerto para realizar esto. Este ejemplo se refiere a las instalaciones y reglas hechas en la
seccin anterior.
Paso 1
Para este ejemplo, accederemos al servicio SSH (para mantencin remota usando una consola de texto) de nuestro
servidor de red (en este caso 192.168.4.5) usando un puerto diferente que el estndar puerto SSH (22/tcp).
Elegimos el puerto de acceso externo 10022 que debera ser reenviado a servidor de red en el puerto 22.
Paso 2
Para este objetivo, pulse dos veces en el punto de conexin entre la nube de Internet y el smbolo servidor de red.
En las reglas del Editor, seleccione el servicio Definicin libre usando el boton Agregar.
Paso 3
En el casillero de dialogo que ahora aparece, ingrese un nombre para nuestro servicio. Nosotros elegimos SSH
10022. Bajo Puerto ingrese en el primer campo 10022. El segundo campo de Puerto solo se requiere si se desea
definir ms de un puerto para este servicio. (Rango de puerto).
Bajo Protocolo de transporte, seleccione TCP (Transmission Control Protocol).

Paso 4
En la columna Accin, la flecha Stateful inspection
es instalada desde el Internet hacia el computador y
devuelta al Internet. Esta instalacin significa que el
servidor interno puede ser accedido a Internet pero
el servidor no puede accedera Internet por si
mismo.

Paso 5
En la ltima columna Opciones adicionales, marque
el casillero Active DMZ / puerto de reenvo para este
servicio. Porque queremos re-enrutar el puerto de
inicio (10022) hacia el servidor de red en el puerto
22, ingrese 22 en el campo Puerto Objetivo. No se
requiere NAT para este servicio libremente definido.

119 Introduccin
El servidor de red ahora recibe solicitudes externas en el puerto 10022 en su puerto 22 (que es reservado por SSH).
19.3.3 DMZ por fuente IP
Si existe una conexin de Internet con varias direcciones IP fijas, tal vez varios servidores de correo o servidores de
red estn operando detrs del firewall con diferentes direcciones IP externas.
El servidor de red con la direccin IP interna 192.168.4.5 debe ser accesible con la direccin IP externa
216.239.37.99.
El servidor de red con la direccin IP interna 192.168.4.6 debe ser accesible con la direccin IP externa
216.239.37.100.
Paso 1
Primero, debemos asignar la tarjeta de red externa del firewall (que est conectada al router del proveedor) con la
direccin IP que ser utilizada.

Paso 2
La tarjeta de red correspondiente conectada al router es seleccionada bajo Opciones > Interfases. La direccin IP
virtual es agregada bajo Direcciones IP virtuales.

El firewall gateprotect
est ahora configurado
para estas direcciones IP
adicionales.

Paso 3
Ahora, un servidor es arrastrado desde la lista de herramientas hacia la configuracin de escritorio y la direccin
interna de IP del servidor es ingresada en el casillero de dilogo abierto (en este caso 192.168.4.5) y la tarjeta de red
es seleccionada.
Lo mismo se hace para el servidor de correo con la direccin IP interna 192.168.4.6.
Para una mayor vista general en el escritorio de configuracin, nombres claros fueron asignados a los smbolos (e.j.
servidor de red y servidor de correo).

120 Introduccin
Servidor de red
Paso 1
Ahora se crea una conexin desde el servidor hacia la nube de internet usando la herramienta de conexin. En el
editor de Reglas, use el botn Agregar para seleccionar el servicio que debe ser reenviado al servidor. El servicio
HTTP es insertado entre el servidor de red e Internet.
Paso 2
Marcando Enable DMZ / Port forwarding para este casillero de servicio en Opciones adicionales, se crea el DMZ. Es
crucial que la configuracin de direccin IP de arriba tambin sea usada ahora que la direccin IP oficial del servidor
de red es ingresada en el campo Source IP.
Esta configuracin es activada y el servidor de red puede ser accedida bajo esta direccin IP.
ATENCIN!
EL PROXY HTTP NO DEBE SER ACTIVADO EN UN HTTP-DMZ!

Alcance acceso separado al servidor de red usando el nombre internamente
Si un servidor de red ha sido instalado como en el ejemplo anterior, su acceso sigue siendo posible solo desde el uso
interno de su direccin IP.
No obstante, algunas aplicaciones demandan el nombre de dominio del computador, e.j. www.your-company.com.
NOTA
SE PUEDE USAR EL FIREWALL GATEPROTECT PARA EVITAR UN SERVICIO O EL CAMBIO DE NOMBRE DE LOS INGRESOS DESDE EL SERVIDOR.
Crear una conexin desde el smbolo de servidor de red hacia la LAN interno usando la herramienta de conexin. En
las Reglas del editor, agregue el servicio HTTP e ingrese la fuente oficial de direccin IP en el DMZ en las opciones
Adicionales.

Servidor de correo
Normalmente un servidor de correo se comporta como un HTTP-DMZ. No obstante, existen casos especiales en los
que es deseable permitir que algunos servidores de correo se conecten con servidores de correo internos (llamados
dominios inteligentes). Aqu el firewall gateprotect ofrece la oportunidad de crear un DMZ dedicado.
Paso 1
Para este objetivo, el servidor de correo interno es instalado como smbolo de servidor individual.

Paso 2
Ahora otro smbolo de servidor es arrastrado hacia el escritorio. En la configuracin
de Internet es seleccionado como tarjeta de red y la direccin IP es la externa.

ATENCIN !
AL CONECTAR AMBOS SMBOLOS, SE DEBE PULSAR PRIMERO EN EL COMPUTADOR INTERNO Y LUEGO EN EL EXTERNO.
Paso 3
El SMTP est ahora instalado como servicio y el DMZ es activado en opciones Adicionales. El servidor de direccin IP
oficial es ingresado como IP Origen.

121 Introduccin
19.4 Ejemplos para autenticacin de usuario
19.4.1 Dominio Windows
Si se cuenta con un dominio Windows, se puede conectar al controlador de dominio Windows. Ingrese la informa-
cin de su controlador de dominio en la barra Instalaciones en el casillero de dilogo del servidor de Autenticacin.
En la lista de usuario aparecern todos los usuarios del dominio. Entonces se pueden arrastrar los conos de usuario
a la configuracin de escritorio y asignarles reglas.
Los usuarios deben llamar la direccin IP del servidor de firewall con https en sus buscadores y conectar. Si la
conexin es exitosa, las reglas de firewall del usuario son aplicadas a la direccin de IP entregada. Si la ventana del
buscador est cerrada, la sesin de cookie termina y las reglas expiran.
19.4.2 Servidor terminal
Si se usa un servidor terminal, ste debe ser removido de la autenticacin de usuario, por cuanto de lo contrario
cuando un usuario se haya conectado, todos los usuarios restantes recibirn los mismos drechos asignados al
primero. Para remover el servidor terminal de la autenticacin de usuario, proceda como se muestra a continuacin:
Paso 1
Pulse dos veces en el smbolo servidor terminal en la configuracin de escritorio.

Paso 2
Marque el casillero Excluya este objeto de la autenticacin
de usuario.
Para un servidor terminal, se recomienda HTTP-Proxy no
transparente Ajuste el HTTP Proxy a no transparente para
lograr este objetivo usando Opciones > Proxy.

NOTA
LOS BUSCADORES DEBEN INGRESAR EL HTTP-PROXY CON LA DIRECCIN IP DEL FIREWALL EN SUS SUBREDES Y CONFIGURAR EL PUERTO 10080. PARA EVITAR PROBLEMAS DE
DESCARGA, LA DIRECCIN IP DE FIREWALL DEBE SER INGRESADA EN LAS INSTALACIONES DEL BUSCADOR ASIGNADAS COMO "EXCLUDE THIS IP ADDRESS FROM PROXY".
Todos los usuarios que ahora se conecten al servidor terminal recibirn primero una notificacin cuando abran el
buscador solicitando el nombre de usuario y clave de ingreso. En cuanto stas hayan sido verificadas con la
autenticacin local, Active Directory or OpenLDAP/Krb5, podrn usar el servidor terminal para navegar por el
internet.
Los usuarios conectados pueden navegar hasta que la ltima ventana del buscador sea cerrada. Cundo el buscador
sea reabierto, debern volver a conectarse.
Usuarios conectados reciben sus propios URL y las instalaciones de filtro de contenido son registradas en las
estadsticas individualmente bajo sus nombres o sus direcciones IP.

122 Introduccin
20 ESTADI STI CAS
Las estadsticas o las Estadsticas de Cliente Externo refleja y evala las funciones de las estadsticas del firewall.
NOTA
1. ]SLO SE PUEDE REGISTRAR UNA CLIENTE DE ADMINISTRACIN EN EL FIREWALL PERO UN NUMERO ILIMITADO DE CLIENTES PARA ESTADSTICAS.
2. PARA PODER CONECTARSE A ESTADSTICAS DE CLIENTE CON EL FIREWALL, SE REQUIERE DE UNA CUENTA DE USUARIO EN EL FIREWALL CON DERECHO A INICIAR EL CLIENTE Y
MOSTRAR ESTADSTICAS.
3. PARA MOSTRAR LAS ESTADSTICAS PARA USUARIOS INDIVIDUALES, SE DEBE TENER EL DISPLAY RIGHTS STATISTICS BY USER. POR RAZONES TCNICAS, TAMBIN DEBE ESTAR
INSTALADA LA CONFIRGURACIN RIGHTS OPEN / STORE.
4. SI SE DESEA TENER LA OPORTUNIDAD DE EXPANDIR LA LISTA DE BLOQUEO DE RED DESDE EL LA LISTA TOP DEL INTERNET HAGALO CON UN SIMPLE CLICK-DERECHO,
NECESITARA EL DERECHO PARA ADMINISTRAR EL BLOQUEO DE RED.
20.1 Uso de Estadsticas de Cliente/Estadsticas
20.1.1 Barra de herramientas
Se puede usar la barra de herramientas en las Estadsticas de Cliente para:
Imprimir las estadsticas,
Cambiar el idioma de Estadsticas de Cliente para menu y uso,
Obtener informacin sobre Estadsticas de cliente,
Finalizar Estadsticas de Cliente.
20.1.2 Posibilidades de filtro
Se pueden filtrar los resultados exhibidos dependiendo de la informacin de estadsticas preparada en la parte
superior de la ventana de estadsticas:
Escritorio: red completa, usuarios o computadores
Perodo: 6, 12 o 24 horas, 7 o 14 das, 1, 3 o 12 meses
Perodo de auto-definicin con fecha y hora para inicio y trmino
Ventana de tiempo: cualquier hora del da con inicio y fin
Acceso bloqueado: ingreso o salida

Use el boton Actualizar para descargar la informacin ms reciente desde el servidor de firewall.
20.1.3 Estadsticas
Las estadsticas de Estadsticas de cliente tiene el mismo rango de funciones que la Cliente de administracin descri-
ta en 3.6.

Manual 9.1 GateProtec Español

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual 9.1 GateProtec Español

Uploaded by

Copyright:

Available Formats

1 Introduccin

Claridad Perfeccin Seguridad

You might also like