Manual DFL-800 Espanol

CONTENIDOS
Prefacio
Versin del Documento. . . . . . Extensin de responsabilidad . Acerca de este Documento. . . Convenciones Tipogrficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
xvi
xvii xvii xvii xviii
II
Vista General del Producto
2
3 3
1 Capacidades 1.1 Caractersticas del Producto . . . . . . . . . . . . . . . . . . . . . . . . . .
III
Introduccin de Redes
6
7 9 9 9 9 10 11 11 11 13 13 14
2 El modelo OSI 3 Principios del Firewall 3.1 El Rol del Firewall . . . . . . . . . . . . . . . . . 3.1.1 Qu es un Firewall? . . . . . . . . . . . . . . . . 3.1.2 Cmo trabaja un Firewall? . . . . . . . . . . . . 3.2 Contra qu NO protg el Firewall? . . . . . . 3.2.1 Ataques en Componentes Inseguros pre-instalados 3.2.2 Usuarios Inexpertos en Redes protegidas . . 3.2.3 Data-Driven Network Attacks . . . . . . . . . . 3.2.4 Ataques Internos . . . . . . . . . . . . . . . . . . 3.2.5 Modems y Conexin VPN . . . . . . . . . 3.2.6 Agujeros entre DMZs y Redes Internas . i
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
ii
IV
Administracin
18
19 19 19 19 22 23 25 25 25 26 28 28 29 29 31 31 32 34 35 35
4 Plataforma de Configuracin 4.1 Congurando Via WebUI . . . . . 4.1.1 Vista General . . . . . . . . . . 4.1.2 Interface Layout . . . . . 4.1.3 Operaciones de Configuracin 4.2 Monitoreo Via CLI . . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
5 Registro 5.1 Vista General . . . . . . . . . . . . . . . . . 5.1.1 Importancia & Capacidad . . . 5.1.2 Eventos . . . . . . . . . . . . . . 5.2 Receptores de Registro . . . . . . . . . . . 5.2.1 Receptor Syslog . . . . . . . . . 5.2.2 Receptor de Registro de Memoria. . . . 5.2.3 Receptor de Evento SMTP . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
6 Mantenimiento 6.1 Actualizacin del Firmware . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Reset a valores de fabrica . . . . . . . . . . . . . . . . . . . . . . 6.3 Respaldo de Configuracin . . . . . . . . . . . . . . . . . . . . . . . . 7 Ajustes Avanzados 7.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fundamentos
38
39 39 39 41 41 42 46 48 49 49 51
8 Objetivos Lgicos 8.1 Libro de Direccines . . . . . . . . . . . . . . . . . . . 8.1.1 Direccin IP . . . . . . . . . . . . . . . . . . 8.1.2 Direccin Ethernet . . . . . . . . . . . . . . 8.2 Servicios . . . . . . . . . . . . . . . . . . . . . . . . 8.2.1 Tipos de Servicio . . . . . . . . . . . . . . . 8.2.2 Reporte de Error & Proteccin de Conexin 8.3 Programas. . . . . . . . . . . . . . . . . . . . . . . 8.4 Certificados X.509 . . . . . . . . . . . . . . . . . . 8.4.1 Introduccin a Certificados . . . . . . . . 8.4.2 Certificados X.509 en los Firewalls D-Link .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
Gua de Usuario de los Firewalls D-Link
iii
9 Interfaces 9.1 Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.1.1 Interfaces Ethernet . . . . . . . . . . . . . . . . . . . . . 9.1.2 Interfaces Ethernet en los Firewalls D-Link . . . . . . . . 9.2 Virtual LAN (VLAN) . . . . . . . . . . . . . . . . . . . . . . . 9.2.1 Infraestructura VLAN . . . . . . . . . . . . . . . . . . . 9.2.2 802.1Q VLAN Estandard . . . . . . . . . . . . . . . . . 9.2.3 Implementacin VLAN . . . . . . . . . . . . . . . . . . 9.2.4 Utilizando LANs Virtuales para Expandir Interfaces Firewall . 9.3 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.1 Cliente DHCP . . . . . . . . . . . . . . . . . . . . . . . . 9.4 PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.1 PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.2 Configuracin de Cliente PPPoE . . . . . . . . . 9.5 Grupos de Interface . . . . . . . . . . . . . . . . . . . . . . . . . . 9.6 ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.6.1 Tabla ARP. . . . . . . . . . . . . . . . . . . . . . . . . . 10 Routing 10.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 Jerarqua de Routing . . . . . . . . . . . . . . . . . . . . . 10.3 Algoritmos Routing . . . . . . . . . . . . . . . . . . . . 10.3.1 Routing Esttico . . . . . . . . . . . . . . . . . . 10.3.2 Routing Dinmico . . . . . . . . . . . . . . . . . 10.3.3 OSPF . . . . . . . . . . . . . . . . . . . . . . . . 10.4 Ruta de Failover . . . . . . . . . . . . . . . . . . . . . . . 10.4.1 Escenario: Configuracin de Ruta de Failover. . . 10.5 Implementacin de Routing Dinmico . . . . . . . . . . 10.5.1 Proceso OSPF. . . . . . . . . . . . . . . . . . . 10.5.2 Poltica de Routing Dinmico . . . . . . . . . . . 10.5.3 Escenarios: Configuracin de Routing Dinmico 10.6 Escenario: Configuracin de Routing Esttico. . . . . . 10.7 Politica basada en Routing(PBR) . . . . . . . . . . . . . . . 10.7.1 Vista General. . . . . . . . . . . . . . . . . . . . . . 10.7.2 Politica basada en Routing Tables . . . . . . . . . . 10.7.3 Politica basada en Routing Policy . . . . . . . . . . 10.7.4 Ejecucin PBR . . . . . . . . . . . . . . . . . . 10.7.5 Escenario: Configuracin PBR . . . . . . . . . 10.8 ARP Proxy . . . . . . . . . . . . . . . . . . . . . . . . Gua de Usuario de los Firewalls D-Link
. . . . . . . . . . . . . . . .
53 53 53 54 56 56 57 58 59 60 60 61 62 62 65 66 66 69 69 70 71 71 72 74 77 78 81 81 81 82 87 88 88 89 89 89 91 94
. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
iv
11 Fecha & Tiempo 11.1 Ajustando la Fecha y Tiempo . . . . . . . . . . 11.1.1 Fecha y Tiempo actual. . . . . . . . 11.1.2 Zona Horaria . . . . . . . . . . . . . . . . 11.1.3 Horario de Verano(DST) . . . . . 11.2 Sincronizacin de Tiempo . . . . . . . . . . . . . 11.2.1 Protocolos de Sincronizacin de Tiempo. . . 11.2.2 Servidores de Tiempo. . . . . . . . . . . . . . 11.2.3 Ajuste Mximo. . . . . . . . 11.2.4 Intervalo de Sincronizacin . . . . . . . 12 DNS
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
95 96 96 96 97 98 98 98 99 99 101 103 103 103 104
13 Ajustes de Registro 13.1 Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.1.1 Deniendo Receptor Syslog . . . . . . . . . . . . . . . . . . 13.1.2 Habilitando registros . . . . . . . . . . . . . . . . . . . . . . .
VI
Polticas de Seguridad
108
109 109 110 111 112 112 112 114 116 123 123 123 124 124 124 124 126
14 Reglas IP 14.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . 14.1.1 Campos . . . . . . . . . . . . . . . . . . . . . . . 14.1.2 Tipos de Accin . . . . . . . . . . . . . . . . . . . 14.2 Traduccin de Direccin. . . . . . . . . . . . . . . . . . . 14.2.1 Vista General. . . . . . . . . . . . . . . . . . . . . 14.2.2 NAT . . . . . . . . . . . . . . . . . . . . . . . . 14.2.3 Traduccin de direccin en los Firewalls D-Link . . 14.3 Escenarios: Configuracin de Reglas IP. . . . . . . . . . 15 Acceso (Anti-spoong) 15.1 Vista General. . . . . . . . . . . . . . . . 15.1.1 IP Spoong . . . . . . . . . . 15.1.2 Anti-spoong . . . . . . . . . 15.2 Regla de Acceso . . . . . . . . . . . . . . 15.2.1 Funcin. . . . . . . . . . . . 15.2.2 Ajustes. . . . . . . . . . . . . 15.3 Escenario: Ajustando Regla de Acceso .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
16 DMZ & Port Forwarding 16.1 General . . . . . . . . . . 16.1.1 Conceptos . . . . . 16.1.2 Planificacin DMZ. 16.1.3 Benecios. . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
127 127 127 129 130 131 131 131 132 133 134 134 134 135 136 137 137
17 Autentificacin del Usuario 17.1 Vista General de Autentificacin. . . . . . . . . . . . . . 17.1.1 Mtodos de Autentificacin. . . . . . . . . . . . . 17.1.2 Criterio de Contrasea. . . . . . . . . . . . . . . . . 17.1.3 Tipos de usuarios . . . . . . . . . . . . . . . . . . . . . . 17.2 Componentes de Autenticacin . . . . . . . . . . . . . . . . 17.2.1 Base de Datos de Usuarios Locales(UserDB) . ... . .. . 17.2.2 Servidor de Autenticacin Externo . . . . . . . . . 17.2.3 Agentes de Autenticacin . . . . . . . . . . . . . . 17.2.4 Reglas de Autenticacin . . . . . . . . . . . . . . . 17.3 Proceso de Autenticacin . . . . . . . . . . . . . . . . . . . 17.4 Escenarios: Configuracin de Autenticacin de Usuario . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
VII
Inspeccion de Contenido
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
146
147 147 148 148 150 155 155 156 158 158 158 159 160 161 181
18 Application Layer Gateway (ALG) 18.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . 18.2 FTP . . . . . . . . . . . . . . . . . . . . . . . . . . 18.2.1 Conexiones FTP. . . . . . . . . . . . . . 18.2.2 Escenarios: Conguracion FTP ALG . . 18.3 HTTP . . . . . . . . . . . . . . . . . . . . . . . . . 18.3.1 Componentes & Asuntos de Seguridad . . . . .. 18.3.2 Solucion . . . . . . . . . . . . . . . . . . . 18.4 H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . 18.4.1 Vista General Standard H.323. . . . . . . . . 18.4.2 H.323 Componentes . . . . . . . . . . . . . 18.4.3 H.323 Protocolos . . . . . . . . . . . . . . . 18.4.4 H.323 ALG Vista General . . . . . . . . . . . 18.4.5 Escenarios: Conguracin H.323 ALG .
19 Sistema de Deteccion de Intrusos (IDS) 19.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 19.1.1 Reglas de Deteccion de Intrusos . . . . . . . . . . . . . . . . . . 182 19.1.2 Patron de coincidencia . . . . . . . . . . . . . . . . . . . . . . . 182 Gua de Usuario de los Firewalls D-Link
vi
19.1.3 Accion . . . . . . . . . . . . . . . . . 19.2 Cadena de Eventos . . . . . . . . . . . . . . . . 19.2.1 Escenario 1 . . . . . . . . . . . . . . . 19.2.2 Escenario 2 . . . . . . . . . . . . . . . 19.3 Grupos de Firmas . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
182 183 183 184 186 186 187 189
19.4 Actualizacin automtica de Base de datos de Firmas . . . . . . . . . . . . 19.5 Repecion de registros SMTP para eventos IDS . ... . . . . . . . . . . 19.6 Escenario: Configurando IDS . . . . . . . . . . . . . . . . . . . . . .
VIII
Red privada virtual (VPN)
192
193 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 193 195 195 198 200 201 207 208
20 VPN Bsico 20.1 Introduccin a VPN . . . . . . . . . 20.1.1 VPNs vs Conexiones fijas 20.2 Introduccion a la Criptografia . . . 20.2.1 Encriptacion . . . . . . . . . . . 20.2.2 Autenticacion e Integridad . 20.3 Por VPN en los Firewalls? . . . . . . . . 20.3.1 Despliegue VPN. . . . . . . 21 VPN Planificacion 21.1.1 Seguridad en Punto de Termino . . . . . . . . . . . . . . . . . . . . . .
21.1 Consideracion en Diseo de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 21.1.2 Distribucion de Claves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 22 VPN Protocolos y Tuneles 22.1 IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22.1.1 IPsec protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22.1.2 IPsec Modos de Encapsulacion. . . . .. . . . . . . . . . . . . . 22.1.3 IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22.1.4 IKE integridad y autenticacion. . . . . . . . . . . . . . . . . . . . 22.1.5 Escenarios: Configuracion IPsec . . . . . . . . . . . . . . . . . 22.2 PPTP/ L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22.2.1 PPTP . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . 22.2.2 L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22.3 SSL/TLS (HTTPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . D-Link Firewalls Users Guide 213 213 214 214 215 219 223 228 228 234 243
vii
IX
Administracin de Trfico
246
247 23 Trac Shaping 23.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 23.1.1 Funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.1.2 Caractersticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.2 Pipes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.2.1 Procedencias y Garantas . . . . . . . . .. . . . . . . . . . . . . . 23.2.2 Agrupando usuarios en un conducto .. . .. . . . . . . . . . . . . 23.2.3 Balanceo de Carga Dinmico . . . . . . . . . . . . . . . . . . . . 23.3 Pipe Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.4 Escenarios: configurando Trac Shaping . . . . . . . . . . . . . . . 24 Servidor de Balanceo de Carga (SLB) 24.1 Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.1.1 EL Modulo SLB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.1.2 caractersticas SLB. . . . . . . . . . . . . . . . . . . . . . . . . . 24.1.3 Beneficios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.2 SLB Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.2.1 Modos de. Distribucin . . 24.2.2 Algoritmos de Distribucion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 249 249 250 252 253 253 253 261 261 261 262 263 264 264 264 265 266 266
24.2.3 Verificacin del estado del Servidor . . . .. . . . . . . . . . . . . . . . 24.2.4 Paquetes que fluyen en SAT ... . . . . . . . . . . . . . . . . . 24.3 Escenario: Habilitando SLB . . . . . . . . . . . . . . . . . . . . . . . . .
Caractersticas Miscelneas
270
271 271 271 272 273 273 275 277
25 Clientes Miscelneo 25.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25.2 DNS Dinamico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25.3 Registro automatico de cliente . . . . . . . . . . . . . . . . . . . . . . . 25.4 HTTP Poster . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . 25.4.1 URL Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Servidor y relay DHCP 26.2 DHCP Relayer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . D-Link Firewalls Users Guide
26.1 DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
viii
XI
Modo Transparente
280
27 Modo Transparente 281 27.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 27.2 Implementacion de modo transparente en los Firewall Dlink . . . . 282 27.3 Escenarios: Habilitando Modo Transparente . . . . . . . . . . . . . . . . . . . . . 284
XII
Zona de Defensa
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
290
291 291 291 292 293 293 294 294
28 Zona de defensa 28.1 Vista General . . . . . . . . . . . . . . . . . . . 28.2 Switch de zona de defensa . . . . . . . . . . . 28.2.1 SNMP . . . . . . . . . . . . . . . . 28.3 Reglas Threshold . . . . . . . . . . . . . . . 28.4 Bloqueo Manual y Listas Excluyentes . . . . 28.5 Limitaciones . . . . . . . . . . . . . . . . . . 28.6 Escenario: Configurando la zona de defensa . . .
XIII
Alta Disponibilidad
298
299 299 299 300 301 301 302 303 304 304 305 305 307 307 308
29 Alta Disponibilidad 29.1 Alta Disponiblidad Basica . . . . . . . . . . . . . . . . . . . . . . . 29.1.1 Qu har la Alta Disponibilidad para Ud? . . . . . . . . . 29.1.2 Qu no har la Alta Disponibilidad para Ud? . . . . . . 29.1.3 Ejemplo de configuracin de Alta disponibilidad . . . . . . . . .. . .. 29.2 Como se logra realizar un Failover . . . . . . . . . . . . . . . 29.2.1 La direccin IP compartida y mecanismo de Failover . . 29.2.2 Palpitaciones Cluster . . . . . . . . . . . . . . . . . . . . . . 29.2.3 La interfaz de sincronizacion . . . . . . . . . . . . . . . 29.3 Configurando un Cluster de Alta Disponibilidad . . . . . . . . . . . . . . 29.3.1 Planificando el Cluster de Alta Disponibilidad . . . . . . . . . . 29.3.2 Creando un Cluster de Alta Disponibilidad . . . . . . . . . . . 29.4 Cosas que debe mantener presentes . . . . . . . . . . . . . . . . . . . . . . . 29.4.1 Asuntos de estadstica y registros . . . . . . . . . . . . . . . . 29.4.2 Asuntos de Configuracion . . . . . . . . . . . . . . . . . . . . .
XIV
Apndice
310
313
Referencia a Comandos de Consola D-Link Firewalls Users Guide
ix
Lista de Comandos . About . . . . . Access . . . . . ARP . . . . . . ARPSnoop . . Buers . . . . . Certcache . . . CfgLog . . . . . Connections . . Cpuid . . . . . DHCP . . . . . DHCPRelay . DHCPServer . DynRoute . . . Frags . . . . . . HA . . . . . . . HTTPPoster . Ifacegroups . . IfStat . . . . . . Ikesnoop . . . . Ipseckeepalive IPSectunnels . IPSecstats . . . Killsa . . . . . . License . . . . . Lockdown . . . Loghosts . . . . Memory . . . . Netcon . . . . . Netobjects . . OSPF . . . . . Ping . . . . . . Pipes . . . . . . Proplists . . . . ReCongure . Remotes . . . . Routes . . . . . Rules . . . . . . Scrsave . . . . . Services . . . . Shutdown . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
313 313 314 314 315 315 316 317 317 318 318 319 319 319 320 320 320 321 321 322 323 323 323 324 324 325 325 325 325 326 326 327 327 328 328 329 329 330 330 331 331
D-Link Firewalls Users Guide
Sysmsgs . Settings . Stats . . . Time . . . Uarules . Userauth Userdb . . Vlan . . . B Soporte a clientes
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
331 331 333 334 334 334 335 336 339
FIGURES & TABLES
2.1 4.1 4.2 9.1 9.1
The OSI 7-Layer Model. . . . . . . . . . . . . . . . . . . . . . . . WebUI Authentication Window. . . . . . . . . . . . . . . . . . . WebUI Main Display. . . . . . . . . . . . . . . . . . . . . . . . . . A VLAN Infrastructure. . . . . . . . . . . . . . . . . . . . . . . . 802.1Q Standard Ethernet Frame. . . . . . . . . . . . . . . . . .
8 20 20 57 58 78 82 87
10.1 Route Failover Scenario . . . . . . . . . . . . . . . . . . . . . . . 10.2 OSPF Process Scenario . . . . . . . . . . . . . . . . . . . . . . . 10.3 Static Routing Scenario . . . . . . . . . . . . . . . . . . . . . . . 14.1 Dynamic NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 14.1 SAT Example. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 16.1 A Web Server in DMZ . . . . . . . . . . . . . . . . . . . . . . . . 128 18.1 18.2 18.3 18.4 18.5 18.6 18.7 FTP ALG Scenario 1 FTP ALG Scenario 2 H.323 Scenario 1. . . H.323 Scenario 2. . . H.323 Scenario 3. . . H.323 Scenario 4. . . H.323 Scenario 5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
150 153 162 166 169 172 174
19.1 IDS Chain of Events Scenario 1 . . . . . . . . . . . . . . . . . . 183 19.2 IDS Chain of Events Scenario 2 . . . . . . . . . . . . . . . . . . 185 19.3 Signature Database Update . . . . . . . . . . . . . . . . . . . . . 187 xi
xii
19.4 An IDS Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 20.1 20.2 20.3 20.4 20.5 20.6 22.1 22.2 22.1 22.2 VPN VPN VPN VPN VPN VPN Deployment Deployment Deployment Deployment Deployment Deployment Scenario Scenario Scenario Scenario Scenario Scenario 1 2 3 4 5 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 202 203 203 204 205 223 225 228 235
LAN-to-LAN Example Scenario. . . . . . . IPsec Roaming Client Example Scenario. . PPTP Encapsulation. . . . . . . . . . . . . . L2TP Encapsulation. . . . . . . . . . . . . .
23.1 IPv4 Packet Format . . . . . . . . . . . . . . . . . . . . . . . . . . 251 24.1 A SLB Logical View. . . . . . . . . . . . . . . . . . . . . . . . . . 262 24.2 A SLB Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 27.1 Transparent Mode Scenario 1. . . . . . . . . . . . . . . . . . . . 284 27.2 Transparent Mode Scenario 2. . . . . . . . . . . . . . . . . . . . 286 28.1 A Zone Defense Scenario. . . . . . . . . . . . . . . . . . . . . . . 295 29.1 Example HA Setup. . . . . . . . . . . . . . . . . . . . . . . . . . . 301
LISTA DE ESCENARIOS
Seccin 10.4: Conguracin Route Failover. . . . . . . . . . . . Seccin 10.5: Conguracin Dynamic Routing. . . . . . . . . . . . Seccin 10.6: Conguracin Static Routing. . . . . . . . . . . . . . Seccin 10.7: Conguracin PBR . . . . . . . . . . . . . . . . . . . . Seccin 14.3: Conguracin IP Rules . . . . . . . . . . . . . . . . . . 116 Seccin 15.3: Conguracin Access Rule . . . . . . . . . . . . . . . . . . 126 Seccin 17.4: Conguracin User Authentication . . . . . . . . . . 137
78 82 87 91
Seccin 18.2: Conguracin FTP ALG . . . . . . . . . . . . . . . . 150 Seccin 18.4: Conguracin H.323 ALG . . . . . . . . . . . . . . . 161 Seccin 19.6: Conguracin de IDS . . . . . . . . . . . . . . . . . . . . . . . 189 Seccin 22.1: Conguracin IPsec. . . . . . . . . . . . . . . . . . . 223 Seccin 23.4: Conguracin de Trac Shaping . . . . . . . . . . . . . . . . 253 Seccin 24.3: Habilitando SLB . . . . . . . . . . . . . . . . . . . . . . . 266 . . . . . . . . . . . . . . 284
Seccin 27.3: Habilitando Transparent Mode
Seccin 28.6: Conguracin de Zone Defense . . . . . . . . . . . . . . . . . 294
xiii
Parte I
Prefacio
xiv
Versin de Documento
Version No.: 1.0
Advertencia
La informacin en esta gua de usuario est sujeta a cambios sin previo aviso.
Acerca de este Documento

Esta Gua de Usuario esta diseada para ser un manual de configuracin til as como una herramienta de aprendizaje de trabajo Internet y conocimientos de seguridad para los administradores de red. El documento intenta no slo presentar medios para llevar a cabo ciertas operaciones del producto, sino entregar fundamentos sobre en qu conceptos estn basadas las funciones, cmo varias secciones del producto trabajan efectivamente, y por qu ciertos grupos de configuraciones son ejecutadas con el fin de aumentar la comprensin del lector. El contenido de esta gua est lgicamente organizado en Partes, Captulos, y Secciones, con anlisis de Escenarios para cada caracterstica principal, para permitir mejor al lector aprender varias funciones. En forma consecutiva a las partes y captulos detallados, ser presentada informacin suplementaria y un ndice de trminos relevantes en esta gua.
Convenciones Tipogrficas
Ejemplo:
Pasos de configuracin para realizar ciertas funciones. WebUI :
Pasos ejemplo para WebUI.
Nota
Informacin adicional que el usuario debe tener en conocimiento.
Tip
Sugerencias en la configuracin que deben ser tomadas en consideracin.
Aviso
Informacin crtica que el usuario debe seguir al llevar a cabo cierta accin.
Advertencia
Informacin critica que el usuario DEBE seguir para evitar un dao potencial
xvii
Parte
II
Vista General del Producto
CAPITULO
1
Capacidades
1.1
Caracteristicas del Producto
Las caractersticas claves de los firewalls D-Link pueden ser resumidas como:
Asistente de arranque de fcil ejecucin Interfaz grfica de usuario basado en web (WebUI) Efectivo y de fcil mantencin Polticas de control completo de seguridad Capas de puerta de enlace de aplicacin avanzada (FTP, HTTP, H.323) Mtodos avanzados de monitoreo y registro Cumplimiento VLAN total Soporte para la construccin VPN (IPSec, PPTP, L2TP) Deteccin de errores de Ruta Ruteo avanzado (OSPF) Soporte de Modo Transparente Balance de Registro de Servidor Sistema de Deteccin de Intrusos
Capitulo 1. Capacidades
Zona de Defensa Alta Disponibilidad (Algunos modelos)
Detalles sobre cmo hacer funcionar estas caractersticas son encontradas en captulos especficos en esta gua de usuario.
Parte
III
Introduccin a Redes
CAPITULO
2
El modelo OSI
El modelo Open System Interconnection (OSI) define un marco primario para comunicaciones inter-computacionales, a travs de la categorizacin de diferentes protocolos para una gran variedad de aplicaciones de red, en siete pequeas capas ms manejables. El modelo describe cmo los datos de una aplicacin en un computador pueden ser transferidas a travs de un medio de red, a una aplicacin en otro computador. El control de trfico de datos es pasado de una capa a la siguiente partiendo de la capa de aplicacin de un computador, avanzando a la capa de abajo, atravesando por el medio a otro computador y luego transfirindolo a la parte superior de la jerarqua. Cada capa maneja un cierto grupo de protocolos, de manera que las tareas para realizar una aplicacin puedan ser distribuidas a diferentes capas para ser implementadas independientemente. Tabla 2.1 muestra la definicin de 7 capas. Funciones bsicas y los protocolos comunes envueltos en cada capa son explicados a continuacin. Capa de aplicacin dene la interfaz de usuario que soporta las aplicaciones directamente. Protocolos: HTTP, FTP, DNS, SMTP, Telnet, SNMP, etc. Capa de presentacin traduce las diversas aplicaciones a un formato uniforme de red que Pueda ser comprendido por el resto de las capas. Capa de Sesin establece, mantiene y termina las sesiones a travs de la red. Protocolos: NetBIOS, RPC, etc. 7
Captulo 2. El modelo OSI
Capa de Aplicacin
6 Capa de Presentacin
Capa de Sesin
Capa de Transporte
Capa de Red
Capa de Datos-Link
Capa Fsica
Tabla 2.1: Modelo OSI de 7-Capas. Capa de Transporte controla el flujo de datos y entrega un manejo de errores. Protocolos: TCP, UDP, etc. Capa de Red despliega el direccionamiento y ruteo. Protocolos: IP, OSPF, ICMP, IGMP, etc. Capa de Datos-Link estructura los datos. Protocolos: Ethernet, PPP, etc. Capa Fsica dene los soportes de hardware. Los firewalls D-Link manejan el trfico de red y despliegan diversas funciones para garantas de seguridad y soporte de aplicacin a travs de las 7 capas del modelo OSI.
CAPITULO
3
Principios Firewall
3.1
3.1.1
El Rol del Firewall

Qu es un Firewall?
Cuando usted conecta su computador su red de rea local a otra red ej. el internet, se deben tomar ciertas medidas para prevenir que intrusos tengan acceso a fuentes y materiales que usted considere confidenciales sensibles. Con el fin de conseguir esto, se debe implementar un firewall en la red. Esta tarea es para asegurar que slo es permitido el flujo de comunicacin aprobada entre redes y que la comunicacin no autorizada es bloqueada y registrada.
3.1.2
Cmo trabaja un Firewall?
El propsito primario de un firewall es reforzar el estado de polticas de seguridad sobre quin puede comunicarse con quin y de qu manera. El firewall consigue sto examinando el trfico que pasa a travs de ste, comparando la informacin con un conjunto de reglas programadas en ste y tomando una decisin basada en factores tales como la direccin del emisor, direccin de destino, protocolo y puertos. Esto le permite instalar menos servicios de seguridad de red en sus redes protegidas y prevenir de que intrusos tengan acceso a stos servicios. La mayora de los firewalls, incluyendo los firewalls D-Link, aseguran que el trfico de red 9
10
Capitulo 3. Principios del Firewall
cumpla con las definiciones actuales de protocolo. Esto puede prevenir que servicios mal implementados en los servidores protegidos y clientes software sean expuestos a datos inesperados, causando que stos se suspendan se caigan. En resumen un firewall es la respuesta de la red a una seguridad deficiente por parte del anfitrin.
3.2
Contra qu NO protege el Firewall?
La seguridad implica mucho ms que slo firewalls. Sin embargo, en la mayora de los casos, instalar un firewall es necesariamente el primer paso para asegurar su red y computador. Esta seccin no est especficamente dedicada a los firewalls D-Links; sino que trata de los firewalls en general. Los problemas descritos aqu pueden ocurrir independiente de cual firewall usted elija instalar. Una idea errnea comn es que toda la comunicacin est inmediatamente asegurada una ves que pasa a travs del firewall. Esto sin embargo no es verdad. Muchos ejecutivos de marketing y vendedores sonren y reclaman que nuestro Firewall le proteger contra todo. Se espera que esto sea slo pura ignorancia de parte de ellos y no un intento consciente de engaar a potenciales compradores. Un firewall puede slo proteger contra aquello a lo que ha sido diseado. Desafortunadamente, es imposible predecir todos los virus que otros software pueden tener. En adicin, hay un gran nmero de situaciones en donde un firewall no puede entregar una total proteccin a toda la comunicacin que pasa a travs de ste. La siguiente es una seleccin de problemas de seguridad con los que a menudo un firewall es incapaz de lidiar, y en algunas instancias entregamos soluciones para combatir stos. Tome nota de que sto slo raya la superficie en trminos del nmero de problemas existentes. Una proteccin completa slo puede ser alcanzada a travs una comprensin profunda de todas las debilidades posibles en los protocolos de red y en el software utilizado, y de la implementacin de medidas apropiadas para compensar stas. Gua de Usuario de los Firewalls D-Link
3.2. Contra qu NO protege el Firewall?
11
3.2.1
Ataques en Componentes Inseguros pre-instalados
Un problema muy comn es el hecho de que sistemas operativos y aplicaciones usualmente contienen componentes inseguros pre-instalados. Tales componentes incluyen servicios indocumentados presentes en computadores conectados a Internet, permitiendo el ingreso de conexiones de red externas. Un ejemplo de esta forma de vulnerabilidad son los componentes de simplificacin que permiten el acceso directo ODBC va HTTP en servidores web. La caracterstica ms comn para la mayora de estos componentes es que no estn previstos para el uso en una red pblica, en donde intrusos pueden utilizar la extra funcionabilidad a mano para interrumpir fcilmente en el sistema. Sin embargo, los sistemas modernos estn frecuentemente previstos con tales componentes pre-instalados con el fin de hacer el sistema fcil de utilizar. Una buena precaucin a tomar es revisar todos los sistemas conectados a Internet, clientes y servidores, y remover todas las funcionalidades innecesarias.
3.2.2
Usuarios inexpertos en Redes protegidas
Ningn firewall en el mundo puede proteger contra el dao que usuarios inexpertos pueden provocar a una red protegida. Si stos asisten a un intruso de una manera u otra, ej. abriendo un programa no reconocido enviado va email tal como merryxmas2001.exe, se puede lograr ms dao que si colocramos juntos todos los virus de aplicaciones y sistemas operativos. Todos los intentos de asegurar las redes de una organizacin deben ser precedidos por una profunda investigacin sobre que puede o no ser permitido. El resultado de sto debe ser una poltica de seguridad que se aplique a todas las partes de la organizacin, desde la administracin inferior. Con la intencin de que tales polticas funcionen, todos los usuarios deben estar conscientes de estas polticas y por qu deben ser reforzadas.
3.2.3
Ataque a los datos de la Red
Normalmente, un firewall puede slo proteger un sistema contra ataques de datos en circunstancias excepcionales. Tales ataques incluyen:
Paginas HTML contenedoras de javascript o Java que atacan la red
desde el interior cuando la pgina es vista en un buscador programa e-mail. La nica proteccin posible contra esta clase de ataque, Gua de Usuario de los Firewalls D-Link
12
aparte de un software de mejor escritura, es deshabilitar tales servicios o limitando la navegacin a computadores menos sensibles.
Pginas HTML que vinculan en los contenidos de archivos locales cuando stos
estn abiertos sin scripts. Tales pginas pueden, a menudo con la ayuda de usuarios locales confiados que son engaados en Ayudar a la pgina haciendo click en un botn, enviando el archivo vinculado hacia adelante a un servidor Internet desconocido.
Los documentos enviados por email que contienen scripts hostiles son
activados una vez que el documento es abierto. Maneras posibles para proteger su sistema contra estas formas de ataque incluyen el evitar utilizando un software buscador basado en email o deshabilitando el script e introduciendo puertas de enlace mail que pueden bloquear scripts y otros cdigos ejecutables.
Buer overruns, contra los cuales muy raramente proveen proteccin los firewalls.
Buer overruns pueden ocurrir en cualquier aplicacin, con un resultado net de intrusos que son capaces de conseguir que los computadores protegidos ejecuten cualquier comando. Aqu, la nica solucin es asegurar que slo las aplicaciones bien escritas, las cuales son diseadas especficamente para ser inmunes a esta forma de ataque son bien instaladas y utilizadas. Desafortunadamente los software ms actuales no estn escritos con este problema en mente. Al momento de escribir, se es de la opinin de que esto plantea la mejor amenaza tcnica para todas las formas de ataque basado en red, cuando casi todo el software es susceptible a buer overruns.
Virus y troyanos. Un firewall puede por supuesto ser conectado a
scanners de virus, puertas de enlace mail y otros dispositivos similares con el fin de incrementar seguridad, pero debe ser notado que la funcionalidad fundamental de un firewall no entrega normalmente tal proteccin.
Incluso si un firewall es conectado a un scanner de virus, es posible que los virus
atacantes pueden estar tan bien ocultos que el scanner es incapaz de detectarlos. En adicin, un scanner de virus puede slo detectar los virus que reconozca. Si alguien disea un virus especficamente para atacar sus sistemas o aquellos de un pequeo grupo de personas, o si el troyano o virus en cuestin no se encuentra en circulacin lo suficiente para que se vuelva bien conocido, el scanner de virus no lo reconocer. En el presente, las tareas ms comunes para ataques de datos son:
Servidores pblicos tales como servidores mail, servidores DNS y servidores
web. Los servidores Web son claramente representados en esta categora debido a su enorme complejidad. Gua de Usuario de los Firewalls D-Link
3.2. Contra qu NO protege el firewall?
13
Scripts hechos a la medida en servidores web. Es ahora muy fcil ampliar la
funcionabilidad de su servidor web escribiendo pequeos, programas a la medida para manejar una multitud de tareas. Sin embargo, una consciencia insuficiente de problemas potenciales pueden conducirle, la mayora de las veces, a realizar pequeas modificaciones, dificultando la deteccin de errores que pueden habilitar a un intruso para ganar acceso a su sistema.
Los buscadores de Web. La automatizacin de procesos y la simplificacin de
operaciones para el beneficio de los usuarios crean un incremento en la complejidad interna y de este modo incrementa el riesgo de vulnerabilidades.
El software Desktop, ante todo desea en buena medida soportar
lenguajes scripting, por la misma razn que un buscador . Los lenguajes scripting entregan acceso casi ilimitado a computadores locales y a todas las fuentes de red conectados. Como resultado, los intrusos pueden causar todo tipo de problemas si stos pueden obtener usuarios internos para abrir documentos contenedores de scripts malvolos.
3.2.4
Ataques internos
Un firewall slo puede filtrar datos que pasan a travs de ste. Por lo tanto, no puede ofrecer proteccin alguna contra ataques internos en las redes locales, donde todos los computadores se comunican directamente entre ellos. En adicin, los firewalls no pueden proveer proteccin contra los usuarios locales introduciendo un software prejudicial a la red desde un medio removible, o a travs de la exportacin de informacin sensible del mismo modo. Esto puede parecer obvio. Sin embargo, la mayora de la gente subestima el impacto de tal dao. Aunque diferentes Fuentes entregan diferentes imgenes, es claro que ms de un 50% de todos los problemas de seguridad de datos son el resultado de ataques internos. Algunas fuentes colocan esta imagen a una altura del 80%.
3.2.5
Mdems y Conexin VPN
Un error comn es creer que los mdems y puertas de enlace VPN son tan seguros como la red protegida y pueden ser conectados directamente a sta sin proteccin.
Gua de Usuario de los firewalls D-Link
14
Modem pools puede estar sujetas a ataques directos y, en casos extremos, las lneas telefnicas pueden ser interceptadas. Switches, localizados en cualquier punto de las redes tele-comunicacionales o en la oficina, pueden ser reprogramados sin que el intruso necesite estar cerca de stos. Cuando ste se vuelve a las conexiones VPN, es importante recordar que aunque las conexiones mismas pueden ser seguras, el nivel total de seguridad es slo tan alto como la seguridad de los puntos de trmino del tnel. Se vuelve cada vez ms comn para los usuarios en el flujo conectarse directamente a las redes de sus compaas desde sus laptops va VPN. Sin embargo, el laptop mismo no es a menudo protegido. En otras palabras, un intruso puede obtener acceso a las redes protegidas a travs de un laptop no protegido con conexiones VPN ya abiertas. Una precaucin bsica a tomar es la proteccin de su red contra ataques a los modems y conexiones VPN, asegurando que los computadores mviles jams se comuniquen directamente con el Internet. En cambio, deben siempre ser dirigidos a travs de VPN o modem de conexin y la red de la compaa, sin importar a aquellos a los que se desea comunicar. De esta manera, stos disfrutan mas o menos el mismo nivel de proteccin que el resto de la red. Para conexiones VPN, un cliente VPN competente que puede bloquear todos los trficos Internet entrantes, a un lado de aquellos que pasan a travs de las conexiones VPN, deben ser instalados en cada laptop. Una conexin VPN o modem pool no debe jams ser considerado como una parte directa de una red protegida. Los puntos de trmino VPN deben en cambio ser localizados en un DMZ especial o fuera del firewall al que estn dedicadas sus tareas. Al hacer esto, usted puede restringir cules servicios pueden ser accedidos va VPN y modem y por lo tanto asegurar que se servicio est bien protegido contra intrusos.
En casos en donde el firewall pone en relieve una puerta de enlace VPN integrada, es usualmente posible imponer los tipos de comunicacin permitidos. El Firewall D-Link pone a flote tal facilidad.
3.2.6
Entradas entre DMZ y las Redes Internas
Aunque la llegada de extranets y comercio electrnico ha servido para conducir envos desarrollados, y como mas y ms compaas comienzan a hacer datos internos disponibles va servidores web, los riesgos de seguridad como resultado son incrementados. Gua de Usuario de los Firewalls D-Link
3.2. Contra qu NO protege el firewall?
15
Es ahora una prctica comn localizar servidores web en zonas desmilitarizadas, donde stos se comunican con fuentes de datos en redes protegidas. En tales casos, los ataques a los datos plantean una gran amenaza. El problema con los agujeros entre DMZ y redes internas no es realmente un problema en s. Mas bien, es una consecuencia de los problemas discutidos con anterioridad. Mucha gente abre estos agujeros sin tener cuidado de los problemas que pueden causar, lo cual es el por qu hemos elegido destacar estos problemas en una seccin separada. La razn para localizar un servidor web en un DMZ es simple el servidor no puede confiar en ser completamente seguro. Qu sucede si alguien gana control sobre el servidor y hay un agujero abierto a travs del cual se puede ganar acceso a las fuentes de datos en la red interna? El resultado es que las redes protegidas estn abiertas a ataques desde el Internet, utilizando un servidor web como intermediario. No subestime los efectos de sta vulnerabilidad! En nuestra experiencia, incluso el atacante ms inexperto necesita slo unos minutos para ganar acceso a las redes protegidas utilizando tcnicas estandarizadas y bien conocidas, especficamente desarrolladas para explotar ste tipo de agujeros. La ms simple defensa contra sto es el incremento de la segmentacin de la red. A travs de la localizacin de fuente de datos, ej. un servidor SQL, en un segmento de red separada y previnindole de la comunicacin directa con el resto de la red, usted puede limitar el dao causado por semejante ataque.
Nota
El problema aqu no son los paquetes IP que son dirigidos a travs de los servidores DMZ, por eso el deshabilitar IP forwarding no le proveer ninguna proteccin. El problema es que los intrusos pueden ejecutar comandos en estos servidores del mismo modo que cualquiera en el teclado. Debe tambin ser notado que su red interna ser an vulnerable a los ataques incluso si el canal entre el DMZ y la red interna esta hecha en un protocolo no-dirigible como un NetBEUI. Nuevamente, el problema no son los paquetes que atraviesan redes inseguras hacia la red interna. Gua de Usuario de los Firewalls D-Link
16
Mejor dicho, el problema es que aparatos inseguros pueden ejecutar comandos en aparatos protegidos. Otra forma de proteccin valiosa considerada es ajustar una fuente de datos separados que contienen informacin limitada a la que el servidor web tiene acceso. Esta debe slo contener informacin estimada suficientemente insensible a ser accedida desde un servidor web. Este proceso requiere de una exportacin automtica de datos desde la fuente interna de datos a la fuente externa de datos, para ser ejecutados cuando la informacin necesite ser actualizada, o en determinados momentos del da. Un problema insuperable puede presentarse cuando el servidor web necesite actualizar la fuente de datos. La mejor manera de afrontar tal problema es mover la fuente afectada de datos a un segmento separado de red, y de este modo reducir el dao potencial en caso de intromisin.
Parte IV
Administracin
Esta parte cubre aspectos bsicos de la gestin y administracin de los Firewalls D-Link, incluyendo:

Plataforma de Configuracin Registro Mantenimiento Ajustes Avanzados
CAPITULO
Plataforma de Configuracin
4.1
4.1.1
Congurando Va WebUI
Vista General
Los firewalls D-Link pueden ser configurados utilizando una interfaz web. Una interfaz web es usualmente una manera rpida y eficiente para configurar un firewall, que no requiere que el administrador instale ningn programa especfico para configurar ste. Esto tambin permitir al administrador configurar el firewall remotamente, de manera virtual desde cualquier lugar en el mundo.
4.1.2
Diseo de Interfaz
Antes de utilizar la interfaz WebUI, el usuario deber ser autentificado a travs del ingreso de nombre de usuario/contrasea en la ventana de autentificacin, mostrado en la Figura 4.1. Una vez registrado en el WebUI, al usuario se le presentar una pgina con tres Secciones distintas, como se muestra en la Figura 4.2:
Barra de Menu Lista con Vista de Arbol Ventana principal
19
20
Capitulo 4. Plataforma de Configuracin
Figura 4.1: Ventana de Autentificacin WebUI.
Figura 4.2: Ventana Principal WebUI.
4.1. Configurando Via WebUI
21
Barra Menu La barra menu consiste en un nmero de botones con tanto una sola opcin mltiples sub-opciones.
Home
Dirijase a la pgina de inicio del WebUI.
Conguracin
- Guardar y Activar: Guarda la configuracin y activa las modificaciones. - Descartar Modificaciones: Descarta las ltimas modificaciones en la configuracin.
Herramientas
- Ping: Herramienta utilizada para ping anfitriones en la red. til para la solucin de problemas y depuracin. - Backup: Herramienta utilizada para guardar y restaurar respaldos de la configuracin actual. - Reset: En esta pgina es posible reiniciar el firewall y reestablecerlo a lo predeterminado de fbrica. - Upgrade: En esta pgina las firmas IDS y firmware del firewall pueden ser modernizados.
Estado
- System: Aqu es mostrado el estado del sistema. Carga CPU, conexiones etc. - Logging: Aqu es donde la carga almacenada en la memoria de registro es desplegada. - Connections: Despliega las conexiones actuales a travs del firewall. - Interfaces: Despliega el estado para interfaces y tneles. - IPSec: Despliega el estado de informacin IPSec. - Routes: Despliega la actual tabla de ruteo. - DHCP Server: Despliega la informacin en uso para servidores DHCP. - IDS: Despliega el estado de informacin IDS. - SLB: Despliega el estado de informacin SLB. Gua de Usuario de los Firewalls D-Link
22
Captulo 4. Plataforma de Configuracin
- Zona de Defensa: Despliega el estado de la informacin de la Zona de Defensa.
Logout
Log out from the WebUI.
Help
Lea la ltima version de este manual.
Lista con Vista de Arbol La vista arbol es un listado de las secciones de configuracin en el firewall. El rbol puede ser expandido para mostrar opciones de configuracin ms detallada. Ventana Principal La ventana principal despliega la seccin de configuracin seleccionada o el objeto a modificar. Asegrese de hacer click en el botn de OK para guardar los cambios realizados a un objeto, o cancelar para descartarlos, antes de navegar ms en la WebUI.
4.1.3
Operaciones de Configuracin
Cuando se configura el firewall, las mismas direcciones IP, definiciones de red, servicios etc, son a menudo utilizados en mltiples localizaciones a lo largo de la configuracin. Para simplificar la administracin y hacerla ms fcil para modificar direcciones IP, redes etc, logical objects (va 8 Logical Objects) son utilizados a lo largo de la configuracin del firewall. Cuando el usuario ha configurado el firewall va WebUI, la configuracin deber ser guardada y activada antes de que la nueva configuracin sea utilizada por el firewall. Esto es realizado a travs de la opcin de barra men Save and Activate bajo Conguration.
4.2. Monitoreando Via CLI
23
4.2
Monitoreo Va CLI
Los administradores pueden asimismo monitorear y solucionar problemas en el firewall Interface de comandos (CLI), a travs del empleo del puerto de Consola en el Firewall. La serie de puerto de consola es un puerto RS-232 que permite una conexin a un PC o terminal. Para accesar el puerto de consola, son necesarios los siguientes requisitos:
Una terminal o computador (porttil) con un puerto serial la habilidad
de emular una terminal (ej utilizando el software Hyper Terminal incluido en la mayora de las instalaciones Microsoft Windows). La terminal debe tener los siguientes ajustes: 9600 baud, No parity, 8 bits y 1 stop bit.
Un cable RS-232 con conectores apropiados.
Para conectar una terminal al puerto consola, siga los siguientes pasos: 1. Coloque los ajustes terminales como ha sido descrito con anterioridad. 2. Conecte uno de los conectores del cable RS-232 directamente al puerto de consola en el hardware del firewall. 3. Conecte el otro extremo del cable a la terminal o conector serial del c computador que hace correr el software de comunicacin. A travs del texto basado en el Interface de comandos (CLI) de la consola, un anlisis ms profundo de varios aspectos estadsticos del firewall pueden ser conducidos tambin como un detector de problemas avanzado. Una referencia detallada de varios comandos que pueden ser utilizados en esta interfaz es cubierta en el Apndice A, Referencia de Comandos de Consola.
Nota
Actualmente, el CLI puede slo ser utilizado para visualizacin de estadsticas y estados. El firewall no puede ser configurado a travs de esta interfaz.
CAPITULO
5
Registro
Este captulo trata de los principios de registro y entrega una breve introduccin al diseo de los firewalls de registro D-Link. Para informacin acerca de cmo implementar la funcin de registro por el firewall, refirase a 13, Ajustes de registro en la parte de Fundamentos.
5.1
Vista General
El registro es una prctica para mantener el contacto con aquellas actividades pertinentes a la operacin de firewall y a las polticas de seguridad que el firewall est reforzando. El archivo generado desde el registro ayuda a los administradores a observar en detalle qu eventos han ocurrido. Los firewalls D-Link entregan una variedad de opciones para registrar actividades.
5.1.1
Importancia & Capacidades
A pesar de qu poltica de seguridad es implementada por el firewall, el registro es crtico para asegurar que la implementacin est corriendo sin problemas adems de mantenerse en alerta sobre lo que est ocurriendo en el entorno de una red. Esto entrega a los profesionales la habilidad de monitorear la operacin del dispositivo y asegurar que los eventos en progreso estn anticipados. Desde que el firewall se encarga de todo el trfico que pasa a travs de sus interfaces desde una red protegida a otras reas y adems de los otros caminos alrededor, ninguna desconfiguracin o uso incorrecto de las funciones pueden resultar 25
26
Chapter 5. Logging
en una discontinuidad de servicios. A travs de la revisin de salida de registro, hay una gran oportunidad de que administrador sea capaz de imaginar los eventos problemticos, y tomar las acciones necesarias para corregir esos problemas. Una vez que los problemas son resueltos, el contenido correcto puede encontrado en la nueva informacin de registro para verificar que los cambios apropiados han sido realizados. El registro puede tambin ser utilizado en el Intrusion Detection System (IDS). El trfico sospechado e intentado, fallido, o ataques exitosos contra el firewall y la red pueden ser registrados, con notificaciones enviadas para alertar a los administradores. Esta informacin de registro es muy til para que los administradores determinen cmo puede ocurrir una intromisin y qu mtodo de contra-taque puede ser adherido para mejorar las implementaciones del firewall. Tan pronto como los eventos requeridos por el registro ocurran, el firewall genera respuestas basadas en tales eventos, y luego stas son exportadas en archivos de una forma u otra a uno o ms receptores de registro.
5.1.2
Eventos
Hay un nmero de situaciones diferentes que pueden causar que los firewalls D-Link generen y entreguen datos de registro. Cada una de tales ocasiones es referida como un evento. Algunos eventos, por ejemplo, el inicio y cierre del firewall, generarn siempre entradas de registro. Otros, por ejemplo, para registrar si una regla especificada es coincidente, son configurables. La razn ms obvia y simple transmisin por evento generado es, por supuesto, cuando el registro es configurado en la regla del firewall, tal como una regla IP, reglas de Autentificacin del Usuario, Reglas Threshold, etc. Los eventos de inters para captura generalmente caen en tres categoras claras: Firewall System Issues, Security Policy, y Network Connection Status. System Issues Esta categora de eventos registra el estado del sistema del firewall y cambios del hardware, por ejemplo:
BUFFERS eventos con respecto al uso del buffer. TIMESYNC tiempos de sincronizacin de eventos rewall. HWM hardware monitoreador de eventos. SYSTEM Inicio & Cierre.
5.1. Overview
27
Security Policy La informacin sobre diferentes acciones gatilladas por las reglas de firewall son entregadas en esta categora, incluyendo:
ACCEPT paquetes aceptados para futuras intromisiones. FWD- paquetes direccionados sin estado DROP paquetes rechazados.
Conexiones de Red Varias conexiones de trfico, estados de routing, y registro de actividades del usuario para depurar y monitorear el ambiente de la red caen en esta categora. Tanto los servicios autorizados como conexiones rechazadas pueden ser registradas. Normalmente, el nombre de los servicios (o nombre de protocolo) es utilizado como la etiqueta para el evento en la entrada de registro. Los eventos ms comunes dentro de sta categora son enlistados a continuacin.
USAGE
estadsticas peridicas del uso del sistema, tal como amplitud de banda, conexiones, y etc.
CONN
eventos de estado de ingeniera, ej. apertura/cierre de conexiones.

NETCON
eventos de gestin remota del administrador.

IFACEMON
eventos de control de interfaz.

DHCP/DHCPRELAY/DHCPSERVER
eventos para cliente DHCP, para la retransmisin, o para el servidor.

ARP
mensajes de registro provenientes de la ingeniera ARP.

FRAG
mensajes de registro provenientes de la ingeniera de manejo fragmentada.

OSPF/DYNROUTING
informacin para el ruteodinmico.

RFO
dirige eventos fail over.

PPP/PPPOE/PPTP/L2TP/GRE/IPSEC
eventos para diferentes tneles.

USERAUTH
eventos para la autentificacin del usuario. Gua de Usuario de los Firewalls D-Link
28
Captulo 5. Registro
HA
Eventos de Alta Disponibilidad.

IDS/IDSUPDATE
Eventos de Deteccin de Intrusos y actualizacin de base de datos.

ZONEDEFENSE
Eventos de Zona de Defensa.

SNMP
accesos SNMP permitidos y rechazados.

IP.../TCP...
informacin concerniente a paquetes TCP/IP.
5.2
Receptores de Registro
Un receptor de registro es un computador distinto, conocido como Syslog server, o una seccin de memoria construida en el firewall para manejar todos los eventos registrados, generados por el firewall. Una vez que un nuevo evento es recibido, el receptor adhiere una entrada en el archivo de registro para grabar los datos.
5.2.1
Receptor Syslog
El Firewall D-Link puede enviar datos de registro a los receptores Syslog. El Syslog es un protocolo estandarizado para el envo de datos de registro a loghosts, aunque no haya un formato estandarizado para estos mensajes de registro. El formato utilizado por el Firewall D-Link es ideal para procedimientos automatizados, filtracin y bsqueda. Aunque el formato exacto de cada entrada de registro depende de cmo trabaje el recipiente syslog particular, la mayora son muy similares. El modo en el cual los registros son ledos es adems dependiente del receptor. Los demonios Syslog en servidores UNIX usualmente registran a archivos de texto, lnea por lnea. La mayora de los receptores syslog introducen cada entrada de registro con un registro de tiempo y la direccin IP del artefacto que enva el dato de registro: Feb 5 2000 09:45:23 gateway.ourcompany.com Esto es seguido por el texto que el emisor ha elegido enviar. Todas las entradas de registro del Firewall D-Link son introducidas por FW: y una categora, ej. DROP: . Gua de Usuario de los Firewalls D-Link
5.2. Receptores de Registro
29
Con de facilitar elgateway.ourcompany.com procesamiento automatizado de todos los mensajes, los Febel 5fin 2000 09:45:23 FW: DROP: Firewalls D-Link copian todos los datos de registro a una sola lnea del texto. Los datos siguientes al texto inicial son presentados en el formato nombre=valor. Esto permite a los filtros automticos encontrar fcilmente los valores que estn buscando El texto subsiguiente depende del evento que ha ocurrido. sin suponer que una parte especfica de datos se encuentra en una localizacin especfica en la entrada de datos. En un firewall D-Link, pueden ser configurados por sobre 8 receptores Syslog y stos pueden ser agrupados en uno o ms grupos de receptores. Comparado con el Memory Log Receiver el cual es introducido a continuacin, los receptores Syslog pueden ser utilizados para salvar y a largo plazo almacenar los eventos registrados. Estos servidores de registro entregan una gestin centralizada de archivos de registro, y el respaldo de los archivos, es posible dependiendo del receptor(es) Syslog particular en uso.
5.2.2 Receptor de registro de memoria

Los firewalls D-Link pueden actuar como receptor de registro con su memoria incorporada. Cuando la memoria de receptor de registro es habilitada en el firewall, todos los eventos sern guardados en el archivo de registro en la memoria, y las entradas ms actuales generadas del archivo pueden ser desplegadas para el administrador si lo solicita. Este almacenamiento de archivos de registro es temporal, todos los contenidos del archivo pueden ser limpiados luego de ser reiniciado el firewall, y ah no hay respaldo. Solo una memoria de receptor de registro puede ser configurada por un firewall .
5.2.3 Receptor de Evento SMTP

Una nica caracterstica designada para eventos de registro IDS/IDP y alertas es entregada por los firewalls D-Link, denominada como Receptor de Evento SMTP. Con una apropiada configuracin, el firewall est capacitado para registrar posibles intromisiones y notificar al administrador enviando e-mail(s) para especificar direccin(es) e-mail. Para mayor informacin acerca de esta funcin, refirase a 19.5 Receptor de Registro SMTP para Eventos IDS.
31
CAPITULO
6
Mantenimiento
6.1
Actualizaciones del Firmware
Los Firewalls D-Link pueden ser modernizados con nuevos rmwares para introducir nuevas funcionalidades y corregir problemas conocidos. Asegrese de revisar regularmente la website de soporte D-Link para nuevos firmware modernizados.
Ejemplo: Modernizando el Firmware

Este ejemplo describe cmo modernizar un Firewall D-Link con una nueva versin de rmware. WebUI :
1. Verifique Versin Actual Primero que todo, verifique cual versin de firmware est actualmente corriendo en el Firewall D-Link. Status System: Tome nota del nmero de Firmware Version ubicado bajo System Status. 2. Descarga de Firmware Modernizado Dirjase al website de soporte D-Link y navegue en la seccin de soporte de su modelo firewall. Revise si se encuentra disponible una modernizacin de la versin firmware que usted est actualmente corriendo en el firewall. Si existe una nueva versin, descrguela y colquela en su hardrive y tome nota de dnde coloca su nuevo archivo.
32
Capitulo 6. Mantenimiento
3. Modernize el Firmware Firewall Dirjase a WebUI de su Firewall D-Link y navegue hacia la pgina Tools Upgrade en la barra de herramientas. Bajo Firmware Upload, haga click en el botn de Browse. Seleccione el archivo de modernizacin de firmware que recientemente descarg del website de soporte D-Link. Haga click en el botn de Upload Firmware y espere hasta que el archivo sea cargado a continuacin de esto se mostrarn las instrucciones en la pgina.
Aviso
NO SUSPENDA EL PROCESO DE CARGA DEL FIRMWARE. La carga del firmware tomar algunos minutos dependiendo de la velocidad de su conexin al firewall.
6.2
Reset a Valores de Fbrica
Hay tres maneras de reajustar el Firewall D-Link a sus ajustes rmware y configuracin predeterminados de fbrica. 1. Reajuste a Ajustes Preestablecidos de Fbrica desde el WebUI En el WebUI del Firewall navegue a la pgina de Tools Reset en la barra de herramientas. Seleccione Reset to Factory Defaults, confirme y espere hasta que el proceso de revertir est completo.
6.2. Reajustar a Predeterminados de Fbrica.
33
2. Reajuste a los ajustes predeterminados de Fbrica va Consola en Serie. Conecte el cable en serie y adjunte utilizando un software emulador de terminal (si es utilizado Windows, puede ser utilizado el accesorio de comunicacin HyperTerminal). Reajuste el firewall. Presione cualquier tecla cuando aparezca el mensaje Press any key to abort and load boot menu en la consola. Cuando aparezca el menu seleccione Reset to factory defaults, conrme y espere a que el proceso de revertir se complete.
El siguiente procedimiento slo se aplica al DFL-800: 3. Reajuste a los ajustes predeterminados de Fbrica utilizando el Switch de Reajuste Reajuste el firewall. Presione y mantenga por 20 segundos el botn de reset to factory defaults. Espere a que el proceso de revertir est completo y el firewall se inicie.
El siguiente procedimiento slo se aplica al DFL-1600/2500: 3. Reajuste a valores Predeterminados de Fbrica utilizando el Keypad y Display. Reajuste el firewall. Presione cualquier tecla en el teclado cuando aparezca el mensaje Press keypad to Enter Setup en la visualizacin. Seleccione Reset rewall, conrme seleccionando yes y espere a que el proceso de revertir sea completado.
Aviso
NO SUSPENDA EL PROCESO DE REAJUSTAR A LOS AJUSTES DE FABRICA. Si es suspendido, el firewall puede dejar de funcionar correctamente. Luego del proceso de reajuste, los ajustes del firewall sern restaurados permanentemente.
34
Captulo 6. Mantenimiento
6.3
Respaldo de Configuracin
La configuracin de los Firewalls D-Link puede ser respaldada y restaurada a solicitud. Esto puede por ejemplo ser utilizado para recordar last known good configuracin cuando se experimenta con diferentes ajustes de configuracin. Para crear un respaldo de la configuracin actual: WebUI :
Crear y Descargar el Paquete de Respaldo En el WebUI del firewall D-Link navegue hacia la pgina Tools Backup en la barra de herramientas. Haga click en Download conguration, seleccione un nombre para el respaldo instantneo y descargue el paquete.
Para restaurar una configuracin respaldada: WebUI :
Restaurar el Paquete de Respaldo En la WebUI del firewall D-Link navegue a la pgina de Tools Backup en la barra de herramientas. En la sub-seccin de Restore units conguration , utilice la funcionalidad del buscador para localizar el paquete de respaldo. Haga click en Upload conguration y cuando se le pregunte, elija activar la configuracin.
Nota
La funcionalidad de respaldo SOLO incluye la configuracin del firewall. La informacin Dinmica tal como el arriendo de base de datos del servidor DHCP lista de bloqueo de la Zona de Defensa no sern respaldadas.
CAPITULO
7
Ajustes Avanzados
7.1
Vista General
. Los Ajustes Avanzados contienen varios ajustes globales para un firewall en trminos de lmites de tamao de paquetes, tiempos de desconexin, parmetros de protocolo, test de integridad estructural al que cada paquete debe ser sujeto, etc. Generalmente, los valores predeterminados entregados en estas secciones son apropiados para la mayora de las instalaciones. Pero tales opciones entregan posibilidades de instalaciones avanzadas para configurar casi todos los aspectos del firewall. WebUI :
En la WebUI, hay una seccin de Ajustes Avanzados localizada en: System Advanced Settings. La mayora de los ajustes configurables estn disponibles aqu. Otros Ajustes avanzados para adaptar funciones especficas del firewall pueden ser encontrados en la pgina de configuracin dentro de secciones pertinentes. Un caso que requiere modificaciones en los ajustes avanzados es explicado en 17.4, Ejemplo: Habilitando autentificacin HTTP va base de datos de usuario local. Ntese que en este ejemplo, los ajustes avanzados en la seccin de Administracin Remota del Firewall necesitan ser modificados para resolver una colisin de nmero de Puerto TCP con un servicio de autentificacin HTTP.
Parte V
Fundamentos
Desde una perspectiva tanto fsica como lgica, esta parte introduce los componentes bsicos de los firewalls D-Link, los cuales son construcciones de bloqueo para polticas de seguridad y funciones avanzadas. Los tpicos en esta parte incluyen:

Objetos Logicos Interfaces Ruteo Fecha & Tiempo DNS Ajustes de Registro
CAPITULO
8
Objetos Lgicos
Los objetos lgicos son elementos bsicos de red definidos en el firewall, refiriendo a las entidades que necesitan ser protegidas y tambin las fuentes inseguras y aplicaciones que deben ser monitoreadas por las polticas de seguridad.
8.1
Libro de Direcciones
Como un libro de contactos que registra los nombres de personas junto con el nmero telefnico y direccin email, el libro de direcciones en un Firewall es una lista de nombres simblicos asociados con varios tipos de direcciones, incluyendo direcciones IP y direcciones MAC ethernet. Estos tems son elementos fundamentales fuertemente utilizados en la configuracin del firewall, tal como la especificacin de campos de filtro para polticas de seguridad. Por lo tanto, elegir un nombre descriptivo y fcil de recordar para cada tem de direccin facilitar enormemente el trabajo de administracin. El administrador puede utilizar el nombre en cada tarea de configuracin en vez de llenar direcciones cada vez y en caso de modificar una direccin, solo se necesita modificar un punto en el libro de direcciones.
8.1.1
Direcciones IP
Para habilitar que cada entidad reciba y enve datos desde o hacia una red TCP/IP, se necesita una direccin IP de capa de red (OSI capa 3) para asociar con cada punto entre la entidad de red y el link fsico, esta es una interfaz. En otras palabras, cada interfaz tiene una direccin IP nica en la red para indicar 39
40
Captulo 8. Objetivos Lgicos.
su localizacin. El libro de direccin en los firewalls D-Link permite al administrador nombrar Direcciones IP tanto para un solo anfitrin, una red, un par maestro/esclavo utilizado en Alta disponibilidad, o un grupo de computadores o interfaces. Una direccin 0.0.0.0/0 denominada como all-nets es utilizada para denotar todas las redes posibles. Ejemplos de IP4Host/Network son mostrados a continuacin. La autentificacin de usuario desde una direccin IP objetiva puede ser habilitada en IP4 Host/Network o IP4 Address Group agregando nombres de usuarios grupos de usuarios al objeto. Una vez que el firewall verifica el trfico que fluye desde una direccin objetiva y encuentra el nombre de usuario definido en ste, avisar al usuario con solicitudes de autentificacin de acuerdo a las Reglas de Autentificacin del Usuario (Ver 17 Autentificacin del Usuario).
Ejemplo: Especificando un anfitrin IP4

La direccin IP 192.168.0.1 es definida por la interfaz de red local denominada como lan ip. WebUI :
Objects Address Book InterfaceAddresses Add IP4 Host/Network General: Ingrese lo siguiente y luego haga click en OK: Name: lan ip IP Address: 192.168.0.1 (InterfaceAddresses es un Archivo de Direccin para agrupar las direcciones de Interfaces IP)
Ejemplo: Especificando una Red IP4

La red local 192.168.0.0/24 es definida como lannet. WebUI :
Objects Address Book InterfaceAddresses Add IP4 Host/Network General: Ingrese lo siguiente y luego haga click en OK: Name: lannet IP Address: 192.168.0.0/24
8.2. Servicios
41
Ejemplo: Habilitando la Autentificacin de Usuario de un IP Objetivo

Un grupo de usuarios users es definido en la direccin de red local lannet para crear una direccin de autentificacin objetiva lannet users. Para informacin sobre especificar el grupo usuario, refirase a Escenario 17.4. WebUI :
1. Especificar una Red IP4 objetiva lannet como se muestra en el ultimo ejemplo. 2. Objects Address Book Add IP4 Address Group General: Ingrese lo siguiente: Name: lannet users Group members: De la lista Available, seleccione lannet object y colquelo en la lista Selected. Comments: Auth. users on lannet
User Authentication:
Ingrese el nombre del grupo usuario y luego haga click en OK: Comma-separated list of user names and groups: users
8.1.2
Direccion Ethernet
Una direccin Ethernet, tambin conocida como direccin LAN, una direccin fsica, direccin MAC (media access control), es una capa de datos nica (capa 2 OSI) identificador de la tarjeta de interfaz de red, ej. un adaptador ethernet, el cual es utilizado para el envo de estructuras de datos. Los usuarios pueden asimismo entregar un nombre especfico a una direccin Ethernet o un grupo de direccin como se explica en 8.1.1 arriba.
8.2
Servicios
Los Servicios son programas software que utilizan protocolo de definicin para entregar varias aplicaciones a los usuarios de red. La mayora de las aplicaciones cuentan con protocolos localizados en la capa 7 OSI capa de Aplicacin para entregar comunicacin desde Gua de Usuario de los Firewalls D-Link
42
Captulo 8. Objetivos Lgicos
un programa de usuario a otros grupos en una red. En esta capa, otros grupos son identificados y pueden ser alcanzados por tipos de protocolos de aplicacin especficos y parmetros correspondientes, tal como nmeros de puerto. Por ejemplo, el servicio HTTP de buscador en Web es definido como para utilizar el protocolo TCP con puerto de destino 80. Alguno de los otros servicios populares en esta capa incluyen FTP, POP3, SMTP, Telnet, y etc. Junto con estas aplicaciones oficialmente definidas, los servicios a solicitud del usuario pueden ser creados en los rewalls D-Link. Los servicios son simples, en el sentido en el que stos no pueden llevar a cabo por s mismos ninguna accin en el firewall. De este modo, una definicin de servicio no incluye ninguna informacin si el servicio debe ser permitido a travs del Firewall o no. Tal decisin es realizada por completo por las reglas IP del firewall, en las cuales el servicio es utilizado como un parmetro de filtro. Para mayor informacin acerca de cmo utilizar los servicios en reglas , vase 14 Reglas IP.
8.2.1
Tipos de servicio
En los firewalls D-Link, los servicios pueden ser configurados a travs de tres opciones: TCP/UDP, ICMP, y servicio de Protocolo IP. Un servicio es bsicamente definido por un nombre descriptivo, el tipo de protocolo, y parmetros de protocolo. Los diferentes servicios pueden ser unidos en un Grupo de Servicio para simplificar las polticas de configuracin, de manera que los administradores no necesiten configurar una regla para cada servicio. Servicios basados en TCP y UDP Los servicios de aplicacin son corridos de manera ms comn en TCP o UDP, y son a menudo asociados con un nmero de puerto bien conocido. En el firewall, estn definidos por el tipo de protocolo que la aplicacin usa, y el nmero de puerto asignado o rango de puerto. Para muchos servicios, un solo puerto de destino es suficiente. El servicio HTTP, por ejemplo, utiliza un puerto de destino TCP 80, Telnet utiliza TCP 23, y SMT utiliza TCP 25. En estos casos, todos los puertos (0-65535) sern aceptados como puertos de fuente. Los puertos mltiples o rangos de puerto pueden asimismo ser ajustados, por ejemplo, un servicio puede ser definido para tener como puertos de fuente 1024-65535 y puertos de destino 80-82, 90-92, 95. En este caso, un paquete TCP o UDP con puerto de destino que es uno de 80, 81, 82, 90, 91, 92 o 95, y con un puerto de fuente en el rango 1024-65535, coincidir con este servicio.
Gua de Usuario de los firewalls D-Link
8.2. Services
43
Ejemplo: Especificar un servicio TCP -- HTTP

En este ejemplo, es definido el servicio HTTP para la conexin de servidores web. Como se ha explicado previamente, HTTP utiliza puerto de destino TCP 80. WebUI :
Objects Services Add TCP/UDP: Ingrese lo siguiente y luego haga click en OK: General Name: HTTP Type: TCP Source: 0-65535 Destination: 80
Servicios basados en ICMP Internet Control Message Protocol (ICMP), es un protocolo integrado con IP para el reporte de errores y transmisin de control de informacin. El servicio PING, por ejemplo, utiliza ICMP para probar una conectividad Internet. El mensaje ICMP repartido en paquetes IP, y cada mensaje es un protocolo separado poseedor de un formato propio. Este contenido cambia dependiendo del Mensaje tipo y cdigo. El tipo de mensaje ICMP que puede ser configurado en los firewalls D-Link junto con diversos cdigos son enlistados a continuacin:
Echo Request enviado por PING a un destino con el fin de verificar la
conectividad.
Destination Unreachable la fuente ha informado que un problema ha ocurrido
cuando se est entregando un paquete. Hay cdigos de 0 a 5 para este tipo:
- Code 0. Net Inalcanzable - Code 1. Host Inalcanzable - Code 2. Protocolo Inalcanzable - Code 3. Puerto Inalcanzable - Code 4. No puede Fragmentar - Code 5. Ruta de Fuente Fallida Gua de Usuario de los Firewalls D-Link
44
Captulo 8. Objetivos Lgicos.
Redirect la fuente avisa que existe una mejor ruta para un paquete
particular. Los cdigos asignados son los siguientes: - Cdigo 0. Redirecciona datagramas para la red - Cdigo 1. Redirecciona datagramas para el anfitrin - Cdigo 2. Redirecciona datagramas para el Tipo de Servicio y la red - Cdigo 3. Redirecciona datagramas para el Tipo de Servicio y el anfitrin
Parameter Problem identifica un parmetro incorrecto en el datagrama.
Echo Reply es la respuesta del destino al cual se ha enviado como un resultado
de la Echo Request.
Source Quenching la fuente enva datos demasiado rpido para el receptor,
el buffer se ha llenado.
Time Exceeded el paquete es descartado cuando toma demasiado tiempo en
ser entregado.
Ejemplo: Agregando un servicio ICMP solicitado

Un servicio ICMP solicitado es adherido y puede ser utilizado en polticas de seguridad. WebUI : Objects Services Add ICMP Service General: Ingrese un Nombre para el nuevo servicio ICMP.
ICMP Parameters
Seleccione el tipo ICMP y especifique los cdigos para el servicio. (Si es seleccionada la opcin All ICMP Message Types, este servicio coincidir con Todos los 256 posibles Tipos de Mensajes ICMP.) Haga click en OK.
8.2. Servicios
45
Servicio de protocolo IP definido por usuario Los servicios que corren sobre una IP y despliegan funciones de capa de aplicacin/transporte, pueden ser definidas por nmeros de protocolo IP. IP puede transportar datos para un nmero de protocolos diferentes. stos estn cada uno identificado por un nmero nico de protocolo IP especificado en un campo del encabezado IP, por ejemplo, ICMP, IGMP, y EGP tienen nmeros de protocolo 1, 2, y 8 respectivamente. Los nmeros de protocolo IP actualmente asignados y referencias estn publicadas en el sitio web del Internet Assigned Numbers Authority (IANA): http://www.iana.org/assignments/protocol-numbers Similar a los rangos de puerto TCP/UDP descritos previamente, un rango de nmeros de protocolo IP pueden ser utilizados para especificar aplicaciones mltiples para un servicio.
Ejemplo: Adheriendo un servicio que coincide con el protocolo GRE

(Para mayor informacin acerca GRE, refirase a 22.2 PPTP/L2TP ) WebUI :
Objects Services Add IP Protocol Service General Ingrese lo siguiente y luego haga click en OK: Name: GRE IP Protocol: 47
46
Capitulo 8. Objetivos Lgicos
Grupo de Servicio Los servicios definidos en las opciones anteriores pueden ser agrupadas con el fin de simplificar la configuracin de polticas de seguridad. Considere un servidor web utilizando HTTP estndar al igual que SSL encriptado HTTP (HTTPS, refirase a 22.3 SSL/TLS(HTTPS) ). En lugar de tener que crear dos reglas por separado permitiendo ambos tipos de servicios a travs del firewall, un grupo de servicio llamado, por ejemplo, Web, puede ser creado, con el HTTP y los servicios HTTPS como miembros de grupo (mostrado en el ejemplo a continuacin).
Ejemplo: Especificando un grupo de servicio "Web"

WebUI :
Siga los pasos resumidos a continuacin: 1. Adhiera un servicio el objeto TCP HTTP con puerto 80. 2. Adhiera un servicio el objeto TCP HTTPS con puerto 443. 3. Objects Services Add Service Group General Name: Web Elija HTTP y HTTPS desde la Available list y colquelos en la lista seleccionada Haga click en OK.
8.2.2
Reporte de Error & Proteccin de Conexin
Mensaje de error ICMP El mensaje de error ICMP entrega una retroalimentacin acerca de los problemas en el ambiente de comunicacin, ej. cuando un paquete IP no puede alcanzar su destino. Sin embargo, los mensajes de error ICMP y firewalls no son usualmente una muy buena combinacin; el mensaje de error ICMP es iniciado en el host de destino (o un dispositivo dentro del recorrido al destino) y enviado al host de origen. El resultado es que el mensaje de error ICMP ser interpretado por el firewall como una nueva conexin y desechada, si no es explcitamente permitido por los ajustes de regla del firewall. El permitir que cualquier mensaje ICMP entrante est capacitado para tener estos mensajes de error remitidos no es por lo general Gua de Usuario de los Firewalls D-Link
8.2. Servicios
47
una buena idea, ya que puede causar que la red protegida sea vulnerable a muchos tipos de ataques, ej. DoS (Denial of Service) en particular. Para resolver este problema, los firewalls D-Link pueden ser configurados para pasar un mensaje de error ICMP slo si est relacionado con una conexin existente a un servicio. Proteccin de Flood SYN (SYN Relay) Un mecanismo denominado como SYN Relay puede ser habilitado en el firewall para proteger las direcciones de destino utilizados por un servicio desde el flujo SYN. El ataque SYN ood es lanzado por un envo de solicitudes de conexin TCP ms rpido de lo que un mecanismo puede procesar. El agresor enva solicitudes SYN a un servidor con una direccin de fuente burlada, la cual jams responder al SYN/ACK del servidor. Cada solicitud SYN llenar una nueva conexin TCP de la tabla de conexin del servidor; cuando todas las conexiones en la tabla estn esperando por confiar y la tabla est llena, el servidor no aceptar ninguna nueva solicitud entrante. Las solicitudes de usuarios legtimos son luego ignorados. El mecanismo SYN Relay cuenta los ataques escondiendo el servidor protegido detrs del firewall. El firewall recibe solicitudes SYN y se asegura de que la conexin sea vlida (esto es, el SYN/ACK respondida desde la fuente) antes de enviar un paquete SYN al servidor. Si luego de cierto tiempo, no es recibido ACK por el firewall, la conexin es suspendida. Application Layer Gateway (ALG) Una application layer gateway puede ser especificada para manejar diferentes servicios. Mayor informacin puede ser encontrada en 18 Application Layer Gateway (ALG). Para un servicio habilitado ALG, puede ser definido el nmero mximo de sesiones permitidas al utilizar este servicio.
48
Captulo 8. Objetivos Lgicos
8.3
Programas
Programacion es un camino para crear limitaciones oportunas en las reglas del firewall. Esto habilita al usuario para definir un cierto perodo de tiempo, en el formato de aofechatiempo, lo cual slo activar las reglas en los tiempos designados. Cualquier actividad fuera del espacio de tiempo programado no seguir las reglas y por lo tanto no le ser permitido el paso a travs del firewall. Los programas pueden ser configurados para tener un tiempo de inicio y trmino, as como la creacin de diferentes perodos de tiempo en un da.
Ejemplo: Un programa en horario de oficina

Una organizacin puede desear que slo los usuarios internos accedan a Internet durante las horas de trabajo, y esperar que esta restriccin sea vlida por un ao. Por lo tanto, uno puede crear un programa para restringir al firewall para permitir trfico de Lunes-Viernes, 8AM-5PM solamente, comenzando desde cierta fecha y hora, colocando 2005-04-01 00:00:00, para una fecha de trmino. Durante las horas no laborales, el firewall no permitir el acceso. WebUI :
Objects Schedule Proles Add Schedule Prole: General Name: Ingrese un nombre para este programa, e.j. oce-hour. Dena un periodo de tiempo verificando los recuadros. Start Date: Llene en el tiempo de inicio en un formato de aaaa-mm-dd hh:mm:ss haga click en el icono de calendario y elija la fecha de la ventana emergente. End Date: (del mismo modo que Start Date anterior) Y luego haga click en OK.
8.4. Certicados X.509
49
8.4
Certicados X.509
Los firewalls D-Link soportan certificados que cumplen con el estndar internacional ITU-T X.509. Esta tecnologa utiliza una jerarqua de certificado X.509 con una criptografa de clave pblica (Vase 20.2, Introduccin a la Criptografa) para conseguir la distribucin de clave y autentificacin de entidades.
8.4.1
Introduccin a Certificados
Un certificado es una prueba digital de identidad. ste enlaza una identidad a una clave pblica para establecer si una clave pblica realmente pertenece al supuesto dueo. De este modo, se previene una intercepcin en la transferencia de datos por terceras personas, las cuales pueden enviar una clave telefnica con el nombre e ID de usuario de un receptor previsto. Un certificado consiste en lo siguiente: - Una clave pblica: La identity del usuario, tal como nombre, ID del usuario, etc. - Firmas digitales: Una declaracin que informa que la informacin adjunta en el Certificado ha sido respondida por una Certicate Authority (CA). Colocando la informacin anterior junta, un certificado es una clave pblica con formas de identificacin adjuntas, asociadas con un sello de aprobacin por una parte confiable. Certication Authority Una Certication Authority (CA) es una entidad confiable que dicta certificados a otras entidades. El CA digitalmente firma todos los certificados que dicta. Una firma de CA vlida en un certificado verifica la identidad del titular, y garantiza que el certificado no ha sido falsificado por terceros.
Una autoridad de certificacin es responsable de asegurar que la informacin en cada certificado que emite es correcta. sta tambin debe asegurar que la identidad del certificado coincide con la identidad del titular del certificado. Un CA puede tambin emitir certificados a otros CAs. Esto conduce a una jerarqua de certificado ramificada. La CA ms alta es denominada como CA de origen. en sta jerarqua, cada CA es firmada por el CA que est directamente sobre ste, excepto para el CA de origen, el cual es tpicamente firmado por l mismo. Una trayectoria de certificado refiere al trayecto del certificado desde uno a otro. Cuando se verifica la validez de un usuario certificado, el trayecto completo Gua de Usuario de los Firewalls D-Link
50
Capitulo 8. Objetivos Lgicos
desde el usuario certificado hasta el certificado de origen debe ser examinado antes de establecer la validez del usuario certificado. El certificado CA es como cualquier otro certificado, excepto que ste permite a la clave privada correspondiente firmar otros certificados. Debe ser comprometida la clave privada del CA, por completo, incluyendo cada certificado que sta ha firmado.
Tiempo de validez Un certificado no es vlido por siempre. Cada certificado contiene las fechas dentro de las cuales es vlido. Cuando este perodo de validez expira, el certificado no puede seguir siendo utilizado, y se debe establecer un nuevo certificado. Certicate Revocation Lists(CRL) Una certicate revocation list (CRL) contiene una lista de todos los certificados que han sido cancelados luego de su fecha de expiracin. Esto puede suceder por distintas razones. Una de stas puede ser que la clave del certificado ha sido comprometida de alguna manera, tal vez que el titular del certificado ha perdido los derechos de autenticidad utilizando dicho certificado. Esto puede ocurrir, por ejemplo, si un Empleado ha dejado la compaa desde donde el certificado ha sido establecido.
Una CRL es regularmente publicada en un servidor al cual todos los usuarios Certificados tiene acceso, utilizando tanto los protocolos LDAP HTTP. Los certificados a menudo contienen un campo de CRL Distribution Point (CDP), el cual especifica la localizacin desde donde el CRL puede ser descargado. En algunos casos los certificados no contienen este campo. En aquellos casos la localizacin del CRL debe ser configurada manualmente. Vase 22.1.4, LDAP . El CA actualiza su CRL a un intervalo asignado. La extensin de este intervalo depende de cmo es configurado el CA. Usualmente, esto es entre una hora a varios das. Certificados confiables Cuando se utilizan los certificados, el firewall confa en cualquiera cuyo certificado est firmado por un CA asignado. Antes de que un certificado sea aceptado, se siguen los siguientes pasos para verificar la validez del certificado: - La construccin de un trayecto de certificacin hacia el CA de origen confiable. Gua de Usuario de los Firewalls D-Link
8.4. Certificados X.509
51
- La verificacin de las firmas de todos los certificados en el trayecto de certificacin. - Se trae el CRL de cada certificado para verificar que ninguno de los certificados ha sido revocado. Listas de Identificacin En adicin a la verificacin de las firmas de certificados, los firewalls D-Link tambin emplean listas de identificacin (Vase 22.1.4, Identication Lists(IDLists)). Una lista de identificacin es una lista que nombra todas las identidades remotas que tienen acceso permitido a travs de un tnel VPN especfico, entregando el resultado de la validacin del procedimiento de certificacin descrito anteriormente.
8.4.2
Certificados X.509 en el Firewall D-Link
El certificado X.509 puede ser cargado al Firewall D-Link para utilizar en la Autentificacin IKE/IPSec, webauth etc. Hay dos tipos de certificados que pueden ser cargados, certificados auto-firmados y certificados remotos pertenecientes a un par Remoto servidor CA.
Ejemplo: Cargando un Certificado a un Firewall D-Link

Este ejemplo describe cmo cargar un certificado X.509 a un Firewall D-Link. El certificado puede ser tanto auto-firmado perteneciente a un par remoto servidor CA. WebUI :
Carga de Certificado Objects X.509 Certicates Add X.509 Certicate: Ingrese lo siguiente: Name: Name of the certicate. Options Seleccione uno de lo siguiente:
Upload self-signed X.509 Certicate Upload a remote certicate
Luego haga click en OK y siga las instrucciones en pantalla.
CAPITULO
9
Interfaces
Las interfaces fsicas son entradas de las conexiones de red. stas permiten al trfico de red ingresar o salir de las reas de red con las cuales stas conectan. Con el fin de controlar el trfico en ambas direcciones, entrantes y salientes, y proteger la red local, las reglas de seguridad en el firewall estn limitadas a todas las interfaces relevantes.
9.1
Ethernet
Ethernet es una de las arquitecturas Local Area Network (LAN) que sirven como base para el IEEE 802.3 estndard, la cual especifica las capas de software fsicas y mas bajas. Es una de las ms ampliamente implementadas LAN estndar. Esta seccin presenta el concepto de interfaz Ethernet. Alguno de los protocolos ms comnmente utilizados que corren en Ethernet son introducidos en las secciones 9.2 VLAN y 9.4 PPPoE en este captulo, otros como IPsec, PPTP, L2TP, y ARP son cubiertos luego en el documento.
9.1.1
Interfaces Ethernet
Una interfaz Ethernet representa un adaptador fsico Ethernet utilizado en el firewall. La configuracin de una interfaz Ethernet involucra la funcin de una direccin IP y otros parmetros, para hacer a la interfaz accesible a la capa de red.
Cuando se instala el firewall D-Link, todos los adaptadores Ethernet soportados en el 53
54
Capitulo 9. Interfaces
firewall sern enumerados y configurados durante el proceso de ajuste de consola local. Cada adaptador fsico Ethernet se volver una interfaz Ethernet y se entregar un nombre en la configuracin del firewall. Los administradores pueden adaptar el nombre descriptivo y modificar las direcciones IP de una interfaz luego de la instalacin primaria.
9.1.2
Interfaces Ethernet en los Firewalls D-Link
La configuracin de una interfaz Ethernet principalmente incluyen la especificacin del nombre y direcciones. Una direccin IP esta limitada a cada interfaz que debe ser utilizada para ping el firewall, controlarlo remotamente, y ser ajustado por el firewall como fuente de direccin para conexiones dinmicamente traducidas. Una direccin IP adicional puede ser publicada en una interfaz utilizando ARP para similar el efecto de una interfaz que posee ms de una IP (Vase 9.6 ARP). Adems, los administradores pueden aplicar funciones de direccin dinmica a la red habilitando el cliente DHCP en la interfaz correspondiente (Vase 9.3 DHCP). Como caracterstica avanzada, Alta Disponibilidad(HA) & Transparencia pueden ser implementadas en la base de las interfaces firewall. El HA habilita a las interfaces para compartir una direccin IP comn y cada una como una direccin IP privada para nicamente identificar un nodo cluster. El IP privado es derivado desde el Par de Direccin HA IP4 configurado en el Libro de Direccin objeto (Vase XIII High Availability para mayor informacin sobre escenarios cluster HA). Cuando se ajusta una interfaz para utilizar el modo transparente, el firewall actuar como un switch de capa 2 y mostrar el trfico que pasa a travs de esa interfaz sin modificar la fuente o destino de la informacin de direccin. Ambos lados de la comunicacin sern inconscientes de la presencia del firewall. Para la configuracin del modo transparente en las interfaces, refirase a 27 Transparencia.
Nota
En el firewall, hay dos interfaces lgicas denominadas como core y any respectivamente. core se localiza en el corazn del firewall, todo el trfico desde las interfaces fsicas son reemitidas a core para ser controladas por las polticas de seguridad. any representa todas las interfaces posibles incluyendo core. Gua de Usuario de los Firewalls D-Link
9.1. Ethernet
55
Ejemplo: Una configuracin de interfaz LAN

La interfaz conectada a LAN (o uno de los LANs) es configurada con lan ip, lannet, y la direccin de puerta de enlace predeterminada lan gate. WebUI :
1. Especificando el anfitrin IP4 lan ip y lan gate, y una Red IP4 lannet en el Objects. (Vea los ejemplos en 8.1 Address Book) 2. Interfaces Ethernet: Haga click en el item para interfaz LAN General: Name: Dena o modifique el nombre de la interfaz interface en el recuadro de editar. IP Address: Seleccione lan ip desde la lista desplegable. Network: Seleccione lannet desde la lista desplegable. Default Gateway: Seleccione lan gate desde la lista desplegable. Y luego haga click en OK. 3. Optional settings: General: Habilite DHCP Client en el recuadro de verificacin Habilite Transparent Mode en el recuadro de verificacin
Hardware Settings:
(Los ajustes de red del hardware del adaptador pueden ser ajustados aqu.) Media Especifique si la velocidad del vnculo debe ser auto-negociada o bloqueada a una velocidad esttica. Duplex Especifique si duplex (bidireccional) debe ser auto-negociada o bloqueada por completo half duplex.
Advanced:
Recuadro de verificacin de Automatic Route Creation Route Metric edit box (Verificando estas opciones y especificando el valor mtrico, la interfaz configurada Aqu ser adherida a la Main Routing Table Como rutas para la informacin de direccin de destino. El valor mtrico Predeterminado es 100.) High Availability: Seleccin de direccin IP Privada.
56
9.2
LAN Virtual (VLAN)
La conexin de Redes Virtual es la habilidad que tienen los dispositivos de red para manejar las topologas de red lgica en la parte superior de la conexin fsica actual, permitiendo segmentos arbitrarios dentro de una red para ser combinado en un grupo lgico. Desde que la flexibilidad y el fcil control de red entregado por las topologas lgicas, la conexin de red virtual se ha vuelto una de las mayores reas en el trabajo internet Los firewalls D-Link son por complete obedientes con las especificaciones IEEE 802.1Q para LANs virtuales, presentados por la definicin de interfaces virtuales sobre la interfaz fsica Ethernet. Cada interfaz virtual es interpretada como una interfaz lgica por el firewall, con el mismo control de polticas de seguridad y capacidades de configuracin como interfaz regular.
9.2.1
Infraestructura VLAN
Una Local Area Network (LAN) es una emisin de dominio, que es, una seccin de la red Cuando el ambiente LAN se vuelve ms grande, el soporte de aplicaciones broadcast o multicast que inundan paquetes totalmente implican un desperdicio considerable de banda ancha, debido a que los paquetes son a menudo re-direccionados a nodos que no los requieren. Los LAN virtuales (VLAN) permiten a un LAN fsico ser dividido en varios LANs lgicos ms pequeos los cuales tienen diferentes emisores de dominio. sto limita el tamao del emisor de dominio para cada LAN lgico, salva los costos de emision de la banda ancha para optimizar el rendimiento y asignacin de recursos, y adems divide grandes LANs en varias zonas de seguridad independientes Para adherir puntos de control de seguridad. Los dispositivos localizados en el mismo LAN pueden comunicarse sin tener conciencia de los dispositivos en otros LANs Virtuales. Esto es ideal para separar departamentos industriales desde topologas fsicas a diferentes segmentos de funcin. Una infraestructura simple de VLAN es mostrada en la Figura 9.1. En este caso, un Firewall D-Link es configurado para tener 2 interfaces VLAN. Ahora, aunque los clientes y servidores se encuentren an compartiendo el mismo medio fsico, el Cliente A puede comunicarse slo con el servidor D y el firewall desde que stos son configurados Gua de Usuario de los Firewalls D-Link
9.2. LAN Virtual (VLAN)
57
A un mismo VLAN, y el Cliente B puede comunicarse slo con el Servidor C a travs del firewall.
Figura 9.1: Una infraestructura VLAN.
9.2.2
VLAN 802.1Q Estndar
El IEEE 802.1Q estndar define la operacin de dispositivos VLAN que permiten la definicin, operacin y administracin de topologas Virtuales LAN dentro de infraestructuras LAN.
Las especificaciones 802.1Q establecen un mtodo estndar para la etiquetacin de esquemas Ethernet con informacin de socios VLAN. Como es definido en el estndar, una etiqueta de 4-byte es aadida al esquema Ethernet conteniendo una parte del indicador del tipo de esquema VLAN (0x8100), un identificador VLAN(VID), y alguna informacin de control (mostrado en la Tabla 9.1). Hay 12 bits para VID dentro de cada etiqueta de 4-byte. Con estos 12 bits de identificador, pueden existir por sobre 4096 VLANs en una red fsica. Sin embargo, todas estn reservadas y todos los ceros indican la no asociacin VLAN. Todos los otros identificadores pueden ser utilizados para indicar un VLAN particular. Gua de Usuario de los Firewalls D-Link
58
bytes 4
Preamble
Dest.
Source 16 VLAN Type Indicator (0x8100)
32 bits 3 1 Pri- CFI ority
Length 12 VID
46 to 1500 Data
CRC
VLAN Tag Tabla 9.1: Esquema Ethernet 802.1Q Estndar.
9.2.3
Implementacin VLAN
Cumpliendo con el 802.1Q estndar, el firewall D-Link implementa VLAN definiendo una o ms interfaces VLAN en ste utilizando un VID nico para cada VLAN. Cuando el esquema Ethernet es recibido por el firewall, stos son examinados por el VID. Y si el VID es encontrado, y coincide con la interfaz VID como ha sido definida, el firewall estar capacitado para reconocer la membresa y destino de aquella comunicacin VLAN. Los VLANs en los firewalls D-Link son tiles en varios escenarios diferentes, por ejemplo, cuando se necesita un filtro firewall entre diferentes departamentos de una organizacin, o cuando se necesita expandir el nmero de interfaces.
9.2. LAN Virtual (VLAN)
59
Ejemplo: Configurar una interfaz VLAN en un Firewall D-Link

Este ejemplo muestra cmo configurar una interfaz VLAN. WebUI :
1. Crear una interfaz VLAN. Interfaces VLAN Add VLAN: Ingrese lo siguiente: General Name: Digite un nombre para la interfaz VLAN. Interface: Seleccione la interfaz Ethernet a utilizar. VLAN ID: Seleccione una ID VLAN conveniente. Dos VLANs no pueden tener la misma ID VLAN si estn definidos en la misma interfaz Ethernet. ( La misma ID deber ser Utilizada en el lado de trmino.) Ajustes de Direccin IP Address: Seleccione la direccin IP que la interfaz VLAN debe utilizar. Si no es congurado, se debe utilizar el IP de la interfaz Ethernet. (Opcional) Network: Seleccione la red para esta interfaz VLAN. (Opcional) Default Gateway: Seleccione la puerta de enlace predeterminada para esta interfaz VLAN. (Opcional) Luego haga click en OK
9.2.4
Utilizando LANs Virtuales para Expandir Interfaces Firewall
Los LANs virtuales son excelentes herramientas para expandir el nmero de interfaces en los firewalls D-Link. Los Firewalls D-Link con interfaces Ethernet de gigabit pueden fcilmente ser expandidas con 16 nuevas interfaces utilizando un switch Ethernet de puerto-16 con puerto uplink gigabit y soporte de LAN Virtual. El proceso trazado a continuacin describe los pasos requeridos para ejecutar una expansin de interfaz. Note que la configuracin especfica del switch y firewall es un modelo altamente dependiente y fuera del alcance de esta documentacin.
Conectar el puerto gigabit uplink del switch a una de las interfaces gigabit del firewall.
60
Crear 16 LANs Virtuales en el firewall, nombrado, por ejemplo, de vlan01 a
vlan16, cada uno con una ID VLAN nica

En el switch, mapee cada ID VLAN a un puerto switch, y asegrese de que el
puerto uplink est configurado como un puerto trunk para todos los IDs VLAN.
Cada puerto del switch sera visto ahora como una interfaz lgica en el firewall.
De este modo, el trfico ingresando a travs del switch, por ejemplo, puerto 12 sera recibido por la interfaz vlan 12 en el firewall. En el ejemplo anterior, fue utilizado un puerto gigabit uplink en el switch y una interfaz gigabit en el firewall. Las interfaces gigabit no son un requisito desde una perspectiva de la funcionalidad;. Sin embargo, desde una perspectiva de rendimiento, las interfaces gigabit son recomendadas. Recuerde que un slo link Ethernet es utilizado para llevar todo el trfico desde los puertos 16 switch, cada uno con una velocidad de link de interfaz de 100 Mbps.
9.3
DHCP
Es la abreviacin para Dynamic Host Conguration Protocol, DHCP es el protocolo de configuracin de anfitrin de tercera generacin para TCP/IP, el cual est basado directamente en el BOOTP (Boot Protocol). ste es utilizado para una asignacin automtico de las direcciones de red y configuraciones para anfitriones recientemente includos. El propsito de utilizar DHCP es reducir el trabajo necesario para administrar una amplia red IP. Existe un mecanismo software para mantener un seguimiento de las direcciones IP ms que la necesidad de que un administrador maneje las tareas. Esto significa que un nuevo computador puede ser adherido a una red sin el problema de asignarle manualmente una direccin IP nica. El dispositivo Firewall D-Link puede actuar tanto como un cliente DHCP, un servidor, o un transmisor a travs de las interfaces. Las funciones de servidor DHCP y de transmisin son cubiertas en 26, Servidor DHCP & Transmisor.
9.3.1
Cliente DHCP
El cliente DHCP reenva el mensaje a un servidor DHCP local(o servidores) y recibe una direccin IP dinmicamente desde un servidor DHCP para su interfaz fsica. Un cliente DHCP puede recibir ofertas desde mltiples servidores DHCP Gua de Usuario de los Firewalls D-Link
9.4. PPPoE
61
Y usualmente acepta la primera oferta que recibe. Los clientes pueden renovar o liberar su direccin IP asignada durante el perodo de contrato.
Ejemplo: Configurando el firewall como un cliente DHCP

Para permitir que el firewall acte como un cliente DHCP y localiza un servidor (es) DHCP externo y reciba informacin de direccin dinmicamente, siga los pasos a continuacin: WebUI :
Interfaces Ethernet: Haga click en la interfaz que es conectada a la red externa y ser utilizada como cliente DHCP. General: Ajuste el nombre y direcciones de la interfaz. (Vea el ejemplo en 9.1 Ethernet) Marque la caja de verificacin Enable DHCP Client. Y luego haga Click en OK.
9.4
PPPoE
Point-to-Point Protocol sobre Ethernet (PPPoE) depende de los dos estndares extensamente aceptados: Point-to-Point protocol (PPP) y Ethernet. Este es utilizado para conectar mltiples usuarios en una red Ethernet al Internet a travs de una interfaz comn en serie, tal como una sola lnea DSL, dispositivo inalmbrico o cable Modem. Todos los usuarios sobre el Ethernet comparten una conexin comn, entre tanto, el control de acceso y servicio pueden ser realizados en base a cada usuario. Hoy en da, muchos proveedores de un gran servidor Internet (ISPs) requieren clientes para conectarse a travs de PPPoE a su servicio Banda ancha. Utilizando PPPoE, el proveedor puede fcilmente ejecutar las siguientes funciones por cada usuario:
Soporte de seguridad y control de acceso se requiere autentificacin
nombre de usuario/contrasea. El proveedor puede seguir la direccin IP a un usuario especfico.

Asignacin automtico de direccin IP para usuarios PC (similar a DHCP 9.3).
62
Captulo 9. Interfaces
Las direcciones IP pueden ser suministradas por grupos de usuario. IP addresses provisioning can be per user groups.
9.4.1
PPP
Point-to-Point Protocol (PPP), es un protocolo de comunicacin entre dos computadores utilizando una interfaz en serie, por ejemplo, una conexin por red telefnica donde un computador personal es conectado va telefnica a un servidor. El ISP suministra al usuario con una conexin PPP de modo que el servidor del proveedor pueda responder las solicitudes del usuario, pasndolas por el Internet, y reenva las respuestas Internet solicitadas de vuelta al usuario. En comparacin al modelo de referencia OSI, PPP entrega un servicio de Capa 2 (capa de datalink). Como Capa 2, PPP dene un mecanismo de encapsulacin para soportar que paquetes de multi-protocolos se displacen a travs de redes IP. Comienza con un Link Control Protocol (LCP) para el establecimiento de vnculo, conguracin y pruebas. Una vez que el LCP es inicializado, uno o varios Network Control Protocols (NCPs) pueden ser utilizados para transportar el trfico para un protocolo particular, de modo que multiples protocolos puedan interoperar en el mismo enlace, por ejemplo, ambos trficos IP e IPX pueden compartir un enlace PPP. La Autentificacin est disponible como una opcin para comunicaciones PPP. Los protocolos de autentificacin que comnmente soporta PPP incluyen:
Password Authentication Protocol (PAP) Challenge Handshake Authentication Protocol (CHAP) Microsoft CHAP version 1 Microsoft CHAP version 2
Si es utilizada la autentificacin, al menos uno de los pares debe autentificarse a s mismo antes de que los parmetros de protocolo de capa de red puedan ser negociados utilizando NCP. Durante la negociacin LCP y NCP, pueden ser negociados parmetros opcionales, tales como Encriptacin. Cuando se ha realizado una negociacin LCP y NCP, pueden ser enviados datagramas IP sobre el vnculo. Ms informacin sobre aplicacin y seguridad de PPP puede ser encontrada en la seccin 22.2 PPTP/L2TP.
9.4.2
Configuracin de Cliente PPPoE
Los firewalls D-Link permiten a los usuarios una conexin segura y de fcil manejo al ISP. Gua de Usuario de los Firewalls D-Link
9.4. PPPoE
63
Interfaz PPPoE Puesto que el protocolo PPPoE corre PPP sobre Ethernet, el firewall necesita utilizar una de las interfaces normales Ethernet para correr sobre el tunel PPPoE. Cada Tnel PPPoE es interpretado como una interfaz lgica por el firewall, con la Misma]/o filtro/filtracin, la capacidades de formacin y configuracin de trfico como interfaces regulares. El trfico de red proveniente del tunel PPPoE ser transferido a la regla de ajustes del Firewall para evaluacin. La interfaz de fuente del trfico de red es remitido al nombre del Tunel PPPoE asociado en el firewall. El mismo es confiable para el trfico proveniente de la direccin opuesta, eso es, yendo a un tnel PPPoE. Adems una Ruta debe ser definida, de modo que el firewall conozca qu direcciones IP deben ser aceptadas y enviadas a travs del tnel PPPoE. El PPPoE puede utilizar un nombre de servicio para distinguir entre diferentes servidores en la misma red Ethernet. Informacin de direccin IP PPPoE utiliza una asignacin de direccin IP automatica la cual es similar a DHCP. Cuando el firewall recibe esta informacin de direccin IP desde el ISP, ste necesita almacenarla en una red objectiva con un nombre simblico de anfitrin/red, con el fin de establecer la conexin PPP. Autentificacin del Usuario Si es requerida una autentificacin de usuario por el ISP, se puede ajustar en el firewall el nombre de usuario y contrasea para ingresar en el servidor PPPoE. Conectar en demanda Si se permite el conectar en demanda, la conexin PPPoE se realizar slo cuando haya trfico en la interfaz PPPoE. Es posible configurar cmo el firewall debe detectar actividad en la interfaz, tanto en trfico saliente, trfico entrante o ambos. Adems es configurable el tiempo de espera de inactividad antes de que el tnel sea desconectado.
64
Ejemplo: Una configuracin de Cliente PPPoE
Este ejemplo describe cmo configurar un cliente PPPoE. El cliente PPPoE es configurado en la interfaz WAN y todo el trfico debe ser dirigido sobre el tnel PPPoE. WebUI :
Cliente PPPoE Se configurar el cliente PPPoE en la interfaz WAN. Interfaces PPPoE Tunnels Add PPPoE Tunnel: Ingrese lo siguiente: Name: PPPoEClient Physical Interface: WAN Remote Network: 0.0.0.0/0 (todas las nets, como ser dirigido todo el trfico en el tunel) Service Name: Si su proveedor de servicio le ha entregado un nombre de servicio, Ingrese aqu el nombre de servicio. Username: El nombre de usuario entregado por su proveedor de servicio. Password: La contrasea estregada por su proveedor de servicio. Conrm Password: Re-digite la contrasea. Autentificacin Es posible especificar exactamente qu protocolos debe utilizar el cliente PPPoE para autentificarse. Se mantienen los ajustes predeterminados para la autentificacinn. Dial-on-demand Enable Dial-on-demand: Disable Advanced Si est habilitado Add route for remote network, una nueva ruta ser adherida parar Esta interfaz. Luego haga click en OK
9.5. Grupos de Interfaz
65
9.5
Grupos de Interfaz
Similar al grupo objetivo lgico, las interfaces mltiples pueden ser agrupadas juntas en el firewall para aplicar una poltica comn. Un grupo de interfaz puede consistir en interfaces Ethernet regulares, interfaces VLAN, o Tneles VPN (vea 22). Todos los miembros de un grupo de interfaz no necesitan ser interfaces del mismo tipo. esto significa que un grupo de interfaz puede ser construido, por ejemplo, por dos interfaces Ethernet y cuatro interfaces VLAN.
Ejemplo: Ejemplo de un Grupo de Interfaz
Este ejemplo describe cmo configurar un grupo objetivo de interfaz. WebUI :
Crear un Grupo de Interfaz
Interfaces Interface Groups Add Interface Group: Ingrese lo siguiente: Name: testifgroup Security/Transport Equivalent: Si est habilitado, el grupo de interfaz puede ser Utilizado como una interfaz de destino en reglas donde las conexiones pueden Necesitar ser desplazadas entre las interfaces. Ejemplos de tal uso pueden ser Route Fail-Over y OSPF (ver 10.3.3) escenarios. Interfaces: Seleccione las interfaces que deben formar parte del grupo. Luego haga click en OK
Utilice el Grupo de Interfaz
Un grupo de interfaz puede ser utilizado en varias configuraciones objetivas. Por ejemplo, las reglas IP y reglas de autentificacin del usuario pueden utilizar grupos de interfaz.
66
9.6
ARP
Address Resolution Protocol (ARP) es un protocolo de red, el cual mapea una direccin de protocol de capa de red a una direccin hardware de capa de datos vinculados. Por ejemplo, ARP es utilizado para determinar la direccin IP de la direccin Ethernet correspondiente. Este trabaja en la OSI Data Link Layer (Capa 2) y es encapsulado por headers Ethernet para transmission. Un anfitrin en una red Ethernet puede comunicarse con otro anfitrin, slo si ste conoce la direccin Ethernet (direccin MAC) de ese anfitrin. Los protocolos de mayor nivel tal como IP utilizan direcciones IP. Estos son diferentes del plan de direccionamiento de un hardware de ms bajo nivel tal como direccin MAC. El ARP es utilizado para conseguir la direccin Ethernet de un anfitrin desde su direccin IP. Cuando un anfitrin necesita determinar una direccin IP para una direccin Ethernet, ste transmite un paquete de solicitud ARP. El paquete de solicitud ARP contiene la fuente de direccin MAC, la fuente de direccin IP y la direccin IP de destino. Cada anfitrin en la red local recibe este paquete. El anfitrin con la direccin IP de destino especfico, enva un paquete de respuesta ARP al anfitrin de origen con su direccin MAC.
9.6.1
Tabla ARP
La Tabla ARP es utilizada para definir entradas estticas ARP o publicar direcciones IP con una direccin de hardware especfica.
Los items estticos ARP pueden ayudar en situaciones donde un dispositivo est reportando una direccin de hardware incorrecto en respuesta a las solicitudes. Algunos puentes de terminal de trabajo, tales como mdems radio, tienen tales problemas. Estos pueden tambin ser utilizados para cerrar una direccin IP a un hardware especfico para incrementar la seguridad o evitar efectos de denial-of-service si hay usuarios en una red. Notese sin embargo que tal proteccin slo se aplica a paquetes que son enviados a esa direccin IP, no se aplica a los paquetes que son enviados desde esa direccin IP. El publicar una direccin IP utilizando ARP puede server para dos propsitos:
Asistir a los equipos cercanos de red respondiendo a ARP de una manera incorrecta.
Esta rea de uso es la menos comn.

Entregar la impresin de que una interfaz del firewall tiene ms de una direccin
IP. Gua de Usuario de los Firewalls D-Link
9.6. ARP
67
Para cumplir lo anterior, el firewall entrega respuestas a solicitudes ARP con respecto a las direcciones IP en los items ARP publicados. Este propsito es til si hay varios espacios separados IP en un solo LAN. Los computadores en cada espacio IP pueden luego utilizar una puerta de enlace en su propio espacio span cuando estas direcciones de puerta de enlace son publicadas en la interfaz del firewall. Otra rea de uso es publicar mltiples direcciones en una interfaz externa, habilitando al firewall para que una direccin estticamente traduzca la comunicacin a estas direcciones y las enve a servidores internos con direcciones IP privadas.
La diferencia entre XPublish y Publish es que XPublish miente acerca de la direccin hardware del remitente en el Ethernet header; este es ajustado para ser la misma que la direccin hardware publicada en preferencia a la direccin hardware actual del adaptador de red. Si una direccin de hardware publicada es la misma que la direccin hardware del adaptador de red, no har diferencia si usted selecciona Publish o XPublish; el resultado de red ser el mismo.
Nota
En la seleccin ARP, las direcciones pueden solo ser publicadas una a la vez. La seccin de Ruta por el otro lado, puede manejar redes publicadas por completo utilizando 10.8 Proxy ARP.
Nota
Para que las direcciones IP publicadas trabajen correctamente podra ser necesario agregar una nueva ruta. (Vase 10 Routing) Si es agregada una direccin adicional para una interfaz, la interfaz central deber probablemente ser especificada como la interfaz cuando se configure la ruta.
68
Ejemplo: Ejemplo ARP
Este ejemplo describe cmo agregar una direccin IP extra a una interfaz Ethernet o VLAN utilizando una ARP pblica. WebUI :
Crear una Tabla de entrada ARP
Interfaces ARP Table Add ARP Entry: Ingrese lo siguiente: Mode: Publish Interface: Seleccione la interfaz que debe tener la direccin IP extra IP Address: Especifique la direccin IP que se agregar a la interfaz anterior. MAC: Determine como 00-00-00-00-00-00 para utilizar la direccin MAC de la interfaz. Luego haga click en OK
Guia de Usuario de los Firewalls D-Link
CAPITULO
10
Routing
10.1
Vista General
Routing es un rol mayor en la capa de red (capa 3 OSI), el cual determina cmo transportar paquetes desde el anfitrin inicial al receptor deseado.
Los dispositivos que funcionan en la capa de red, tal como routers o firewalls, ejecutan el ruteo para conseguir dos tareas ante todo, la Determinacin de Trayectoria y el Packet Switching. Determinacin de Trayectoria Antes de que cualquier paquete pueda ser enviado desde el remitente al receptor se necesita determinar una trayectoria por la cual el paquete deba pasar. Localizada en el corazn de cualquier dispositivo capaz de routing, como un Firewall o un router es la tabla de routing, un mapa que entrega toda las selecciones de ruta. Cada entrada en esta tabla de mapeo describe una ruta disponible. La definicin de una ruta aqu es la conexin que vincula dos extremos de comunicacin y asimismo todos los dispositivos intermediarios de routing. La descripcin de ruta dentro de la tabla de routing indica la direccin del receptor, y donde se encuentra la siguiente detencin a la que el paquete se debe dirigir para estar un paso ms cerca de su destino, ya que en la circunstancia de la red, es comn tener ms de un dispositivo situado a lo largo del camino. Estos contenidos estn almacenados en la tabla como campos diferentes, tal como Interfaz, Red, Puerta de enlace, Destino, etc. 69
70
Capitulo 10. Routing
Cuando un paquete llega al router, ste consulta a la tabla de routing para hacer una determinacin de trayectoria. El router compara la direccin de destino del paquete con las entradas que tiene en la tabla de routing, y averigua la interfaz asociada y el salto siguiente desde la ruta coincidente para reenviar el paquete. Las trayectorias almacenadas en la tabla son calculadas por ciertos algoritmos de routing definidos por el router, el cual siempre tratar de hacer la mejor decisin. La mejor significa una seleccin de trayectoria que tenga el menor costo de transporte. En la prctica, lo concerniente a costo es normalmente la banda ancha, longitud de trayectoria (salto), el promedio de retraso, y etc., lo cual es introducido en 10.3.2 metricas de Routing. El algoritmo de Routing es tambin responsable de mantener la tabla routing a la fecha, de modo que el router pueda obtener informacin de trayectoria correcta para cada decisin. Las dos clases ms frecuentes de algoritmos routing son cubiertos en la siguiente seccin. Packet switching Luego de que es elegida una trayectoria, las funciones de packet switching toman control sobre cmo el paquete es realmente movido. De acuerdo a la informacin de la ruta seleccionada, el firewall/router reescribe la direccin fsica del paquete a la direccin del siguiente hop, y reenva el paquete al siguiente hop con la direccin IP de destino sin modificar. En un escenario de la vida real, muchos firewalls/routers pueden entrar a jugar durante el proceso de reenvo del paquete, cada uno de estos reparte el paquete a su vecino ms cercano hasta que el paquete finalmente llegue al anfitrin receptor.
10.2
Jerarqua de Routing
En un ambiente complejo de red, cuando el nmero de routers se vuelve extenso, el dominio de routing es a menudo dividido en diferentes reas para proveer una mejor escalabilidad. Los routers que residen bajo el mismo control administrativo son agregados en una regin denominada como autonomous system (AS). Un AS puede ser, por ejemplo, todas las redes computacionales pertenecientes a una universidad a la red privada de una compaa. La organizacin est capacitada para correr y administrar sus redes con sus propias polticas y algoritmo de routing preferible, mientras an es capaz de conectarse al mundo exterior Gua de Usuario de los Firewalls D-Link
10.3. Algoritmos de Routing
71
Los routers dentro de un AS corren el mismo algoritmo routing y slo necesitan conocer la topologa del rea. Hay routers con puerta de enlace especial en el ASs que son responsables de routing paquetes desde el rea interna a varios ASs externos. Los routers de puerta de enlace corren entre- el algoritmo de routing AS para determinar las trayectorias hacia los destinos localizados en otros ASs. Los routers Intra-AS mantienen todos relaciones con el router de puerta de enlace para dirigir los paquetes hacia afuera. El algoritmo de routing intra-AS(Gateway interior) ms frecuente es es cubierto en la siguiente seccin.
10.3
Algoritmos de Routing
Un algoritmo de routing es un operador de la tabla routing. En el ambiente de trabajo Internet, hay usualmente varias trayectorias entre dos entidades de comunicacin. La tarea de los algoritmos de routing es que, dado un grupo de dispositivos de routing Intermediarios con diferentes vnculos de conexin, el algoritmo calcula la mejor trayectoria para que dos extremos se comuniquen y aadan la trayectoria en la tabla. En caso de que un dispositivo falle (un vnculo cado) en una trayectoria seleccionada u otro problema puede hacer a la trayectoria inalcanzable, el algoritmo selecciona la mejor ruta siguiente y actualiza la tabla de routing para mantener correcto el contenido de la tabla. Muchos algoritmos de routing han sido propuestos y cada uno muestra diferentes diseos para diferentes metas. Los algoritmos ms generalmente implementados pueden ser clasificados en dos tipos:Ruteo Estatico y Ruteo dinamico
10.3.1
Routing Esttico
Stactic Routing (Routing Esttico) es un trmino utilizado para referir a la configuracin manual de la tabla routing. El administrador de red necesita planificar la tabla routing, y agregar manualmente cada ruta necesaria e informacin relacionada en la tabla para un reenvo exitoso del paquete. Cualquier modificacin en una trayectoria podra requerir que el administrador actualice la informacin en cada router afectado.
Como resultado, el trabajo administrativo en un ambiente de red a gran escala puede ser engorroso y propenso a errores. En el caso en que el router no se encuentre apropiadamente configurado en la tabla de routing, el router buscar en la tabla la determinacin de una trayectoria y al no encontrar una ruta adecuada, ste Gua de Usuario de los Firewalls D-Link
72
simplemente desecha el paquete. Por lo tanto, el routing esttico es a menudo utilizado para realizar ajustes mnimos de rutas para alcanzar slo redes conectadas directamente.
10.3.2
Routing Dinmico
Complementando el algoritmo de routing esttico, el Dinamic Routing (Routing Dinmico) se adapta a las modificaciones de la topologa de red cargas de trfico automticamente. ste se entera primero de todas las redes conectadas, y obtiene mayor informacin de rutas desde otros routers que corren por el mismo algoritmo. El algoritmo luego organiza las rutas que recolecta, selecciona la ruta ms apropiada para el destino del que se ha enterado, aade la ruta a su tabla de routing, y distribuye esta informacin a los otros routers. El routing Dinmico responde a las actualizaciones de routing en el recorrido y es ms susceptible a problemas como loops de routing. En el internet, se utilizan usualmente dos tipos de algoritmos routing dinmicos: un Distance Vector(DV) algoritmo & un Link State(LS) algoritmo. El cmo se decide la mejor ruta y el compartir la informacin actualizada con otros routers depende del tipo de algoritmo aplicado.
Distance vector algorithm El algoritmo de Distance vector (DV) es un algoritmo de routing descentralizado, que calcula la mejor trayectoria en la forma de distribucin. Cada router calcula los costos de sus propios vnculos adjuntos, y comparte la informacin de ruta slo con sus routers vecinos. El router gradualmente aprende la trayectoria de menor costo por un calculo iterativo e intercambio de conocimientos con sus vecinos. El protocolo de informacin de Ruteo(RIP) es un algoritmo DV bien conocido. El RIP enva mensajes de actualizacin regularmente, y refleja las modificaciones de Routing en la tabla routing. Su determinacin de trayectoria est basada en la longitud del nmero de routers intermediarios en la trayectoria, o tambin llamados hops. Luego de la actualizacin de su propia tabla routing, el router comienza inmediatamente a transmitir su tabla de routing completa a sus routers vecinos para informar las modificaciones. Link state algorithm De modo diferente a los algoritmos DV, el algoritmo Link state (LS) habilita a los routers para mantener tablas de routing que reflejen la topologa de la red completa, una visin global de la informacin de routing. Como es definido en este algoritmo, cada router transmite sus vnculos adjuntos y costos de vnculo a todos los dems Routers en la red. Un router, una vez que recepciona las transmisiones del resto, Gua de Usuario de los Firewalls D-Link
73
corre el algoritmo LS y puede calcular un grupo igual de trayectorias a bajo costo como todos los dems routers. Cualquier modificacin al estado del vnculo ser enviado donde sea en la red, de modo que todos los routers mantengan la misma informacin de tabla routing. Open Shortest Path First(OSPF) es un algoritmo LS comnmente utilizado. Un router habilitado OSPF identifica los routers y subnets que estn conectados directamente a a este primero. Luego, se transmite la informacin a todos los dems routers. Cada Router utiliza la informacin que recibe para construir una tabla sobre como se ve la red completa. Con una tabla de routing completa a mano, cada router puede identificar las subredes y routers que conducen a cualquier destinacin especfica. Los routers OSPF slo transmiten informacin actualizada cuando hay cualquier modificacin en vez de la tabla completa. OSPF depende de varias mtricas para la determinacin de trayectoria, incluyendo Hops, banda ancha, carga, retraso, y etc. La adaptacin de criterio segn el usuario es adems permitido para definirse en el algoritmo, lo cual entrega a los administradores de la red un mejor control sobre el proceso de routing. Ms detalles acerca del algoritmo OSPF es cubierto en 10.3.3 OSPF. Comparacin Link state algorithm, debido a su estado de los enlaces globales de informacin mantenida en todos Lados de la red, como un alto nivel de control de configuracin y escalabilidad. Este responde a modificaciones transmitiendo slo la informacin actualizada a todos los dems, y por lo tanto entrega una convergencia ms rpida y una menor posibilidad de loops de ruteo. OSPF puede adems operar dentro de una jerarqua, aunque RIP no tenga conocimiento del direccionamiento sub-red. Por otro lado, OSPF exige un alto costo relativo, ej. un mayor poder CPU y memoria, que un RIP, por consiguiente, puede ser ms costoso de implementar. Los firewalls D-Link utilizan OSPF como el algoritmo de routing dinmico. Routing metrics Routing metrics(los costos) son los criterios que un algoritmo de routing utiliza para calcular la mejor ruta. Las principales consideraciones para un reenvo exitoso de los paquetes incluyen lo siguiente:
Longitud de la trayectoria
La longitud de trayectoria es la suma de los costos asociados a cada vnculo. Un valor comnmente utilizado para esta mtrica es denominada hop count, el nmero de dispositivos routing, e.j. routers/rewalls, a travs de los cuales el paquete debe pasar en su trayectoria desde la fuente a su destino. Gua de Usuario de los Firewalls D-Link
74
Captulo 10. Routing
Bandwidth
Bandwidth es la capacidad de trfico de una trayectoria, indicado por Mbps. Load Load se refiere al uso de un router. El uso puede ser evaluado por la utilizacin CPU y el rendimiento.
Delay
Delay es lo que se refiere al tiempo que toma mover un paquete desde la fuente al destino. El tiempo depende de muchos factores, tales como la amplitud de banda, carga, y la longitud de la trayectoria. Diferentes protocolos de routing dependen de uno o varias mtricas para examinar y evaluar los vnculos en la red. Respecto a las metas del diseo, el algoritmo utiliza sus mtricas para decidir las trayectorias ptimas.
10.3.3
OSPF
OSPF es el algoritmo de routing dinmico includo en los firewalls D-Link. Desde la seccin previa, se pueden observar las principales caractersticas del OSPF como un Link state routing algorithm. A continuacin observaremos la actual operacin de este algoritmo. Areas & Routers OSPF ofrece un routing jerrquico para entregar un mejor soporte a ambientes complejos de red. En la actualidad las redes se han vuelto ms y ms sofisticadas, el tamao de la completa tabla de routing, el tiempo requerido para el clculo de routing, y el trfico para el intercambio de informacin para una gran red se vuelve excesivo. El OSPF habilita al administrador para dividir el AS (autonomous system) en varias reas ms pequeas, de modo que la carga del calculo de routing y mantencin de rutas en cada router sea reducido. Un rea OSPF es un grupo de anfitriones computacionales y routers dentro de un AS, identificado por una rea nica de ID, y cada router OSPF posee un router nico ID con el formato de una direccin IP. En la parte superior de la jerarqua OSPF se encuentra un rea central denominada backbone area a la cual debe conectarse todas la dems reas en el AS. El backbone area es responsable de la distribucin de informacin routing entre todas las reas conectadas y posee el ID de rea ID 0.0.0.0. En algunos casos en donde no es posible conectarse fsicamente al backbone area, un Virtual Link (VLink) puede ser Gua de Usuario de los Firewalls D-Link
75
configurado para conectarse al backbone a travs de una no-backbone area. VLink pueden tambin ser utilizados para vincularse a travs de reas backbone divididas. Una rea normal OSPF acta como una red privada conectada al rea backbone a travs de algn router denominado Area Border Router(ABR). ABRs posee interfaces en ms de un rea, y mantiene por separado la base de datos de informacin de routing para cada rea a la cual se encuentran conectados por una interfaz. Los routers que residen en la misma rea OSPF slo necesitan aprender y sincronizar la informacin link-state con el ABR. Algunos Routers que intercambian informacin de routing con routers en otros ASs son llamados Autonomous System Boundary Routers(ASBRs). ASBRs introducen rutas externamente aprendidas al AS y llena el routing externo notificando por completo a todas las reas normales OSPF. Para reducir el trfico excedente de notificaciones de rutas externas, se puede configurar un rea especial denominado stub area. Cuando es configurado el stub area, el ABR anunciar una ruta predeterminada automticamente de modo que los routers en el stub area puedan alcanzar los destinos fuera del rea. La ruta predeterminada se vuelve el nico punto de salida del stub area, y el rea no aceptar transmisiones de rutas externas.
Proceso Operativo Establishment Hello En la fase de inicializacin, cada router dentro de un rea detecta sus redes conectadas directamente, y enva paquetes de Hello a todas sus interfaces habilitadas OSPF para determinar quines son sus routers vecinos. Los routers que poseen interfaces directamente conectadas y residen en la misma rea OSPF se vuelven vecinos. Cuando un router enva y recibe paquetes Hello y detecta mltiples routers en un AS, ste seleccionar un Designated Router(DR) y adems un Backup Designated Router(BDR) para un intercambio de informacin link-state adicional. DR y BDR son elegidos automticamente por el protocolo Hello en cada red transmitida OSPF. La Router Priority que es configurable en base a cada interfaz, es el parmetro que controla la eleccin. El router con el mayor numero de prioridad se vuelve DR y el siguiente ms alto se vuelve BDR. Si el nmero Gua de Usuario de los Firewalls D-Link
76
Captulo 10. Routing
de prioridad 0 es especificado a un router, ste no ser apto para la eleccin DR/BDR. Una vez que es seleccionado el DR y el BDR, todos los otros routers dentro de la misma rea OSPF establecen una relacin con stos para intercambios de informacin routing adicionales. Ningn router encendido despus aceptar el DR/BDR existente en la red a pesar de su propia prioridad router. Desde que existe una alta demanda en el control de informacin del estado de vnculo central del DR, la Router Priority debe ser configurada para elegir el router ms confiable en una red como DR. BDR es elegido al mismo tiempo que DR, y establece la misma relacin con los dems routers en el rea, con el fin de de hacer la transicin a un nuevo DR smoother si hubiese alguna falla del DR primario. En adicin al establecimiento de relacin, los paquetes Hello actan adems como mensajes Keepalive para mantener el trayecto de la reactividad de los enlaces. Los paquetes Hello son enviados peridicamente con un intervalo predefinido para permitir a los routers conocer que los dems routers aun se encuentran en funcionamiento. Update LSA Cada router mantiene informacin para routing state y link. Un link es una interfaz en el router y el state del vnculo es la informacin que incluye la direccin de interfaz, red, routers vecinos, y etc. Esta informacin link-state es almacenada en una estructura de datos de router denominada link-state database. Cuando un router determina el DR por el paquete Hello, generar una link-state advertisement (LSA) y la enviar a DR. El DR controla y actualiza su base de datos de estado-link central y distribuye la informacin de base de datos a todos los dems routers en la misma rea OSPF. Luego del intercambio inicial y la construccin de la base de datos, cada Router dentro de la misma rea OSPF contendr una base de datos idntica, la cual es un mapa topolgico completo del rea incluyendo el costo de los vnculos. Debido a cualquier cambio en la informacin routing, un router guardar una nueva copia del estado de vnculo en su base de datos y enviar LSA a DR. El DR luego exceder la actualizacin a todos los routers participantes en el rea para sincronizar la base de datos del link-state. Path determination SPF
10.4. Failover de Ruta
77
Luego de que la base de datos de cada router es intercambiado y sincronizado por completo, el router calcular un rbol de Shortest Path First(SPF) para todos los destinos conocidos basados en la base de datos. Al correr el algoritmo SPF, cada router estar capacitado para determinar la mejor (menor costo) trayectoria para el reenvo de datos a cualquier destino en el rea. El destino, costo asociado, y el siguiente hop para alcanzar el destino ser aadido a la tabla de routing IP de cada router. Sobre cualquier actualizacin al link-state database, un router recalcular el rbol de trayectoria ms corta y actualizar la tabla routing. Autentificacin OSPF La autentificacin est disponible como un mtodo de seguridad opcional para el ambiente OSPF. Un router puede validar la identidad de otro router durante el intercambio de informacin de link-state. La autentificacin OSPF puede ser tanto ninguna, simple, o MD5. Con la autentificacin simple, la frase de paso se vuelve en blanco sobre el link, mientras que con el algoritmo mensaje resumen MD5, la clave no pasar sobre el vnculo de forma directa. De este modo, MD5 debe ser considerado como un medio ms seguro de autentificacin. Mas informacin sobre encriptacin, mensaje resumen, y autentificacin se puede encontrar en 20.2 Introduccin a la Criptografa.
10.4
Route Failover
La caracterstica de Failover de ruta puede ser utilizada cuando hay dos o ms rutas a un destino. Por ejemplo en un escenario donde dos ISP se encuentran disponibles para conectarse a Internet. Un ISP, el primario, es utilizado en un caso normal, y un ISP de respaldo es utilizado cuando el ISP primario no funciona. Las rutas pueden ser monitoreadas de dos formas. Una ruta monitoreada puede ser considerada como caida si el estado de vnculo en la interfaz se encuentra caida o si la puerta de enlace predeterminada no responde a las solicitudes ARP. Es posible utilizar ambos mtodos de monitoreo al mismo tiempo.
Gua de usuario de los Firewalls D-Link
78
10.4.1
Escenario: Configuracin de Failover de Ruta
Ejemplo: Dos ISPs
Figura 10.1: Escenario de Failover de Ruta
En este escenario mostrado en la figura 10.1, dos ISP:s (ISP A e ISP B) son utilizados para conectar al Internet. ISP A es conectado a la interfaz WAN1 del firewall e ISP B es conectado a la interfaz WAN2. Con el fin de configurar el firewall D-Link para utilizar ISP A como ISP primario, e ISP B como ISP de respaldo, las rutas monitoreadas debern ser configuradas. Se necesitar de dos rutas, una ruta predeterminada (0.0.0.0/0) con mtrica 1, sta utiliza la puerta de enlace predeterminada de ISP A y una ruta predeterminada con mtrica 2 que utiliza la puerta de enlace predeterminada de ISP B. WebUI :
1. Apagar la auto configuracin de rutas. Primero que todo se necesita asegurar que no se agregan rutas automticamente por La interfaz WAN1 Y WAN2. Interfaces Ethernet Edit (WAN1): En la etiqueta de Advanced, ingrese lo siguiente: Agregar la ruta predeterminada si la puerta de enlace predeterminada es especificada: Disable Luego haga click OK Interfaces Ethernet Edit (WAN2): En la etiqueta Advanced, ingrese lo siguiente: Agregar la ruta predeterminada si la puerta de enlace predeterminada es especificada: Disable Luego haga click en OK Gua de Usuario de los Firewalls D-Link
10.4. Failover de Ruta
79
2. Agregar una ruta predeterminada sobre la interfaz WAN1. El siguiente paso es agregar una ruta predeterminada para la interfaz WAN1. Routes Main Routing Table Add Route: Ingrese lo siguiente: General Interface: WAN1 Network: 0.0.0.0/0 Gateway: Default gateway of ISP A. Local IP Address: (None) Metric: 1 Monitor Monitor This Route: Enable Monitor Interface Link Status: Enable Monitor Gateway Using ARP Lookup: Enable Luego haga click en OK
Nota
Es posible configurar manualmente el intervalo de bsqueda ARP a utilizar. El valor elegido debe ser al menos 100 ms. Si rutas mltiples son monitoreadas en la misma Interfaz, se deber elegir el valor ms alto para asegurar que la red no est excedida con solicitudes ARP. 3. Agregar la ruta predeterminada sobre la interfaz WAN2. El siguiente paso es agregar la ruta predeterminada para la interfaz WAN2. Routes Main Routing Table Add Route: Ingrese lo siguiente: General Interface: WAN2 Network: 0.0.0.0/0 Gateway: Default gateway of ISP B. Local IP Address: (None) Metric: 2 Luego haga click en OK
80
4. Crear un grupo de interfaz y agregar reglas. Para ser capaz de escribir reglas con interfaz de destino que puedan utilizar ambas rutas, se debe crear un grupo de interfaz que utilice la caracterstica de seguridad/transporte Equivalente. Esto hace a las dos interfaces iguales en el sentido de seguridad. Creando el grupo de interfaz. Interfaces Interface Groups Add Interface Group: Ingrese lo siguiente: Name: Digite un nombre para el grupo de interfaz. Security/Transport Equivalent: Enable Interfaces: Seleccione la interfaz WAN1 y WAN2. Luego haga click en OK Agregar reglas. Se agregan reglas utilizando el grupo de interfaz recientemente creado como interfaz de destino. Va 14.3 IP Configuracin de Reglas para detalles sobre cmo configurar las reglas.
Nota
La ruta predeterminada para la interfaz WAN2 no ser monitoreada. La razn para esto es que no se posee una ruta de respaldo para la ruta sobre la interfaz WAN2.
10.5. Implementacin de Routing Dinmico
81
10.5
Implementacin de Routing Dinmico
En los firewalls D-Link, la implementacin de routing dinmico involucra dos tareas primarias de configuracin: OSPF process & dynamic routing policy.
10.5.1
Proceso OSPF
Los procesos OSPF configurados en el firewall agrupan firewalls OSPF participantes y routers en areas OSPF. A Cada proceso habilitado en un router tiene una ID Router nica en un formato de direccin IP y se elige un mtodo de autentificacin.
Las reas son definidas en base a las interfaces del firewall. Una interfaz que pertenece a un area posee una Routing Priority a utilizar para la eleccin DR del rea. La interfaz puede ser utilizada tanto para transmitir, point-to-point, o comunicacin point-to-multipoint. La interfaz de transmisin se entera de los routers vecinos automticamente a travs de la ooding de paquetes Hello, mientras que para la interfaz point-to-point o point-to-multipoint, se necesitan configurar por la interfaz manualmente uno o ms vecinos especficos. Las mtricas de Routing utilizadas por OSPF pueden tambin ser ajustadas o modificadas en una interfaz para interferir en la determinacin de trayectoria OSPF. Una vez que el proceso OSPF es apropiadamente configurado por el firewall, ste puede comenzar a dialogar con otros firewalls/routers utilizando algoritmo OSPF, enterndose de la informacin link-state de la red.
10.5.2
Poltica de Routing Dinmico
Basado en la informacin de routing aprendida por el proceso OSPF, las polticas de routing dinmico forman un filtro para la informacin y le indica al firewall qu hacer con aquel conocimiento a travs de acciones definidas. Una regla de Polticas de Routing Dinmico filtra estticamente configurada o las rutas aprendidas OSPF de acuerdo a parmetros como el origen de las rutas, destino, mtrica, y etc. Las rutas coincidentes pueden ser controladas por las acciones para ser tanto exportada a procesos OSPF o ser agregada a una o ms tablas routing. Los usos ms comunes para las Polticas de Routing Dinmico se encuentran enlistados a continuacin, ejemplos son entregados de manera consecutiva.
Importacin de rutas OSPF desde procesos OSPF a la tabla routing.
82
Exportacin de rutas desde la tabla routing a procesos OSPF. Exportacin de rutas desde un proceso OSPF a otro proceso OSPF.
10.5.3
Escenarios: Configuracin de Routing Dinmico
En esta seccin, se ilustran escenarios bsicos para la utilizacin de Procesos OSPF y Polticas de Routing Dinmico.
Ejemplo: Ajustando procesos OSPF
Figura 10.2: Escenario de Proceso OSPF
Como se muestra en la Figura 10.2 , el firewall es adoptado para tener una interfaz lan3 conectada a una pareja de redes locales, en donde el firewall controlar el nico trayecto entre estas; y 2 interfaces, lan1 y lan2 adheridas a la red local ms larga. Algunas de las redes sern accesibles a travs de ambas interfaces, de modo que alguna redundancy puede ser lograda si una trayectoria se vuelve inalcanzable. Esto se realiza localizando las dos interfaces lan1 y lan2 en un grupo de interfaz de seguridad equivalente. Se crea un proceso OSPF denominado como ospf-proc1, y slo un rea OSPF, el rea central area0 (0.0.0.0), es utilizado en este ejemplo. Las 3 interfaces involucradas son agregadas al rea para hacer al firewall participante del proceso OSPF. Sin embargo, esto no agregar ninguna ruta ya enterada a la tabla routing, ni informar a sus vecinos acerca de rutas estticas en su tabla(s) routing (a excepcin de las rutas para las 3 interfaces participantes en este proceso OSPF). Para controlar este intercambio de informacin, se necesita que las polticas de routing dinmico Gua de Usuario de los Firewalls D-Link
83
entren a actuar (Vea los siguientes 2 escenarios para polticas de routing dinmico).
WebUI
1. Proceso OSPF: aadiendo un proceso OSPF denominado ospf-proc1. Routing OSPF Processes Add OSPF Process: General: Name: ospf-proc1
Autentificacin:
Seleccione uno de los tipos de autentificacin que ser utilizado en el proceso , (ninguno, contrasea, MD5). Luego haga click en OK 2. Area: especificando un rea para el proceso ospf-proc1. En la pgina de configuracin ospf-proc1: Add Area: General: Name: area0 Area ID: 0.0.0.0 Luego haga click en OK.
84
3. Interfaces: aadiendo las interfaces participantes en el proceso. En la pgina de configuracin area0: Interfaces Add Interface: General: Interfaz: seleccione lan1 desde la lista desplegable. (lan1 es adoptado para ser definido en las interfaces Ethernet) Interface Type: select Auto Metric/Bandwidth: Ajuste un valor mtrico especifique una amplitud de banda, ej. 100Mbit.
Advanced:
Asegrese de que los valores de configuracin enlistados correspondan con los valores utilizados por los otros vecinos OSPF en la red. Luego haga click en OK. Repita este paso para aadir las interfaces lan2 y lan3. 4. Grupo de Interfaz: localice el lan1 y lan2 en un grupo de interfaz con seguridad equivalente. Interfaces Interface Groups Add Interface Group: General: Name: seleccione un nombre para el grupo, ej. ifgrp-ospf1. Marque el recuadro de Security/Transport Equivalent Interfaces: Seleccione lan1 y lan2 desde la lista Disponible y colquelos en la lista Seleccionada. Luego haga click en OK.
Nota
Asegrese de que las reglas IP del firewall, las cuales permiten que el trfico pase a travs de estas interfaces, utilicen este grupo de interfaz como fuente de interfaz.
Gua de Usuario de los Firewall D-Link
85
Ejemplo: Importando rutas desde un AS OSPF a la table routing principal
Se asume que ya ha sido creado el previamente configurado proceso OSPF denominado como ospf-proc1. En este escenario, todas las rutas recepcionadas desde ospf-proc1 sern aadidas en la tabla routing principal, en la medida en que esto no es realizado automticamente en el firewall D-Link. WebUI : 1. Regla de Routing Dinmico: Routing Dynamic Routing Policy Add Dynamic Routing Regla: General Name: e.j. importOSPFRoutes. Check From OSPF Process: Seleccione ospf-proc1 desde la lista Disponible y colquelo en la lista Seleccionada. Destination Network ...Or is within: all-nets Luego haga click en OK. 2. Routing Action: En la pgina de configuracin importOSPFRoutes: Routing Action Add Add Route: General Destination: Seleccione la tabla routing principal desde la lista Available y colquela en la lista Selected. Luego haga click en OK. El resultado de esta configuracin es que toda la informacin routing aprendida ser aadida a la tabla routing principal en la medida que estas no invaliden ninguna ruta esttica rutas predeterminadas previamente insertadas. Gua de Usuario de los Firewalls D-Link
86
Ejemplo: Exportando la ruta predeterminada dentro de un AS OSPF

Se asume que ya ha sido creado el previamente configurado proceso OSPF denominado como ospf-proc1. En este escenario la ruta predeterminada (solamente) desde la tabla routing principal ser exportada dentro del proceso OSPF ospf-proc1. WebUI :
1. Regla de Routing Dinmico: Routing Dynamic Routing Policy Add Dynamic Routing Rule: General Name: e.j. exportDefRoute Check From Routing Table: Seleccione la tabla routing principal desde la lista Available y colquela en la lista Selected. Destination Network Exactly Matches: all-nets Luego haga click en OK. 2. OSPF Actions: En la pgina de configuracin exportDefRoute: OSPF Actions Add Export OSPF: General Export to process: Seleccionar ospf-proc1 desde la lista desplegable. Luego haga click en OK.
10.6. Escenario: Configuracin de Routing Esttico
87
10.6
Escenario: Configuracin de Routing Esttico

Ejemplo: Creando una Ruta Esttica
Figura 10.3: Escenario de Routing Esttico
En este ejemplo una red 192.168.2.0/24 ha sido ajustada para ser ruteada a travs de un router(192.168.1.10) en la red local, como se muestra en la Figura 10.3. Para permitir que el firewall se comunique con esa red (a travs de la interfaz lan), se debe configurar una ruta esttica. WebUI :
Routing Main Routing Table Add Route: General: Interface: Seleccione lan. Network: Seleccione la direccin de red objetiva (192.168.2.0/24). Gateway: Seleccione la direccin de router objetivva (192.168.1.10). Luego haga click en OK. Esto permitir al firewall dirigir el trfico destinado para la red 192.168.2.0/24 a travs del router en 192.168.1.10. Gua de Usuario de los Firewalls D-Link
88
Nota
Como un resultado a este ajuste el trfico en retorno desde el router ser dirigido directamente sobre la red local con una regla de ajuste estndar Allow. Para que este escenario trabaje la regla de ajuste IP debe establecer que el trfico para esta Red sera NATed o que ser reenviada sin estado de rastreo
10.7
10.7.1
Politica basada en Routing(PBR)

Vista General
Policy Based Routing(PBR) es una extensin al ruteo normal descrito previamente, la cual ofrece al administrador de red una flexibilidad significante para implementar sus propias polticas definidas en realizar decisiones de ruteo. Por PBR, los paquetes pueden ir a travs una ruta de usuario deseada aparte de la decidida por los Algoritmos de ruteo. Los routing normales reenvan paquetes de acuerdo a las direcciones de destino IP derivadas de rutas estticas protocolo de routing dinmico. Por ejemplo, por OSPF, el router slo tomar la trayectoria de menor-costo( la ms corta) que es obtenida desde un calculo OSPF para transportar paquetes. Complementando a este destino direccion-, PBR entrega un mayor control sobre routing habilitando al router para utilizar especficamente una trayectoria para cierto flujo de trfico basado en varios criterios, tales como las direcciones de fuente y tipos de servicio. Adems, los firewalls D-Link extienden los beneficios de futuros PBR no slo buscando los paquetes uno por uno, sino tambin en informacin de estado, de modo que la poltica pueda entregar control tanto en la direccin de reenvo como en la de retorno. PBR puede ser aplicado en aplicaciones incluyendo:
Fuente de routing sensible
Cuando ms de un IP es utilizado para proveer servicios Internet, PBR puede dirigir el trfico originado desde diferentes grupos de usuarios por diferentes trayectorias a travs del firewall.
Servicio basado en routing
PBR puede dirigir ciertos protocolos a travs de proxies transparentes, tales como Web caches y scanner anti-virus. Gua de Usuario de los Firewalls D-Link
10.7. Policy Based Routing(PBR)
89
Creacin de reas de red metropolitanas proveedor-independiente
Todos los usuarios comparten un eje central activo comn, pero pueden utilizar diferentes ISPs, suscribindose a diferentes flujos de proveedores de medios de comunicacin. La implementacin PBR en los firewalls D-Link consiste en dos elementos:
Una o ms denominadas tablas PBR en adicin a la tabla de routing normal.
Una regla de ajuste PBR separada, la cual determina cual tabla routing nombrada
se debe utilizar.
10.7.2
Tablas routing basadas en polticas
La tablas routing basadas en polticas son tablas alternativas adicionales a la tabla de Routing principal. Estas tablas contienen lo mismos campos para la descripcin de rutas como la tabla de routing principal, excepto que exista un parmetro de Ordenamiento definido en cada uno de ellos. Este parmetro define cundo la tabla PBR comienza a actuar en las bsquedas de ruta del firewall, tanto antes o despus que la tabla principal.
10.7.3
Politica basada en Routing Policy
Las reglas definidas en las polticas PBR son selectores de diferentes tablas routing. Cada regla PBR es provocada por los campos/recuadros de tipo de servicio e interfaz de fuente & destino y red. Durante la bsqueda del firewall, la primera regla coincidente es llevada a cabo, y las rutas pueden ser elegidas y priorizadas por el parmetro de orden en base a cada estado aparte de la bsqueda paquete por paquete, lo cual significa que las reglas PBR pueden especificar cul tabla routing se utilizar tanto en direccin de reenvo y retorno.
10.7.4
Ejecucin PBR
La secuencia de ejecucin PBR cooperadora con la tabla routing principal y los ajustes de reglas del firewall pueden ser resumidas a continuacin: 1. Verificador de tabla routing principal busca la interfaz por las direcciones de destino de los paquetes. 2. Consultador de reglas busca en la lista de Reglas del firewall para determinar La accin de los paquetes. 3. Consultador de polticas PBR Si la bsqueda en el paso 2 resulta en la posibilidad De que los paquetes pasen a travs, el firewall desplegar una bsqueda en las Gua de Usuario de los Firewalls D-Link
90
reglas PBR. La primera regla coincidente ser la utilizada. De acuerdo a la especificacin en la regla, es seleccionada una tabla routing para utilizar. Si no hay regla coincidente, las tablas PBR no sern utilizadas y ningn PBR ser ejecutado. El firewall reenviar los paquetes de acuerdo a la tabla routing principal solamente. 4. Traduccin de direccin Si la regla SAT fue encontrada en la regla consultada en el paso 2, la direccin de traduccin ser ejecutada. 5. Bsqueda de ruta final y reenvo de paquete el firewall hace la bsqueda de ruta final en la tabla routing decidida en el paso 3, y reenve el paquete. La decisin de cul tabla routing utilizar es realizada antes de llevar a cabo la traduccin de direccin. Sin embargo, la bsqueda actual de ruta es ejecutada en la direccin modificada.
Ejemplo: Creando una tabla Ruteo Basada en polticas

En este ejemplo se crear una tabla routing basada en polticas denominada TestPBRTable. WebUI :
Crear Tabla PBR Routing Policy-based Routing Tables Add Policy-based Routing Table: Name: TestPBRTable Orden: First significa que la table routing nombrada es consultada primero que todas. Si esta Bsqueda falla, la bsqueda continuar en la tabla routing principal. Default significa que la tabla routing principal ser consultada primero. Si la nica Coincidencia es la ruta predeterminada (0.0.0.0/0), la tabla routing nombrada ser consultada. Si la bsqueda en la tabla routing nombrada falla, la bsqueda por completo es considerada como fallida. Only significa que la table routing nombrada es la nica consultada. Si esta bsqueda fracaza, la bsqueda no continuar en la tabla routing principal. Remove Interface IP Routes: Si est habilitado, las rutas de interfaz predeterminada Son removidas, ej. rutas a la interfaz central, las cuales son rutas al mismo firewall. Luego haga click en OK Gua de Usuario de los Firewalls D-Link
91
Ejemplo: Creando una Policy-Based Route

Luego de definir la tabla PBR TestPBRTable, se adhieren rutas en la tabla de este ejemplo. WebUI :
Create PBR Route Routing Policy-based Routing Tables TestPBRTable Add Route: Ingrese lo siguiente: Interface: La interfaz sobre la cual dirigir. Network: La red para dirigir. Gateway: La puerta de enlace hacia donde enviar los paquetes dirigidos. Local IP Address: La direccin IP especificada aqu ser automticamente publicada en la interfaz correspondiente. Esta direccin ser adems utilizada como la direccin remitente en las consultas ARP. Si no es especificada ninguna direccin, la direccin IP de la interfaz del firewall ser utilizada. Metric: Especifica la mtrica para esta ruta. (Mayormente utilizada en escenarios de Failover de ruta. Luego haga click en OK
10.7.5
Escenario: Configuracin PBR
El siguiente ejemplo ilustra un escenario ISP mltiple el cual es utilizado comnmente por policy based routing.
Ejemplo: Mltiples ISP

Este escenario asume lo siguiente:
Cada ISP le entregar una red IP desde su alcance de red. Se asumir un
escenario 2-ISP, con la red 1.2.3.0/24 perteneciente a ISP A y 2.3.4.0/24 perteneciente a ISP B. Las puertas de enlace ISP son 1.2.3.1 y 2.3.4.1, respectivamente.
Todas las direcciones en este escenario son direcciones pblicas, para un facil entendimiento
92
Este es un diseo drop-in, donde no hay subnets de routing explcitas entre
la puerta de enlace ISP y el firewall. En una red de rea metropolitana proveedor-independiente, los clientes probablemente tendrn una sola direccin IP, perteneciente tanto a uno u otro ISP. En un escenario de una sola organizacin, sern configurados servidores accesibles pblicamente con dos direcciones IP separadas: una desde cada ISP. Sin embargo, esta diferencia no importar para los ajustes de poltica de routing mismo. Ntese que, para una slo organizacin, la conectividad Internet a travs de mltiples ISP es normalmente mejor lograda a travs de BGP, en donde no necesita preocuparse en diferentes espacios IP polticas de routing. Desafortunadamente, esto no es siempre posible, y aqu es donde la poltica basada en routing se vuelve una necesidad. Se ajustar la tabla routing principal para utilizar ISP A, y adherir la tabla routing nombrada, r2 que utiliza la puerta de enlace predeterminada de ISP. Contenidos de la tabla routing: Interface LAN1 LAN1 WAN1 WAN2 WAN1 Network 1.2.3.0/24 2.3.4.0/24 1.2.3.1/32 2.3.4.1/32 0.0.0.0/0 Gateway ProxyARP WAN1 WAN1 LAN1 LAN1
1.2.3.1
Contenidos de la named policy routing table r2: Interface WAN2 Network 0.0.0.0/0 Gateway 2.3.4.1
La tabla r2 tiene sus parmetros de Orden ajustados a Predeterminados, lo cual significa que slo sera consultado si la bsqueda de la tabla routing principal coincide la ruta predeterminada(0.0.0.0/0) . Contenidos de Policy-based Routing Policy: Source Interface LAN1 WAN2 Source Range 2.3.4.0/24 0.0.0.0/0 Dest. Interface WAN2 LAN1 Dest. Range 0.0.0.0/0 2.3.4.0/24 Service ALL ALL Forward PBR r2 <main> Return PBR <main> r2
93
Nota
Se aaden rutas para conexiones entrantes as como salientes. Completar los siguientes pasos para configurar este escenario ejemplo en el rewall. 1. Aadir rutas a la tabla routing principal. Aadir las rutas encontradas en la lista de rutas en la tabla routing principal, como se ha mostrado anteriormente. Ver seccin 10.6 Creating a Static Route para mayor informacin sobre cmo aadir rutas.
2. Crear una tabla PBR. Ver seccin 10.7.4 Creating a Policy-Based Routing Table para mayor informacin sobre cmo crear una tabla PBR. Nombre la tabla r2 y asegrese de que el orden es ajustado a Default.
3. Aadir la ruta predeterminada a la tabla PBR. Aadir la ruta encontrada en la lista de rutas de la tabla de polticas routing nombrada r2, como se mostr anteriormente. Ver seccin 10.7.4 Creating a Policy-Based Route para mayor informacin sobre cmo aadir reglas a la tabla PBR.
4. Aadir polticas PBR. Se necesita aadir dos polticas PBR de acuerdo a la lista de polticas mostradas anteriormente. Routing Policy-based Routing Policy Add Policy-based Routing Rule: Ingrese la informacin encontrada en la lista de polticas desplegada con anterioridad. Repita este paso para aadir la segunda regla.
94
10.8
Proxy ARP
Proxy ARP es el proceso en el cual un sistema responde a las solicitudes ARP de otro sistema. Por ejemplo, un anfitrin A enva una solicitud ARP para determinar la direccin IP de un anfitrin B. En lugar del Anfitrin B, el firewall responde a esta solicitud ARP. En esencia, Proxy ARP tiene la misma funcionalidad que un ARP pblico (Ver 9.6 ARP) La gran diferencia aqu es que usted puede, de manera simple, publicar redes completas en una o ms interfaces al mismo tiempo. Otra diferencia de ligeramente menor significancia es que el firewall siempre publica las direcciones como pertenecientes al firewall mismo; no es posible por lo tanto publicar direcciones pertenecientes a otras direcciones de hardware.
Nota
Slo es posible el Proxy ARP en interfaces Ethernet y VLAN.
CAPITULO
11
Fecha & Tiempo
El ajuste correcto de la fecha y hora es de gran importancia para que el producto opere apropiadamente. Por ejemplo, las polticas de programacin de tiempo y auto-actualizacin de firmas IDS son dos caractersticas que requieren de una hora correctamente ajustada. En adicin, los mensajes de registro son etiquetados con sellos de tiempo con el fin de sealar exactamente cundo ocurre un evento especfico. El realizar sto, no slo asume un trabajo de reloj, sino que adems el reloj es sincronizado con otros dispositivos en la red. Para mantener vigente la fecha y hora, el producto hace uso de un reloj construido a tiempo real. El reloj es adems equipado con una bacteria de respaldo para asegurar la operacin incluso si el producto pudiese perder la energa. En adicin, el producto soporta protocolos de sincronizacin de tiempo con el fin de ajustar automticamente el reloj basado en informacin de otros dispositivos.
95
96
Capitulo 11. Fecha & Tiempo
11.1
11.1.1
Ajustando la Fecha y Hora

Fecha y Tiempo en curso
Ejemplo:
Para ajustar la fecha y hora en curso, siga los pasos esbozados a continuacin: WebUI :
System Date and Time: General Haga click en el boton de Set Date and Time En la ventana emergente, Date: seleccione el ao en curso, mes y da en las listas desplegables. Time: Ingrese las horas en curso, minutes y segundos en el recuadro de editar. Luego haga click en OK.
Nota
La nueva fecha y hora en curso sern aplicadas instantneamente.
11.1.2
Zona Horaria
El ajuste de Zona Horaria debe ser determinada para reflejar la zona horaria donde el producto se encuentra localizado fsicamente.
Ejemplo:
Para modificar la zona horaria, siga los pasos esbozados a continuacin: WebUI :
System Date and Time: Time zone and daylight saving time settings Time zone: seleccione la zona horaria apropiada en la lista desplegable. Luego haga click en OK.
11.1. Ajustando la Fecha y Tiempo
97
11.1.3
Daylight Saving Time(DST)
Muchas regiones cuentan con Daylight Saving Time (DST) (o tiempo de verano como es denominado en muchos pases). El horario de verano trabaja adelantando la hora durante el verano para obtener mucho ms de los das de verano. Desafortunadamente los principios regulatorios del horario de verano varan segn el pas, y en algunos casos hay incluso variantes dentro del mismo pas. Por esta razn, el producto no conoce automticamente cundo ajustar el DST. En cambio, esta informacin debe ser manualmente entregada si el horario de verano es utilizado.
Hay bsicamente dos parmetros determinantes del horario de verano; el perodo DST y el oset DST. El perodo DST especifica entre qu fechas el horario de verano debe comenzar y terminar, respectivamente. El DST oset indica el nmero de minutos que se debe avanzar el reloj durante el perodo de horario de Verano.
Ejemplo:
Para habilitar DST, siga los pasos esbozados a continuacin: WebUI :
System Date and Time: Time zone and daylight saving time settings Marque Enable daylight saving time Oset: ingrese el nmero de minutos que el reloj debe ser adelantado durante el DST. Start Date: seleccione la fecha de inicio del perodo DST en la lista desplegable. End Date: seleccione la fecha de trmino. Luego haga click en OK.
98
Captulo 11. Fecha & Hora
11.2
Sincronizacin de Tiempo
El reloj en el producto probablemente se vuelve ms rpido o lento luego de un perodo de operacin. Esta es una conducta normal en la mayora de las redes y equipos computacionales y es comnmente resuelto mediante la utilizacin de un mecanismo de Sincronizacin de tiempo. El producto es capaz de ajustar el reloj automticamente basado en informacin recibida desde uno o ms servidores de tiempo en la red. La utilizacin de tiempo de sincronizacin es altamente recomendada, ya que esto asegura que el producto tendr su fecha y hora alineada con otros productos en la red, o incluso con los servidores de tiempo pblicos entregando informacin de tiempo altamente certera basada en relojes atmicos.
11.2.1
Protocolos de Sincronizacin de Tiempo
El producto soporta dos tipos de protocolos para ser utilizados en la sincronizacin de tiempo:
SNTP
Denido por RFC 2030, The Simple Network Time Protocol (SNTP) es una implementacin ligera del Protocolo de Tiempo de Red (NTP) descrito en RFC 1305.
UDP/TIME
El Protocolo de Tiempo (UDP/TIME) es un antiguo mtodo para proveer un servicio de sincronizacin de tiempo sobre el Internet. El protocolo entrega un sitio independiente, fecha y tiempo legible por mquina. El servicio de tiempo enva de vuelta a la fuente original el tiempo en segundos desde la media noche del primero de enero de 1900. Los servidores de tiempo ms actuales utilizan en protocolo NTP.
11.2.2
Servidores de Tiempo
Se pueden configurar por sobre tres servidores de tiempo para preguntar por informacin de tiempo. El utilizar ms de un servidor, puede prevenir que situaciones en donde un servidor inalcanzable cause que el proceso de sincronizacin de tiempo fracase. Ntese que el producto siempre cuestiona todos los servidores de tiempo configurados con el fin de calcular un promedio basado en respuestas de todos los servidores. Motores de bsqueda en el internet pueden ser utilizados para encontrar listas actualizadas de servidores de tiempo pblicos disponibles. Gua de Usuario de los Firewalls D-Link
11.2. Sincronizacin de Tiempo
99
11.2.3
Modificacin Mxima
Para evitar situaciones donde un servidor de tiempo defectuoso causa que el producto actualice su reloj con datos altamente errneos de tiempo, se puede especificar un valor de modificacin mxima (en Segundos). Si la diferencia entre el tiempo vigente en el producto y el tiempo recibido desde un servidor de tiempo es mayor que el valor de modificacin mxima, esa respuesta del servidor de tiempo ser desechada. Por ejemplo, se asume que el valor de modificacin mxima es ajustado a 60 segundos, y que el tiempo vigente en el producto es 16:42:35. Si un servidor de tiempo responde con el tiempo de 16:43:38, la diferencia es de 63 segundos, lo cual no es aceptable de acuerdo a la modificacin mxima. De este modo, no se realizar ninguna actualizacin con esa respuesta. El valor predeterminado de modificacin mxima es 36,000 segundos.
11.2.4
Intervalo de Sincronizacin
El intervalo entre cada intento de sincronizacin puede ser ajustado si es necesario. Por defecto, este valor es de 86,400 segundos (1 da), significando que el tiempo de proceso de sincronizacin es ejecutado una vez al da.
Ejemplo: Habilitando el Tiempo de Sincronizacin utilizando SNTP

En este ejemplo, el tiempo de sincronizacin es ajustado utilizando el protocolo SNTP y utilizando servidores NTP instalados en el laboratorio Sueco nacional por tiempo y frecuencia. WebUI :
System Date and Time: Automatic time synchronization Marque Enable time synchronization. Seleccione lo siguiente de las listas desplegables: Time Server Type: SNTP Primary Time Server: dns:ntp1.sp.se Secondary Time Server: dns:ntp2.sp.se Tertiary Time Server: (None) Luego haga click en OK.
100
Captulo 11. Fecha & Tiempo
Nota
Este ejemplo utiliza nombre de dominio en vez de direcciones IP. Por lo tanto, asegrese de que los ajustes de cliente DNS del sistema se encuentran apropiadamente configurados como se describe en 12 DNS.
CAPITULO
12
DNS
Domain Name System (DNS) puede ser considerado como una gran base de datos distribuida que es utilizada para traducir desde nombres computacionales a sus direcciones IP. DNS es utilizado dentro del firewall siempre que sea necesario traducir un nombre de dominio a una direccin IP. Adems, el servidor DHCP dentro del firewall puede distribuir los servidores DNS configurados en el firewall a todos los clientes que soliciten un contrato IP. El ejemplo a continuacin describe cmo configurar servidores DNS en los firewalls D-Link. Los servidores configurados son utilizados por los clientes DNS internos as como otros subsistemas tales como el servidor DHCP.
Ejemplo: Configurando servidor(es) DNS

WebUI
System DNS: Primary Server: Ingrese la direccin IP del servidor DNS primario o seleccione la direccin objetiva desde la lista desplegable (si la direccin del servidor ha sido definida en el Libro de Direcciones). Secondary Server: (Optional) Tertiary Server: (Optional) Luego haga click en OK.
101
CAPITULO
13
Ajustes de Registro
En la parte de Administracin, se han introducido los conceptos generales del registro y diseo de los firewalls D-Link para poder con los eventos significativos (refirase a 5, Registro).En este captulo, se presentarn algunos ejemplos de configuracin para habilitar las funciones de registro. A excepcin de algunos eventos de registro predeterminados que sern generados automticamente, por ejemplo, el arranque del firewall y cierre, el registro necesita ser habilitado manualmente en secciones especficas de la configuracin del firewall. Para ajustar el registro en los firewalls D-Link, se requieren de los siguientes dos pasos: 1. Denir uno o varios destinatarios de registro. 2. Habilitar las funciones de registro en ciertas secciones.
13.1
13.1.1
Implementacin
Definiendo Receptor Syslog
Como se ha explicado en la seccin 5.2.1, Los receptores Syslog son administradores externos de registro utilizados para recibir y almacenar datos de registro generados por el firewall. Los datos de registro son enviados al receptor(es) Syslog a travs de mensajes, que son definidos por Facility and Severity. Facility define cmo son enviados los mensajes a un receptor Syslog especificando identificadores de fuente en los mensajes. El receptor puede tpicamente clasificar mensajes 103
104
Captulo 13. Ajustes de Registro
desde diferentes fuentes basadas en el identificador. El alcance vlido es 0 a 7, representando facilidades Syslog de local0 a local7. Severity es el grado de emergencia adjunto al mensaje de evento registrado por eliminacin de fallos. Los firewalls D-Link pueden ser ajustados para enviar mensajes a diferentes niveles de intensidad. Clasificados desde una mayor importancia a una menor; estos niveles son: Emergency, Alert, Critical, Error, Warning, Notice, Info, and Debug.
Ejemplo: Definiendo un receptor de Syslog

Para definir un receptor Syslog en el firewall, siga los pasos a continuacin: WebUI :
System Log and Event Receivers Add Syslog Receiver: General Name: Ingrese un nombre para el receptor. IP Address: Seleccione la direccin objetiva desde la lista desplegable (si la direccin del receptor ha sido definido en el Libro de Direcciones), o ingrese la direccin IP directamente en el recuadro de editar. Facility: Elija una de las facilidades desde la lista desplegable. Port: 514 (por defecto) Luego haga click en OK.
13.1.2
Habilitando Registro
Luego de ajustar uno o ms receptores, el registro necesita ser habilitado para funcionar. En WebUI, todos los tems de configuracin que pueden generar eventos de registro poseen una pgina llamada Log Settings en su ventana de propiedades. Esta pgina contiene opciones para habilitar registro, y para especificar ciertos receptores de registro e intensidad para el evento.
Ejemplo: Habilitando Syslog

En este ejemplo, se asume que una regla IP ha sido definida previamente, y ha sido habilitado el registro en esta regla para monitorear esta accin al trfico.
13.1. Implementacin
105
WebUI
Rules IP Rules: Click the IP rule item Log Settings: General Marque Enable logging Severity: Elija uno de los niveles de intensidad desde la lista desplegable. Log Receivers Log to: Marque tanto All receivers o Specic receiver(s) (Si es marcado Specic receiver(s), seleccione el receptor Syslog que ha sido definido previamente desde Available list a Selected list.) Luego haga click en OK.
Ejemplo: Habilitando Memoria de Registro

El receptor de registro construdo en memoria del firewall puede ser habilitado de una manera similar a la explicada en el Ejemplo: Habilitando Syslog. Para marcar los contenidos de archivo de registro almacenados por la memoria del receptor de registro, siga los pasos a continuacin: WebUI :
Menu Bar: Status Logging: Pueden ser desplegados 100 tems de eventos nuevamente generados por pgina. Para ver eventos previos, presione next.
Parte VI
Polticas de Seguridad
Las polticas de seguridad regulan las formas en que las aplicaciones de red protegen del abuso y uso inapropiado. Los firewalls D-Link ofrecen varios mecanismos para ayudar a los administradores en la construccin de polticas de seguridad para la prevencin de ataques, proteccin de privacidad, identificacin, y control de acceso. Los tpicos en esta parte incluyen:

Reglas IP Acceso (Anti-spoong) DMZ & Port Forwarding Autentificacin de Usuario
CAPITULO
14
Reglas IP
14.1
Vista General
La lista de reglas definidas en base a redes objetivas direcciones, protocolos, servicios es el corazn de cualquier firewall. Las reglas determinan las funciones de filtro bsico del firewall, lo cual es esencial. Seguido a las reglas de configuracin, el firewall regula qu es permitido o rechazado para pasar a travs, y cmo la traduccin de direccin, administracin de amplitud de banda, y determinacin de trfico, es aplicada al flujo de trfico. Cualquier regla ambigua o defectuosa puede perder el control de seguridad o hacer intil al firewall. Bsicamente, hay dos posturas del firewall que describen una filosofa fundamental de seguridad: The default deny stance: Todo es denegado a menos que sea especficamente permitido. The default permit stance: Todo es permitido a menos que sea especficamente denegado. Con el fin de entregar el mayor nivel de seguridad posible, default deny es la poltica predeterminada en los firewalls D-Link. El default deny es logrado sin una regla visible en la lista. Sin embargo, para propsitos de registro, la lista de regla comnmente tiene una regla DropAll al pie con el registro habilitado. Cuando una nueva conexin es establecida a travs del firewall, la lista de reglas son evaluadas, de arriba a abajo, hasta que se encuentre una regla que coincide con la nueva conexin. La accin de la regla es entonces llevada a cabo. Si la accin es 109
110
Capitulo14. Reglas IP
Allow, la conexin ser establecida y un estado representante de la conexin es aadido a la tabla de estado interna del firewall. Si la accin es Drop, la nueva conexin ser rechazada. Primer principio de coincidencia Si hay varias reglas coincidentes, la primera coincidente decide qu pasar con la conexin. (A excepcin de las reglas SAT, mostradas en el Ejemplo.) Los paquetes consecutivos pertenecientes a una conexin existente no necesitan ser evaluados nuevamente. En cambio, un algoritmo de bsqueda de estado altamente optimizada buscar la tabla de estado interno para un estado ya existente Representante de la conexin. Esta metodologa es aplicada no slo en las conexiones TCP, sino tambin en UDP y trfico ICMP. De este modo, el tamao del ajuste de reglas del firewall no afectar el rendimiento del firewall. Una regla es expresada en una forma definitiva, consistente en dos partes lgicas: los campos y la accin. Las sub-secciones a continuacin explican los parmetros de una regla que est disponibles en los firewalls D-Link.
14.1.1
Campos
Los campos son algunos objetos de red predefinidos y reutilizables, tales como direcciones y servicios, los cuales son utilizados en cada regla con propsitos de coincidencia. Los siguientes campos en la lista de regla son utilizados por el firewall para verificar un paquete en el flujo de trfico. Todos estos campos de filtro deben coincidir los contenidos de un paquete para que cualquier regla se desencadene.
Servicio: el tipo de protocolo que el paquete debe coincidir.
(Los Servicios son definidos como objetos lgicos antes de configurar las reglas, vea 8.2 Servicios )
Interfaz de Fuente: uno o un grupo de interfaces donde un paquete es recibido en
el firewall.
Red de Fuente: la red a la que coincide la direccin IP de fuente del paquete.
Interfaz de Destino: uno o un grupo de interfaces hacia donde el paquete es
dirigido.
Red de Destino: la red a la que coincide la direccin IP de destino de los
paquetes.
14.1. Vista General
111
14.1.2
Tipos de Accin
Cuando todos los campos enlistados en la seccin anterior son coincididos por un paquete, una regla es desencadenada, una cierta accin especificada por la regla coincidente ser llevada a cabo. Los tipos de accin incluyen:
Allow:
Deja a los paquetes pasar a travs del firewall. El firewall ajustar adems un state para recordar la conexin, y pasar el resto de los paquetes en esta conexin a travs de su motor de inspeccin dinmica.
NAT:
Trabaja como las reglas Allow, pero con una traduccin de direccin dinmica habilitada. (Ver 14.2.2 NAT)
FwdFast:
Deja al paquete pasar a travs del firewall sin ajustar un estado para ste. Generalmente hablando, es ms rpido para un paquete individual, pero es menos seguro que una regla Allow o NAT, y adems ms lento que reglas Allow para la completa conexin establecida, como cada paquete subsecuente tambin necesita ser verificado contra la seccin de regla.
SAT:
Le indica al firewall que ejecute la traduccin de direccin esttica. (Ver 14.2.3 Traduccin de Direccin Esttica) Esta regla requiere adems una regla coincidente Allow,NAT o FwdFast ms abajo. (Ver Ejemplo)
Drop:
Le indica al firewall que deseche inmediatamente el paquete.

Reject:
Acta como Drop, pero devuelve un mensaje TCPRST o ICMPUnreachable, indicndole al remitente que el paquete ha sido deshabilitado.
112
14.2
14.2.1
Traduccin de Direccin
Vista General
Por consideraciones de funcionalidad y seguridad, la traduccin de Direcciones de red(NAT) es generalmente aplicada para el actual uso en oficina y hogar. Los rewalls D-Link entregan soporte tanto para NAT Dinmico como para Esttico. Estos dos tipos son representados por las reglas de ajuste NAT y SAT respectivamente. Esta seccin explica cmo trabaja NAT y qu es lo que puede y no puede hacer.
14.2.2
NAT
Qu es NAT? Cuando se comunica con el Internet, cada nodo necesita registrar una direccin de Red nica para ser alcanzable. Pero las nicas direcciones disponibles del Rango de IPv4 son muy limitadas mientras actualmente las redes se vuelven ms y ms grandes. La traduccin de direccin de Red (NAT) habilita a los computadores en redes privadas para utilizar un grupo de direcciones no registradas internamente, y comparte uno o un grupo de direcciones pblicas IP para conexiones externas a recursos Internet. Normalmente un router o un firewall localizado donde el LAN encuentra el Internet hace todo lo necesario para las traducciones de direcciones IP. Para cada red NATed, los espacios de direccin IP privada (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) son reutilizadas. Esto significa que interfaces mltiples conectadas a diferentes redes pueden tener la misma direccin, mitigando la presin de tener que utilizar direcciones pblicas IPv4 para cada nodo. Por qu NAT es generalmente utilizado? En adicin a la resolucin del problema de escasez IP, NAT es desarrollado para atender muchos otros propsitos:
Funcionalidad Utilizando NAT, no hay necesidad de registrar una direccin IP para
cada computador en una red local. Una compaa puede utilizar muchas direcciones IP internas y una IP pblica registrada para entregar servicios internet. Ya que esta direccin es utilizada solo de manera interna, no hay posibilidad de colisin de direcciones con otras compaas. Esto permite a una compaa combinar conexiones de acceso mltiple a una sola conexin Internet.
Seguridad Los computadores localizados en la red local y que utilizan un rango
de direcciones privadas no son directamente accesibles desde el Internet. Para Gua de Usuario de los Firewalls D-Link
14.2. Traduccin de Direccin
113
el mundo externo, toda la red privada es como un nodo que utiliza una direccin IP pblica, y la estructura interior y direcciones de la red se encuentran ocultas. NAT depende de una mquina en la red local para iniciar cualquier conexin a anfitriones del otro lado del firewall del router, esto previene actividades malintencionadas iniciadas por anfitriones externos para alcanzar a estos anfitriones locales. NAT-habilita firewalls, por ejemplo, los firewalls D-Link, manejan todo el trabajo de traduccin y redireccionamiento para pasar el trfico y pueden entregar caminos para restringir acceso a Internet al mismo tiempo.
Flexibilidad de administracin NAT puede ser utilizado para dividir una gran
Red en varias ms pequeas. Las partes ms pequeas exponen slo una direccin IP al exterior, lo cual significa que los computadores pueden ser aadidos o removidos sin causar impacto en las redes externas. Los firewalls D-Link contienen servidor DHCP, el cual permite a los clientes ser configurados automticamente. El administrador no necesita aplicar ningn cambio a cada computador en la red interna, por ejemplo, si la direccin de servidor DNS es modificada, todos los clientes comenzarn automticamente a utilizar la nueva direccin la siguiente vez que se contacte con el servidor DHCP. Cmo trabaja NAT En la red de comunicacin TCP/IP, cada paquete IP contiene un encabezado con las direcciones de fuente y destino y los nmeros prot (Direccin de fuente: puerto de fuente Direccin de Destino: puerto de destino). Esta combinacin definir por completo una sola conexin. Las direcciones especifican los dos computadores finales del vnculo, y los dos nmeros de puerto garantizando que cada conexin perteneciente a ciertos servicios es nicamente identificado. Cada conexin es originada desde un nmero nico de puerto de fuente en un extremo, y todos los paquetes respondidos desde el otro extremo contienen el mismo nmero que su puerto de destino, de modo que el iniciador puede referirlos de vuelta a su conexin correcta. Un firewall NAT-habilitado debe modificar la direccin de fuente en cada paquete saliente para que sea su direccin pblica. Este por lo tanto re-enumera adems el puerto de nmero de fuente para ser nico, de modo que este pueda mantener el rastro de cada conexin. El firewall utiliza una tabla de mapeo para relacionar la direccin local real y puerto de fuente ms su nmero de puerto de fuente traducida a una direccin de destino y puerto. Cuando ste recibe cualquier paquete de retorno, este puede por lo tanto revertir la traduccin para dirigirlos de vuelta a los clientes correctos. Porque las tablas de mapeo relatan una completa informacin de conexin Gua de Usuario de los Firewalls D-Link
114
Captulo 14. Reglas IP
Direccin de fuente y destino y nmeros de puerto es posible validar alguna o toda esta informacin antes de pasar el trfico. Estas verificaciones ayudan al firewall a proteger un LAN privado contra ataques desde el exterior. El mecanismo NAT se deshace de todo el trafico que no coincide en el entry de tabla De mapeo, por lo tanto es considerado adems como un dispositivo de seguridad. Sin embargo NAT no es un sustituto para las reglas firewall. Hay puertos abiertos TCP y UDP correspondientes a las aplicaciones y servicios que corren en el NAT. Si el dispositivo NAT es un computador, ms que un firewall dedicado, el computador se vuelve entonces vulnerable a ataque. Por lo tanto, la recomendacin es utilizar un firewall habilitado-NAT con reglas de ajuste especificadas para el trfico.
14.2.3
Traduccin de direccin en los Firewalls D-Link
Los firewalls D-Link soportan dos tipos de traduccin de direccin: dinmico (NAT oculto), y esttico (SAT). Traduccin de Direccin de Red Dinmica El proceso de traduccin de direccin dinmica involucra la traduccin de direcciones de remitente mltiples en una o ms direcciones de remitente, tal como direcciones IP privadas son mapeadas para un grupo de direcciones IP pblicas.
Ejemplo: NAT Dinmico

Sender 192.168.1.5 : 1038 195.11.22.33: 32789 195.11.22.33: 32789 192.168.1.5 : 1038 Server 195.55.66.77 195.55.66.77 195.55.66.77 195.55.66.77
FW tran reply FW rest
: : : :
80 80 80 80
Tabla 14.1: NAT Dinmico.
La Tabla 14.1 muestra un ejemplo de NAT dinmico, El remitente, ej. 192.168.1.5, enva paquetes desde un puerto dinmicamente asignado, por ejemplo, puerto 1038, a un servidor, ej. 195.55.66.77 puerto 80. Usualmente, el firewall traduce la direccin del remitente a la direccin de interfaz ms cercana a la direccin de destino. En este ejemplo, utilizamos 195.11.22.33 como la Direccin pblica. En adicin, el firewall modifica el puerto de fuente a un puerto libre, Gua de Usuario de los Firewalls D-Link
14.2. Traduccin de Direccin
115
usualmente es utilizado uno sobre 32768, 32789. El paquete es luego enviado a su destino. El servidor del destinatario considera la direccin NATed del firewall como el origen del paquete, procesa el paquete y enva su respuesta de vuelta a la direccin NATed. El firewall recibe el paquete y lo compara con su lista de conexiones abiertas. Una vez que encuentra la conexin en cuestin, ste restaura la direccin original y reenva el paquete al remitente real. Traduccin de Direccin Esttica (SAT) SAT es un tipo de traduccin de direccin en la cual una direccin IP pblica es mapeada estticamente para una direccin IP privada. El NAT Dinmico es normalmente utilizado para el trfico saliente, mientras SAT es utilizado para el trfico entrante. Por ejemplo, el utilizar SAT permite un anfitrin interno, tal como un servidor Web, para tener una direccin IP (privada) no registrada y an as ser alcanzable sobre el Internet. La direccin IP privada del servidor es mapeada a una direccin IP esttica pblica, la cual puede ser vista desde el Internet. En los firewalls D-Link, SAT es implementado para entregar muchas funciones importantes, Por ejemplo: - DMZ & Port Forwarding: SAT soporta el uso de red DMZ para entregar servicios pblicos al Internet, mientras tanto protegiendo la red privada de una revelacin innecesaria para el mundo externo. (ver 16, DMZ & Reenvo de Puerto) - Server Load Balancing: SAT puede re-direccionar las conexiones sealadas como algn servidor para alternar servidores seleccionados. (ver 24, Balance de Carga de Servidor)
116
14.3
Escenarios: Configuracin de Reglas IP
Esta seccin le muestra ejemplos de configuracin de reglas IP, incluyendo:

Regla NAT
Regla SAT
Publica un Servidor accesible con una Direccin Privada en un DMZ Otras caractersticas de ajuste cooperadoras con NAT pueden ser encontradas en 16, DMZ & Port Forwarding, y 24, Server Load Balancing.
Ejemplo: Habilitando Ping en la direccin IP externa del firewall
En este ejemplo, se configura una regla IP para permitir paquetes ICMP (Ping) para ser recibidos por la interfaz externa del firewall. 1. Dene un servicio ICMP objetivo y lo denomina ping-inbound. (Note que el Firewall D-Link es repartido con un servicio ping-inbound configurado como predeterminado el cual puede ser utilizado) 2. Crea una Regla nueva con nombre Ping to Ext, y permite el servicio desde cualquier interfaz en todas las nets para la interfaz central del firewall en la red ip ext . WebUI
1. Crear un Servicio Ping-Entrante Si no es definido un servicio ping-entrante, necesitamos crear un nuevo servicio. Objects Services Add ICMP Service: Name: ping-inbound ICMP Parameters ICMP Message Types: Echo Request (Codes 0-255) Luego haga click en OK
14.3. Escenarios: Configuracin de Reglas IP.
117
2. Crear Regla El paso final es crear la regla que permitir paquetes ICMP(Ping) ser recibidos por la interfaz externa del firewall. Rules IP Rules Add IP Rule: Name: Ping to Ext Action: Allow Service: ping-inbound Source Interface: any Source Network: all-nets Destination Interface: core Destination Network: ip ext Luego haga click en OK
Ejemplo: Regla NAT
En este caso, se ajusta una regla NAT en el firewall que permitir buscar el Internet desde direcciones IP privadas detrs del firewall. Las direcciones IP privadas sern traducidas a la direccin IP externa del firewall. 1. Agregar un servicio objetivo HTTP que utiliza puerto 80 TCP. 2. Agregar un servicio objetivo DNS que utilizar puerto 53 TCP/UDP para habilitar el nombre de servicio determinado. 3. Crear dos reglas que apliquen NAT a los servicios anteriores desde la interfaz interna en La red interna para cualquier interfaz de destino en cualquier red. WebUI
1. Crear Servicio HTTP Si ningn servicio http es definido, se necesita crear un nuevo servicio. Objects Services Add TCP/UDP Service: Name: http Type: TCP Source: 0-65535 Destination: 80 Luego haga click en OK Gua de Usuario de los Firewalls D-Link
118
Capitulo 14. Reglas IP
2. Crear un DNS Todo Servicio Si no hay un dns-todo servicio definido, se necesita crear un nuevo servicio. Objects Services Add TCP/UDP Service: Name: dns-all Type: TCPUDP Source: 0-65535 Destination: 53 Luego haga click en OK 3. Crear una Regla HTTP El siguiente paso es crear la regla que llevar el trfico NAT HTTP desde interfaces Internas por sobre interfaces externas. Rules IP Rules Add IP Rule: Name: HTTP from LAN Action: NAT Service: http Source Interface: LAN Source Network: lan-net Destination Interface: any Destination Network: all-nets Luego haga click en OK 4. Crear una Regla DNS El paso final es crear la regla que NAT(ear) trfico DNS desde interfaces internas por sobre interfaces externas. Rules IP Rules Add IP Rule: Name: DNS from LAN Action: NAT Service: dns-all Source Interface: LAN Source Network: lan-net Destination Interface: any Destination Network: all-nets Luego haga click en OK
14.3. Escenarios: Configuracin de Reglas IP.
119
Nota
Para reglas NAT es posible especificar la direccin IP que deben traducir las direcciones IP internas. Esto puede ser realizado en la etiqueta NAT cuando se configure la regla. Por defecto, la direccin de la interfaz de destino es utilizada.
Ejemplo: Regla SAT
Servidor Pblicamente Accesible con una Direccin Privada en un DMZ.
Figura 14.1: Ejemplo SAT.
Este ejemplo ofrece un servidor web con una direccin privada localizada en un DMZ, y mquinas internas localizadas en una red local que desean buscar el Internet. Con el fin de habilitar usuarios externos para acceder al servidor web, el servidor debe ser alcanzable desde una direccin pblica. De este modo, se traslada el puerto 80 en la direccin externa del firewall al puerto 80 en el servidor web: 1. Aadir un servicio HTTP objetivo que utilice el puerto 80 TCP. Gua de Usuario de los Firewalls D-Link
120
2. Regla 1: Crear una nueva regla que SAT el trfico HTTP direccionado a la direccin pblica IP externa ip ext, a la direccin IP privada del servidor web.
Regla 2: Crear una regla NAT que permita el trfico SAT:ed por la regla
anterior.
Regla 3: Crear una regla NAT que permita a las mquinas internas en la red local
acceder el Internet va HTTP.
WebUI
1. Crear un Servicio HTTP Si no hay un servicio http definido, se necesita crear un nuevo servicio. Objects Services Add TCP/UDP Service: Name: http Type: TCP Source: 0-65535 Destination: 80 Luego haga click en OK 2. Crear una Regla SAT HTTP El siguiente paso es crear la regla que SAT(ear) el trfico HTTP direccionado a la IP pblica externa ip ext, a la direccin IP privada del servidor web. Rules IP Rules Add IP Rule: Name: SAT to WebServer Action: SAT Service: http Source Interface: any Source Network: all-nets Destination Interface: core Destination Network: ip ext SAT Translate the: Destination IP Address To New IP Address: ip webserver Luego haga click en OK
14.3. Escenarios: Configuracin de Reglas IP
121
3. Crear una Regla SAT/NAT HTTP El siguiente paso es crear una regla NAT que permita el trfico SAT:ed por la regla anterior. Rules IP Rules Add IP Rule: Name: SATNAT to WebServer Action: NAT Service: http Source Interface: any Source Network: all-nets Destination Interface: core Destination Network: ip ext Luego haga click en OK 4. Crear una Regla NAT HTTP El paso final es crear una regla NAT que permita a las mquinas internas en la red local para acceder al Internet va HTTP. Rules IP Rules Add IP Rule: Name: HTTP from LAN Action: NAT Service: http Source Interface: LAN Source Network: lan-net Destination Interface: any Destination Network: all-nets Luego haga click en OK
Nota
SAT necesita una segunda regla La regla SAT necesita una segunda regla alineada para pasar el trfico a travs (mostrado como la regla Allow anterior). La segunda regla puede ser un Allow, FwdFast, o NAT, y esta segunda regla alineada debe ser ubicada bajo la regla SAT iniciada. La regla SAT iniciada no le hace nada a los datos actuales. Si hay una coincidencia con el paquete recibido y una regla SAT, el firewall continuar pasando los paquetes Gua de Usuario de los Firewalls D-Link
122
a travs de la lista de regla hasta que una segunda regla coincida. Cuando los paquetes abandonan la lista de regla, esta regla las redirecciona al destino. Problemas con la regla de ajuste vigente Esta regla de ajuste hace las direcciones internas visible a los aparatos en el DMZ (ver 16, DMZ & Por Forwarding). Cuando los aparatos internos se conectan a la interfaz externa del firewall ip ext, estarn habilitados para proceder por la Regla 2 sin NAT (el primer principio coincidente). Desde la perspectiva de la seguridad, todos los aparatos en el DMZ que entregan servicios pblicos deben ser considerados como cualquier otro Servidore Internet conectado a redes no confiables. Soluciones Alternativas 1. Mantener la Regla 1 y revertir la secuencia de la Regla 2 y 3, de modo que la regla NAT sea llevada a cabo para el trfico interno antes de que la regla Allow coincida. 2. Mantener la Regla 1 y 3, modificar la Regla 2 de modo que slo se aplique al trfico externo (el trfico ms probable desde la interfaz WAN) una regla Allow para permitir la Regla 1 desde conexiones externas (la interfaz WAN ms probable) en todas las nets para la direccin pblica externa del firewall ip ext.
Dato
La determinacin del mejor curso de accin y el orden secuencial de las reglas debe ser realizada en base a caso a caso, tomando todas las circunstancias en cuenta.
CAPITULO
15
Acceso (Anti-spoong)
15.1
Vista General
La funcin primaria de cualquier firewall es controlar el acceso a recursos de datos protegidos, de modo que la nica conexin autorizada sea permitida. El control de acceso es bsicamente direccionado en las reglas IP del firewall (introducidas en 14. Reglas IP). De acuerdo a las reglas, el firewall considera un rango de direcciones LAN protegidas como anfitriones confiables, y restringe el trfico que fluye desde el Internet no confiable en direccin al rea confiable, y adems el otro camino cercano. Un error esencial de este control basado en confianza es que, tiende a descuidar el potencial peligro causado por la mascarada. Un atacante inteligente realiza trucos para engaar al firewall pretendiendo la identidad de un anfitrin confiable, lo cual es la llamada tcnica Spoong.
15.1.1
IP Spoong
El spoong IP es uno de los ataques enmascarados ms comunes, en donde el atacante utiliza direcciones IP de confianza del firewall para evitar el filtro de trfico. En el proceso de spoofing, el encabezado de un IP indicador de la direccin de fuente de un paquete entregado puede ser fcilmente modificado a una direccin de anfitrin local, de modo que el firewall confiar en la solicitud proveniente de una fuente confiable. Aunque el paquete no pueda ser respondido por la fuente inicial, hay una posibilidad de congestin de red innecesaria y ataques de negacin de 123
124
Captulo 15. Acceso (Anti-spoong)
Servicios (DoS). Incluso si el firewall est capacitado para detectar los ataques DoS, es difcil localizarlos o detenerlos debido al spoong.
15.1.2
Anti-spoong
Para equipar el firewall con la habilidad Anti-spoong, se necesita un filtro extra contra la verificacin de direccin de fuente. Los firewalls D-Link entregan al administrador de red elecciones a para hacer el filtrado basado en IP por Reglas de Acceso.
Otra caracterstica entregada por los firewalls D-Link, tal como Autentificacin de Usuario y Encriptacin, aseguran que exista una apropiada medida de autentificacin y la comunicacin sea llevada a cabo sobre canales seguros, los cuales pueden adems reducir la amenaza de spoong.(Ver 17 Autentificacin del Usuario, VIII VPN)
15.2
15.2.1
Reglas de Acceso
Funcin
La regla de Acceso es capaz de monitorear el trfico para verificar que los paquetes que llegan a una interfaz del firewall no tienen una direccin de fuente que pueda ser asociada con la red de otra interfaz. En otras palabras, el principio de las reglas puede ser descrito de la siguiente manera:
Cualquier trfico entrante con una direccin de fuente IP perteneciente a un
anfitrin local confiable NO es permitido.

Cualquier trfico saliente con una direccin de fuente IP perteneciente a una
red exterior no confiable NO es permitido. El primero previene que un intruso utilice la direccin de anfitrin local como direccin de fuente, y el segundo previene que cualquier anfitrin local lance el spoofing. El ajuste de regla de Acceso acta como un filtro complementario a la lista de reglas del firewall, y asegura que las direcciones de fuente de paquetes recibidos en una Interfaz especfica estn siempre dentro de la red correcta, procurando que la regla de Acceso sea correctamente configurada. Si la seccin de bsqueda de Acceso no tiene xito, el firewall ejecutar una bsqueda inversa en su tabla routing.
15.2.2
Ajustes
La configuracin de una regla de acceso es similar a las reglas normales, contenedoras de los Campos de Filtro y la Accin a tomar. Si el trfico coincide todos Gua de Usuario de los Firewalls D-Link
15.2. Regla de Acceso
125
Los campos, la regla es desencadenada, y la accin especificada ser llevada a cabo por el firewall.
Campos de Filtro
Interfaz:
La interfaz a la cual llega el paquete.

Red:
El span IP al cual debe pertenecer la direccin del remitente. Accin

Drop:
Descarta los paquetes que coinciden con los campos definidos.

Aceptar:
Acepta los paquetes que coinciden con los campos definidos para una mayor inspeccin en los ajustes de Regla.
Expect:
Si la direccin del remitente del paquete coincide la Red especificada por esta regla, la interfaz receptora es comparada con la interfaz especfica. Si la interfaz coincide, el paquete es aceptado de la misma manera que por la accin de Accept. Si la interfaz no coincide, el paquete es desechado de la misma manera que la accin de Drop. El Registro puede ser habilitado en demanda para estas Acciones. (Refirase a 5 Registro)
126
Captulo 15. Acceso (Anti-spoong)
15.3
Escenario: Ajustando la Regla de Acceso

Ejemplo: Permitiendo el Trfico desde una Red Especfica
Este ejemplo mostrar cmo asegurar que el trfico recibido en la interfaz LAN siempre posea la direccin de fuente correcta, dentro de la red lan-net.
WebUI
1. Crear Regla de Acceso La siguiente regla asegurar que ningn trfico con una direccin de fuente que no est dentro de la red lan-net ser recibida en la interfaz LAN. Rules Access Add Access Rule: Name: LAN Access Action: Expect Interface: LAN Network: lan-net Luego haga click en OK
CAPITULO
16
DMZ & Port Forwarding
16.1
16.1.1
General
Conceptos
DMZ Demilitarized Zone Se mantiene para un rea que no es parte de una red Interna confiable ni es parte directa de Internet pblico. Tpicamente, DMZ es una subred distinta entre el firewall protegido, el LAN privado y la red pblica. Contiene uno o ms computadores que son accesibles al trfico Internet y actan como servidores proxy para servicios pblicos, tal como Web (HTTP), FTP, SMTP(Email), y servidores DNS. En una configuracin DMZ, los computadores (servidores) asentados fuera del LAN Privado, responden a reenvan las solicitudes de servicio. El firewall es configurado para prevenir a los computadores en el DMZ de solicitudes entrantes iniciales, y reenva el trfico desde el Internet a computadores DMZ sin contacto directo con el LAN interno. Obviamente, esta propuesta aade una capa extra de proteccin a la infraestructura IntranetrewallInternet. Los firewalls D-Link ofrecen soporte al planeamiento DMZ y proteccin a travs de la Interfaz de red objetiva y configuracin de Reglas.
127
128
Capitulo16. DMZ & Port Forwarding
Ejemplo: Servidor Web de una corporacin

Se observar un simple ejemplo, mostrando una utilizacin de DMZ con un Firewall D-Link. El servicio disponible pblicamente ms comn que toda corporacin necesita tener es el buscador de Web(HTTP). Sin embargo, es inseguro ubicar un servidor Web dentro de la red interna junto con otros computadores privados, debido a que tal servidor puede fcilmente ser explotado de manera perjudicial por intrusos. Cuando el servidor cae bajo control de manos errneas, otros computadores privados se volvern vulnerables a ataques. Por lo tanto, tal servicio debe ser localizado en un rea de red distinta DMZ.
Figura 16.1: Un Servidor Web en DMZ
En este ejemplo, se observa un firewall D-Link conectando un LAN privado, una subred DMZ, y el Internet, mostrado en la Figura 16.1. El firewall se encarga de: a) Todas las conexiones desde el Internet al DMZ; b) Conexiones necesarias desde el DMZ al LAN privado. El servidor Web es ubicado en el DMZ. Las solicitudes al servicio de buscador Web van a travs del firewall, y son reenviadas al servidor Web. Se pueden definir Reglas que permitan al servidor en el DMZ aceptar slo cierto tipo de Solicitudes de servicio, las solicitudes basadas en HTTP en este caso, para proteger Gua de Usuario de los Firewalls D-Link
16.1. General
129
el servidor. Por ejemplo, suponiendo que nuestro servidor web est corriendo en NT eso podra ser vulnerable a un nmero de ataques de negacin-de-servicio contra servicios tales como RPC, NetBIOS y SMB. Estos servicios no son requeridos para la operacin de HTTP. De modo que se pueden ajustar reglas para bloquear conexiones TCP relevantes para puertos 135, 137, 138, y 139 en ese servidor para reducir la exposicin a ataques de negacin-de-servicio. Resumen: Esta solucin significa que, con un despliegue DMZ, no hay acceso directo desde el Internet a la red interna, y nadie tratando de acceder a recursos en DMZ desde el Internet podr pasar las reglas del firewall. Los ajustes de las reglas del firewall siguen un principio importante de seguridad, esto es, limitar las conexiones a un nmero mnimo necesario para soportar los servicios.
16.1.2
Planificacin DMZ
La utilizacin de DMZ es un trabajo a gran escala, involucrando la segmentacin de la estructura de red y las configuraciones de regla del firewall. Por lo tanto, este requiere un planeamiento cuidadoso para conseguir los propsitos de proteccin y escalabilidad. Se utiliza un pequeo grupo de componentes para ilustrar las diferentes propuestas del planeamiento DMZ:
Un firewall D-Link con 3 interfaces: Int net, DMZ net, y Ext net Un computador privado: Cliente A Un Archivo de Servidor contenedor de los datos de LAN privado Un Servidor de Base de datos conteniendo recursos para servicios pblicos de
web. Un Servidor Web para conexiones pblicas. Propuesta 1 Archivo de Servidor, Servidor de Base de datos, un Cliente A en Int net; Servidor Web en DMZ net. Desventaja: El servidor Web en net DMZ necesita abrir algunos puertos en Int net para acceder al servidor de Base de datos. Si el Servidor Web asume el cargo por intrusin, el Servidor de Base de datos y otros componentes en Int Net pueden exponerse a ataques. Gua de Usuario de los Firewalls D-Link
130
Capitulo16. DMZ & Port Forwarding
Propuesta 2 Mover el Servidor de Base de datos fuera de la red DMZ. Desventaja: Aunque todos los datos pblicos accesibles estn ahora en la red DMZ, la proteccin al Servidor de Base de datos es debilitada. Si un hacker toma control sobre el Servidor Web, l o ella puede ir directo a la Base de datos.
Propuesta 3 Dividir DMZ en diferentes zonas. Solucin: La mejor propuesta para este escenario es dividir la net DMZ en diferentes subredes de acuerdo a diferentes servicios y niveles de seguridad de los componentes. Se coloca el Servidor de Base de datos y el Servidor Web en interfaces separadas del firewall, y se configura las reglas de acceso para cada interfaz. Si el hacker toma el control del Servidor Web, l o ella an tendrn acceso muy limitado al Servidor de Base de datos.
16.1.3
Benecios
Como se ha ilustrado en la seccin previa, el hacer buen uso de una red DMZ entrega varias ventajas tanto en seguridad de red como en perspectivas de administracin:
Repartir servicios no slo por anfitriones, sino que con los limites de red en
Nivel de confianza entre componentes de red. Esta propuesta puede reducir mucho la probabilidad de penetracin en un componente utilizado para interrumpir en los otros.
Dividir DMZ en diferentes zonas ayuda a restringir polticas de seguridad sobre
componentes que tienen diferentes funciones y niveles de seguridad.

La escalabilidad de la arquitectura de red es incrementada ubicando
components en diferentes subredes.
CAPITULO
17
Autentificacin del Usuario
17.1
Vista General de Autentificacin
Antes de que cualquier solicitud de servicio de usuario sea autorizada de acuerdo a las polticas de seguridad del firewall, ste necesita verificar la identidad del usuario, para asegurar que el usuario corresponda es quien dice ser. Autentificacin es el proceso para direccionar tal asunto. Este forma un filtro al frente del control de acceso del firewall, filtro de paquete, y tnel de seguridad. En este captulo, importa la validad del usuario, en trminos de persona; los mismos principios aplicados a los dispositivos en la red adems.
17.1.1
Mtodos de Autentificacin
Generalmente, los procesos de autentificacin provocan que el usuario muestre su credencial con gran cuidado ya que este secreto no debe ser posedo por nadie ms. las soluciones y tecnologas de habilitacin pueden ser categorizadas sobre las bases de: a) Algo que el usuario es El nico atributo del usuario es que son diferentes en cada persona caractersticas fisiolgicas tal como la huella digital, retina, o voz.
b) Algo que el usuario tiene La clave tool que un usuario posee, tal como un Certificado Digital, una tarjeta, o Claves Pblicas & Privadas. 131
132
Captulo 17. Autentificacin del Usuario
c) Algo que el usuario conoce La informacin secreta que slo el usuario involucrado conoce y mantiene, tal como la Contrasea ms comnmente utilizada una Frase secreta Compartida. La dificultad de utilizar mtodo a) es que requiere algunos dispositivos especiales para escanear y leer la caracterstica presentada, lo cual es relativamente caro. Otro riesgo que puede causar que esto falle es que las caractersticas son casi imposible de sustituir; en caso de que el usuario pierda la caracterstica por accidente, nada puede ser utilizado para reemplazarlo. Por lo tanto, los mtodos ms comnmente utilizados para servicios de red son (b) y (c). Hay adems riesgos potenciales utilizando cualquiera de estos dos mtodos, por ejemplo, las claves pueden ser interceptadas, la tarjeta puede ser robada, las personas tienden a utilizar contraseas dbiles que son fciles de adivinar, y pueden ser malos para guardar cualquier secreto, etc. Por lo tanto, estas dos propuestas son a menudo combinadas para tener aadidas unos niveles de seguridad y factores. Por ejemplo una tarjeta es a menudo otorgada a una persona con una contrasea. La autentificacin de Usuario es frecuentemente utilizada en servicios, tales como HTTP, y VPN. Los firewalls D-Link utilizan Nombre de Usuario/Contrasea como el mtodo primario de autentificacin, fortalecido por algoritmos de encriptacin. El concepto bsico de Encriptacin es cubierto por 20.2 Introduccin a Criptografa. Medios ms avanzados de seguridad y autentificacin, tales como el Sistema de Clave PblicaPrivada, Certificado X.509, IPsec& IKE, IKE XAuth, y Lista ID es introducida en: 20.2.2 Autentificacin & Integridad, and 22 Protocolos VPN & Tneles.
17.1.2
Criterio de Contrasea
En el acoplamiento Nombre de Usuario/Contrasea, el nombre de usuario(nombre de cuenta), como un identificador indica de quien se trata, y los servidores de contrasea como un autentificador para probar que esto es verdad. Para penetrar ciertos sistemas y obtener los privilegios de usuario y administrador, la contrasea es a menudo sujeta a ataques. Ataques Hay principalmente tres formas diferentes de atacar una contrasea:
Adivinar:
Intente casos posibles. Las contraseas que son elegidas desde un diccionario, informacin personal del usuario, tal como nombre, nmero telefnico, y fecha de cumpleaos son vulnerables a estos ataques.
Descubrir:
17.1. Vista General de Autentificacin
133
Encontrar las notas que recuerdan la contrasea, o preguntar al usuario directamente. Mucha gente tiende a escribir las contraseas en papeles, y le pueden decir la contrasea a alguien de confianza, lo cual es potencialmente un escape.
Crack:
Bsqueda exhaustiva por algunos crackers de software. Contraseas de corta longitud o menos caracteres aleatorios son fcilmente fracturados. Contramedidas Para prevenir los ataques Guess y Crack, una BUENA contrasea debera ser:
contener ms de 8 caracteres sin repeticin alternar caracteres las cuales no son frases comnmente utilizadas contener caracteres pequeos y capitales contener nmeros y caracteres especiales
Para el mantenimiento de contrasea, algunas pautas estn disponibles como un listado a continuacin: la contrasea no debe ser documentada en ningn lado en papel o en un archivo de computacin.
jams revele su contrasea a nadie las contraseas deben ser regularmente modificadas para contrarrestar
cualquier compromiso no detectado.

elegir las contraseas que pueden ser digitadas rpidamente para prevenir que
alguien cercano observe. Aunque las condiciones anteriores pueden parecer estrictas e inconvenientes, estas tienen la intensin de asegurar tanto los derechos del usuario y propiedades, como el sistema de red protegida. Una nueva seleccin de contrasea adems ayuda en proteger los tneles de Capa 2, los cuales aplican Encriptacin en base a contraseas introducidas por usuario (Ver 22.2 PPTP/L2TP).
17.1.3
Tipos de Usuario
Los firewalls D-Link y proyectos de autentificacin entregan soporte a diversos usuarios. los tipos de usuario pueden ser:
administradores
134
Captulo 17. Autentificacin del Usuario.
usuarios normales accediendo a la red usuarios PPPoE/PPTP/L2TP
utilizando mtodos de autentificacin PPP

usuarios IPsec & IKE
las entidades de autentificacin durante las fases de negociacin IKE (Implementadas por Claves Pre-Compartidas o Certificados. Refirase a 22.1.4 IKE integridad & Autentificacin.)
usuarios IKE XAuth
extensin a la autentificacin IKE, ocurrida entre la fase 1 y fase 2 de negociacin

grupos de usuario
grupo de usuarios que estn sujetos al mismo criterio de regulacin
17.2
Componentes de Autentificacin
Los firewalls D-Link pueden ser utilizados tanto como una base de datos almacenada localmente, o una base de datos en un servidor externo para entregar autentificacin de usuario.
17.2.1
Base de Datos de Usuario Local (UserDB)
La Base de Datos de Usuario Local es un registro construido dentro de los Firewalls D-Link, contenedora de los perfiles de usuarios legales y grupos de usuario. Los nombres de Usuario y contraseas pueden ser configurados dentro de esta base de datos, y los usuarios que poseen los mismos privilegios pueden ser agrupados para facilitar la administracin. Un usuario puede ser almacenado como miembro de ms de un grupo, cualquier modificacin a cada grupo se propagar a cada miembro del grupo. Las contraseas son almacenadas en la configuracin usando criptografa reversible. Esto es con el fin de ser compatible con varios mtodos de autentificacin cuestionamiento-respuesta tales como CHAP, y as sucesivamente. Cuando la base de datos local es habilitada, el firewall consulta sus perfiles de usuario interno para autentificar al usuario antes de aprobar cualquier solicitud de usuario.
17.2.2
Servidor de Autentificacin Externo
En una gran topologa de red, es preferible tener una base de datos central dentro de un servidor dedicado o un cluster de servidores para manejar toda la Gua de Usuario de los Firewalls D-Link
17.2. Componentes de Autentificacin
135
Informacin de autentificacin. Cuando hay ms de un firewall en la red y miles de usuarios aadidos o removidos constantemente, el administrador no tendr que configurar y mantener base de datos separadas de perfiles de usuario autorizados en cada firewall. En lugar de eso, el servidor externo puede validar el nombre de usuario/ Contrasea contra su base de datos central, lo cual es fcilmente administrado. Los Firewalls D-Link soportan el uso de Servidor RADIUS (Remote Authentication Dial-in User Service) para ofrecer el rasgo de autentificacin externa.
RADIUS es actualmente el estndar ms frecuente para autentificacin remota. Como el protocolo define, este utiliza PPP para transferir el mensaje nombre de Usuario/contrasea entre clientes RADIUS y el servidor, y por lo tanto, aplica los mismos planes de autentificacin que PPP, tal como PAP y CHAP. Originalmente desarrollado para acceso remoto dial-up, RADIUS es ahora soportado por VPN, puntos de acceso inalmbrico, y otros tipos de acceso de red. Un cliente RADIUS, ej. firewall D-Link, enva credenciales de usuario e informacin de parmetro de conexin en la forma de mensaje RADIUS a un servidor RADIUS. El servidor RADIUS mantiene todos los perfiles de usuarios y grupo de usuario. Este autentifica y autoriza las solicitudes de clientes RADIUS, y enva de vuelta un mensaje RADIUS de respuesta. Los mensajes de autentificacin RADIUS son enviados como mensajes UDP va puerto 1812. Pueden ser definidos uno o ms servidores externos en el firewall para perfeccionar la disponibilidad del sistema RADIUS. Para entregar seguridad a los mensajes RADIUS, una comn confidencialidad compartida es Configurada tanto en el cliente Radius como en el servidor. La confidencialidad compartida habilita la Encriptacin bsica de la contrasea del usuario cuando es transmitido el mensaje RADIUS desde el cliente RADIUS al servidor, y es comnmente configurado como una sucesin de texto relativamente larga. Este puede contener por sobre 100 caracteres y es sensible a minscula y mayscula.
17.2.3
Agentes de Autentificacin
Pueden ser utilizados cuatro agentes construidos en el firewall para ejecutar la autentificacin nombre de usuario/contrasea. Estas son:
HTTP
Autentificacin va buscador web. Usuarios navegan en el firewall y se registran tanto en forma HTML un dilogo de Autentificacin Requerida 401.
136
HTTPS
Autentificacin va buscador web seguro. Similar al agente HTTP a excepcin de que los Certificados Host & Root son utilizados para establecer conexin SSL con el firewall. (refirase a 22.3 SSL/TLS (HTTPS))
XAUTH
Autentificacin durante negociacin IKE en VPN IPsec (si el tnel IPSec ha sido configurado para requerir autentificacin XAUTH). (refirase a 22.1.4 IKE XAuth)
PPP
Autentificacin cuando los tneles PPTP/L2TP son ajustados (si el tnel PPTP/L2TP ha sido configurado para requerir autentificacin del usuario). (refirase a 9.4.1 PPP, y 22.2 PPTP/ L2TP)
17.2.4
Reglas de Autentificacin
Una regla de autentificacin de usuario especifica:

Desde dnde (ej. interfaz receptora, fuente de red) los usuarios estn habilitados
para autentificar al firewall;

Cul agente ser utilizado por el firewall para provocar a los usuarios a
solicitar autentificacin.
Cul es la localizacin de la base de datos a la que el firewall consulta para
desplegar la autentificacin, tanto en un registro local como desde el servidor externo;

Diferentes restricciones de tiempo de desconexin para desconectar
automticamente a los usuarios autentificados.
Nota
Cuando se utiliza un agente XAUTH, no hay necesidad de especificar la Interfaz receptora, o fuente de red, como esta informacin no est disponible en la fase XAUTH. Por la misma razn, slo una regla de autentificacin de usuario XAUTH puede ser definido. XAUTH es slo utilizado para ajustar tneles VPN IPsec. Gua de Usuario de los Firewalls D-Link
17.3. Proceso de Autentificacin
137
17.3
Proceso de Autentificacin
Un firewall D-Link contina con la autentificacin del usuario de acuerdo a lo siguiente:

Un usuario se conecta al firewall para iniciar la autentificacin. El firewall recibe las solicitudes del usuario desde su interfaz, y registra en la regla de
ajuste IP que este trfico es permitido para alcanzar su agente central de autentificacin.
De acuerdo al agente de autentificacin especificado en la regla de autentificacin,
el firewall impulsa al usuario con la solicitud de autentificacin.

El usuario responde ingresando su informacin de autentificacin
Nombre de usuario/contrasea.
El firewall valida la informacin w.r.t la fuente de autentificacin especificada en la
regla de autentificacin, sern tomadas tanto la base de datos local una base de datos externa en un servidor RADIUS.
Si es encontrada una entrada coincidente en la base de datos, el firewall responde
al usuario con un mensaje de aprobacin, por otro lado de rechazo.

Luego el firewall reenva las futuras solicitudes de servicio del usuario aprobadas
a los destinos deseados, si el servicio es permitido por una regla IP explcitamente, y el usuario es un miembro de el(los) grupo(s) de usuario(s) definidos en la direccin objetiva de esa regla. Las solicitudes de aquellas fallas en los pasos de autentificacin son desechados.
Luego de cierto periodo de tiempo, el usuario autentificado ser automticamente
desconectado de acuerdo a las restricciones de tiempo de conexin definidas en la regla de autentificacin.
17.4
Escenarios: Configuracin de Autentificacin del Usuario
En esta seccin, son cubiertas pauta y ejemplos para autentificacin a travs de agente HTTP/HTTPS. Para ms ejemplos sobre PPP y XAuth, Por favor refirase a 9.4.2, el Cliente de Configuracin PPPoE, y 22, Protocolos VPN & y Tneles, respectivamente.
138
Ejemplo: Configurando la base de datos de usuario local

En el ejemplo de direccin objetiva de autentificacin en 8.1 Libro de Direccin,un grupo de usuario users es utilizado para habilitar la autentificacin de usuario en lannet. Este ejemplo muestra cmo configurar un grupo de usuario en la base de datos construda en el firewall. WebUI :
1. User Authentication Local User Databases Add LocalUserDatabase: General Ingrese un nombre para el nuevo archivo de grupo de usuario lannet: Name: lannet auth users Comments: folder for lannet authentication user group users 2. lannet auth users Add User: General Username: Ingrese el nombre de cuenta de usuario aqu, e.j. user1. Password: Ingrese la contrasea del usuario. Conrm Password: Repita la contrasea encima para evitar cualquier equivocacin de tipeo. Groups: Un usuario puede ser especificado en ms de un grupo. Ingrese los nombres de grupo separados por coma, ej. users para este ejemplo. Luego haga click en OK. 3. Repita el paso 2 para aadir todos los usuarios lannet teniendo la membresa del grupo users en el archivo de usuario lannet auth.
Nota
Hay dos grupos predeterminados de usuario, el grupo administrador y el grupo auditor. Los usuarios que son miembros del grupo administrador son permitidos para cambiar la configuracin del firewall, mientras los usuarios que pertenecen al grupo auditores estn slo autorizados para ver la configuracin del firewall. Presione los botones bajo el recuadro de editar de los Grupos para garantizar la membresa de estos grupos a un usuario.
17.4. Escenarios: Configuracin de Autentificacin del Usuario
139
Ejemplo: Configurando un servidor RADIUS

Un servidor de autentificacin de usuario externo puede ser configurado siguiendo los pasos a continuacin: WebUI :
User Authentication External User Databases Add External User Database: General Name: Ingrese un nombre para el servidor aqu. Type: El nico tipo soportado es comnmente Radius. IP Address: Ingrese la direccin IP del servidor, o ingrese el nombre simblico si la direccin del servidor ha sido previamente definida en el Libro de Direcciones. Port: 1812 (el servicio RADIUS utiliza puerto registrado UDP 1812 por defecto.) Retry Timeout: 2 (El firewall re-enviar solicitudes de autentificacin al servidor si no hay respuesta luego del tiempo de descanso, ej. cada 2 segundos. El firewall lo reintentar tres veces como mximo.) Shared Secret: Ingrese una serie de textos para la Encriptacin bsica de los mensajes RADIUS. Conrm Secret: Redigite la secuencia para confirmar lo tipeado anteriormente. Y luego haga click en OK
Ejemplo: Habilitando autentificacin HTTP va base de datos de usuario

local. Para habilitar la autentificacin de usuario va pgina Web, primero, necesitamos aadir una regla Allow en las reglas IP del firewall para dejar que el firewall acepte el buscador de Web del usuario a su agente HTTP(TCP puerto 80): segundo, se especifica una regla de autentificacin del usuario para decirle al firewall cmo ejecutar la autentificacin, tal como cul base de datos elegir para la bsqueda de perfil del usuario, y adems las restricciones de tiempo de espera; Tercero, otra regla IP para tratar las solicitudes de servicio de usuarios autentificados debe ser aadida bajo la regla Allow de este primer paso. Como es explicado en 14 Reglas IP, todos lo otros trficos que no son explcitamente permitidos por la regla IP, por ejemplo, el trfico no autentificado proveniente desde la interfaz donde la autentificacin es
140
definida, ser desechada por el firewall. Las configuraciones siguientes mostrarn cmo habilitar la autentificacin de usuario HTTP para el grupo de usuario users en lannet. Slo los usuarios que pertenecen al grupo users pueden tener el servicio de buscador Web luego de la autentificacin, como es definido en la regla IP. Se asume que lannet, users, lan ip, archivo de base de datos local lannet auth users, y una direccin objetiva de autentificacin lannet users es especificada (Refirase a 8.1 Ejemplo: Habilitando Autentificacin de Usuario para una IP Objetiva). WebUI :
1. Rules IP Rules Add IP rule: General Name: http2fw Action: Allow Service: HTTP (Ver 8.2.1 Ejemplo: Especificando un servicio TCP HTTP) Filtro de Direccin Elija lo siguiente desde las listas desplegables: Source Destination Interface: lan core Network: lannet lan ip Comentarios: Permitir las conexiones HTTP al agente de autentificacin del firewall. Haga click en OK.
141
2. User Authentication User Authentication Rules Add User Authentication Rule General Name: HTTPLogin Agent: HTTP Authentication Source: Local Interface: lan Originator IP: lannet Comments: autentificacin HTTP para lannet va base de datos de usuario local.
Authentication Options
General Local User DB: lannet auth users

HTTP(s) Agent Options
General Login Type: HTMLForm. Haga click en OK. 3. Rules IP Rules Add IP rule: General Name: Allow http auth Action: NAT Service: HTTP Filtro de Direccin Source Destination Interface: lan any Network: lannet users all-nets (Note que la fuente de red es aqu una direccin objetiva contenedora de informacin de autentificacin de usuario.) Comments: Permitir users autentificados desde lannet al buscador Web en Internet. Haga click en OK.
142
Nota
1. La autentificacin HTTP colisionar con el servicio de administracin remota WebUI el cual tambin utiliza puerto 80 TCP. Para evitar esto, por favor modifique el puerto WebUI en Ajustes Avanzados para la Administracin Remota antes de proceder con la configuracin de autentificacin, por ejemplo, utilizando puerto 81 en su lugar. 2. En las Opciones de Agente HTTP, hay dos tipos de registro disponibles, HTMLForm y BasicAuth. El problema con BasicAUTH es que los buscadores Web cache el nombre de usuario y contrasea ingresados en el dilogo de Autentificacin Requerida - 401. Esto normalmente no es un problema si el buscador se encuentra cerrado, como es luego limpiado el cache; pero para sistemas con el buscador incrustado en el sistema operativo, el cache es difcil de limpiar. Por lo tanto, se recomienda HTMLForm. Un Realm String puede ser definido para ser mostrado en el dilogo de Autentificacin Requerida 401 para opcin BasicAUTH. 3. El tiempo de inactividad puede ser ajustado en User Authentication User Authentication Rules Restrictions. Las opciones son Idle Timeout and Session Timeout.
Idle Timeout: Si un usuario ha sido exitosamente autentificado, y no se ha
visto trfico desde su direccin IP por este nmero de segundos, el/ella ser automticamente desconectado. El valor es por defecto 1800.
Session Timeout: Si un usuario ha sido autentificado exitosamente,
el/ella sern automticamente desconectados luego de esta cantidad de segundos, a pesar de si el firewall ha visto actividad del usuario o no.
Utilice Tiempos de inactividad recibidos desde el recuadro de verificacin del
servidor de autentificacin: Algunos servidores RADIUS pueden ser configurados para retornar los valores de idle-timeout y session. Si este recuadro de verificacin es seleccionado, el firewall tratar de usar estos tiempos de inactividad, antes de los valores de Tiempo de inactividad especificados anteriormente. Si no se ha recibido tiempos de inactividad desde el servidor de autenticacin, sern utilizados los valores de inactividad especificados anteriormente. 4. Otras restricciones de configuracin son los Registros Mltiples de Nombre de Usuario. Son disponibles tres opciones como se explico anteriormente: Gua de Usuario de los Firewalls D-Link
143
Permitir registros mltiples por nombre de usuario Si es seleccionado sto,
el firewall permitir usuarios desde diferentes direcciones de fuente IP, pero con el mismo nombre de usuario, para ser registrados simultneamente.
Permitir un registro por nombre de usuario, rechaza el resto Si esto es
seleccionado, el firewall slo permitir un nombre de usuario simultneo para ser registrado. Esto es, si un usuario desde otra direccin IP trata de autentificar con el mismo nombre de usuario que el de un usuario ya autentificado, el firewall desechar este registro.
Permitir un registro por nombre de usuario Si este es seleccionado, el firewall
slo permitir un nombre de usuario simultneo ser registrado. Si un usuario desde otra direccin IP trata de autentificar con el mismo nombre de usuario que un usuario ya autentificado, el firewall verificar si el usuario autentificado ha sido ocupada por un perodo de tiempo. Si es as, el antiguo ser removido, y este nuevo usuario ser registrado. Sino, la nueva solicitud de registro sera rechazada. El periodo de tiempo para esta opcin puede ser definido en el recuadro de editar.
Parte VII
Inspeccin de Contenido
En adicin a la inspeccin de paquetes en la capa de red (OSI capa 3), los firewalls D-Link son capaces de examinar el contenido de cada paquete para entregar una proteccin ms poderosa y flexible en capas superiores. Los Tpicos de esta parte incluyen:

Application Layer Gateway (ALG) Intrusion Detection System (IDS)
CAPITULO
18
Application Layer Gateway (ALG)
18.1
Vista General
Para complementar las limitaciones de filtrado de paquete, el cual slo inspecciona en los paquetes headers, tales como IP, TCP, UDP, y ICMP headers, los firewalls D-Link incrustan una Application Layer Gateway (ALG) para soportar protocolos de alto nivel que tienen informacin de direccin dentro de la carga explosiva. El ALG acta como el representante del usuario para obtener las aplicaciones Internet ms comnmente utilizadas fuera de la red protegida, ej. acceso Web, transferencia de archivo, y multimedia. Tales agentes conscientes de aplicacin entregan una mayor seguridad que los firewalls que slo filtran paquetes, ya que son capaces de inspeccionar todo el trfico para que los protocolos especficos de servicio entreguen proteccin en el nivel superior de la pila TCP/IP. En este captulo, se describen las siguientes aplicaciones estndar soportadas por ALG D-Link.
FTP HTTP
H.323
147
148
Capitulo 18. Application Layer Gateway (ALG)
18.2
FTP
El File Transfer Protocol (FTP) es un protocolo basado en TCP/IP para el intercambio de archivos entre cliente y servidor. El cliente inicia la conexin al conectarse al servidor FTP. Normalmente el cliente necesita autentificarse a s mismo entregando un registro y contrasea predefinidos. Luego de ganar acceso, el servidor proveer al cliente con un listado de archivo/directorio desde el cual puede descargar/cargar archivos (dependiendo de los derechos de acceso). El FTP ALG es utilizado para administrar conexiones FTP a travs del firewall.
18.2.1
Conexiones FTP
FTP utiliza dos canales de comunicacin, uno para comandos de control y uno para que los archivos actuales sean transferidos. Cuando una sesin FTP es abierta, el cliente FTP establece una conexin TCP (el canal de control) al puerto 21( por defecto) en el servidor FTP. Lo que sucede luego de este punto depende del modo en que es utilizado el FTP. Modos Existen dos modos, activo y pasivo, describiendo el rol del servidor con respecto a los canales de datos abiertos En el modo activo, el cliente FTP enva un comando al servidor FTP indicando a qu direccin IP y puerto el servidor debe conectarse. El servidor FTP establece el canal de datos de vuelta al cliente FTP utilizando la informacin de direccin recibida.
En el modo pasivo, el canal de datos es abierto por el cliente FTP del servidor FTP, tal como el canal comando. Este es el modo recomendado por defecto para Clientes FTP, de acuerdo a el rewall-friendly FTP RFC. Asuntos de Seguridad Ambos modos de operacin FTP presentan problemas para firewalls. Considere un escenario donde un cliente FTP en la red interna se conecta a travs del firewall a un Servidor FTP en el Internet. La regla IP en el firewall es entonces configurada para permitir trfico de red desde el cliente FTP al puerto 21 en el servidor FTP.
18.2. FTP
149
Cuando el modo activo es utilizado, el firewall no es consciente de que el servidor FTP establecer una nueva conexin de vuelta al cliente FTP. Por lo tanto, la conexin para el canal de datos ser desechada por el firewall. Como el nmero de puerto utilizado para el canal de datos es dinmico, el nico camino para resolver esto es permitir el trfico desde todos los puertos en el servidor FTP a todos los puertos en el Cliente FTP. Obviamente, esta no es una buena decisin. Cuando el modo pasivo es utilizado, el firewall no necesita permitir desde el servidor FTP. Por otro lado, el firewall an no conoce qu puerto tratar de utilizar el cliente FTP para el canal de datos. Esto significa que el firewall deber permitir el trfico desde Todos los puertos en el cliente FTP a todos los puertos en el servidor FTP. Aunque esto no es tan inseguro como en el caso de modo activo, an presenta una potencial amenaza de seguridad. Adems, no todos los clientes FTP son capaces de utilizar el modo pasivo.
Solucin El ALG FTP soluciona este problema reuniendo completamente la corriente TCP del canal de comando y examinando sus contenidos. De este modo, el firewall conoce qu puerto se abre para el canal de datos. Adems, el ALG FTP tambin entrega funcionalidad para filtrar ciertos comandos de control y entrega una proteccin bsica a invasin buffer. La caracterstica ms importante del ALG FTP es la capacidad nica de ejecutar una conversin en el camino entre el modo activo y pasivo. La conversin puede ser descrita como:
El cliente FTP puede ser configurado para utilizar el modo pasivo, el cual es el modo
recomendado para los clientes.

El servidor FTP puede ser configurado para utilizar el modo activo, el cual es el
modo ms seguro para los servidores.

Cuando es establecida una sesin FTP, el firewall automtica y transparentemente
recibir el canal pasivo de datos desde el cliente FTP y el canal activo de datos desde el servidor, y los atar juntos. Esta implementacin resulta en que tanto, el cliente FTP y el servidor FTP trabajan en su modo ms seguro. Naturalmente, la conversin tambin trabaja el otro camino, este es, con el cliente FTP utilizando modo activo y el servidor FTP utilizando modo pasivo. Gua de Usuario del Firewall D-Link
150
Captulo 18. Application Layer Gateway (ALG)
18.2.2
Escenarios: Configuracin ALG FTP
Ejemplo: Protegiendo un Servidor FTP
Figura 18.1: ALG FTP Escenario 1
En este ejemplo, un Servidor FTP es conectado al firewall D-Link en un DMZ con direcciones IP privadas, mostrado en Figura 18.1. Para hacer posible el conectarse a este servidor desde el Internet utilizando el ALG FTP, el ALG FTP y las reglas del firewall deben ser configuradas como lo siguiente: WebUI :
1. ALG Objects Application Layer Gateways Add FTP ALG: General: Name: ftp-inbound Marque cliente Allow para utilizar el modo activo (inseguro para cliente). Desmarque Allow servidor para utilizar el modo pasivo (inseguro para el servidor) Luego haga click en OK. Gua de Usuario de los Firewalls D-Link
18.2. FTP
151
2. Services Objects Services Add TCP/UDP Service: General: Ingrese lo siguiente: Name: ftp-inbound Type: seleccione TCP desde la lista desplegable. Destination: 21 (el puerto donde reside el servidor FTP). Application Layer Gateway: ALG: seleccione ftp-inbound que debe ser creado. Luego haga click en OK. 3. Rules Permita conexiones al IP pblico en el puerto 21 y reenvelo al servidor FTP interno. Rules IP Rules Add IP Rule: General: Name: SAT-ftp-inbound Action: SAT Service: ftp-inbound Address Filter: Source Destination Interface: any core Network: all-nets ip-ext (se asume que la interfaz externa ha sido definida como ip-ext) SAT: Marque Translate the Destination IP Address A: New IP Address: ftp-internal. (Se asume que esta direccin IP interna del servidor FTP ha sido definida en el Libro de Direccion objetiva.) New Port: 21. Luego haga click en OK.
152
El trfico desde la interfaz interna necesita ser NATed: Rules IP Rules Add IP Rule: General: Name: NAT-ftp Action: NAT Service: ftp-inbound Address Filter: Source Destination Interface: dmz core Network: dmz-net ip-ext NAT: Marque Use Interface Address Luego haga click en OK. Permitir las conexiones entrantes (SAT necesita una segunda regla Allow): Rules IP Rules Add IP Rule: General: Name: Allow-ftp Action: Allow Service: ftp-inbound Address Filter: Source Destination Interface: any core Network: all-nets ip-ext Luego haga click en OK.
18.2. FTP
153
Ejemplo: Protegiendo Clientes FTP
Figura 18.2: FTP ALG Escenario 2
En este escenario, mostrado en la Figura 18.2, un firewall D-Link est protegiendo una estacin de trabajo que conectar servidores FTP en el Internet. Para hacer posible la conexin a estos servidores desde la red interna utilizando el ALG FTP, ste y las reglas de firewall debern ser configuradas como sigue:
WebUI
1. ALG Objects Application Layer Gateways Add FTP ALG: General: Ingrese un nombre descriptivo para el ALG. Name: ftp-outbound Desmarque Allow client para utilizar el modo activo (inseguro para el cliente). Marque Allow server para utilizar el modo pasivo (inseguro para el servidor) Luego haga click en OK. Gua de Usuario de los Firewalls D-Link
154
2. Services Objects Services Add TCP/UDP Service: General: Ingrese lo siguiente: Name: ftp-outbound Type: seleccione TCP desde la lista desplegable. Destination: 21 (el puerto donde reside el servidor FTP). Application Layer Gateway ALG: select ftp-outbound that has been created. Luego haga click en OK. 3. Rules (Using Public IPs) La siguiente regla necesita ser aadida a las reglas IP en el firewall si ste est utilizando IP pblico; asegrese de que no hay reglas rechazando o permitiendo el mismo tipo de puertos/trficos antes de estas reglas. El servicio en uso es el ftp-outbound, el cual debe estar utilizando la definicin ALG ftp-outbound como se describe previamente. Permita las conexiones a servidores-FTP en el exterior: Rules IP Rules Add IP Rule: General: Name: Allow-ftp-outbound Action: Allow Service: ftp-outbound Address Filter: Source Destination Interface: lan wan Network: lannet all-nets Luego haga click en OK.
18.3. HTTP
155
4. Rules (Using Private IPs) Si el firewall est utilizando un IP privado, debe ser en cambio aadida la siguiente regla NAT. Rules IP Rules Add IP Rule: General: Name: NAT-ftp-outbound Action: NAT Service: ftp-outbound Address Filter: Source Interface: lan Network: lannet
Destination wan all-nets
NAT: Check Use Interface Address Luego haga click en OK.
18.3
HTTP
Hyper Text Transfer Protocol (HTTP), es el protocolo primario utilizado para acceder al World Wide Web (WWW). Es un protocolo de capa de aplicacin dinmica (OSI layer 7), orientado a conexin, el cual est basado en la arquitectura de solicitud/respuesta. El cliente, tal como un buscador Web, tpicamente enva una solicitud estableciendo una conexin TCP/IP a un puerto particular (usualmente puerto 80) en un servidor remoto. El servidor contesta con una sucesin de respuesta, seguido por un mensaje de su propiedad, por ejemplo, un archivo HTML para ser mostrado en el buscador Web, un componente activo-x para ser ejecutado en el cliente, o un mensaje de error.
18.3.1
Componentes & Asuntos de Seguridad
Para habilitar funciones ms avanzadas y extensiones a los servicios HTTP, algunos componentes aadidos, conocidos como active contents, son usualmente acompaados con la respuesta HTTP al computador del cliente. Gua de Usuario del Firewall D-Link
156
Complementos ActiveX Un complemento ActiveX es un componente HTTP, el cual es ejecutado en el computador del cliente. Debido a que es ejecutado en el cliente, existen ciertas tareas de seguridad, lo cual puede causar dao al sistema del computador local.
JavaScript/VBScript Con el fin de visualizar pginas HTML ms avanzadas y dinmicas, los scripts pueden ser utilizados. Un script es ejecutado por el buscador web, y puede ser utilizado para controlar la funcionalidad del buscador, validar la entrada del usuario, un nmero de otras caractersticas. Puede ser potencialmente utilizado por un agresor en un intento de causar un dao al sistema computacional, o causar varias molestias, tales como pop-up windows.
Java Applets Un java applet es escrito en lenguaje de programacin JAVA, y un buscador java-habilitado puede descargar y ejecutar este cdigo en el computador del cliente. Un applet puede contener cdigos maliciosos, los cuales conducen a problemas de seguridad.
Cookies Un cookie es un archive de texto pequeo, almacenado localmente en el computador del cliente. Su objetivo es hacer que un servidor web recuerde cierta informacin sobre un usuario, el cual ha sido ingresado previamente. Esto puede adems contener informacin confidencial.
18.3.2
Solucion
El firewall D-Link direcciona las ultimas areas de seguridad mostradas en la seccin previa por Stripping Contents and URL Filtering.
Stripping Contents En la configuracin D-Link HTTP ALG, algunos o todos los contenidos activos Mencionados previamente pueden ser apartados desde el trfico HTTP sobre Solicitudes del administrador. Gua de Usuario de los Firewalls D-Link
18.3. HTTP
157
Filtro URL Un Uniform Resource Locator (URL) es una direccin a un recurso en el WWW. Este puede por ejemplo ser una pgina HTML, un recurso de archivo. Como una parte de una poltica de seguridad, puede ser til restringir el acceso a ciertos sitios, o incluso bloquear que ciertos tipos de archives sean descargados. El requisito opuesto puede adems ser verdad puede ser favorable permitir el acceso completo (ej. No remover los objetos anteriormente mencionados) a ciertas Fuentes confiables. Un URL puede quedar en lista negra (blacklist) con el fin de prevenir el acceso a ste, mientras un URL, whitelisted permite acceso complete a la fuente especfica.
Ejemplo: Configurando HTTP ALG

En este ejemplo, un HTTP ALG en un firewall D-Link es creado. Este es configurado para deshacer complementos ActiveX, lo cual bloquear visualizaciones tales como Macromedia ash y shockwave. Una direccin no deseada es aadida a la blacklist. Las restricciones a otros contenidos actives, whitelists por direcciones confiables pueden ser configuradas en un modo similar. Se asume que el servicio objetivo HTTP y una regla IP que permitan el trfico HTTP hayan sido definidas en el firewall.
WebUI 1. ALG
Objects Application Layer Gateways Add HTTP ALG: General: Ingrese un nombre descriptive para el ALG. Name: http-activex Active Content Handling Marque Strip ActiveX objects (incluyendo Flash) Luego haga click en OK.
158
Luego de hacer click en ok, la pgina de configuracin va hacia URL Filtering list. Add HTTP URL: General Action: seleccione Blacklist desde la lista desplegable. URL: Ingrese una direccin no deseada en el recuadro de edit. Luego haga click en OK. 2. Service Adding the HTTP ALG into the corresponding service object. Objects Services HTTP: Application Layer Gateway ALG: seleccione http-activex que ha sido creado. Luego haga click en OK.
18.4
18.4.1
H.323
Vista General Estndar H.323
H.323 es un estndar que es utilizado para audio a tiempo-real, video y comunicacin de datos sobre redes basadas en paquetes (ej. IP). ste especifica los componentes, protocolos y procedimientos entregando comunicacin multimedia.
H.323 es un estndar aprobado por la Unin Internacional de Telecomunicacin para promover compatibilidad en las transmisiones de video conferencia sobre redes IP. H.323 es considerado para ser el estndar de interoperabilidad en audio, video y transmisiones de datos as como un telfono Internet y voice-over-IP (VoIP).
18.4.2
Componentes H.323
El H.323 estndar consiste en estos cuatro componentes principales:

Terminals Gateways Gatekeepers
18.4. H.323
159
MCUs (Multipoint Control Units)
Terminals Una terminal H.323 es un dispositivo que es utilizado para audio y video como opcin comunicacin de datos. Por ejemplo telfonos, unidades de conferencia, telfonos software (por ejemploe: NetMeeting) corriendo en PCs estndar. Gateways Un gateway conecta dos redes similares y traduce el trfico entre ellos. Un H.323 gateway entrega conectividad entre redes H.323 y redes no-H.323 tales como public switched telephone networks (PSTN). El gateway se preocupa de traducir protocolos y convertir media entre redes diferentes. Un Gateway no es requerido para la comunicacin entre dos terminales H.323.
Gatekeepers El Gatekeeper es un componente en el sistema H.323 el cual es utilizado para direccionar, autorizar y autentificar de terminales y gateways. Este puede adems preocuparse de tales cosas como administracin de amplitud de banda pago de cuenta y cargos. El gatekeeper puede permitir llamadas directamente entre puntos de trmino, puede dirigir la seal de llamado a travs de s mismo para ejecutar funciones tales como sigame-encuentreme, direccionar si esta ocupado, etc. Un gatekeeper es necesitado cuando hay ms de una terminal H.323 detrs de un firewall NAT con slo una IP pblica. MCUs (Multipoint Control Units) MCUs entrega soporte para conferencias de tres ms terminals H.323. Todas las terminales H.323 participantes en la llamada de conferencia deben establecer una conexin con el MCU. El MCU luego administra los llamados, recursos, codecs de video y audio utilizados en la llamada.
18.4.3
Protocolos H.323
Los diferentes protocolos utilizados en H.323 son descritos en resumen a continuacin: H.225 RAS Signaling and Call Control (Setup) Signaling El protocolo H.225 es utilizado para la seal de llamado, esto significa que es utilizado Para establecer una conexin entre dos puntos de trmino(terminales) H.323. Este Gua de Usuario de los Firewalls D-Link
160
canal de seal de llamada es abierto entre dos puntos de trmino H.323 entre un punto de trmino H.323 y gatekeeper. Para la comunicacin entre dos puntos de trmino H.323, es utilizado TCP 1720. Cuando se conecta al gatekeeper, es utilizado el puerto UDP 1719 (H.225 RAS mensajes). H.245 Media Control and Transport El protocolo H.245 entrega control a sesiones multimedia establecidas entre dos puntos de trmino H.323. La tarea ms importante para este protocolo es negociar la apertura y cierre de canales lgicos. Un canal lgico es, por ejemplo, un canal de audio utilizado para comunicacin de voz. Los canales de video y T.120 son adems llamados canales lgicos durante la negociacin. T.120 El T.120 estndar es construido de un juego de comunicacin y protocolos de aplicacin. Dependiendo del tipo de producto H.323, el protocolo T.120 puede ser utilizado para el intercambio de aplicacin, transferencia de archivo y caractersticas de conferencia tales como whiteboards.
18.4.4
Vista General H.323 ALG
El H.323 ALG es una application layer gateway flexible que permite dispositivos H.323 tales como telfonos H.323 y aplicaciones para realizar y recibir llamadas entre ellos mismos mientras estn conectados a redes privadas aseguradas por los Firewalls D-Link. La especificacin H.323 no fue designada para manejar NAT, cuando direcciones IP y puertos son enviados en el servidor de mensajes H.323. El H.323 ALG modifica y traduce mensaje H.323 para asegurar de que el mensaje H.323 ser dirigido al destino correcto y permitido a travs del firewall. El H.323 ALG tiene las siguientes caractersticas:
H.323 version 5 (H.225.0 v5, H.245 v10) Application sharing (T.120) Gatekeeper support NAT, SAT
18.4. H.323
161
El H.323 ALG soporta versin 5 de la especificacin H.323. Esta especificacin es construda sobre H.225.0 v5 y H.245 v10. En adicin a soportar llamadas de voz y video, el H.323 ALG soporta el intercambio de aplicacin sobre el protocolo T.120. T.120 utiliza TCP para transportar datos mientras la voz y video es transportado sobre UDP. Para soportar gatekeepers, el ALG se asegura de monitorear trfico RAS entre puntos de trmino H.323 y el gatekeeper, con el fin de configurar al firewall para dejar llamadas pasar. Son soportadas reglas NAT y SAT, permitiendo a los clientes y gatekeepers utilizar direcciones IP privadas en una red detrs del firewall.
18.4.5
Escenario: Configuracin H.323 ALG
El H.323 ALG puede ser configurado para seguir diferentes escenarios de uso. Es posible configurar si los canales de datos TCP deben ser permitidos para atravesar el firewall o no. Los canales de datos TCP son utilizados por el protocolo T.120 (ver 18.4.3), por ejemplo. Adems, el nmero mximo de canales de datos TCP pueden ser limitados a un valor fijo. El registro de tiempo de vida del gatekeeper puede ser controlado por el firewall con el fin de forzar el re-registro de clientes dentro de un marco de tiempo especificado por el administrador. Presentados aqu hay algunos escenarios de red, visualizados en diagramas de red. Los escenarios son ejemplos de ajustes de red en donde el H.323 ALG es apropiado para utilizar. Para cada escenario es presentada un ejemplo de configuracin de tanto el ALG como de las reglas. Las tres definiciones de servicio utilizadas en estos escenarios son:
Gatekeeper (UDP ALL 1719) H323 (H.323 ALG, TCP ALL 1720) H323-Gatekeeper (H.323 ALG, UDP 1719)
162
Ejemplo: Protegiendo un Telfono detrs de un Firewall D-Link
Figura 18.3: H.323 Escenario 1.
Utilizando Direcciones IP pblicas En el primer escenario un telfono H.323 es conectado a un Firewall D-Link en una red (lan-net) con direcciones IP pblicas. Para hacer posible ubicar una llamada desde este telfono a otro telfono H.323 en el Internet, y para permitir telfonos H.323 en el internet para llamar a este telfono, se necesita configurar las reglas del firewall.
Las siguientes reglas necesitan ser aadidas al listado de regla en el firewall, asegrese de que no hay reglas rechazando permitiendo el mismo tipo de puertos/trfico ante estas reglas.
18.4. H.323
163
WebUI
1. Outgoing Rule Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323AllowOut Action: Allow Service: H323 Source Interface: LAN Destination Interface: any Source Network: lan-net Destination Network: 0.0.0.0/0 (all-nets) Comment: Allow outgoing calls. Luego haga click en OK 2. Incoming Rule Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323AllowIn Action: Allow Service: H323 Source Interface: any Destination Interface: LAN Source Network: 0.0.0.0/0 (all-nets) Destination Network: lan-net Comment: Allow incoming calls. Luego haga click en OK
Utilizando direcciones Privadas IP En este telfono un telfono H.323 es conectado a un Firewall D-Link en una red con direcciones IP privadas. Para hacer posible ubicar una llamada desde este telfono a otro telfono H.323 en el internet, y permitir telfonos H.323 en el Internet para llamar a este telfono, se necesita configurar reglas firewall.
164
Captulo18. Application Layer Gateway (ALG)
Las siguientes reglas necesitan ser aadidas al listado de reglas en el firewall, asegrese de que no hay reglas rechazando permitiendo el mismo tipo de puertos/trfico ante estas reglas. Cuando se utiliza IPs privadas en el telfono, el trfico entrante necesita ser SATed como en el ejemplo a continuacin. El ip-phone objetivo a continuacin debe ser el IP interno del telfono H.323. WebUI :
1. Outgoing Rule Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323Out Action: NAT Service: H323 Source Interface: LAN Destination Interface: any Source Network: lan-net Destination Network: 0.0.0.0/0 (all-nets) Comment: Permitir llamadas salientes. Luego haga click en OK
18.4. H.323
165
2. Incoming Rules Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323In Action: SAT Service: H323 Source Interface: any Destination Interface: core Source Network: 0.0.0.0/0 (all-nets) Destination Network: ip-wan (IP externo del firewall) Comment:Permitir llamadas entrantes al telfono H.323 en ip-phone. SAT Translate Destination IP Address: To New IP Address: ip-phone (direccin IP del telfono) Luego haga click en OK Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323In Action: Allow Service: H323 Source Interface: any Destination Interface: core Source Network: 0.0.0.0/0 (all-nets) Destination Network: ip-wan (external IP of the rewall) Comment: Permitir llamadas entrantes a telfono H.323 en ip-phone. Luego haga click en OK
Para ubicar una llamada al telfono detrs del Firewall D-Link, haga una llamada a la direccin IP externa en el firewall. Si telfonos H.323 mltiples son ubicados detrs del firewall, una regla SAT debe ser configurada para cada telfono. Esto significa que direcciones externas mltiples deben ser utilizadas. Sin embargo, es preferible utilizar un gatekeeper H.323 gatekeeper como en el escenario H.323 con Gatekeeper (ver 18.4.5), como esto slo requiere una direccin externa.
166
Ejemplo: Dos Telfonos Detrs de Diferentes Firewalls D-Link
Utilizando Direcciones IP Pblicas Este escenario consiste en dos telfonos H.323, cada uno conectado detrs de un Firewall D-Link en una red con direcciones IP pblicas. Con el fin de hacer llamadas en estos telfonos sobre el Internet, las siguientes reglas necesitan ser aadidas al listado de regla en ambos firewalls. Asegrese de que no hay reglas rechazando permitiendo el mismo tipo de puertos/trfico ante estas reglas.
18.4. H.323
167
WebUI
1. Outgoing Rule Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323AllowOut Action: Allow Service: H323 Source Interface: LAN Destination Interface: any Source Network: lan-net Destination Network: 0.0.0.0/0 (all-nets) Comment: Permitir llamadas salientes. Luego haga click en OK 2. Incoming Rule Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323AllowIn Action: Allow Service: H323 Source Interface: any Destination Interface: LAN Source Network: 0.0.0.0/0 (all-nets) Destination Network: lan-net Comment: Permitir llamadas entrantes. Luego haga click en OK
Utilizar Direcciones IP Privadas Este escenario consiste en dos telfonos H.323, cada uno conectado detrs de un Firewall D-Link en una red con direcciones IP privadas. Con el fin de hacer llamadas en estos telfonos sobre el Internet, las siguientes reglas necesitan ser aadidas al listado de reglas en el firewall, asegrese de que no hay reglas rechazando o permitiendo el mismo tipo de puertos/trfico ante estas reglas. Como se est D-Link Firewalls Users Guide
168
Capitulo18. Application Layer Gateway (ALG)
Utilizando IPs privado en los telfonos, el trfico entrante necesita ser SATed como en el ejemplo a continuacin. El ip-phone objetivo a continuacin debe ser el IP interno del telfono H.323 detrs de cada firewall. WebUI :
1. Outgoing Rule Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323Out Action: NAT Service: H323 Source Interface: LAN Destination Interface: any Source Network: lan-net Destination Network: 0.0.0.0/0 (all-nets) Comment: Permitir llamadas salientes. Luego haga click en OK 2. Incoming Rules Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323In Action: SAT Service: H323 Source Interface: any Destination Interface: core Source Network: 0.0.0.0/0 (all-nets) Destination Network: ip-wan (IP externo del firewall) Comment: Permitir llamadas entrantes a telfonos H.323 en ip-phone. SAT Translate Destination IP Address: To New IP Address: ip-phone (direccin IP del telfono) Luego haga click en OK
18.4. H.323
169
Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323In Action: Allow Service: H323 Source Interface: any Destination Interface: core Source Network: 0.0.0.0/0 (all-nets) Destination Network: ip-wan (external IP of the rewall) Comment: Permitir llamadas entrantes al telfono H.323 en ip-phone. Then click OK
Para hacer llamadas al telfono detrs del Firewall D-Link, haga una llamada a la direccin IP externa en el firewall. Si mltiples telfonos H.323 son ubicados detrs del firewall, una regla SAT debe ser configurada para cada telfono. Esto significa que direcciones mltiples externas deben ser utilizadas. Sin embargo, es preferible utilizar un gatekeeper H.323 como en el escenario H.323 con Gatekeeper (ver 18.4.5), cuando esto slo requiere una direccin externa.
Ejemplo: H.323 con Gatekeeper
En este escenario, un gatekeeper H.323 es ubicado en el DMZ del Firewall D-Link. Una regla es configurada en el firewall para permitir el trfico entre la red privada Gua de Usuario de los Firewalls D-Link
170
Donde estn conectados los telfonos H.323 en la red interna y al Gatekeeper en el DMZ. El Gatekeeper en el DMZ es configurado con una direccin privada.
Se necesitan aadir las siguientes reglas al listado de reglas en ambos firewalls, asegrese de que no hay reglas rechazando o permitiendo el mismo tipo de puertos/trfico ante estas reglas.
WebUI
1. Incoming Gatekeeper Rules Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323In Action: SAT Service: H323-Gatekeeper Source Interface: any Destination Interface: core Source Network: 0.0.0.0/0 (all-nets) Destination Network: ip-wan (IP externo del firewall) Comment: una regla SAT para comunicacin entrante con el Gatekeeper localizado en ip-gatekeeper. SAT Translate Destination IP Address: To New IP Address: ip-gatekeeper (direccin IP del gatekeeper) Luego haga click en OK
18.4. H.323
171
Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323In Action: Allow Service: H323-Gatekeeper Source Interface: any Destination Interface: core Source Network: 0.0.0.0/0 (all-nets) Destination Network: ip-wan (IP externa del Firewall) Comment: Permitir comunicacin con el Gatekeeper. Luego haga click en OK
Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323In Action: Allow Service: Gatekeeper Source Interface: LAN Destination Interface: DMZ Source Network: lan-net Destination Network: ip-gatekeeper (IP address of gatekeeper) Comment: Permitir comunicacin entrante con el Gatekeeper. Luego haga click en OK
Nota
No hay necesidad de especificar una regla especfica para llamadas salientes. El Firewall D-Link monitorea la comunicacin entre telfonos external y el Gatekeeper para asegurar que es posible para los telfonos internos llamar a los telfonos externos que son registrados con el gatekeeper.
172
Ejemplo: H.323 con Gatekeeper y dos Firewalls D-Link
Este escenario es muy similar al escenario 3, con la diferencia de un Firewall D-Link protegiendo los telfonos external. El Firewall D-Link con el Gatekeeper conectado al DMZ debe ser configurado exactamente como en el escenario 3 (ver 18.4.5). El otro Firewall D-Link debe ser configurado como a continuacin.
Las siguientes reglas necesitan ser aadidas al listado de reglas en el firewall, asegrese de que no hay reglas rechazando permitiendo el mismo tipo de puertos/trfico ante estas reglas.
18.4. H.323
173
WebUI
1. Outgoing Gatekeeper Rule Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: H323Out Action: NAT Service: H323-Gatekeeper Source Interface: LAN Destination Interface: any Source Network: lan-net Destination Network: 0.0.0.0/0 (all-nets) Comment: Permitir comunicacin saliente con un gatekeeper. Luego haga click en OK
Nota
No hay necesidad de especificar una regla especfica para llamadas salientes. El Firewall D-Link monitorea la comunicacin entre telfonos external y el Gatekeeper para asegurar que es posible para telfonos internos llamar a los telfonos externos que son registrados con el gatekeeper.
Ejemplo: Utilizando el H.323 ALG en un Ambiente Corporativo
Este escenario es un ejemplo de una red ms compleja que muestra cmo el H.323 ALG puede ser desplegado en un ambiente corporativo. En la oficina central DMZ un H.323 Gatekeeper es ubicado de modo que pueda manejar todos los clientes H.323 en la central-, sucursal- y oficinas remotas. Esto puede permitir a la corporacin completa utilizar la red para ambas comunicaciones de voz e intercambio de aplicacin. Es asumido que los tneles VPN son correctamente configurados y que todas las oficinas utilizan rangos IP privados en sus redes locales. Todas las llamadas salientes son realizadas Gua de Usuario de los Firewalls D-Link
174
Sobre la red telefnica existente utilizando el gateway (ip-gateway) conectado a la red telefnica ordinaria. Configuracin del Firewall de la Oficina Central La oficina central ha ubicado el Gatekeeper H.323 en el DMZ del Firewall D-Link corporativo. Este Firewall D-Link debe ser configurado como a continuacin.
18.4. H.323
175
WebUI
1. Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: LanToGK Action: Allow Service: Gatekeeper Source Interface: LAN Destination Interface: DMZ Source Network: lan-net Destination Network: ip-gatekeeper Comment: Permitir entidades H.323 en lan-net conectarse al Gatekeeper. Luego haga click en OK
2. Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: LanToGK Action: Allow Service: H323 Source Interface: LAN Destination Interface: DMZ Source Network: lan-net Destination Network: ip-gateway Comment: Permitir entidades H.323 en lan-net llamar a los telfonos conectados al Gateway H.323 en el DMZ. Recuerde utilizar el servicio correcto. Luego haga click en OK
176
3. Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: GWToLan Action: Allow Service: H323 Source Interface: DMZ Destination Interface: LAN Source Network: ip-gateway Destination Network: lan-net Comment: Permitir comunicacin desde la Gateway a telfonos H.323 en int-net. Recuerde utilizar el servicio correcto. Luego haga click en OK
4. Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: BranchToGW Action: Allow Service: H323-Gatekeeper Source Interface: vpn-branch Destination Interface: DMZ Source Network: branch-net Destination Network: ip-gatekeeper, ip-gateway Comment: Permitir comunicacin con el Gatekeeper en DMZ desde la red Sucursal Luego haga click en OK
18.4. H.323
177
5. Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: BranchToGW Action: Allow Service: H323-Gatekeeper Source Interface: vpn-remote Destination Interface: DMZ Source Network: remote-net Destination Network: ip-gatekeeper Comment: Permitir comunicacin con el Gatekeeper en DMZ desde la red Remota Luego haga click en OK
Firewall de Sucursal y Oficina Remota Los telfonos de sucursal y oficina remota H.323 y aplicaciones sern configuradas para utilizar el Gatekeeper H.323 en la oficina central. Los Firewalls D-Link en las oficinas remotas y sucursales deben ser configuradas como a continuacin. La siguiente regla debe estar en ambos Firewalls, el de la Oficina Central y la Remota.
178
WebUI
1. Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: ToGK Action: Allow Service: H323-Gatekeeper Source Interface: LAN Destination Interface: vpn-hq Source Network: lan-net Destination Network: hq-net Comment: Permitir comunicacin con el Gatekeeper conectado al DMZ de la Oficina Central. Luego haga click en OK
La sucursal del Firewall D-Link tiene un Gateway H.323 conectado a su DMZ. Con el fin de permitir al Gateway registrarse dentro del H.323 Gatekeeper en la Oficina Central, la siguiente regla debe ser configurada.
18.4. H.323
179
WebUI
1. Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: GWToGK Action: Allow Service: H323-Gatekeeper Source Interface: DMZ Destination Interface: vpn-hq Source Network: ip-branchgw Destination Network: hq-net Comment: Permitir al Gateway comunicarse con el Gatekeeper conectado a la Oficina Central. Luego haga click en OK
Nota
No hay necesidad de especificar una regla especfica para llamadas salientes. El Firewall D-Link monitorea la comunicacin entre telfonos external y el Gatekeeper para asegurarse de que es posible para los telfonos internos llamar a los telfonos externos que estn registrados con el gatekeeper.
CAPITULO
19
Sistema de Deteccin de Intrusos (IDS)
19.1
Vista General
La Deteccin de Intrusos es una tecnologa que monitorea el trfico de red, buscando indicios de violaciones de seguridad, o intrusiones. Una Intrusin puede ser definida como un intento de comprometer ciertas partes de un sistema computacional, evitar sus mecanismos de seguridad. Como estas formas de ataques son un acontecimiento comn en el Internet, y pueden a menudo ser fcilmente automatizados por un agresor, la Deteccin de Intrusos es una tecnologa importante para identificar y prevenir estas amenazas. Con el fin de hacer un IDS efectivo y confiable, el IDS D-Link va a travs de tres niveles de procesamiento y dirige las siguientes preguntas:
Qu trfico analizar Qu buscar (ej. qu es un ataque) Qu accin llevar a cabo
Como un ejemplo, imagine un sistema que est monitoreando FTP. Podra slo preocuparse del trfico relacionado a FTP, mientras que el trfico relacionado con, por ejemplo POP3, no tendra inters en cualquiera. Adems, slo los ataques que aluden al protocolo FTP seran de inters.
181
182
Captulo 19. Sistema de Deteccin de Intrusos (IDS)
El IDS D-Link utiliza una combinacin de Reglas de Deteccin de Intrusos, Patrn de Coincidencias, y Acciones, con el fin de responder las tres interrogantes mencionadas con anterioridad.
19.1.1
Reglas de Deteccin de Intrusos
Una Regla de Deteccin de Intrusos define el tipo de trfico-servicio que debe ser analizado. Adems es definido aqu el filtro de campos con respecto a fuente y destino, interfaces, redes, puertos y protocolos. Slo el trfico coincidente con esta regla es pasado al siguiente nivel de procesamiento de IDS, donde el anlisis actual toma lugar.
19.1.2
Patrn de Coincidencia
Con el fin de que el IDS identifique correctamente un ataque, este debe saber qu es un Ataque. Para conseguir esto, patrones pre-definidos, denominados signatures, son creados para describir ciertos ataques. El trfico de red es luego analizado por el IDS, buscando por estas coincidencias. Esto es conocido adems como misuse detection o signature detection. Considere el siguiente ejemplo. Un usuario intenta recuperar el archive de contrasea passwd desde un sistema, utilizando FTP: RETR passwd Una signature buscando por el texto ASCII RETR y passwd puede causar una coincidencia en este caso, sealando que se ha encontrado un ataque. Con el fin de hacer este ejemplo fcil de seguir, se utilizarn patrones contenedores de Texto ASCII. Esto no es necesario; los patrones pueden de todas formas contener datos binarios. Si es encontrado un ataque, se llevar a cabo el siguiente nivel de procesamiento del IDS- causa de accin.
19.1.3
Accin
Luego de que ha sido detectada una intromisin, una accin respuesta debe ser tomada. Dependiendo de la gravedad del ataque, el trfico puede tanto ser desechado, Registrado, ambos, o simplemente ignorado. Gua de Usuario de los Firewalls D-Link
19.2. Cadena de Eventos
183
19.2
Cadena de Eventos
Lo siguiente es una imagen simplificada de la cadena de eventos cuando un paquete llega al firewall, con enfoque en el IDS (note que no es considerado otro Sub-sistema) son posibles dos escenarios, uno donde la regla de ajuste del firewall debe aceptar el paquete antes de pasarlo en el IDS, y otro donde el IDS puede procesar el trfico incluso si la regla de ajuste decide que el paquete debe serdesechada.
19.2.1
Escenario 1
El trfico es solamente pasado en el IDS si la regla de ajuste IP del firewall decide que es vlido, mostrado en la Figura 19.1.
Figura 19.1: Cadena de Eventos IDS Escenario 1
184
1. Un paquete llega al firewall y son ejecutadas verificaciones iniciales con respecto a las direcciones IP de fuente/destino y puertos de fuente/destino. Si este paquete es aceptado por las reglas de ajuste del firewall IP, ser establecida una conexin entre la fuente y el destino, antes de pasar el paquete al sub-sistema IDS. Si el paquete es parte de una conexin ya existente, es adems pasado en el sub-sistema IDS. Si el paquete es denegado por la regla de ajuste IP, este sera desechada 2. La informacin de fuente y destino del paquete es comparada con la Regla de Deteccin de Intrusos. Si es encontrada una coincidencia, esta es pasada al siguiente nivel de procesamiento IDS- patrn de coincidencia. Si no, ser aceptado, con acciones futuras posibles, como es definido por la regla de ajuste (por ejemplo traduccin de direccin, registro, etc). 3. La ingeniera de patrn de coincidencia registra el payload del paquete por signatures pre-definidas. Si es encontrada alguna coincidencia el nivel final de procesamiento IDS es llevado a cabo la accin. Si no, el paquete es aceptado, con posibles acciones futuras, como lo define la regla de ajuste (por ejemplo traduccin de direccin, registro, etc). 4. Dependiendo de las acciones definidas en la Regla de Deteccin de Intrusos, el paquete puede ser desechado, registrado, ambos, o ignorado.
19.2.2
Escenario 2
ste es similar al primer escenario, pero con una gran diferencia. El trfico sera siempre pasado en el IDS a pesar de la accin elegida por la regla de ajuste del firewall IP. Esto significa que el trfico que el firewall deseche ser tambin analizado. La Figura 19.2 muestra la secuencia de eventos cuando la regla de ajuste IP del firewall decide que el trfico no es vlido y deber ser desechado y el trfico es pasado al IDS para futuros anlisis. 1. Un paquete llega al firewall y son desplegadas verificaciones concernientes a la fuente/destino de direcciones IP y puertos de fuente/destino. La regla de ajuste del firewall IP decide que este paquete deber ser desechado, pero antes de eso, el trfico es pasado por el sub-sistema IDS para futuros anlisis. 2. La informacin de fuente y destino del nuevo paquete es comparado con la Regla de Deteccin de Intrusos. Si es encontrada una coincidencia, esta ser pasada al siguiente nivel del procesamiento IDS patrn de coincidencia. Si no, el paquete es desechado. Gua de Usuario de los Firewalls D-Link
19.2. Cadena de Eventos
185
Figura 19.2: Cadena de Eventos IDS Escenario 2
186
3. La ingeniera de patrn de coincidencia registra el payload de el paquete por firmas pre-definidas. Si es encontrada alguna coincidencia, se lleva a cabo el nivel final de procesamiento IDS la accin. Si no, el paquete es desechado 4. Como este paquete no ser aceptado por el firewall, la nica accin de inters es registrar el intento de intrusin.
19.3
Grupos de Firmas
Usualmente, existen varios ataques para un protocolo especfico, y puede ser ms favorable buscar por todos ellos al mismo tiempo cuando se analiza el trfico de red. Para realizar esto, las firmas que refieren al mismo protocolo son agrupadas juntas. Por ejemplo, todas las firmas que refieren al protocolo FTP son localizadas en un Grupo, mientras que las firmas que refieren al POP3 son localizadas en otro grupo. En adicin a esto, las firmas que se originan desde la misma fuente son tambin agrupadas juntas. Esto significa que las firmas que son slo vlidas cuando se originan desde la red externa son agrupadas juntas, mientras que las firmas que son vlidas cuando se originan desde la red interna son localizadas en otro grupo. Esto es realizado con el fin de permitir un procesamiento ms efectivo para el IDS.
19.4
Actualizacin Automtica de Base de Datos de Firmas
El descubrimiento de nuevos ataques es un proceso en curso. Los nuevos ataques son algunas veces descubiertos diariamente, de modo que es importante tener una base de datos de firma actualizada con el fin de proteger la red desde la ltima amenaza. La base de datos de la firma contiene todas las firmas y grupos de firmas comnmente reconocido por el IDS. Una nueva, base de datos de firma actualizada puede ser descargada automticamente por el firewall, a un intervalo configurable. Esto es realizado a travs de una conexin HTTP a un servidor D-Link, albergando el ultimo archivo de base de datos de firma. Si este archivo de base de datos de firma tiene una versin ms nueva que la actual la nueva base de datos de firma ser descargada, de este modo reemplazando la antigua version. Esto asegurar que la base de datos de la firma estar siempre actualizada. Figura 19.3 es una imagen simplificada que describe el flujo de comunicacin cuando un nuevo archivo de base de datos de firma es descargado:
19.5. Receptor de Registro para Eventos IDS
187
Figura 19.3: Actualizacin de Base de datos de signature
19.5
Recepcin de Registro SMTP para Eventos IDS
Con el fin de recibir notificaciones va e-mail de eventos IDS, un receptor de registro SMTP puede ser configurado. Este e-mail contiene una suma de eventos IDS que han ocurrido en un periodo de tiempo usuario-configurable. Cuando se ha producido un evento IDS, el firewall D-Link esperar por segundos de Tiempo en espera antes de enviar el e-mail de notificacin. Sin embargo, el e-mail slo ser enviado si el nmero de eventos ocurridos en este perodo de tiempo es igual a, o mayor, que el Log Threshold . Cuando este e-mail ha sido enviado, el firewall esperar por un Tiempo Mnimo de Repeticin antes de enviar un nuevo e-mail.
Ejemplo: Configurando un Receptor de Registro SMTP

En este ejemplo, una Regla de Deteccin de Intrusos es configurada con un Receptor de Registro SMTP y los siguientes valores: Minimum Repeat Time: 600 seconds Hold Time: 120 seconds Log Threshold: 2 events
188
Una vez que un evento IDS ocurre, la Regla de Deteccin de Intrusos es gatillada. Al menos un nuevo evento ha ocurrido dentro del Hold Time, 120 segundos, de este modo alcanzando el nivel de log threshold (al menos 2 eventos han ocurrido). Esto resulta en un e-mail a ser enviado, conteniendo una suma de eventos IDS. Varios eventos IDS pueden ocurrir despus de esto, pero para prevenir un exceso de servidores mail, el firewall esperar por 600 segundos (10 minutos) antes de enviar un nuevo e-mail, conteniendo informacin sobre los nuevos eventos. Un servidor SMTP es asumido para ser configurado en el libro de direccin, con un nombre de direccin IP objetiva smtp-server. WebUI :
1. SMTP log receiver: adding a SMTP log receiver System Log and Event Receivers Add SMTP Event Receiver: General Ingrese lo siguiente: Name: smtp4IDS SMTP Server: smtp-server Server Port: 25 (estndar para Internet) Llene en las direcciones e-mail alternativas en los recuadros de editar ( se pueden configurar por sobre 3 direcciones). Sender: hostmaster Subject: Log event from D-Link Firewall Minimum Repeat Delay: 600 Hold Time: 120 Log Threshold: 2 Luego haga click en OK. 2. Reglas IDS. Habilitar el registro en la pgina de configuracin Log Settings para una regla especfica IDS y utilizando Todos los receptores receptor especfico smtp4IDS configurado antes como receptor de registro.
19.6. Escenario: Ajustando IDS
189
19.6
Escenario: Configurando IDS
El siguiente ejemplo ilustra los pasos necesarios para ajustar IDS para un simple escenario donde un servidor mail es expuesto al Internet en la red DMZ, con una direccin IP pblica, y debe ser protegida por el IDS, como se muestra en la Figura 19.4. El Internet puede ser alcanzado a travs del firewall en la interfaz WAN.
Figura 19.4: Un Escenario IDS
WebUI
1. Congurando Objetos y Servicios: Se asume que un objeto definiendo el servidor mail ha sido creado y que la interfaz y red objetiva existen para la red interna y externa. En caso de que el servicio para SMTP no exista realmente, este debe ser creado, lo Cual es realizado en Objects Services. El tipo es TCP, y puerto de destino es 25. 2. Crear Regla IDS: Esta regla IDS ser llamada IDSMailSrvRule, y el servicio a utilizar es el previamente creado servicio SMTP. La interfaz de Fuente y Red de Fuente define desde donde proviene el trfico, en este ejemplo la red externa. La Interfaz de Destino y Red de Destino definen dnde es direccionado el trfico, en este caso el servidor mail. La Red de Destino debe por lo tanto ser ajustada al Objeto definiendo el servidor mail.
190
IDS/IDP IDS Rules Add IDS/IDP Rule: Name: IDSMailSrvRule Service: smtp Also inspect dropped packets: En caso de que todo el trfico coincide esta regla debe ser escaneado (esto tambin significa que el trfico que la regla-ajuste principal podra desechar),el Also inspect dropped packets recuadro de verificacin debe ser marcado lo cual es el caso en este ejemplo. Source Interface: WAN Source Network: wan-net Destination Interface: DMZ Destination Network: ip mailserver Luego haga click en OK Si es deseado un registro de intentos de intrusin, esto puede ser configurado en la etiqueta de Registro, donde un receptor de registro puede ser elegido. 3. Crear Accin IDS Cuando esta Regla IDS ha sido creada, una accin debe ser creada adems, especificando qu firma debe utilizar el IDS cuando datos escaneados coinciden la Regla IDS, y qu debe hacer el firewall en caso de que una intrusin sea descubierta. Los intentos de intromisin deben causar que la conexin sea desechada, de modo que Action es ajustado para Proteger. La intensidad es ajustada a All, con el fin de hacer coincidir todas las firmas posibles. Signatures es ajustado a FROM EXT MAIL SMTP con el fin de utilizar las firmas que describen ataques desde la red externa tratando con el protocolo SMTP. IDS/IDP IDS Rules IDSMailSrvRule Add IDS Rule Action: Action: Protect Severity: All Signatures: FROM EXT MAIL SMTP Luego haga click en OK Para resumir, debe ocurrir lo siguiente: Si es descubierto el trfico desde la red externa, al servidor mail, el IDS ser activado. En caso de que el trfico coincida con cualquiera de las firmas en el FROM EXT MAIL SMTP grupo de firma, la conexin ser desechada, de este modo se protege el servidor mail. Si un receptor de registro ha sido configurado, el intento de intrusin ser adems registrado.
Parte
VIII
(VPN)
Red Privada Virtual
VPNs, Redes Virtuales Privadas, entregan medios para establecer Links seguros a grupos. Es extendido sobre redes pblicas va la Aplicacin de Encriptacin y Autentificacin, ofreciendo buena flexibilidad, proteccin efectiva, y eficiencia de costo en las conexiones sobre el Internet. Tpicos en esta parte incluyen:

Introduccin a VPN Introduccin a Criptografa VPN en Firewalls Protocolos & Tneles VPN Planeamiento VPN
CAPITULO
20
VPN Bsico
20.1
Introduccin a VPN
Hace un tiempo las redes corporativas eran islas separadas de conectividad local. Hoy en da la mayora de las redes son conectadas entre s por el Internet. Temas de proteccin de redes locales desde crimen basado en Internet e intrusin son resueltos por firewalls, sistemas de deteccin de intrusos, software anti-virus y otras inversiones de seguridad. Sin embargo, los negocios estn incrementando a menudo su utilizacin de Internet como un medio de comunicacin eficiente y econmica. Como se ha aprendido de una manera difcil, no todas las partes del Internet pueden ser confiadas en nuestro tiempo. Intereses privados as como requisitos de comunicacin corporativa necesita un medio para que los datos sean capaces de viajar a travs de Internet a su receptor previsto sin permitir que nadie ms lo lea o altere. Esto es tan importante como que el receptor pueda verificar que nadie est falsificando Informacin, ej. pretendiendo ser alguien ms. VPNs, Virtual Private Networks, entregan un significado apropiado de costo-eficiencia para el establecimiento de links seguros a grupos que desean intercambiar informacin en un medio digno de confianza.
20.1.1
VPNs vs Conexiones Fijas
El utilizar lneas arrendadas u otros canales no pblicos para intercambiar datos entre organizaciones no es un nuevo concepto. Se ha realizado desde que los 193
194
Captulo 20. VPN Bsico
primeros computadores comenzaron a comunicarse entre s. En un comienzo, la comunicacin estaba limitada a enlaces de comunicacin de rea local, pero con el tiempo, las personas encontraron razones para tener que intercambiar informacin con sus computadores a travs de grandes distancias. Las conexiones fijas son usualmente muy confiables en la medida que el tiempo de funcionamiento y amplitud de banda disponible sea afectado. Estos son bastante seguros, mientras que nadie ataque la infraestructura telefnica o arranque sus fibras pticas del suelo y adhiera su propio equipo en stas. Conexiones fijas de larga distancia, que entregan las apropiadas medidas de seguridad que sern tomadas, pueden considerarse Private Networks. Sin embargo, los canales fijos de comunicacin son slo eso: fijos. Si usted contrata una conexin fija entre compaa A y B, usted slo permitir la comunicacin entre esas compaas. Si varias organizaciones desearan comunicarse entre ellas en todas direcciones, se necesitaran conexiones fijas por separado entre todas las organizaciones. Tales situaciones rpidamente escalan ms all de todo manejo y costo-eficiencia: - Dos organizaciones requieren slo 1 conexin. - Tres organizaciones requieren 3 conexiones. - Cinco organizaciones requieren 10 conexiones. - Siete organizaciones requieren 21 conexiones. - Diez organizaciones requieren 45 conexiones. - 100 organizaciones requieren 4950 conexiones.
Se puede argumentar que tal vez alguna comunicacin se puede realizar por medio de intermediarios. Si se desea hablar con la compaa B, Se pueden enviar mis datos tal vez a la compaa C que tiene un enlace con la compaa B? De esta manera No se tendra un vnculo a la compaa B de mi propiedad ? En algunos casos, en pequea escala, esto puede resultar. Por otro lado, esto no puede resultar en todos incluso si est en una escala manejable. Considere una compaa que vende un producto a diez clientes que compiten entre ellos. - Podra alguno de ellos aceptar que sus confirmaciones de pedidos y entregas viajen a travs de las manos de uno de sus competidores? - Difcilmente. Gua de Usuario de los Firewalls D-Link
20.2. Introduccin a la Criptografa
195
Se requiere de otra solucin. Desde la perspectiva de conectividad y seguridad, Virtual Private Networks pueden an ser vistas como xed connections ya que estas entregan conectividad entre dos o ms organizaciones. Este es un hecho que no cambia aunque la Criptografa es desplegada para implementar el lado Virtual de la Private Network.
20.2
Introduccin a la Criptografa
Criptografa entrega un medio para crear Virtual Private Networks a travs de internet con una inversin no adicional en cables, lneas arrendadas, u otra conectividad. Es una expresin umbrella cubriendo tres tcnicas bsicas y beneficios:
Condenciabilidad Nadie salvo los receptores previstos son capaces de interceptar y comprender la comunicacin. La Confidenciabilidad es lograda por encriptacin. Autentificacin & Integridad Una prueba para el receptor de que la comunicacin fue en realidad enviada por el remitente esperado, y que los datos no han sido modificados en el trnsito. Esto es logrado por la autentificacin, a menudo por el uso de Claves Criptograficas(cryptographic keyed hashes) No-rechazo Una prueba de que el remitente en realidad ha enviado los datos; el remitente no puede negarlo despus de haberlo enviado. No-rechazo es usualmente un efecto secundario benigno de autentificacin.
20.2.1
Encriptacin
Encriptacin es un proceso de codificacin de informacin sensible desde un texto sin formato de texto cifrado ilegible a travs de algn algoritmo matemtico. La operacin de los algoritmos es variada y usualmente parametrizada por un gran nmero aleatorio, conocido como clave. El texto cifrado es encriptado por la clave y necesita la misma clave o una clave relacionada para ejecutar el procedimiento contrario decriptacin, para volver a el texto sin formato original. Los algoritmos de Encriptacin pueden ser clasificados en tres tipos simtrico, asimtrico, Encriptacin hbrida. Gua de Usuario de los Firewalls D-Link
196
Encriptacin Simtrica En la Encriptacin Simtrica, la misma clave es utilizada para tanto la encriptacin como la decriptacin. Por lo tanto la clave es compartida por el remitente y los recipientes, y debe ser mantenida en secreto. El utilizar la misma clave secreta es un mtodo rpido y de simple clculo, pero la clave de distribucin entre usuarios en primer lugar es un problema mayor, el cual debe ser llevado a cabo muy cuidadosamente para prevenir que la clave pase a manos errneas. Para asegurar el compartir la clave secreta, claves de sesin o claves pblicas son a menudo involucrados en la operacin actual. Una clave de sesin, como su nombre describe, es slo vlido para una sesin. Incluso si la clave es comprometida en una sesin, esta no puede ser utilizada para una decriptacin futura. Otra solucin es el uso de clave pblica manejada por la Encriptacin Asimtrica presentada a continuacin. Actualmente, el algoritmo de Encriptacin Asimtrica ms comnmente usado incluye: DES y Triple DES DES utiliza una clave de 56-bit y es considerada igual en resistencia a la mayora de los otros algoritmos que utilizan claves de 40-bit keys. Esta es relativamente una clave de corta longitud por estndar moderno implicando que es actualmente considerado vulnerable a ataques de fuerza bruta. Triple-pass DES utiliza tres claves diferentes en tres pasos DES, formando una clave terica de longitud de 168 bits.
Blowsh
Una cifra bloqueada de 64-bit con longitud de clave variable entre 32 y 448 bits.
Twosh
Una cifra bloqueada de 128-bit con longitud de clave de 128, 192, o 256 bits. CAST-128 Una cifra bloqueada de 64-bit con una clave de 128-bit, menos frecuentemente empleado que Blowsh.
AES
Una medida bloqueada de 128-bit con longitudes de clave de 128-256 bits, una sonido alternativo al perodo DES. La implementacin del VPN de firewall D-Link soporta todos los algoritmos anteriores. Gua de Usuario de los Firewalls D-Link
197
Encriptacin Asimtrica Un par de claves es utilizada en la Encriptacin asimtrica, uno denominado clave pblica, la cual puede estar disponible para cualquiera que desee utilizar encriptacin, y la otra, denominada clave privada, que debe permanecer confidencialmente y es conocida slo por el dueo. Las dos claves son nmeros primarios muy largos y matemticamente relacionados, pero una no podra ser utilizada para resolver la otra. Nadie puede enviar una informacin privada a un receptor, supongamos A, encriptando la informacin utilizando la clave pblica A s . Pero no slo A estar capacitado para recobrar la informacin por la decriptacin del texto cifrado utilizando la clave privada relacionada. Adems, si alguna informacin conocida puede ser recuperada correctamente decriptando con la clave pblica de A, sta debe haber sido encriptada por la clave privada de A, y por lo tanto por A. Esto significa que el algoritmo asimtrico entrega pruebas de origen. RSA y DSA son los algoritmos asimtricos mejor conocidos y ms comnmente utilizados. Comparado con la Encriptacin simtrica, las claves ms largas causan una baja velocidad y recurso de intensidad que el utilizado por encriptacin asimtrica, y por lo tanto es inconveniente para la Encriptacin de grandes cantidades de datos. Esto es generalmente utilizado para asesorar la distribucin de clave simtrica y tareas de Autentificacin. La combinacin de algoritmos simtricos y asimtricos es denominada Hybrid Encryption. Hybrid Encryption La Encriptacin Hbrida combina lo mejor de los dos mundos: algoritmos simtricos y asimtricos. La clave Simtrica entrega una Encriptacin y Decriptacin ms rpida, y los proyectos asimtricos entregan un camino conveniente para compartir la clave secreta. Protocolo de intercambio de clave Diffe-Hellman: El protocolo Diffe-Hellman permite a los usuarios intercambiar una clave secreta sobre un medio inseguro sin secretos previos, lo cual es uno de los mtodos de intercambio de clave ms generalmente utilizados soportando varios protocolos seguros de Internet ej. SSL, SSH, e IPsec. En el protocolo, cada lado de la conexin genera un par de claves privada-pblica relacionadas, y publica la parte pblica. Luego del intercambio de clave pblica, se es capaz de calcular una nueva clave secreta utilizando la clave privada de uno y la clave pblica de otro. La clave resultante es comn para ambos lados, y puede ser utilizada como una clave secreta compartida para la encriptacin simtrica. De tal modo, Gua de Usuario de los Firewalls D-Link
198
la informacin de clave crtica no es transmitida a travs de una conexin insegura.
20.2.2
Autentificacin e Integridad
En adicin a la Encriptacin, los mtodos de Autentificacin son necesarios para asegurar la integridad y autenticidad de datos encriptados. Se puede pensar fcilmente que la Encriptacin entrega una proteccin suficientemente buena; sta despus de todo asegura que la informacin sea transferida en un texto cifrado ilegible. No obstante, la Encriptacin no entrega ningn tipo de proteccin contra la alteracin de datos encriptados y nada acerca de identidad del usuario.
Si alguien puede interceptar el flujo de datos encriptados y modificarlos, el resultado en el receptor final, luego de la decriptacin, podra ser alterado. El resultado final de las modificaciones podra seguramente ser impredecible para la persona que intercepta el flujo de datos, pero si su meta es daar de manera sutil, una modificacin en los datos encriptados podra ser suficiente. Qu sucede si, por ejemplo, un documento es enviado a imprimir en cientos de miles de copias, y el texto es distorsionado en cada diez pginas? Otro caso no deseado es el denominado ataque man-in-the-middle, en donde un tercer personaje intercepta la clave pblica desde el intercambio entre dos lados y responde con claves falsas. De este modo, el hombre en el medio establece 2 conexiones seguras a ambos lados, y puede decriptar sus conversaciones libremente. Estos casos son donde el mecanismo de autentificacin entra en juego. La autentificacin sirve para probar al receptor que los datos son realmente enviados por la persona que reclama haberlo hecho. Y ms importante, esta prueba que los datos no han sido alterados luego de dejar al remitente. El mecanismo es logrado por la utilizacin de Firma Digital y Certificado Firma Digital Una firma digital es un sello utilizado para probar la identidad de una persona, y asegurar la integridad del mensaje original. La firma es creada utilizando el plan de Encriptacin Asimtrica; esta no puede ser imitada por nadie ms, y el remitente no puede rechazar fcilmente el mensaje que ha sido firmado.
El procedimiento de producir una firma digital trabaja como a continuacin: Gua de Usuario de los Firewalls D-Link
199
Por el lado del remitente: - El remitente prepara un par de claves pblica-privada, y publica la pblica.
- Un tipo de funcin, conocido como funcin hash, es operado en un mensaje, y se obtiene un mensaje resumen de longitud fija. (La funcin matemtica es solo en un sentido; el mensaje original no puede ser recalculado desde el resumen y cualquier cambio al mensaje original har al resumen totalmente diferente.) - El remitente encripta el mensaje de resumen utilizando la clave privada. - El mensaje resumen encriptado se vuelve la firma digital del remitente del mensaje, y es nico para ese mensaje. - La firma digital es enviada al receptor junto con el mensaje de texto sin formato original. Por el otro lado: - El receptor utiliza la funcin hash para hacer un mensaje resumen del mensaje sin formato recibido. - Utilizando la clave pblica del remitente, el receptor decripta la firma digital para obtener el mensaje resumen calculado por el remitente. - Los dos resmenes son comparados. - Si los dos resmenes son idnticos, el mensaje recibido es vlido. Certicado Como es introducido en 8.4 X.509 Certicados, el firewall D-Link soporta adems el certificado digital para ser utilizado para ms adelante autentificar que la clave pblica realmente pertenezca a la presunta persona. Un certificado es emitido por una autoridad de certificacin (CA) contenedora de una copia de la clave pblica del poseedor del certificado e informacin correspondiente, un nmero de serie, tiempo de expiracin, y la firma digital del CA, para que un receptor pueda verificar que el certificado es real. El certificado digital es soportado por los Firewalls D-Link conforme al X.509 estndar.
200
El CA crea el certificado firmando la clave pblica de autentificacin y la informacin de identidad del poseedor de la clave con su propia clave privada. El receptor tiene copias de la clave pblica del CA para ser capaces de validar la firma certificada y confiar en el CA y la clave pblica firmada. El CA es adems responsable de manejar el CRL para reportar el certificado que ya no es vlido debido a, por ejemplo, que la clave privada correspondiente est comprometida o que la informacin de identidad ha cambiado.
20.3
Por qu VPN en Firewalls
Virtual Private Network (VPN) puede ser implementada de muchas maneras distintas. Las grandes diferencias estn en si utilizar o no las puertas de enlace de seguridad: Dispositivos de red cuyo propsito es ejecutar el trabajo de encriptacin y autentificacin. Hay tanto beneficios como inconvenientes en cada despliegue diferente de puerta de enlace de seguridad. La puerta de enlace de seguridad, puede ser ubicada en varias localidades diferentes con relacin a su router y su firewall:
Fuera del firewall, en lnea Fuera del firewall, en la red externa Entre el firewall y la red interna En la red interna En un DMZ separado Incorporado en el firewall mismo
Cada escenario anterior tiene sus distintos beneficios e inconvenientes. Los asuntos que necesitan ser consideradas incluyen:
Puede el firewall proteger la puerta de enlace de seguridad e intentos de
registro de los ataques en ellos?

Soporta la configuracin a clientes roaming? Puede el firewall inspeccionar y registrar el trfico que pasa dentro y fuera del VPN? Puede la configuracin aadir puntos de fallo a la conexin Internet?
20.3. Por qu VPN en Firewalls
201
En casos donde la puerta de enlace VPN es localizada fuera del firewall, puede
el firewall reconocer el trfico VPN protegido desde el trfico Internet de texto sin formato, de modo que este conoce qu pasa a travs de la red interna?
Requiere esto una configuracin adicional al firewall o anfitriones participantes
en el VPN? En los firewalls D-Link, la Puerta de enlace de Seguridad VPN es integrada en el firewall mismo. La razn de este diseo puede ser encontrada en el anlisis de escenario presentado a continuacin.
20.3.1
Despliegue VPN
Fuera del Firewall, En lnea (Figura 20.1)
Figura 20.1: Despliegue VPN Escenario 1
Benecios Soporta clientes roaming, aunque sea dificultoso No se necesita informacin especial de routing en el firewall El firewall puede ser inspeccionar y registrar texto sin formato desde el VPN Inconvenientes La Puerta de enlace de Seguridad no es protegida por el firewall El firewall no puede fcilmente determinar qu trfico viene a travs de un VPN
Autentificado y cual proviene desde el Internet, especialmente en el caso de clientes roaming

La conectividad Internet depende de la Puerta de enlace de Seguridad
202
Fuera del Firewall, en la Red Externa (Figura 20.2)
Benecios La conectividad Internet no depende de la Puerta de enlace de Seguridad El firewall puede inspeccionar y registrar el texto sin formato desde el VPN Inconvenientes La Puerta de Enlace de Seguridad no es protegida por el firewall El firewall no puede fcilmente determinar qu trfico viene a travs de un VPN
Autentificado y cul proviene desde el Internet, a menos que el router pueda ser confiable para hacer un filtro extensivo.
Se necesita informacin especial de routing en el firewall El soporte de clientes roaming es casi imposible
Entre el Firewall y la Red Interna (Figura 20.3)

Benecios Soporta clientes roaming No se necesita informacin especial de routing en el firewall El firewall puede proteger la Puerta de Enlace de Seguridad Inconvenientes
203
La conectividad Internet depende de la Puerta de Enlace de Seguridad El firewall no puede inspeccionar ni registrar el texto sin formato desde el VPN
El trfico VPN no debe normalmente ser considerado para ser una parte incorporada de la red interna. En la Red Interna (Figura 20.4)
Benecios El firewall puede proteger la Puerta de Enlace de Seguridad La conectividad Internet no depende de la Puerta de Enlace de Seguridad Inconvenientes El firewall no puede inspeccionar o registrar el texto sin formato desde el VPN Se necesitan aadir rutas especiales al firewall o a todos los clientes internos
participantes en el VPN
El soporte para clientes roaming es muy difcil de conseguir
204
En un DMZ separado (Figura 20.5)
Benecios El firewall puede proteger la Puerta de Enlace de Seguridad La conectividad Internet no depende de la Puerta de Enlace de Seguridad El firewall puede inspeccionar y registrar el texto sin formato desde el VPN Inconvenientes Se necesitan aadir rutas especiales al firewall El soporte a clientes roaming es muy difcil de conseguir, ya que el firewall no
sabe dirigir a travs de la Puerta de Enlace de Seguridad con el fin de alcanzar los clientes VPN con IPs mviles Incorporado en el Firewall (Figura 20.6)
Benecios El firewall puede proteger el subsistema de Puerta de Enlace de Seguridad El firewall puede inspeccionar y registrar el texto sin formato desde el VPN Soporta clientes roaming
205
No se necesitan aadir rutas especiales para anfitriones participantes en el VPN Puede integrar a la perfeccin VPN y polticas firewall Inconvenientes La Puerta de Enlace de Seguridad integrada puede hacer al firewall menos estable.
Sin embargo, este no aade otras piezas de hardware a la cadena de puntos que pueden fallar. Esta solucin entrega el mas alto nivel de funcionalidad & seguridad y es elegida por los diseos D-Link. Todos los modos normales de operacin son soportados y todo el trfico debe ser inspeccionado y registrado por el firewall.
CAPITULO
21
Planificacin VPN
21.1
Consideraciones de Diseo VPN
Una cadena no es nunca ms fuerte que su eslabn ms dbil. Un agresor que desea hacer uso de una conexin VPN no intentar romper la Encriptacin VPN, ya que esto requiere grandes cantidades de clculos y tiempo. mas bien, l/ella ver el trfico VPN como una indicacin de que hay algo realmente liviano en el otro extremo de la conexin. Usualmente, los clientes mviles y sucursales son blancos ms atractivos que las redes corporativas principales. Una vez dentro de stos, ingresar a una red corporativa se vuelve una tarea mucho ms fcil.
Al disear un VPN, hay muchos asuntos no-obvios que necesitan ser tratados. Estos incluyen:
La proteccin de computadores mviles y de hogar. La restriccin de acceso a travs de VPN a slo servicios necesitados, ya que
los computadores mviles son vulnerables.

La creacin de DMZ para servicios que necesitan ser compartidos con otras
compaas a travs de VPN.

La adaptacin de polticas de acceso VPN para diferentes grupos de usuarios. La creacin de polticas de distribucin de claves.
207
208
Captulo 21. Planificacin VPN
Una idea equivocada comn es que las conexiones VPN son equivalentes a la red interna desde el punto de vista de la seguridad y que se pueden conectar directamente sin mayores precauciones. Es importante recordar que aunque la conexin VPN misma puede ser segura, el nivel total de seguridad es slo tan alto como la seguridad de los puntos finales del tnel. Se vuelve cada vez ms comn para los usuarios en movimiento conectarse directamente la red de sus compaas va VPN desde sus laptops. Sin embargo, el laptop mismo no es a menudo protegido. En otras palabras, un intruso puede ganar acceso a la red protegida a travs de un laptop no protegido y conexiones VPN ya abiertas. En conclusin, una conexin VPN no debe ser considerada como parte integral de una red protegida. La puerta de enlace VPN debe en cambio ser localizada en un DMZ especial o fuera del firewall dedicado a esta tarea. Haciendo esto, se puede restringir cul servicio puede ser accedido va VPN y mdem y asegurar que estos servicios estn bien protegidos contra intrusos. En casos donde el firewall ofrece una puerta de enlace VPN integrada, es usualmente posible dictar los tipos de comunicacin permitidos. El mdulo VPN D-Link ofrece tal facilidad.
21.1.1
Seguridad en Punto de Trmino
Una precaucin bsica a tomar en la proteccin de su red contra ataques a mdem y conexin VPN es asegurar que los usuarios roaming jams se comunican directamente con el Internet. En cambio, ellos siempre son dirigidos a travs de la conexin VPN o mdem y la red de la compaa, independiente de con quin se desean comunicar. De este modo disfrutan mas o menos el mismo nivel de proteccin que el resto de la red. Para las conexiones VPN, un cliente VPN competente que puede bloquear todo el trfico Internet entrante, aparte de aquel que pasa a travs de la conexin VPN, debe ser instalado en cada computador porttil o de hogar.
Es tambin importante recordar que las mismas restricciones colocadas en los computadores de hogar deben ser colocadas tambin el los computadores porttiles y de hogar que acceden a la red corporativa. Actualmente, las restricciones ms altas deben ser colocadas en los clientes roaming.
21.1. Consideraciones de Diseo VPN
209
Puntos finales de Seguridad para computadores pertenecientes a la Compaa. Los puntos importantes que son a menudo incluidos en las polticas de acceso remoto incluyen: Un software anti-virus es necesario de instalar y actualizar a travs de la conexin remota.
Se debe elegir un sistema operativo multi-usuario donde las capacidades
finales del usuario pueden ser restringidas.

NO ajuste el cliente VPN/dialup para recordar automticamente secretos
compartidos, contrasea de acceso discado, o certificados, a menos que tales datos sean protegidos por contrasea utilizando una encriptacin fuerte. Cualquier vendedor que diga ser capaz de asegurar tales datos sin que el usuario ingrese una contrasea, utilizando una tarjeta electrnica o suministrando cualquier tipo de informacin, no est diciendo la verdad.
Si el cliente VPN ofrece un mtodo para recordar todas las contraseas sin
tener que suministrar el usuario cualquier informacin, deshabilite tal caracterstica. Si no, tarde o temprano, alguien marcar ese recuadro, y si/cuando el computador porttil es robado, el ladrn tundra una ruta de acceso directo a la red corporativa.
Aplique y refuerce las mismas polticas que en los computadores de hogar. Tales
polticas usualmente incluyen: - La no descarga de software desde el Internet - No juegos - No prestar el computador a amigos u otros
Inspecciones de programas de todos computadores porttiles/de hogar para
verificar la conformidad con todo lo anterior. Este proceso puede usualmente ser automatizado en buena medida e incluso llevado a cabo a lo largo de la conexin remota. Unos pocos archivos de escritura vern usualmente que no hay software adicional instalado y que las claves de registro que contienen valores para recordar contraseas etc. no han sido cambiados.
Mantiene los datos almacenados localmente en computadores porttiles a
un mnimo para reducir el impacto del hurto. Esto incluye carpetas de e-mail cache. Actualmente, puede ser lo mejor si el mail es ledo a travs la web gateway, ya que sto deja la minima cantidad de archivos en almacenaje local. Gua de Usuario de los Firewalls D-Link
210
Captulo 21. Planificacin VPN
Si los requisitos anteriores no pueden ser logrados, por ejemplo, en casos donde
el computador de hogar pertenece al empleado, no se garantiza el acceso VPN.
Seguridad de Punto de trmino para Compaeros y otras Compaas Este tema es usualmente ms sensible que el asegurar computadores que son actualmente pertenecientes a la compaa. En casos donde la administracin ha dictado que VPN debe ser establecido con un compaero, subsidiario, subcontratista que tiene polticas de seguridad mucho ms relajadas, se vuelve una real pesadilla para el staff IT. Es lejos de ser poco comn para intrusos motivados investigar compaas como si tuvieran conexin con sus objetivos, virtuales entre otros. Debera el objetivo de seguridad ser muy alto, este puede probar ser ms fructfero para descubrir otras localizaciones pueden ser alcanzadas para lanzar un ataque sobre los permetros de defensa. En casos donde la seguridad de la red remota no puede ser garantizada, tcnica y/o fsicamente, puede ser una buena idea mover recursos compartidos a servidores en un DMZ separado y ganar acceso remoto a solo a estos servidores.
21.1.2
Distribucin de Clave
Planifique sus tareas de distribucin hacia delante del tiempo. Asuntos que necesitan ser dirigidos incluyen:
Por qu medios distribuir las claves? Email no es una buena idea.
Conversaciones telefnicas pueden ser suficientemente seguras. Esto depende de sus polticas de seguridad local.
Cmo pueden ser utilizadas las diferentes claves? Una clave por usuario?Una
clave por grupo de usuario? Una clave por conexin LAN-to-LAN?Una clave para todos los usuarios y una clave para todas las conexiones LAN-to-LAN? Usted estar probablemente mejor utilizando ms claves de las que usted considera necesarias hoy en da, ya que sto se vuelve fcil para ajustar el acceso por usuario (grupo) en el futuro. Deben las claves ser modificadas? Si es as, qu tan a menudo? En casos donde las claves son compartidas con mltiples usuarios, usted puede desear considerar proyectos superpuestos, de modo que las claves antiguas trabajen por un pequeo perodo de tiempo cuando las claves nuevas han sido establecidas. Gua de Usuario de los Firewalls D-Link
21.1. Consideraciones de Diseo VPN
211
Qu sucede cuando un empleado en posesin de una clave deja la
compaa? Si varios usuarios estn utilizando la misma clave, sta debe ser modificada por supuesto.
En casos donde la clave no est directamente programada a una unidad de red
tal como un VPN gateway, Cmo debe ser almacenada la clave? Debe estar en un oppy? Cmo una frase de paso a memorizar? En una tarjeta electrnica? Si es fsicamente tomada, cmo debe ser administrada?
CAPITULO
22
Protocolos & Tuneles VPN
22.1
IPsec
IPsec, Internet Protocol Security, es un grupo de protocolos definidos por el IETF(Internet Engineering Task Force) para entregar seguridad IP a la capa de red. Es el estndar ms generalmente utilizado para implementar. IPsec es diseado para trabajar para todos los trficos, independiente de la aplicacin. Esta propuesta resulta en la ventaja de que ninguna aplicacin ni usuarios necesitan conocer ningn detalle acerca de la encriptacin. IPsec utiliza el protocolo de intercambio de clave Diffie-Hellman y encriptacin asimtrica para establecer identidades, algoritmos preferidos, y una clave asimtrica. Luego, el algoritmo utiliza el plan de encriptacin simtrica para encriptar datos cuando son transferidos. Antes de que IPsec pueda comenzar con la encriptacin y transferencia del flujo de datos, se necesita una negociacin preliminar. Esto es logrado con el Internet Internet Key Exchange Protocol (IKE). En resumen, un VPN basado en IPsec, tal como D-Link VPN, es realizado en dos partes:
Internet Key Exchange protocol (IKE) Protocolos IPsec (AH/ESP/both)
213
214
Captulo 22. Protocolos & Tneles VPN
La primera parte, IKE, es la fase de negociacin inicial, donde los dos puntos finales VPN concuerdan en cules mtodos sern utilizados para entregar seguridad para el trfico IP subyascente. Adems, IKE es utilizado para administrar conexiones definiendo un grupo de Asociaciones de Seguridad, SAs, para cada conexin. SAs es unidireccional, de modo que habrn al menos dos SAs por conexin. La segunda parte es la actual transferencia de datos IP, utilizando los mtodos de Encriptacin y autentificacin acordados en la negociacin IKE. Esto puede ser logrado por varios caminos; utilizando protocolos IPsec ESP, AH, o una combinacin de ambos. El flujo de operacin puede ser brevemente descrita como lo siguiente:
IKE negocia cmo IKE debe ser protegido IKE negocia cmo IPsec debe ser protegido IPsec mueve datos en VPN
22.1.1
Protocolos IPsec
Existen dos tipos primarios de protocolo IPsec: el protocolo de Encapsulating Security Payload (ESP) y el protocolo de Authentication Header (AH). ESP ESP entrega tanto autentificacin y encriptacin a los paquetes de datos. AH AH entrega solo autentificacin pero no encriptacin a los paquetes de datos. AH no entrega confidenciabilidad a la transferencia de datos y es raramente utilizado; ste NO es soportado por los Firewalls D-Link. Dnde o no modifica el protocolo IPsec al header IP original depende de los modos IPsec.
22.1.2
Modos de Encapsulacin IPsec
IPsec soporta dos modos diferentes: Modos de Transporte y Tnel. Modo de Transporte encapsula los datos del paquete y deja el header IP sin modificacin, lo cual es tpicamente utilizado en un escenario cliente-a-puerta de enlace.
22.1. IPsec
215
Modo Tnel encapsula el header IP y payload en un nuevo paquete IPsec para transferencia, lo cual es comnmente utilizado en el escenario IPsec puerta de enlace-a-puerta de enlace. En el modo de transporte, el protocolo ESP inserta un header ESP luego del header IP original, y en el modo tnel, el header ESP es insertado luego de un nuevo header IP externo, pero antes del header IP original, interior. Todos los datos luego del header ESP son encriptados y/ autentificados.
22.1.3
IKE
La encriptacin y Autentificacin de datos es bastante sencillo. Las nicas cosas necesarias son los algoritmos de encriptacin y autentificacin, y las claves utilizadas con stos. El protocolo de Intercambio de Clave Internet, IKE, es utilizado como un mtodo de distribucin de estas claves de sesin, as como para proveer un camino para que los puntos de trmino VPN acuerden cmo los datos deben ser protegidos. IKE tiene tres tareas principales:
Entrega un medio para que los puntos de trmino se autentifiquen entre s
mismos.
Establece nuevas conexiones IPsec (0c1rea pares SA) Administra conexiones existentes
IKE mantiene el rastro de conexiones asignando un paquete de Asociaciones de Seguridad, SAs, a cada conexin. Un SA describe todos los parmetros asociados a una conexin particular, incluyendo cosas como el protocolo IPsec utilizado (ESP/AH/ambos), las claves de sesin utilizadas para encriptar/decriptar y/ autentificar los datos transmitidos. Un SA es, por naturaleza, unidireccional, por lo tanto necesita de ms de un SA por conexin. En la mayora de los casos, en donde solo un ESP HA es utilizado, sern creados dos SAs para cada conexin, uno para el trfico entrante, y el otro el saliente. En casos donde el ESP y HA son utilizados en conjunto, sern creados cuatro SAs.
Negociacin IKE El proceso de parmetros de negociacin de conexin consiste principalmente en dos fases: IKE Fase-1 Negocia cmo debe ser protegido IKE para futuras negociaciones. Gua de Usuario de los Firewalls D-Link
216
Autentifica los grupos de comunicacin, tanto con claves pre-compartidas
(PSK) o certificado.
Intercambia los materiales de enclave con mtodo Diffie-Hellman. Son creados SAs IKE.
IKE Fase-2 Negocia cmo debe ser protegido IPsec.

Crea un par de SAs IPsec utilizando el SAs IKE desde la fase-1,
detallando los parmetros para la conexin IPsec.

Extrae el Nuevo material de enclave desde el intercambio de clave
Diffie-Helman en fase-1, para que la clave de sesin lo utilice en el flujo protegido de datos VPN. Tanto el SAs IKE SAs y el SAs IPsec tiene tiempos de vida limitados, descritos como tiempo (segundos), y datos (kilobytes). Estos tiempos de vida previenen que una conexin sea utilizada mucho, lo cual es conveniente desde una perspectiva del criptanlisis. La fase-1 IKE involucra un clculo muy grande, ya que sus tiempos de vida son generalmente ms largos que los tiempos de vida de la fase-2 IPsec. Esto permite que la conexin IPsec sea re-codificada simplemente ejecutan otra negociacin de fase-2. No hay necesidad de hacer otra fase-1 de negociacin hasta que el tiempo de vida SAs IKE haya expirado. Modos de Negociacin La negociacin IKE tiene dos modos de operacin, modo principal y modo agresivo. La diferencia este estos dos es que el modo agresivo pasar ms informacin en menos paquetes, con el beneficio de un establecimiento de conexin ligeramente mas rpido, al costo de transmitir las identidades de las puertas de enlace de seguridad fuera de peligro. Cuando se utiliza el modo agresivo, algunos parmetros de configuracin, tales como, Grupos Diffie-Hellman, no pueden ser negociados, resultando de mayor importancia el tener configuraciones compatibles en ambos extremos de comunicacin.
22.1. IPsec
217
Algoritmos IKE & IPsec Hay un nmero de algoritmos utilizados en los procesos de negociacin. El comprender qu hacen estos algoritmos es esencial antes de intentar congurar los puntos de trmino VPN, ya que es de gran importancia que ambos extremos sean capaces de acordar en todas estas configuraciones. Encriptacin IKE & IPsec El flujo de datos transferido en las conexiones VPN es encriptando utilizando un plan de encriptacin simtrica. Como es descrito en 20.2.1 Encriptacin Simtrica, los firewalls D-Link soportan los algoritmos enlistados a continuacin:
DES 3DES Blowsh Twosh CAST-128 AES
DES es solo incluido para ser interoperable con algunas antiguas implementaciones VPN. La utilizacin de DES debe ser evitada siempre que sea posible, ya que este es un algoritmo antiguo que ya no es considerado como seguro. Perfect Forward Secrecy (PFS) Perfect Forward Secrecy (PFS) es una propiedad opcional de las negociaciones IKE. Cuando es configurado PFS, las claves que protegen la transmisin de datos no son utilizadas para obtener claves adicionales, y el material de enclave utilizado para crear las claves de transmisin de datos no son reutilizadas. PFS puede ser utilizado de dos modos, el primero es PFS en claves, donde un nuevo intercambio de clave ser ejecutado en cada fase-2 de negociacin, esto es, un intercambio Diffie-Hellman para cada negociacin SA IPsec. El otro tipo es PFS en identidades, donde las identidades son adems protegidas, borrando la fase-1 SA cada vez que la fase-2 de negociacin ha finalizado, asegurando que no ms de una fase-2 de negociacin sea encriptada utilizando la misma clave. IKE crea una nueva SA para cada SA IPsec necesitada.
218
PFS es con gran consumidor de recursos y tiempo y es generalmente deshabilitado, ya que no se desea que ninguna clave de encriptacin o autentificacin sea comprometida. Intercambio de clave IKE intercambia la clave de encriptacin simtrica utilizando el protocolo Diffie-Hellman de intercambio de clave. El nivel de seguridad que ste ofrece es configurable especificando el grupo Diffie-Hellman(DH). Los grupos Diffie-Hellman soportados por el VPN D-Link son:
DH grupo 1 (768-bit) DH grupo 2 (1024-bit) DH grupo 5 (1536-bit)
La seguridad del intercambio de clave aumenta en la medida que los grupos DH crecen, as como lo hace el tiempo de los intercambios NAT Transversal Un gran problema encontrado por los protocolos IKE e IPsec es la utilizacin de NAT, Ya que los protocolos IKE e IPsec no estn diseados para trabajar a travs de redes NATed. Debido a sto, se ha desarrollado algo denominado como NAT transversal . NAT transversal es un complemento a los protocolos IKE e IPsec que los hace trabajar cuando son NATed. En resumen, NAT transversal es dividido en dos partes:
Adicin a IKE que deja a los pares IPsec coordinar entre ellos que soportan
NAT transversal, y las versiones especficas del proyecto que stas soportan.
Modificaciones a la encapsulacin ESP. Si es utilizado NAT transversal, ESP es
encapsulado en UDP, lo cual permite un NATing ms flexible. NAT transversal es solo utilizado si ambos extremos tienen soporte para ste. con este propsito, NAT transversal espera que VPNs enve un vendedor ID especial, que diga al otro extremo que s comprende NAT transversal, y cules versiones especficas del proyecto soporta. Para detectar la necesidad de utilizar NAT transversal, ambos pares IPsec envan hashes de sus propias direcciones IP junto con la fuente de puerto UDP utilizado en las negociaciones IKE. Esta informacin es utilizada para ver si la direccin IP Gua de Usuario de los Firewalls D-Link
22.1. IPsec
219
y puerto de fuente de cada par que utiliza es la misma que el otro par ve. Si la direccin de fuente y puerto no se ha modificado, el trfico no ha sido NaTed en el camino, y NAT transversal no es necesario. Si la direccin de fuente y/o puerto ha cambiado, el trfico ha sido NATed, y el NAT transversal es utilizado.
Una vez que el par IPsec ha decidido que NAT transversal es necesario, la negociacin IKE es movida fuera del Puerto UDP 500 a Puerto 4500. Esto es necesario ya que ciertos dispositivos NAT tratan paquetes UDP al Puerto 500 de manera diferente desde otros paquetes UDP en un esfuerzo por trabajar alrededor de los problemas NAT con IKE. El problema es que este manejo especial de paquetes IKE puede en efecto romper las negociaciones IKE, lo cual es el por qu el Puerto UDP utilizado por IKE ha sido modificado.
Otro problema que resuelve NAT transversal es con respecto al protocolo ESP. El protocolo ESP es un protocolo IP y no hay informacin de puerto como en TCP y UDP, lo cual hace imposible tener ms de un cliente NATed conectado a la misma puerta de enlace remota al mismo tiempo. Para resolver este problema, los paquetes ESP son encapsulados en UDP. El trfico ESP-UDP es enviado al puerto 4500, el mismo puerto que IKE cuando es utilizado NAT transversal. Una vez que el puerto ha sido modificado, todas las comunicaciones IKE siguientes son realizadas sobre el Puerto 4500. Los paquetes mantenidos con vida son adems enviados peridicamente para mantener el mapeo NAT con vida.
22.1.4
Integridad & Autentificacin IKE
En la fase de negociacin IKE, la Autentificacin a los extremos comunicativos es llevada a cabo antes de cualquier transferencia actual de datos, y la integridad del mensaje negociado debe ser asegurada por algoritmos matemticos. Los VPNs D-Link incluyen varios mtodos para lograr estas tareas crticas, ej., funciones hash para integridad de mensaje, claves pre-compartidas y certificados X.509 basado en algoritmos de encriptacin asimtrica (ej. RSA, DSA ) para verificar identidades.
220
Hashing para Integridad Para asegurar el mensaje de integridad durante la negociacin IKE, algunas funciones hash son utilizadas por los firewalls D-Link para entregar resmenes de mensajes para diferentes mtodos de autentificacin. El mecanismo de hashing asegura que los mensajes no modificados llegar al otro extreme de la transmisin. Los firewalls D-Link ofrecen las dos funciones hash siguientes:
SHA-1 160-bit mensaje resumen.
MD5 128-bit mensaje resumen, ms rpido que SHA-1 pero menos seguro.
Clave pre-compartida (PSK) La clave pre-compartida es uno de los dos mtodos de autentificacin primarios soportados por los VPN D-Link. Con la autentificacin de la clave pre-compartida, una clave simtrica idntica debe ser manualmente configurada en ambos sistemas. La clave pre-compartida es una frase de paso secreta, normalmente una serie de caracteres ASCII o un set de nmeros Hexadecimales aleatorios. En los VPN D-Link, el usuario puede tanto ingresar una contrasea ASCII como utilizar generacin de clave aleatoria automtica. Ambos extremos necesitan tener la misma clave definida y la clave debe ser mantenida en secreto. La clave pre-compartida es utilizada solo para la autentificacin primaria; las dos entidades negociantes luego generan claves de sesin dinmica compartida para el SAs IKE y SAs IPsec. Las ventajas de utilizar PSK son: primero, las claves pre-compartidas no requieren una Autoridad de Certificacin(CA) central CAs para tareas de autentificacin; segundo sta entrega un medio de Autentificacin de puntos de trmino primario, basado en qu, pueden implementar las futuras negociaciones IKE para claves de sesin dinmica. Las claves de sesin sern utilizadas por un perodo de tiempo limitado, donde luego un conjunto nuevo de claves de sesin son utilizados. Sin embargo, una cosa que debe ser considerada cuando se utiliza PSK es la distribucin de clave. Cmo son distribuidas las claves pre-compartidas para clientes VPN remotos y puertas de enlace? Este es un asunto mayor, ya que la seguridad del sistema PSK est basado en que los PSK se mantengan en secreto. Un PSK debe ser comprometido de alguna manera, la configuracin necesitar ser modificada para utilizar un nuevo PSK. Gua de Usuario de los Firewalls D-Link
22.1. IPsec
221
Certificado X.509 La otra opcin para Autentificacin primaria es utilizar Certificado X.509 dentro de cada puerta de enlace VPN. Para probar la identidad, cada puerta de enlace tiene un certificado propio firmado por un CA confiable. El certificado prueba que la clave pblica aadida a ste realmente pertenece a la puerta de enlace del titular, y cada puerta de enlace adems tiene una copia de la clave pblica del CA para ser capaz de confiar en el CA y validar los certificados de otras puertas de enlace establecidas para se CA. Comparado al uso de PSK, los certificados son ms flexibles. Muchos clientes VPN, por ejemplo, pueden ser administrados sin tener la misma clave pre-compartida configurada en todos ellos, lo cual es a menudo el caso cuando se utilizan claves precompartidas y clientes roaming. A cambio, un cliente debe ser comprometido, el certificado del cliente puede simplemente ser revocado. No se necesita re-configurar cada cliente. Pero a este mtodo se le aade complejidad. Un certificado basado en Autentificacin puede ser utilizado como parte de una gran infraestructura, haciendo a todos los clientes VPN y puertas de enlace dependientes de terceros. En otras palabras, hay ms cosas que deben ser configuradas, y hay ms cosas que pueden salir mal.
Listas de Identificacin (Listas ID) Cuando un certificado X.509 es utilizado como mtodo de autentificacin, el firewall aceptar todas las puertas de enlace remoto clientes VPN que son capaces de presentar un certicado firmado por cualquiera de las Autoridades de Certificacin(CAs) confiables. sto puede ser un problema potencial, especialmente cuando se utilizan clientes roaming. Considere un escenario donde los empleados en curso deben tener acceso a las redes internas corporativas utilizando clientes VPN. La organizacin administra su propio CA, y los certificados son establecidos para los empleados. Diferentes grupos de empleados tienen probablemente acceso a diferentes partes de las redes internas. Por ejemplo, miembros de fuerzas de venta necesitan acceso a servidores corriendo el orden de sistema, mientras ingenieros tcnicos necesitan acceso a base de datos tcnicas.
Cuando las direcciones IP de empleados viajeros clientes VPN no pueden ser previstos, las conexiones entrantes VPN de los clientes no pueden ser diferenciados. Esto significa que el firewall es incapaz de controlar el acceso a varias partes de las redes internas. El concepto de Listas de Identificacin (Listas ID) presenta una solucin a este problema. Una lista de identificacin contiene una o ms identidades (IDs) configurables, Gua de Usuario de los Firewalls D-Link
222
donde cada identidad corresponde al campo de tema en un certificado X.509. Las listas de Identificacin pueden por lo tanto ser utilizadas para regular qu Certificado X.509 tiene acceso ganado a cul conexin IPsec. LDAP LDAP, abreviacin para Lightweight Directory Access Protocol, es un set de protocolos para el acceso y descarga de directorios de informacin. LDAP soporta TCP/IP, lo cual es necesario para cualquier tipo de acceso Internet. ste es utilizado para varias aplicaciones corriendo en diferentes plataformas computacionales para obtener informacin desde un servidor LDAP, tal como la descarga de certificado y registro CRL. El servidor LDAP mantiene el certificado de Autoridad de Certificacin, el Certificado de Revocacin de Lista(CRL), y el certificado de usuario final. La direccin del servidor LDAP puede ser configurada en cada punto de trmino VPN.
IKE XAuth IKE Extended Authentication (XAuth), es una caracterstica extendida para mejorar la autentificacin IKE estndar. XAuth no reemplaza IKE; esto ocurre luego de la fase-1 de negociacin IKE, pero antes de la fase-2 de negociacin SA IPsec IKE. Antes de XAuth, IKE slo soporta la Autentificacin del dispositivo, no la autentificacin del usuario que utiliza el dispositivo. Con XAuth, IKE puede ahora autentificar los usuarios luego de que el dispositivo ha sido autentificado durante la fase-1 de negociacin. Si es habilitado una combinacin de nombres de usuario & contrasea ser solicitada para aadir la autentificacin del usuario.
22.1. IPsec
223
22.1.5
Escenarios: Configuracin IPsec
Ejemplo: Configurando un Tnel IPsec LAN-a-LAN
Figura 22.1: Escenario ejemplo LAN-a-LAN.
Este ejemplo describe cmo configurar un tnel IPsec LAN-a-LAN, utilizado para conectar una sucursal a la red de la oficina central. La red de la oficina central utiliza el span de red 10.0.1.0/24 con un IP de firewall externo ip head wan. La sucursal utiliza el span de red 10.0.2.0/24 con el IP de firewall externo ip branch wan. Se debe realizar la siguiente configuracin tanto en el firewall de la oficina central como en el de la sucursal.
224
WebUI
1. Clave pre-compartida Antes que todo se necesita crear una clave pre-compartida para utilizar con la autentificacin IPsec. Objects VPN Objects Pre-Shared Keys Add Pre-Shared Key: Ingrese lo siguiente Name: Ingrese un nombre para la clave pre-compartida, TestKey por ejemplo. Passphrase/Shared Secret: Ingrese una frase de paso secreta. Passphrase/Conrm Secret: Ingrese la frase de paso nuevamente. Luego haga click en OK 2. Tnel IPsec El siguiente paso es configurar el tnel IPsec. Interfaces IPsec Tunnels Add IPsec Tunnel: General Ingrese lo siguiente: Name: IPsecTunnel Local Network: Esta es la red local a la que los usuarios remotos se conectarn. De modo que en el firewall de la oficina central se utilizar 10.0.1.0/24 y en el firewall de la sucursal se utilizar 10.0.2.0/24. Remote Network: Esta es la red desde la que los usuarios remotos se conectarn. De modo que en el firewall de la oficina central se utilizar 10.0.2.0/24 y en el Firewall de la sucursal se utilizar 10.0.1.0/24. Remote Endpoint: Esta es la IP pblica de cada firewall, donde el tnel ser terminado. Esto significa que el firewall de la oficina central utilizar ip branch wan y el firewall de la sucursal utilizar ip head wan. Encapsulation Mode: Tunnel Algoritmos IKE Algorithms: Medium or High IPsec Algorithms: Medium or High
Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, TestKey en este caso. Luego haga click en OK
22.1. IPsec
225
3. Congurar Ruta El siguiente paso es configurar la ruta al tnel IPsec. Routing Main Routing Table Add Route: Ingrese lo siguiente: Interface: IPsecTunnel Network: En el firewall de la oficina central 10.0.2.0/24 y en el firewall de la sucursal 10.0.1.0/24. Luego haga click en OK 4. Congurar Reglas Finalmente se necesita configurar las reglas para permitir el trfico dentro del tnel. Ver 14.3 Configuracin de Reglas IP para detalles de cmo configurar las reglas.
Ejemplo: Configurando un Tnel IPsec para Clientes Roaming
Figura 22.2: Escenario Ejemplo para Clientes Roaming IPsec.
Este ejemplo describe cmo configurar un tnel IPsec, utilizado por clientes roaming (usuarios mviles) que se conectan a la oficina central para ganar acceso remoto. La red de la oficina central utiliza el span de red 10.0.1.0/24 con firewall IP externo ip wan. Gua de Usuario de los Firewalls D-Link
226
Se necesita realizar la siguiente configuracin en el firewall de la oficina central. WebUI :
1. Clave pre-compartida Antes que todo se necesita crear una clave pre-compartida a utilizar para la autentificacin IPsec. Objects VPN Objects Pre-Shared Keys Add Pre-Shared Key: Ingrese lo siguiente: Name: Ingrese un nombre para la clave pre-compartida, SecretKey por ejemplo. Passphrase/Shared Secret: Ingrese una frase de paso secreta. Passphrase/Conrm Secret: Ingrese la frase secreta nuevamente. Luego haga click en OK
22.1. IPsec
227
2. Tnel IPsec El siguiente paso es configurar el tunnel IPsec. Interfaces IPsec Tunnels Add IPsec Tunnel: General Ingrese lo siguiente: Name: RoamingIPsecTunnel Local Network: 10.0.1.0/24 (Esta es la red local a la que se conectarn los usuarios roaming) Remote Network: El firewall ve este campo y lo compara con la direccin de fuente IP del usuario roaming con el fin de permitir las conexiones solo desde la net local configurada a la net remota. Sin embargo, en este escenario, los clientes deben ser capaces para roam desde cualquier lado. De este modo, este campo es ajustado a todas las nets (0.0.0.0/0). Este significa que virtualmente todas las direcciones IPv4 existentes son capaces de conectarse. Remote Endpoint: (None) Encapsulation Mode: Tunnel Algoritmos IKE Algorithms: Medium or High IPsec Algorithms: Medium or High
Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, SecretKey en este caso.
Routing
Automatic Routing El tnel IPsec necesita ser configurado para aadir dinmicamente rutas a la red remota cuando el tnel es establecido. Esto es realizado bajo la etiqueta de Routing. Aadir Dinmicamente ruta a la red remota cuando un tnel es establecido: Enable Luego haga click en OK 3. Congurar Reglas Finalmente se necesita configurar las reglas para permitir el trfico dentro del tnel. Ver 14.3 Configuracin de Reglas IP para detalles sobre cmo configurar las reglas.
228
22.2
PPTP/ L2TP
Como fue introducido en las secciones previas, IPsec entrega mtodos para que dos puntos de trmino transporten paquetes de datos cuando stos estn conectados por un canal privado. Tal tcnica es a menudo llamada Tunneling. Como las funciones de IPsec que se han discutido, los protocolos de tunneling ofrecen el estndar para encapsulacin, transmisin, y decapsulacin del proceso de transferencia de datos. Los puntos de trmino del tnel deben acordar en el mismo protocolo de tunneling para ser capaces de comunicarse. IPsec ofrece la encapsulacin ESP de modo Tnel con encriptacin y autentificacin y se vuelve extensamente utilizado para implementaciones VPN muy seguras. Sin embargo hay algunas limitaciones en utilizar tunneling IPsec, por ejemplo, no es soportado por todos los sistemas y puede ser difcil de configurar.
En contraste, los protocolos de tunneling PPTP y L2TP son generalmente soportados y de una configuracin ms fcil que IPsec.
22.2.1
PPTP
Point-to-Point Tunneling Protocol(PPTP) es construdo en el protocolo Point-to-Point (PPP), Generic Routing Encapsulation (GRE), y TCP/IP. Formato de tunneling PPTP PPTP cuenta con el protocolo PPP para encapsular datagramas (ver 9.4.1 PPP). La estructura PPP es luego encapsulada en paquetes GRE con informacin de routing includa, lo cual es sucesivamente empaquetado con un header IP de acuerdo a la convencin de direccionamiento Internet, mostrado en la Tabla 22.1. La estructura de Capa 2 es la unidad bsica de transporte. El trailer y header de capa Data-link son puestos en el paquete encapsulados PPTP para formar el tunneling de datos. PPTP utiliza puerto TCP 1723 para su control de conexin y GRE ( protocolo 47 IP) para los datos PPP.
IP Header
GRE Header
PPP
Payload PPP Frame
Tabla 22.1: Encapsulacin PPTP Gua de Usuario de los Firewalls D-Link
22.2. PPTP/ L2TP
229
Autentificacin PPTP La Autentificacin como una opcin en PPTP es derivado directamente desde PPP, tal como: Password Authentication Protocol (PAP)
Challenge Handshake Authentication Protocol (CHAP) Microsoft CHAP version 1 y version 2
PAP es un proyecto de Autentificacin sin formato que solicita y enva nombre de usuario y contrasea en texto sin formato. Por lo tanto no es resistente al ataque Man-in-the-middle y ataque diccionario cuando la contrasea del cliente de acceso remoto puede ser fcilmente interceptado y determinado. Adems, PAP NO ofrece proteccin contra repeticin de ataques y spoofing. CHAP utiliza algoritmo MD5 para hash un desafo y proteger contra repeticin de ataques utilizando una serie de cuestionamientos arbitrarios por intento de autentificacin. Esto es mejor que PAP ya que la contrasea jams es enviada sobre el link. En cambio, la contrasea es utilizada para crear el hash de un camino MD5. Esto significa que CHAP requiere de contraseas que sean almacenadas en una forma encriptada reversible. MS-CHAP v1 es similar a CHAP, la diferencia principal es que con MS-CHAP v1 la contrasea slo necesita ser almacenada como un hash MD4 en vez de una forma encriptada reversible. MS-CHAP v2 es similar a MS-CHAP v1 con la diferencia de que el servidor adems se autentifica a s mismo con el cliente. Encriptacin PPTP Inicialmente, la conexin PPP no utiliza encriptacin. Para entregar confidenciabilidad al tunneling, el Microsoft Point-to-Point Encryption (MPPE) puede ser utilizado con PPTP para soportar un tnel de datos encriptados. MPPE utiliza el algoritmo RC4 RSA para la encriptacin y soporta claves de sesin de 40-bit, 56-bit y 128-bit, lo cual es modificado frecuentemente para asegurar la seguridad. Sin embargo, la clave de encriptacin inicial es derivada basado en la contrasea del usuario, y por lo tanto puede ser vulnerable a ataques. Desde que la seguridad PPTP es basada en contrasea, la eleccin de una buena contrasea es de importante consideracin. A pesar de la longitud de clave elegida (40, 56 o 128-bit), la verdadera intensidad de la clave es gobernada por lo aleatorio de la contrasea. Gua de Usuario de los Firewalls D-Link
230
Ejemplo: Configurando Servidor PPTP

Este ejemplo describe cmo ajustar un servidor PPTP. La red LAN es una red 192.68.1.0/24, y 10.0.0.0/24 es la red de la interfaz WAN. Los clientes PPTP se conectarn al servidor PPTP en 10.0.0.1 en la interfaz WAN, con el fin de acceder a los recursos en la interfaz LAN. WebUI :
1. Base de Datos de Usuario Local Se necesita crear una base de datos de usuario local para almacenar la informacin del usuario en ella. Para mayor informacin, ver 17.2.1 seccin de Base de Datos del Usuario Local. User Authentication Local User Databases Add Local User Database: Ingrese un nombre para la base de datos del usuario, UserDB ser utilizado en este ejemplo: Name: UserDB Luego haga click en OK 2. Aadir un Usuario a la Base de Datos de Usuario Local Se necesita aadir un usuario a la base de datos de usuario local creado anteriormente. User Authentication Local User Databases UserDB Add User: Ingrese lo siguiente: Username: testuser Password: testpassword Conrm Password: testpassword Es posible configurar una IP esttica para este usuario en la seccin de configuracin Por-usuario PPTP/L2TP. Luego haga click en OK
22.2. PPTP/ L2TP
231
3. Servidor PPTP El siguiente paso es configurar el servidor PPTP. Interfaces L2TP/PPTP Servers Add L2TP/PPTP Server: General Ingrese lo siguiente: Name: PPTPServer Inner IP Address: Esta es la direccin IP del servidor PPTP dentro del tnel. En este caso 192.168.1.1 Tunnel Protocol: PPTP Outer Interface Filter: WAN Server IP: Esta es la IP a la que los usuarios remotos se conectarn, en este caso 10.0.0.1
PPP Parameters
Use User Authentication Rules: Enable (Especifique que la autentificacin debe ser ejecutada) Microsoft Point-to-Point Encryption (MPPE): Seleccione la intensidad de encriptacin a permitir. IP Pool: 192.168.1.10-192.168.1.20 (La fuente de direcciones IP para asignar IP:s desde usuarios conectados) DNS (Primary/Secondary): Especifique cualquier servidor DNS eventual para distribuir a clientes conectados. NBNS (Primary/Secondary): Especifique cualquier servidor NBNS (WINS) eventual para distribuir a clientes conectados.
Add Routes
Proxy ARP: Dejar como predeterminado, o seleccionar especficamente la interfaz LAN si los IP:s en la fuente IP son parte de la red en la interfaz LAN. Luego haga click en OK
232
4. Regla de Autentificacin del Usuario El siguiente paso es configurar la regla de autentificacin del usuario para utilizar en la autentificacin. User Authentication User Authentication Rules Add User Authentication Rule: Ingrese lo siguiente: Name: PPTPUARule Agent: PPP Authentication Source: Local Interface: PPTPServer Originator IP: 0.0.0.0/0 (todas las nets) Terminator IP: 10.0.0.1 (La IP que el servidor PPTP est percibiendo) Authentication Options/Local User DB: UserDB (La base de datos creada anteriormente) PPP Agent Options: Seleccione los protocolos de autentificacin a soportar. (El ajuste predeterminado es soportar todos los protocolos de autentificacin) Luego haga click en OK 5. Reglas IP El paso final es ajustar una regla para permitir el trfico desde clientes PPTP a la red LAN. Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: FromPPTPClients Action: Allow Service: Any Source Interface: PPTPServer Source Network: 192.168.1.10-192.168.1.20 Destination Interface: LAN Destination Network: 192.168.1.0/24 (Red en la interfaz LAN) Luego haga click en OK Si los clientes PPTP deben ser capaces de accede a los recursos externos (tales como el Internet por ejemplo) una regla NAT debe ser configurada tambin. Cuando la configuracin es guardada y activada, debe ser posible para los clientes PPTP conectarse al servidor PPTP en 10.0.0.1 en la interfaz WAN.
22.2. PPTP/ L2TP
233
Ejemplo: Configurando Cliente PPTP

Este ejemplo describe cmo ajustar un cliente PPTP. El servidor PPTP es localizado en 10.0.0.1 y todo el trfico debe ser dirigido sobre el tnel PPTP. WebUI :
1. Cliente PPTP El primer paso es configurar el cliente PPTP. Interfaces L2TP/PPTP Clients Add L2TP/PPTP Client: Ingrese lo siguiente: Name: PPTPClient Tunnel Protocol: PPTP Remote Endpoint: 10.0.0.1 (La IP del servidor PPTP) Remote Network: 0.0.0.0/0 (todas las nets, como se ha dirigido todo el trfico en el tnel) Username: El nombre de usuario entregado por su proveedor de servicio. Password: La contrasea entregada por su proveedor de servicio. Conrm Password: Redigite la contrasea. Se mantienen los ajustes predeterminados para la autentificacin y encriptacin. Si es habilitado dial-on-demand, el tnel slo ser capaz cuando haya trfico en la interfaz del cliente PPTP. Es posible configurar cmo el firewall debe sentir actividad en la interfaz, y cunto tiempo esperar sin actividad antes de que el tnel sea desconectado. Luego haga click en OK
234
2. Rutas El paso final es configurar una ruta de un slo titular al servidor PPTP sobre la interfaz WAN. Routing Main Routing Table Add Route: Ingrese lo siguiente: Interface: WAN Network: 10.0.0.1 (IP del servidor PPTP) Gateway: La puerta de enlace en la red WAN. Ninguna si no se utiliza puerta de enlace. Local IP Address: (None) Metric: 0 Luego haga click en OK Cuando la configuracin es guardada y activada, el cliente PPTP debe ser conectado al servidor PPTP, y todo el trfico (excepto el trfico a 10.0.0.1) debe ser dirigido sobre la interfaz PPTP.
22.2.2
L2TP
El Layer Two Tunneling Protocol (L2TP) es una extensin basada en PPP, lo cual es ms flexible que PPTP e IPsec en que stos utilizan el protocolo UDP para comunicacin, lo cual facilita el atravesar rutas con NAT. En adicin, L2TP soporta llamadas mltiples para cada tnel mientras slo una conexin por tnel es permitida por PPTP tunneling. Formato de Tunneling L2TP L2TP cuenta con el protocolo para encapsular datagramas (ver 9.4.1 PPP). La estructura PPP es luego encapsulada en un header L2TP, lo cual es en cambio empaquetado con un header UDP e IP para cumplir con la convencin de direccionamiento internet, mostrado en la Tabla 22.2. El header de capa de datos-link y trailer son puestos en el paquete encapsulado L2TP para formar el tunneling de datos. L2TP utiliza puerto 1701 UDP para su control y conexiones de datos. Autentificacin L2TP Los Tneles PPTP y L2TP utilizan los mismos mecanismos de autentificacin que las conexiones PPP tales como, PAP, CHAP, MS-CHAP v1 y v2. Gua de Usuario de los Firewalls D-Link
22.2. PPTP/ L2TP
235
IP Header UDP Header
L2TP Header
PPP
Payload
PPP Frame Tabla 22.2: Encapsulacin L2TP. Encriptacin L2TP L2TP llama a MPPE para encriptacin. L2TP/IPsec Los mtodos de autentificacin direccionados por PPTP y L2TP principalmente cuentan con la contrasea del usuario, y la encriptacin al tunneling de datos no es inicialmente diseado por estos protocolos. De este modo, PPTP y L2TP NO son resistentes a muchos ataques comunes, ej. Ataques Man-in-the-middle, Repeticin, Spoong, Diccionario, y Dos. L2TP e IPsec pueden trabajar juntos para beneficiarse de tanto flexibilidad como una seguridad ms fuerte. Encapsulando L2TP como payload en un paquete IPsec, conexiones pueden ser protegidas activando Encriptacin y autentificacin. Esta combinacin es denominada L2TP/IPsec.
Ejemplo: Configurando Servidor L2TP/IPsec (PSK)

Este ejemplo describe cmo ajustar un servidor L2TP con IPsec, utilizando claves pre-compartidas. La red LAN es una red 192.68.1.0/24, y 10.0.0.0/24 es la red en la interfaz WAN. Los clientes L2TP se conectarn al servidor L2TP/IPsec en 10.0.0.1 en la interfaz WAN, con el fin de accede a recursos en la interfaz LAN.
236
WebUI
1. Clave pre-compartida Primero que todo se necesita crear una clave pre-compartida para utilizar con la Autentificacin IPsec. Objects VPN Objects Pre-Shared Keys Add Pre-Shared Key: Ingrese lo siguiente: Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo Passphrase/Shared Secret: Ingrese una frase secreta. Passphrase/Conrm Secret: Ingrese la frase secreta nuevamente. Luego haga click en OK 2. Base de Datos del Usuario Local Se necesita crear una base de datos de usuario local para almacenar informacin del usuario. Para mayor informacin, ver 17.2.1 seccin de Base de Datos de Usuario Local. User Authentication Local User Databases Add Local User Database: Ingrese un nombre para la base de datos de usuario, UserDB se utilizar en este ejemplo: Name: UserDB Luego haga click en OK 3. Aadir Usuario a la Base de datos Local Se necesita aadir un usuario a a la base de datos de usuario local creado antes. User Authentication Local User Databases UserDB Add User: Ingrese lo siguiente: Username: testuser Password: testpassword Conrm Password: testpassword Es posible configurar una IP esttica para este usuario en la seccin de configuracin IP por usuario PPTP/L2TP. Luego haga click en OK
22.2. PPTP/ L2TP
237
4. Tnel IPsec El siguiente paso es configurar el tnel IPsec. Interfaces IPsec Tunnels Add IPsec Tunnel: General Ingrese lo siguiente: Name: L2TPIPsecTunnel Local Network: Esta es la red local a la que los usuarios remotes se conectarn. Como vamos a utilizar L2TP esta es la IP a la que se conectarn loc clientes L2TP. En este caso 10.0.0.1 Remote Network: El firewall mira en este campo y lo compara con la direccin IP de la fuente del usuario roaming con el fin de permitir conexiones slo desde la net local configurada a la net remota. Sin embargo, en este escenario, los clientes deben ser capaces de roam desde cualquier lugar. De este modo, este campo es ajustado a todas las nets (0.0.0.0/0). Eso significa que virtualmente todas las direcciones IPv4- existentes son capaces de conectarse. Remote Endpoint: (None) Encapsulation Mode: Transport Algoritmos IKE Algorithms: Medium IPsec Algorithms: Medium
Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, L2TPKey en este caso.
Routing
Automatic Routing El tnel IPsec necesita ser configurado para aadir dinmicamente rutas a la red remota cuando el tnel es establecido. Esto es realizado bajo la etiqueta de Routing. Aada dinmicamente una ruta a la red remota cuando un tnel es establecido: Enable Luego haga click en OK
238
Captulo. Protocolos & Tneles VPN
5. Servidor L2TP El siguiente paso es configurar el servidor L2TP. Interfaces L2TP/PPTP Servers Add L2TP/PPTP Server: General Ingrese lo siguiente: Name: L2TPServer Inner IP Address: Esta es la direccin IP del servidor L2TP dentro del tnel. En este caso 192.168.1.1 Tunnel Protocol: L2TP Outer Interface Filter: L2TPIPsecTunnel Server IP: Esta es la IP a la que se conectarn los usuarios remotos, en este caso 10.0.0.1
PPP Parameters
Use User Authentication Rules: Enable (Especifica que la autentificacin debe ser ejecutada) Microsoft Point-to-Point Encryption (MPPE): Seleccione la intensidad de encriptacin a permitir. IP Pool: 192.168.1.10-192.168.1.20 (La fuente de direcciones IP para asignar IP:s a usuarios conectados) DNS (Primary/Secondary): Especifica cualquier servidor DNS eventual para distribuir a clientes conectados. NBNS (Primary/Secondary): Especifica cualquier servidor NBNS (WINS) eventual para distribuir a clientes conectados.
Add Route
Proxy ARP: Dejar como predeterminado, seleccione especficamente la interfaz LAN si la IP:s en la fuente es parte de la red en la interfaz LAN. Luego haga click en OK
22.2. PPTP/ L2TP
239
6. Regla de Autentificacin del Usuario El siguiente paso es configurar la regla de autentificacin del usuario para utilizar en la autentificacin. User Authentication User Authentication Rules Add User Authentication Rule: Ingrese lo siguiente: Name: L2TPUARule Agent: PPP Authentication Source: Local Interface: L2TPServer Originator IP: 0.0.0.0/0 (todas las nets) Terminator IP: 10.0.0.1 (La IP que est escuchando el servidor L2TP) Authentication Options/Local User DB: UserDB (La base de datos de usuario creada anteriormente) PPP Agent Options: Seleccionar los protocolos de autentificacin a soportar. (El ajuste predeterminado es soportar todos los protocolos de autentificacin) Luego haga click en OK 7. Reglas IP El paso final es ajustar una regla para permitir el trfico desde clientes L2TP en la red LAN. Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: FromL2TPClients Action: Allow Service: Any Source Interface: L2TPServer Source Network: 192.168.1.10-192.168.1.20 Destination Interface: LAN Destination Network: 192.168.1.0/24 (Red en la interfaz LAN) Luego haga click en OK Si los clientes L2TP deben ser capaces de accede a los recursos externos (tales como el Internet por ejemplo) una regla NAT debe ser adems configurada. Cuando la configuracin es guardada y activada, debe ser posible para los clientes L2TP/IPsec el conectarse al servidor L2TP/IPsec en 10.0.0.1 de la interfaz WAN.
240
Chapter 22. VPN Protocols & Tunnels
Ejemplo: Configurando Cliente L2TP/IPsec

Este ejemplo describe cmo ajustar un cliente L2TP con IPsec, utilizando claves pre-compartidas. El servidor L2TP est localizado en 10.0.0.1 y todo el trfico debe ser dirigido sobre el tnel L2TP. WebUI :
1. Clave Pre-Compartida Primero que todo se necesita crear una clave pre-compartida para utilizar en la autentificacin IPsec. Objects VPN Objects Pre-Shared Keys Add Pre-Shared Key: Ingrese lo siguiente: Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo. Passphrase/Shared Secret: Ingrese la frase secreta. (Debe ser la misma configurada en el servidor L2TP/IPsec) Passphrase/Conrm Secret: Ingrese la frase secreta nuevamente. Luego haga click en OK
22.2. PPTP/ L2TP
241
2. Tnel IPsec El siguiente paso es configurar el tnel IPsec. Interfaces IPsec Tunnels Add IPsec Tunnel: General Ingrese lo siguiente: Name: L2TPIPsecTunnel Local Network: IP de la interfaz a conectar. Remote Network: 10.0.0.1 (Cuando sta es donde es localizado el servidor L2TP/IPsec) Remote Endpoint: (None) Encapsulation Mode: Transport Algoritmos IKE Algorithms: Medium IPsec Algorithms: Medium
Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, L2TPKey en este caso.
Routing
Automatic Routing El tnel IPsec necesita ser configurado para aadir rutas no-dinmicamente a la red remota cuando el tnel es establecido. Esto es realizado bajo la etiqueta de Routing. Aadir rutas dinmicamente a la red remota cuando un tnel es establecido: Disable Luego haga click en OK
242
3. Cliente L2TP El siguiente paso es configurar el cliente L2TP. Interfaces L2TP/PPTP Clients Add L2TP/PPTP Client: Ingrese lo siguiente: Name: L2TPClient Tunnel Protocol: L2TP Remote Endpoint: 10.0.0.1 (La IP del servidor L2TP/IPsec) Remote Network: 0.0.0.0/0 (todas las nets, cuando se dirige todo el trfico en el tnel) Autentificacin Username: El nombre de usuario entregado por su proveedor de servicio. Password: La contrasea entregada por su proveedor de servicio. Conrm Password: Re-digite la contrasea. Se mantienen los ajustes predeterminados para la autentificacin y la encriptacin dial-on-demand es habilitado, el tnel es slo capaz cuando hay trfico en la interfaz del cliente L2TP. Es posible configurar cmo el firewall debe sentir actividad en la interfaz, y cunto tiempo esperar sin actividad antes de que el tnel sea desconectado. Luego haga click en OK 4. Rutas El paso final es configurar una ruta de un slo titular al servidor L2TP/IPsec sobre la interfaz IPsec. Routing Main Routing Table Add Route: Ingrese lo siguiente: Interface: L2TPIPsecTunnel Network: 10.0.0.1 (IP del servidor L2TP/IPsec) Gateway: (None) Local IP Address: (None) Metric: 0 Luego haga click en OK Cuando la configuracin es guardada y activada, el cliente L2TP/IPsec debe conectarse al servidor L2TP/IPsec, y todo el trfico (a excepcin del trfico a 10.0.0.1) debe ser dirigido sobre la interfaz.
22.3. SSL/TLS (HTTPS)
243
22.3
SSL/TLS (HTTPS)
El protocolo de Secure Sockets Layer (SSL)es un buscador basado en seguridad. Una alternativa a estndar IPsec basado en VPNs. Requiere de un poco o ningn software o hardware en PCs remoto, y la conexin segura es principalmente operada por el buscador web y el servidor web, lo cual es fcilmente implementado y mayor recurso costo-eficiencia en comparacin a la estructura IPsec. Adems, puede fcilmente entregar autentificacin usuario-por usuario. Construido sobre encriptacin de clave privada y autentificacin de clave pblica, el SSL entrega privacidad e integridad de datos entre dos aplicaciones comunicantes sobre TCP/IP. En el mdulo OSI, la capa de protocolo SSL es ubicada entre el protocolo TCP/IP de protocolo de capa de red conexin-orientada y la capa de aplicacin. (ej. HTTP). Este cuenta con certificados de autentificacin de identidad y la clave pblica de identidad es utilizada para negociar la clave simtrica para la encriptacin de trfico. El Transport Layer Security (TLS), es el sucesor a SSL y entrega mucho de la misma funcionalidad pero con una estandarizacin ms firme y punto de apoyo en el IETF. El HTTP que corre en la parte superior del SSL/TLS es a menudo llamado HTTPS, lo cual es un uso comn de SSL/TLS para asegurar el servicio de buscador en web entre un buscador y un servidor web. Cuando usted visita web sites seguros, usted puede ser notificado de que el URL comienza con las letras https:// en vez de http://. Este HTTP es conseguido dentro del SSL/TLS. Los buscadores web ms comnmente utilizados soportan HTTPS, y ms y ms web sites utilizan el protocolo para obtener informacin del usuario confidencial, tal como nmeros de tarjeta de crdito. Hay un nmero de versiones del protocolo SSL/TLS. Los firewalls D-Link soportan por completo SSLv3 y TLSv1.
Parte IX
Administracin de Trfico
La Administracin de Trfico se preocupa del control y localizacin de la banda ancha de la red y minimizacin de posibles retrasos y congestiones en la red. Esta abarca la medida de la capacidad de red y modelos de trfico para administrar recursos de red eficientemente y entregar los servicios de banda ancha que se necesitan.
Los tpicos incluidos en esta parte incluyen:

Traffic Shaping Server Load Balancing (SLB)
CAPITULO
23
Trafc Shaping
23.1
Vista General
Las redes TCP/IP son llamadas para llevar el trfico perteneciente a una variedad creciente de usuarios con diversas necesidades de servicio, por ejemplo, transferencia masiva de datos, telefona IP, VPNs, y aplicaciones multimedia. Pero uno de los mayores inconvenientes de TCP/IP es la falta de una verdadera funcionalidad de Quality of Service (QoS), la cual es la habilidad de garantizar y limitar la banda ancha para ciertos servicios y usuarios. Aunque, existen protocolos como Diff-Serv (Differentiated Services) y otras soluciones que intentan ofrecer QoS en redes grandes y complejas, ninguna de las soluciones ha alcanzado un alto estndar suficiente para el uso a gran escala.
Otro hecho es que la mayora de las soluciones QoS actuales son basadas en aplicaciones, esto es, que trabajan teniendo aplicaciones que suministran a la red con informacin QoS. Desde el punto de vista de la seguridad, es por supuesto inaceptable que las aplicaciones (esto es, los usuarios) decidan la prioridad de su propio trfico dentro de una red. En escenarios sensible a la seguridad, donde el usuario no puede ser confiable, el equipo de la red deber ser el arbitro exclusivo de prioridades y localidades de banda ancha. Para tratar los problemas anteriores, los firewall D-Link entregan funcionalidad QoS y aplica lmites y garantas al mismo trfico de red, ms que confiar en las aplicaciones/ usuarios para hacer elecciones. Es por lo tanto bien adecuado administrar la banda ancha por un pequeo LAN as como en uno o ms puntos de obstruccin en grandes WANs. 247
248
Captulo 23. Trafc Shaping
23.1.1
Funciones
El medio ms simple para obtener QoS en una red, visto desde la perspectiva de seguridad as como de la funcionalidad, es tener componentes en la red, conocidos como Traffic Shaping, responsables del control de trfico de red en puntos de obstruccin bien definidos. Un firewall D-Link tiene un traffic shaper extensible integrado. El traffic shaper trabaja midiendo y enfilando paquetes IP, en trnsito, con respecto a un nmero de parmetros configurables. Pueden ser creados ndices de limites diferenciados y garantas de trfico basados en fuentes, destino, y parmetros de protocolo, del mismo modo muchas reglas firewall son implementadas. Las funciones principales pueden ser resumidas a continuacin:
Aplicacin de lmites de banda ancha ordenando paquetes que podran exceder
los lmites configurados en el paquete buffers, y los enva despus, cuando la demanda de banda ancha disminuye momentneamente.
Dropping paquetes si los buffers de paquete estn llenos. El paquete que ser
desechado debe ser elegido de aquellos que son responsables de la congestin.

Priorizacin del trfico de acuerdo con la eleccin del administrador; si el trfico
de alta prioridad crece mientras la lnea de comunicacin est llena, el trfico de menor prioridad ser temporalmente limitado para hacer espacio para el trfico de alta-prioridad.
Provee garantas de banda. Esto es comnmente cumplido al tratar cierta
cantidad de trfico (la cantidad garantizada) como de alta prioridad, y al trfico que excede la garanta como de la misma prioridad que cualquier otro trfico, lo cual luego comienza a competir con el trfico no priorizado. Los traffic shapers bien construidos no trabajan normalmente ordenando enormes cantidades de datos y luego separando el trfico priorizado para enviarlo antes del trfico no priorizado. Mas bien, stos intentan medir la cantidad de trfico priorizado y luego limitar el no priorizado dinmicamente, de modo que este no interfiera con el rendimiento del trfico priorizado.
23.2. Conductos
249
23.1.2
Caractersticas
El traffic shaper en los firewalls D-Link tienen las siguientes caractersticas claves:
Basado en Conductos
El Traffic shaping en los firewalls D-Link es manejados por un concepto basado en conductos, donde cada conducto tiene varias posibilidades de priorizacin, limitacin y agrupamiento. Los conductos individuales pueden ser encadenados de diferentes maneras para construir unidades de administracin de banda ancha que exceden por mucho las capacidades de un solo conducto.
Priorizacin de trfico y limitacin de banda ancha
Cada conducto contiene un nmero de niveles de prioridad, cada uno con su propio lmite de banda ancha, especificado en kilobits por segundo. Los lmites pueden adems ser especificados por el total del conducto.
Agrupamiento
El trfico a travs del conducto puede ser agrupado automticamente en pipe users, donde cada usuario de conducto puede ser configurado a la misma extensin que el conducto principal. Un grupo es especificado con respecto al nmero de parmetros, por ejemplo, fuente o destino de red IP , direccin IP o nmero de puerto.
Balance Dinmico de Banda Ancha
El traffic shaper puede ser utilizado para balancear dinmicamente la asignacin de banda ancha de diferentes grupos de conductos si los conductos como total han excedido sus lmites. Esto significa que la banda ancha disponible es regularmente balanceada con respecto al agrupamiento del conducto.
Encadenamiento de Conducto
Cuando los conductos son asignados a reglas de conducto, pueden ser concadenados por sobre ocho conductos para formar una cadena. Esto permite filtrar y limitar para ser manejados de manera muy sofisticada.
Garantas de trfico
Con la configuracin de conducto apropiado, el traffic shaping puede ser utilizado para garantizar la banda ancha (y de este modo calidad) para el trfico a travs del rewall. Una vista cercana a estas caractersticas es entregada en las secciones a continuacin.
23.2
Pipes
Un conducto es un concepto central en la funcionalidad de traffic shaping de los Firewalls D-Link y es la base de todo control de banda ancha. Los conductos son bastante Gua de Usuario de los Firewalls D-Link
250
simples, ya que estos no conocen mucho acerca de los tipos de trfico que pasan a travs de estos, y no saben nada sobre la direccin tampoco. Un conducto simplemente mide la cantidad de trfico que pasa a travs de l y aplica los lmites configurados en cada preferencia y/ grupo de usuario. La tarea del filtro de trfico, categorizacin, y priorizacin es realizada por las Reglas de Conducto cubiertas en la siguiente seccin. Los firewalls D-Link son capaces de manejar cientos de conductos simultneamente pero en realidad, slo unos cuantos conductos son requeridos para la mayora de las instalaciones. La nica ocasin que utiliza docenas de conductos es el escenario donde un conducto individual es creado para cada servicio (protocolo, o cliente en casos ISP).
23.2.1
Preferencias y Garantas
Dependiendo de aplicaciones particulares o configuraciones manuales, el trfico puede ser tratado como si tuviera diferentes niveles de importancia. En una versin IP de 4 paquetes, hay un campo de 1-byte denominado Type-ofService(ToS) en el header (mostrado en la Tabla 23.1). Este recuadro ToS es utilizado en Diff-Serv, el enfoque para entregar QoS diferenciando clases de servicio en diferentes prioridades para soportar varias aplicaciones de red. Los 6 bits restantes de este recuadro es llamado Differentiated Services Code Point(DSCP) y los ltimos dos bits no son definidos dentro del modelo Diff-Serv. El Diff-Serv estndar utiliza los higher 3 bits de DSCP para ajustes de prioridad de aplicacin, el cual es organizado en 8 niveles de preferencia desde 0 a 7; and los lower 3 bits son utilizados para ofrecer una mejor granulacin para prioridades de preferencia. La prioridad de una aplicacin aumenta con 0 el ms bajo y 7 el ms alto. El valor 6 y 7 es reservado para paquetes de control de red, de modo que los valores entre 0-5 pueden ser ajustados para prioridad basada en redes IP o aplicaciones. Correspondiente a estos 8 niveles, un conducto en un firewall D-Link contiene 4 preferencias Low, Medium, High, and Highest para clarificar la importancia relativa del trfico. Cada una de estas preferencias mapea a 2 niveles en la definicin DSCP, por ejemplo, Low se mantiene para nivel 0 y 1. El trfico en preferencia Medium ser pasado ente el trfico en preferencia Low, el trfico en preferencia High antes de Medium y Low, y etc. La asignacin de preferencia es controlada por las Reglas de Conducto. Con el fin de determinar a qu preferencia pertenece el trfico, cada buffer de paquete tiene asignada un nmero de preferencia antes de ser enviado a un conducto. El lmite actual de banda ancha es desplegado dentro de cada preferencia; Gua de Usuario de los Firewalls D-Link
23.2. Conductos
251
los lmites separados de banda ancha pueden ser especificados para cada una de las 4 preferencias con una unidad de kilobits por segundo. El trfico que excede el lmite de una alta preferencia ser automticamente transferido al nivel Low para un mejor esfuerzo de distribucin, tanto como haya espacio en esta preferencia.
1 byte
1 byte
2 bytes Total Length Flags Fragment Oset Header Checksum
Version IP Header Length Type-of-Service Identication Time-to-Live Protocol Source Address Destination Address Options(padding) Data
Tabla 23.1: Formato de Paquete IPv4
En adicin al lmite por preferencia, puede ser especificado un lmite por el conducto como total. Cuando la utilizacin de banda ancha a travs del conducto alcanza el lmite total, el trfico es priorizado dependiendo de a qu preferencia este pertenezca. Una Higher preferencia tiene una mayor oportunidad de lograrlo a travs del conducto sin ordenarlo.
Nota
1. Ajuste un lmite total Con el fin de conocer cunto limitar el trfico de baja-preferencia, el conducto necesita conocer la capacidad total. 2. Los lmites no pueden ser mayores que la conexin de banda ancha disponible Si los lmites de conducto son ajustados ms arriba que la banda ancha actual disponible, el conducto jams sabr que la conexin est completa, y por lo tanto es incapaz de acelerar el trfico de menor-preferencia. 3. La Banda ancha no puede ser garantizada si la banda ancha disponible no es conocida en todo momento. Gua de Usuario de los Firewalls D-Link
252
Para que cualquier traffic shaper trabaje, ste necesita conocer la banda ancha pasando a travs del punto de obstruccin que est tratando de protect. Si la conexin es compartida con otros usuarios o servidores que no estn bajo el control del firewall, es casi imposible garantizar la banda ancha, simplemente porque el firewall no conocer cunta banda ancha est disponible para la conexin. Los lmites simples trabajarn por supuesto, pero las garantas, las prioridades y el balance dinmico no lo hacen.
4. Buscar filtraciones Asegrese de que todos los trficos que son deseados por el control de banda ancha pasen a travs de los conductos.
23.2.2
Agrupamiento de Usuarios en un conducto
Si los conductos son restringidos a la funcionalidad descritas hasta el momento, el trfico ser limitado sin relacin a la fuente o destino. Este modo de operacin es probablemente suficiente para manejar los limites simples de trfico y garantas. Sin embargo, los firewalls D-Link tienen la habilidad de agrupar el trfico dentro de cada conducto. Esto significa que el trfico ser clasificado y agrupado con respecto a la fuente o destino de cada paquete que pasa a travs del conducto. El agrupamiento puede ser ejecutado en la fuente/destino de red, direccin IP, puerto, interfaz. En los casos de agrupamiento de red, el tamao de red puede ser especificado. Los casos de agrupamiento de puerto incluyen la direccin IP, significando que el puerto 1024 del computador A no es del mismo grupo que el puerto 1024 del computador B. El beneficio de utilizar agrupamiento es que el control de banda ancha adicional puede ser aplicado a cada grupo. Esto significa que si el agrupamiento es ejecutado en, por ejemplo, agrupamiento de direcciones IP, el firewall puede limitar y garantizar la banda ancha por direccin IP comunicada a travs del conducto. Los lmites pueden ser ajustados tanto especificando la mxima banda ancha por grupo manualmente utilizando el balanceo dinamico. El control primero ocurre por grupo de usuario y luego continua con el conducto como total. Gua de Usuario de los Firewalls D-Link
23.3. Reglas de Conducto
253
23.2.3
Balanceo de Carga Dinmico
Como fue previamente indicado, la banda ancha por usuario puede ser limitada habilitando el agrupamiento dentro de un conducto. Esto puede ser utilizado para asegurar que un grupo no puede consumir toda la banda ancha disponible. Pero qu pasa si la banda ancha para un conducto como total tiene un lmite, y ese lmite es excedido? Tal problema es tratado por una caracterstica en los firewalls D-Link denominada Balance Dinmico. Este algoritmo asegura que el lmite de banda ancha de cada grupo es disminudo dinmicamente (o aumentado) con el fin de balancear regularmente la banda ancha disponible entre los grupos del conducto. La restriccin temporal ser removida cuando los lmites configurados sean satisfechos. Los ajustes dinmicos se realizan 20 veces por segundo, y se adaptarn rpidamente a las distribuciones modificadas de banda ancha. Las funciones de Balance Dinmico dentro de cada preferencia de un conducto individualmente esto significa que si los grupos son asignados una pequea cantidad de trafico de Alta prioridad, y una gran parte de trfico de mejor esfuerzo, todos los grupos tendrn su parte de trfico de high-preferencia as como un a justa reparticin de trfico de mejor esfuerzo.
23.3
Reglas de Conducto
Las reglas de Conducto son polticas que toman decisiones sobre qu trfico debe ser pasado a travs de cules conductos. Las reglas de conducto filtran el trfico por tipo de servicio y direcciones de interfaz & red IP, muchas del mismo modo que las reglas normales IP. Luego, la regla elige el reenvo apropiado y regresa los conductos al trfico, y determina la preferencia (prioridad) en estos. Cuando el firewall recibe el trfico, estar capacitado para encontrar esta informacin de conductos y preferencias en reglas coincidentes, y controla la utilizacin de banda ancha de acuerdo a los lmites y/o agrupamiento definido en conductos especficos. Recuerde que slo el trfico coincidente con una regla de conducto ser trffic shaped, y la primera regla coincidente es la utilizada.
23.4
Escenarios: Configurando Traffic Shaping
Como se ha visto en secciones previas, en los firewalls D-Link, todas las mediciones, limitaciones, garantizaciones y balance es llevado a cabo en conductos. Sin embargo un conducto por s mismo no tiene sentido a menos que sea puesto en uso Gua de Usuario de los Firewalls D-Link
254
en la seccin de Reglas de Conducto. Cada regla puede pasar trfico a travs de uno o ms conductos, en una preferencia (prioridad) de eleccin del administrador. El trfico de red es primero filtrado dentro e la regla de ajuste normal del firewall IP; si es permitida, es luego comparada con la seccin de Reglas de Conducto y pasada al conducto(s) especificado en la regla de conducto coincidente. En el conducto, el trfico es limitado con respecto a la configuracin y es luego reenviado a su destino, al siguiente conducto en cadena. Para resumir, son necesarios los siguientes pasos para ajustar el traffic shapping:
1. Plan de requerimiento del traffic shaping: Si los requisitos a la red actual, tales como de qu manera el trfico debe ser limitado, priorizado, garantizado, o distribudo no son claros, el trabajo de configuracin ser ms confuso que til. 2. Ajustes de Conductos Ajusta los conductos que describen lmites para diferentes preferencias, y define los criterios de agrupamiento. 3. Ajuste de Reglas de Conducto Asigna, el las Reglas de Conducto, tipos especficos de servicio, filtro de direccin, preferencias, y diferentes cadenas/conductos para utilizar para tanto direcciones de reenvo & retorno. 4. Vericacin Verifica que el traffic shaping configurado trabaje en estas maneras deseadas.
Ejemplo: Aplicando dos medios bsicos de lmites de banda ancha

En este ejemplo, son creados dos conductos para el control tanto de trfico entrante y saliente, denominado std-in y std-out respectivamente, y un lmite de conducto total de 1000 kilobits es ajustado a cada uno de ellos. Este par de conductos limita simplemente todo el trfico que pasa a travs de cada direccin a 1000kbps, sin importar de qu trfico sea. Luego de ajustar los lmites totales en los dos conductos, dos reglas de conducto necesitan ser especificadas para asignar conductos en direcciones apropiadas, interfaces y redes. Desde que estas dos reglas primarias son aplicadas a todos los servicios posibles, la preferencia fija Low es definida en estos.
23.4. Escenarios: Ajustando Trafc Shaping
255
WebUI
1. Conductos Conducto std-in por trfico entrante: Ingrese lo siguiente y luego haga click en OK. Traffic Shaping Pipes Add Pipe: General Name: std-in Pipe Limits Total: 1000 Pipe std-out for outbound traffic: Crear el otro conducto utilizando los mismos pasos anteriores con el nombre cambiado a std-out 2. Reglas de Conducto Regla ToInternet asignando conductos al trfico que va a travs del firewall desde LAN a WAN para todos los servicios(denidos por los Servicios objetivos all-services): Traffic Shaping Pipe Rules Add Pipe Rule: General Ingrese lo siguiente: Name: ToInternet Service: all-services Address Filter Source Destination Interface: lan wan Network: lannet wannet
256
Traffic Shaping
Cadenas de Conducto Forward Chain: Seleccione std-out desde la lista Available y colquela en la lista Selected. Return Chain: Seleccione std-in desde la lista Available y colquela en la lista Selected. Preferencia Marque Use Fixed Precedence Seleccione Low desde la lista desplegable Y luego haga click en OK. Regla FromInternet asignando conductos al trfico que va a travs del firewall desde WAN a LAN para all-services: Traffic Shaping Pipe Rules Add Pipe Rule: General Ingrese lo siguiente: Name: FromInternet Service: all-services Address Filter Source Destination Interface: wan lan Network: wannet lannet
Traffic Shaping
Cadenas de Conducto Forward Chain: Seleccione std-in desde la lista Available y colquela en la lista Selected. Return Chain: Seleccione std-out desde la lista Available y colquela en la lista Selected. Preferencia Marque Use Fixed Precedence Seleccione Low desde la lista desplegable Y luego haga click en OK.
257
Ejemplo: Aplique preferencia en los lmites de conducto

Este ejemplo muestra cmo definir preferencias especficas en conductos. Se aade una regla ms en la parte superior de ToInternet y FromInternet, los cuales utilizan dos conductos estndar creados en el ultimo ejemplo y habilita el buscador web al internet para tener una prioridad superior Medium ms que todos los dems trficos que tienen la preferencia. Con el fin de prevenir la respuesta de servicio desde el Internet consumiendo toda la banda ancha por su mayor prioridad, un lmite de 500 kbps es ajustado a preferencia Medium en el conducto std-in. WebUI :
1. Regla de conducto adicional HTTP con preferencia fija Medium: Traffic Shaping Pipe Rules Add Pipe Rule: General Ingrese lo siguiente: Name: HTTP Service: HTTP Address Filter Source Destination Interface: lan wan Network: lannet wannet
Traffic Shaping
Cadenas de Conducto Forward Chain: Seleccione std-out desde la lista Available y colquela en la lista Selected. Return Chain: Seleccione std-in desde la lista Available y coplquela en la lista Selected. Preferencia Marque Use Fixed Precedence Seleccione Medium desde la lista desplegable y luego haga click en OK. Click derecho en el item de regla HTTP y haga click en Move to Top.
258
2. Revisar conducto std-in para tener lmite 500kbps en la preferencia Medium Traffic Shaping Pipes std-in: Lmites de Conducto Preferencias: Aada los siguientes valores en el recuadro de editar y luego haga click en OK. Medium: 500
Ejemplo: Utilizando el agrupamiento en un conducto.

Un conducto puede ser de manera futura dividido en varios grupos con respecto a redes particulares, IP, puerto, interfaz; y el lmite total de banda ancha del conducto puede ser distribuido equitativamente en cada grupo habilitando Balance Dinmico de Banda Ancha. Las preferencias aplicadas en el conducto pueden adems ser utilizadas en todos los grupos. En este ejemplo, se revisarn dos conductos estndar std-in y std-out para tener caractersticas de agrupamiento basadas en Destino IP y Fuente IP respectivamente. WebUI :
1. Editar conducto std-in Traffic Shaping Pipes std-in: Agrupamiento Grouping: Seleccione DestinationIP desde la lista desplegable. Marque Enable dynamic balancing of groups Y luego haga click en OK. 2. Editar conductos std-out Traffic Shaping Pipes std-out: Agrupamiento Grouping: Seleccione SourceIP desde la lista desplegable. Marque Enable dynamic balancing of groups Y luego haga click en OK.
259
Ejemplo: Utilizando cadenas para crear diferentes lmites

Puede ser conectado ms de un conducto en una cadena de conductos para hacer los lmites de banda ancha ms restrictivos. En el ejemplo anterior Aplicar preferencias en los lmites de Conducto, un lmite de 500kbps en la preferencia Medium es definida en el conductostd-in. La regla HTTP dice que la respuesta HTTP desde el Internet puede utilizar por sobre 500kbps como alta prioridad de trfico, y el trfico que excede este lmite caer en la prioridad Low especificada por la regla estndar FromInternet. Tal trfico comparar los 500kbps restantes con todos los otros trficos (Los lmites totales definidos para std-in son 1000kbps). Si se desea garantizar que los otros trficos siempre tienen al menos 500kbps sin competir con el trfico HTTP excedente, se puede aadir un conducto adicional http-in que limite el consumo total de banda ancha a 500kbps, y revise la regla de conducto HTTP para tener una cadena de conducto en la direccin contraria. En esta cadena, es puesto http-in en frente de std-in. El trfico perteneciente a HTTP necesitar pasar primero los lmites totales en http-in antes de que pueda ir a std-in. El trfico HTTP excedente ser ordenado en http-in.
WebUI
1. Aadir un conducto ms http-in con lmites totales 500kbps Ingrese lo siguiente y luego haga click en OK. Traffic Shaping Pipes Add Pipe: General Name: http-in Lmites de Conducto Total: 500 2. Revisar la regla de conducto HTTP para crear una cadena de conducto de retorno Traffic Shaping Pipe Rules HTTP Traffic Shaping: Cadenas de Conducto Cadena de retorno Seleccione http-in desde la lista Available y colquela en la lista Selected en la parte TOP de std-in y luego haga click en OK. Gua de Usuario de los Firewalls D-Link
CAPITULO
24
Servidor de Balanceo de Carga (SLB)
24.1
Vista General
Server Load Balancing (SLB) es un mecanismo que trata con la distribucin de carga de trfico a travs de mltiples servidores para escalar ms all de la capacidad de un slo servidor, y para tolerar una falla de servidor. Esta tecnologa es integrada en los firewalls D-Link para habilitar una alta ejecucin y rendimiento de la red.
24.1.1
El mdulo SLB
En el mdulo SLB, un dispositivo de red acta como un Server load balancer, conectando la red donde el trfico solicitante llega desde un cluster o servidores denominados Server farm.
Vista lgica SLB La Figura 24.1 ilustra una vista lgica de un mdulo SLB. En este mdulo, 3 servidores construyen un banco de servidores, y un firewall D-Link acta como un server load balancer.
Server farm Una coleccin de servidores computacionales usualmente mantenidos por una empresa para lograr las necesidades de servicio por sobre la capacidad de un solo aparato. 261
262
Captulo 24. Server Load Balancing (SLB)
Figura 24.1: Una vista lgica SLB.
Server load balancer Es un aparato para ejecutar las funciones de SLB, que presta atencin a las solicitudes entrantes, decide el modo de distribucin de trfico y algoritmo, re-dirige el trfico a ciertos servidores dentro del banco de servidores, y monitorea la disponibilidad de los servidores. Los firewalls D-Link son balanceadores de carga, los cuales pueden ser configurados para ejecutar la distribucin de carga y monitoreo de funciones.
24.1.2
Caractersticas SLB
Las caractersticas claves que el SLB puede entregar son resumidas a continuacin: Distribucin de Carga La caracterstica de la distribucin de Carga es responsable de la distribucin de trfico a los servidores de destino de acuerdo a algunas polticas predefinidas, ej. Modo de distribucin & algoritmo. Este determina hacia donde se dirige el trfico y cmo es compartida la carga de trfico entre los servidores disponibles. Monitoreo de Servidor Monitoreo de Servidor es utilizado para la ejecucin de varias inspecciones para evaluar la salud de los servidores. Este trabaja a diferentes capas del modulo OSI, rastrea Gua de Usuario de los Firewalls D-Link
24.1. Vista General
263
a tiempo real del estado de los servidores, y notifica la distribucin de trfico para redireccionar el trfico si falla algn servidor.
24.1.3
Benecios
La solucin SLB entrega una administracin de trfico ms avanzada y flexible, un mayor poder de procesamiento, en comparacin a la implementacin de un solo servidor. Las ventajas significativas son: Escalabilidad El SLB mejora drsticamente la escalabilidad de una aplicacin banco de servidores distribuyendo la carga a travs de servidores mltiples. La adicin de nuevos servidores, y la eliminacin fallas de servidores existentes, pueden ocurrir a cualquier momento, sin experimentar perodo de inactividad. Habilidad Optimizada El SLB ayuda a reducir la cantidad de trabajo de cada servidor, y por lo tanto, entrega una respuesta ms rpida a solicitudes de usuario. Cualquier servidor en el banco de servidores no ser inundado por trfico inusualmente pesado que no es capaz de manejar. La carga adicional puede ser tomada sobre otros servidores activos automticamente. Disponibilidad La distribucin de carga y monitoreo de servidor cooperan para conseguir recuperacin de fallos automtico. Con estas dos caractersticas, el SLB es capaz de direccionar el trfico a servidores alternativos si un servidor falla. Seguridad En un modulo SLB, una direccin de servidor pblico es presentado a los clientes, representando la server farm. La direccin real de los servidores se encuentra escondida detrs de tal direccin publica y jams es revelada a la red externa (cubierta por 24.2 Implementaciones SLB). Esta puede filtrar trfico no deseado basado tanto en direccin IP y TCP nmeros de puerto UDP, y ayuda a proteger contra formas mltiples de ataques de denial-of-service(DoS.)
Fcil Mantenimiento La Administracin de aplicaciones de servidor es fcil. El banco de servidores es visto como un solo servidor virtual por los Clientes con una direccin pblica; no se necesita de una administracin para los cambios reales de servidor, los cuales son transparentes a la red externa. Gua de Usuario de los Firewalls D-Link
264
24.2
Implementacin SLB
Para implementar el mtodo SLB, el administrador define un banco de servidores contenedor de servidores reales mltiples, y amarra el banco de servidores como un slo servidor virtual al firewall D-Link ( load balancer), utilizando una direccin pblica IP. En este ambiente, los clientes estn configurados para conectarse a la direccin pblica del banco de servidores. Cuando un cliente inicia una conexin al banco de servidores el firewall utiliza la regla SAT para traducir la direccin de destino. Cul servidor real ser elegido por el firewall como el ms apropiado es determinado por el modo pre-definido y algoritmo. Cooperando con la tarea de distribucin, el firewall monitorea la salud de los servidores por alguna verificacin de conexin capa 3/ capa 4.
24.2.1
Modo de Distribucin
Los firewalls D-Link pueden ser configurados para trabajar para SLB con los siguientes modos: 1. Distribucin por estado: El estado de cada distribucin es grabado por el firewall. Una sesin completa podra ser transferida al mismo servidor para garantizar una confiable transmisin de datos. 2. Stickiness de direccin IP: Los modos sticky rastrean las conexiones de cliente para entregar integridad de transmisin. En el modo stickness de direccin IP, nuevas conexiones desde direcciones de cliente IP son asignadas al mismo servidor real como si fueran conexiones previas de esa direccin. 3. Stickiness de red: Este modo trabaja como el mismo stickiness de direccin IP, slo aplique a las direcciones subred.
24.2.2
Algoritmos de Distribucin
Como server load balancers, los firewalls D-Link utilizan algoritmos configurables como criterio de seleccin para controlar la distribucin de trfico. El Firewall elige de manera inteligente el servidor ms apropiado y apunta a maximizar la utilizacin total del banco de servidores. Los firewalls D-Link ofrecen los siguientes algoritmos para lograr las tareas de distribucin de carga: Gua de Usuario de los Firewalls D-Link
24.2. Implementacin SLB
265
1. Algoritmo Round-Robin trata todos los servidores reales como si tuvieran capacidades iguales, a pesar de los otros hechos, tal como el nmero de conexiones existentes o tiempo de respuesta. 2. Algoritmo de Rango de Conexin redirecciona una conexin a el servidor con el menor nmero de nuevas conexiones en un tiempo predefinido de span. Una seleccin dentro del firewall guarda el nmero de nuevas conexiones por segundo para cada servidor. ste actualiza a cada segundo para remover los viejos valores de conexin. El algoritmo Round-Robin es apropiado cuando los servidores reales dentro del banco de servidores tienen iguales poderes de procesamiento, mientras que el utilizar Algoritmo de Rango de Conexin puede optimizar el tiempo de respuesta. Sin importar qu algoritmo es elegido, si un servidor se cae, el trfico ser enviado a otro servidor. Y cuando el servidor vuelva a estar en lnea, este puede automticamente ser ubicado de nuevo en el banco de servidores y comenzar a tener solicitudes nuevamente.
24.2.3
Verificacin del estado del Servidor
El ejecutar varias verificaciones para determinar la condicin de salud de los servidores es uno de los beneficios ms importantes del SLB. En las diferentes capas OSI, los firewalls D-Link pueden llevar a cabo ciertas verificaciones de nivel de red. Cuando un servidor falla, el firewall lo remueve de la lista de servidor activo, y no dirigir ningn paquete a este servidor hasta que ste vuelva. Un mensaje ICMP Destination Host Unreachable ser enviado por el firewall una vez que la lista de servidor activo est vaca. ICMP Ping En la capa OSI 3, la verificacin involucra un Ping a la direccin IP de servidor real para ver dnde est corriendo el servidor. Conexin TCP En la capa 4 OSI, el firewall intenta conectarse al Puerto configurado del servidor donde una aplicacin est corriendo. Por ejemplo, si el servidor est corriendo una aplicacin web (HTTP) en el Puerto 80, el firewall tratar de establecer una conexin para envolver ese puerto. sta enva una solicitud SYN TCP al puerto 80 en ese servidor y esperar por un SYN/ACK TCP en retorno; si falla, marcar el puerto 80 para bajarlo de ese servidor. Gua de Usuario de los Firewalls D-Link
266
24.2.4
Paquetes que fluyen por SAT
En los firewalls D-Link, la regla SAT habilitada de balance de carga es utilizada para traducir intercambio de paquetes entre un cliente y los servidores reales. Cuando una nueva conexin es abierta, la regla SAT es gatillada; sta traduce la direccin IP del banco de servidores pblico a la direccin real de servidor. Una modificacin necesaria a los paquetes es ejecutada por el sistema subyacente determinado por la regla NAT o Allow.
24.3
Escenario: Habilitando SLB
Los pasos de configuracin principales necesarios para habilitar la funcin SLB en los firewalls D-Link son alineados a continuacin:
Especificar un Banco de Servidores Denir un grupo de servidores como banco de
servidores seleccionando los objetos con IP correcta.

Especificar la regla SAT habilitada de balance de carga Configurar una
regla SAT con campos de filtro para que el firewall coincide con el flujo de trfico y gatille el SLB .
Especificar el Modo de Distribucin & Algoritmo Entrega las polticas de
distribucin que el firewall debe utilizar.
Ejemplo: Configuracin SLB
Figura 24.2: Un Escenario SLB
24.3. Escenario: Habilitando SLB
267
Este ejemplo describe cmo puede ser utilizado SLB para load balance conexiones SSH a dos servidores SSH detrs de un Firewall D-Link conectado a Internet con direccin IP ip ext, como muestra la Figura 24.2. Los dos servidores SSH tienen las direcciones IP privadas 192.168.1.10 y 192.168.1.11. WebUI :
1. Crear Objetivos Primero que todo se necesita crear objetivos locales que mantengan la direccin IP para cada servidor. Objects Address Book Add IP4 Host/Network: Name: SSH Server1 IP Address: 192.168.1.10 Luego haga click en OK Objects Address Book Add IP4 Host/Network: Name: SSH Server2 IP Address: 192.168.1.11 Luego haga click en OK 2. Crear Regla SLB SAT El siguiente paso es ajustar la regla SLB SAT. Rules IP Rules Add IP Rule: Name: SSH SLB Action: SLB SAT Service: ssh Source Interface: any Source Network: all-nets Destination Interface: core Destination Network: ip ext SAT Server Load Balancing Server Addresses: Seleccione Servidor1 SSH y Servidor2 SSH. Luego haga click en OK
268
3. Crear Regla NAT El siguiente paso es ajustar la regla NAT para permitir el trfico SAT:ed por la regla Anterior. Rules IP Rules Add IP Rule: Name: SSH SLB NAT Action: NAT Service: ssh Source Interface: any Source Network: all-nets Destination Interface: core Destination Network: ip ext Luego haga click en OK
Nota
Es posible configurar ajustes para monitoreo, mtodo de distribucin y stickiness. Pero en este ejemplo es utilizado el valor por defecto.
Parte X
Caractersticas Miscelneas.
Adems de una proteccin segura a la red, los firewalls D-Link pueden actuar como agentes intermediarios para servicios variados de Internet y as facilitar el uso de varios protocolos en nombre de los clientes. Los tpicos en esta parte incluyen:

Clientes Miscelaneos DHCP Server & Relayer
CAPITULO
25
Clientes Miscelneos
25.1
Vista General
Los firewalls D-Link ofrecen soporte a clientes de red miscelneos para DNS Dinmico y servicios similares. Actualmente, los proveedores de servicio que son soportados por el firewall incluyen:
Dyndns.org Dyns.cx Cjb.net Oray.net Peanut Hull DynDNS Telia BigPond
25.2
DNS Dinmico
Dynamic Domain Name System (DynDNS), es un mtodo para mantener un nombre de dominio vinculado a una direccin IP cambiante. Cuando un usuario se conecta al Internet a travs de medios entregados por el ISP, una direccin IP sin utilizar para una piscina de direcciones IP es asignada al aparato del usuario, y esta direccin es utilizada slo para la duracin de sa conexin especfica. Un proveedor de servicio DNS dinmico utiliza un programa especial que corre en la mquina del usuario, 271
272
Captulo 25. Clientes Miscelneos
contactando el servicio DNS cada vez que la direccin IP entregada por el ISP cambia y actualiza posteriormente la base de datos DNS para reflejar el cambio en la direccin IP. Este mtodo permite que la mquina del usuario tenga un nombre de dominio que siempre apunte a ste, a pesar de que la direccin IP cambie a menudo. Otros usuarios no tienen cmo conocer la direccin IP modificada con el fin de conectarse a la mquina. Con el fin de utilizar esta funcin como un cliente DynDNS, uno debe tener una cuenta con uno de los proveedores de servicio soportados. Dyndns.org Dyndns.org es un servicio gratuito DynDNS que permite los registros bajo docenas de dominios, ej. MYDNS.dyndns.org, MYDNS.dnsalias.net, etc. Dyns.cx Dyns.cx es un servicio gratuito DynDNS que permite los registros bajo un nmero de dominios: dyns.cx, dyns.net, ma.cx, metadns.cx, etc. Cjb.net Cjb.net entrega servicio gratuito DynDNS (y ms) que permite los registros bajo cjb.net. Oray.net Oray.net Peanut Hull DynDNS ofrece servicios gratuitos DynDNS bajo varios nombres de dominio. Luego de un registro exitoso en uno de los proveedores de servicio DynDNS, un cliente DynDNS puede configurar la informacin de cuenta en el firewall para ser capaz de ingresar automticamente al servicio.
25.3
Registro Automtico de Cliente
Algunos proveedores de servicio Internet necesitan que los usuarios se registren va URL cada vez antes de que cualquier servicio sea repartido. Actualmente, los firewalls D-Link ofrecen un registro automtico de cliente a los siguientes proveedores:
Telia Una mejor compaa de servicio de telecomunicacin en la regin Nrdica
y Bltica. Gua de Usuario de los Firewalls D-Link
25.4. Poster HTTP
273
BigPond Utilizado por Telstra, un proveedor de servicio banda ancha y
multimedia. Autentifica utilizando la interfaz (la cual debe ser permitida por DHCP) asociada con la ruta predeterminada.
25.4
Poster HTTP
Poster HTTP es una funcin que habilita el registro automtico de cliente, nombres de dominio y direcciones IP sin fecha para DynDNS. Cuando el firewall ha parcelado su configuracin, el Poster HTTP expone todos los URLs configurados sucesivamente, y esperar un tiempo de retraso configurable para re-post los URLs.
Nota
El actualizar muy a menudo puede causar que el proveedor de servicio cancele el servicio. De este modo, dependiendo de los requerimientos por proveedores particulares, el valor del retraso no debe ser muy pequeo.
25.4.1
Formato URL
El formato URL utilizado en el Poster HTTP Poster varan dependiendo del proveedor de servicio especfico. Bsicamente, un URL contiene Nombre de Usuario/Contrasea, nombre de dominio del proveedor, y otros parmetros. Por ejemplo, el formato URL para servicio DynDNS entregado por Dyndns.org es: http://MYUID:MYPWD@members.dyndns.org/nic/update?hostname= MYDNS.dyndns.org
CAPITULO
26
Servidor DHCP & Relayer
26.1
Servidor DHCP
El servidor DHCP implementa la tarea de asignar y manejar direcciones IP desde piscinas de direccin especificadas para clientes DHCP. Cuando un servidor DHCP recibe una solicitud desde un cliente DHCP, este vuelve los parmetros de configuracin (tal como una direccin IP, una direccin MAC, un nombre de Dominio y un contrato para la direccin IP) al cliente en un mensaje unicast. Debido a que el servidor DHCP mantiene configuraciones para varias subnets, un administrador slo necesita actualizar uno solo, el servidor central cuando los parmetros de configuracin cambia. Comparado con la asignacin esttica en donde el cliente tiene la direccin, el direccionamiento dinmico por el servidor DHCP contrata la direccin a cada cliente por un periodo de tiempo pre-definido. Durante el ciclo de vida del contrato, el cliente tiene permiso para mantener la direccin asignada y es garanta para no tener colisin de direccin con otros clientes. Antes de la expiracin del contrato, el cliente necesita renovar el contrato desde el servidor, as este puede seguir utilizando su direccin IP. El cliente puede adems decidir en cualquier momento que no desea utilizar ms la direccin IP que fue asignada, y puede terminar el contrato soltando la direccin IP. El tiempo de arriendo puede ser configurado en el servidor DHCP por el administrador.
275
276
Captulo 26. Servidor DHCP & Relayer
Ejemplo: Configurando el firewall como un servidor DHCP

Este ejemplo describe cmo configurar un servidor DHCP en la interfaz interna (LAN)( Refirase a 9.1.2, Interfaces Ethernet en los Firewalls D-Link). WebUI :
Congurar Servidor DHCP
System DHCP Settings DHCP Server Add DHCP Server: Ingrese lo siguiente: Name: dhcpserver lan Interface Filter: LAN (La(s) interfaz(es) que atienden por solicitudes DHCP) IP Address Pool: 192.168.1.10-192.168.1.20 (La piscina de direcciones IP a distribuir) Netmask: 255.255.255.0 (Especifique la netmask a distribuir) Opciones Default GW: Especifique la puerta de enlace predeterminada a distribuir a clientes DHCP. En este caso (None). Domain: Especifique el dominio a distribuir. Este puede ser dejado vaco. Lease Time: Congurar el tiempo que debe ser vlido el arriendo. DNS: Congurar la informacin de servidor DNS para distribuir a clientes DHCP. Este puede ser dejado en (None). NBNS/WINS: Congurar la informacin de servidor NBNS/WINS para distribuir a clientes DHCP. Este puede ser dejado en (None). Next Server: Especifique la direccin IP del siguiente servidor en el proceso de arranque, este es usualmente un servidor TFTP. Este puede ser dejado en (None). Opciones de encargo Aqu usted puede aadir opciones de encargo al contrato DHCP. Es posible especificar el cdigo, tipo y parmetro. Cuando termine, haga click en OK
26.2. DHCP Relayer
277
26.2
DHCP Relayer
En la implementacin DHCP, los clientes envan solicitudes para localizar el servidor DHCP por mensajes transmitidos. Sin embargo, las transmisiones son slo normalmente propagados en la red local. Esto significa que el servidor DHCP y cliente podra siempre necesitar estar en la misma rea de red fsica para ser capaz de comunicarse. En tal caso, para un gran ambiente Internet, este necesita un servidor diferente en cada red, y el beneficio de tener una configuracin de servidor centralizada es ampliamente reducido. Este problema es resuelto por el uso de relayer DHCP.
Un relayer DHCP toma el lugar del servidor DHCP en la red local para actuar como el intermedio entre el cliente y el servidor DHCP remoto. Este intercepta solicitudes para clientes y los re-transmite al servidor. El servidor luego responde de vuelta a la retransmisin, la cual reenva la respuesta al cliente. La retransmisin DHCP sigue la funcionalidad de agente de relayer BOOPT y retiene el formato de mensaje BOOTP y protocolo de comunicacin, y por lo tanto son denominados a menudo BOOTP relayer agents.
Ejemplo: Configurando el firewall como un relayer DHCP

La configuracin en este ejemplo permite a los clientes en las interfaces VLAN para obtener direcciones IP desde un servidor DHCP. Antes de que los siguientes pasos sean tomados, es asumido que el firewall es configurado con interfaces VLAN que van a utilizar relaying DHCP, y la direccin IP del servidor DHCP ha sido definido en el libro de direccin denominado como ip-dhcp. Para informacin sobre la configuracin VLAN, por favor refirase a 9.2.3, Implementacin VLAN. En este caso, dos interfaces VLAN denominado como vlan1 y vlan2 son utilizadas El firewall puede tambin instalar una ruta para el cliente cuando ha finalizado el proceso DHCP y obtenido una IP.
278
Captulo 26. Servidor DHCP & Relayer
WebUI
1. Grupo de Interfaz: aadir interfaces VLAN vlan1 y vlan2 que deben retransmitir a un grupo de interfaz denominado como ipgrp-dhcp. Interface Interface Groups Add Interface Group: Name: ipgrp-dhcp Interfaces: seleccione vlan1 y vlan2 desde la lista Available y colquelas en la lista Selected. Luego haga click en OK. 2. DHCP relay: aada un DHCP relay denominado como vlan-to-dhcpserver System DHCP Settings DHCP Relays Add DHCP Relay: General: General Name: vlan-to-dhcpserver Action: Relay Source Interface: ipgrp-dhcp DHCP Server to relay to: ip-dhcp
Add Route:
Marque Add dynamic routes para este contrato relayed DHCP. Luego haga click en OK.
Parte XI
Modo Transparente
CAPITULO
27
Modo Transparente
La caracterstica de Modo Transparente entregado por los firewalls D-Link apuntan a simplificar el despliegue de dispositivos firewall en la topologa de red existente, para fortalecer la seguridad. Esto ayuda a facilitar el trabajo de administracin en un modo en que no hay necesidad de configurar todos los ajustes para los nodos dentro de la red en curso, cuando un firewall es introducido en el flujo de comunicacin. Este captulo entrega una vista general del ofrecimiento del modo transparente e introduce cmo el modo transparente es implementado en los firewalls D-Link en detalle. Los ejemplos de configuracin de distribuciones simples de red y escenarios a tiempo real ms complicados pueden ser encontrados al final de este captulo.
27.1
Vista General
La transparencia refiere a la visibilidad del firewall para hosts en ambos lados de un rewall. Un firewall es considerado transparente para los usuarios si estos no notifican el firewall en el flujo del paquete. Cuando se aade un firewall transparente en una estructura de red pre-existente, se consigue las siguientes ventajas para el administrador de red:
No se necesita reconfiguracin los clientes pueden mantener la misma
configuracin de red luego de que firewall ha sido instalado.

No se aade obstculo el despliegue del firewall debe ser invisible para los usuarios
internos, cuando estos pueden an obtener los servicios permitidos. 281
282
Captulo 27. Modo transparente
Mejora la seguridad el firewall debe ser capaz de explorar el trfico
entrante/saliente por las reglas de seguridad definida. Los firewalls D-Link pueden trabajar de dos modos: Modo Routing & Modo Transparente. En el Modo Routing normal, el firewall acta como un router de Capa 3. Si el firewall es ubicado en una red por primera vez, o si hay cualquier cambio topolgico dentro de los nodos, la configuracin de routing debe ser examinada rigurosamente para asegurar que la tabla de routing del sistema firewall es consistente con la distribucin de red actual. La reconfiguracin de ajustes IP es adems requerida para routers pre-existentes y servidores protegidos. Este modo trabaja bien cuando se desea tener un control completo sobre el routing, y saber de la localizacin especfica de dispositivos importantes, para tener la ms alta seguridad posible. Por ejemplo, se espera que el servidor localizado en un rea protegida slo reciba el trfico necesario. Mientras que en el Modo Transparente, el firewall acta ms que un switch. Este protege paquetes IP que atraviesan el firewall y los reenva transparentemente en la interfaz correcta sin modificar cualquiera de la informacin de fuentes o destinos. Todas las interfaces transparentes son consideradas para estar en la misma red, de modo que si un cliente se mueve a otra interfaz este puede an obtener los mismos servicios que antes sin reconfiguracin routing. En el modo transparente, el firewall permite a las transacciones ARP ir a travs, y aprende desde el trfico ARP la relacin entre la direccin IP y la direccin fsica de la fuente y destino. Hay mecanismos que ayudan al firewall a recordar la informacin de direccin, con el fin de transmitir paquetes IP a los receptores deseados. Durante la transaccin, ninguno de los puntos de trmino sabrn del trabajo del Firewall entre ellos.
27.2
Implementacin de Modo Transparente en los Firewalls D-Link
Como se explic anteriormente, el firewall D-Link permite transacciones ARP cuando es ajustado para ser modo transparente y en ese sentido ste trabaja casi como un Switch de Capa 2 en la red. El firewall utiliza el trfico ARP como una fuente de informacin cuando construye su tabla switch de ruta. Para comenzar con el modo transparente, los siguientes pasos deben ser realizados en el firewall:
Grupos de interfaces especifique un grupo de interfaces que van a utilizar el
Modo transparente. Gua de Usuario de los Firewalls D-Link
27.2. Implementacin del Modo Transparente en los Firewalls D-Link
283
Crear una Ruta Switch como interfaz, seleccione el grupo de interfaz
creado anteriormente. Como red, especifique el rango de direccin que debe ser transparente entre las interfaces. Cuando todo el firewall est trabajando en el Modo Transparente este es normalmente 0.0.0.0/0.
Cuando se inicia la comunicacin, un anfitrin localizar las otras direcciones fsicas de anfitriones transmitiendo una solicitud ARP. Cuando el firewall intercepta una solicitud ARP, esta ajusta una ARP Transaction State dentro del firewall y transmite la solicitud ARP a todas las interfaces ruta-switch a excepcin de la interfaz que la solicitud ARP ha recibido. Si el firewall recibe una respuesta ARP desde el destino dentro de un tiempo de desconexin de tres segundos, esto transmitir la respuesta de vuelta a la solicitud del remitente, utilizando informacin almacenada en el ARP Transaction State.
Durante la transaccin ARP, el firewalls aprender la informacin de direccin de fuente de ambos extremos desde la solicitud y respuesta. Dentro del Firewall D-Link, dos tablas son mantenidas utilizadas para almacenar tal informacin, llamada Content -Addressable Memory(CAM) Table y Capa 3 Cache respectivamente.
Una tabla CAM contiene informacin de las direcciones MAC disponibles en una interfaz fsica entregada del firewall, mientras la Capa 3 cache almacena mapeos entre direcciones IP, direccin MAC e interfaz. Como la Capa 3 Cache es slo utilizada por el trfico IP, las entradas de Capa 3 Cache son almacenadas como una sola entrada de anfitrin en la tabla routing. Para cada paquete IP que atravesar el firewall, se realizar una bsqueda de ruta para el destino. Si la ruta del paquete coincide una ruta switch entrada de Capa 3 Cach en la tabla routing, el firewall sabe que debe manejar este paquete de manera Transparente. Si una interfaz de destino y direccin MAC est disponible en la ruta, el firewall tiene la informacin necesaria para reenviar el paquete al destino. Si la ruta fue un routerswitch , no es disponible ninguna informacin especfica acerca del destino y el firewall tendr que descubrir donde est localizado el destino en la red. El descubrimiento es realizado enviando solicitudes ARP, actuando como el remitente inicial del paquete original IP para el destino en las interfaces especificadas en el RouterSwitch. Si una respuesta ARP es recibida, el firewall actualizar la tabla CAM y la Capa 3 Cache y reenva el paquete al destino.
284
Captulo 27. Modo Transparente
Si la Tabla CAM Capa 3 Cache est completa, las tablas son parcialmente Limpiada automticamente. Utilizando el mecanismo de descubrimiento, el firewall redescubrir destinos que pueden ser limpiada.
27.3
Escenarios: Habilitando el Modo Transparente

Ejemplo: Escenario 1 de Modo Transparente
Figura 27.1: Escenario 1 de Modo Transparente.
El escenario 1 muestra cmo un firewall en Modo Transparente puede ser ubicado en una red existente entre un router de acceso Internet y la red interna, sin necesidad de reconfigurar clientes en la red interna. En este escenario un router es utilizado para compartir una conexin Internet con una direccin IP pblica. La red NAT:ed interna detrs del firewall es en el espacio de direccin 10.0.0.0/24. Los clientes en la red interna deben estar permitidos para acceder el Internet va protocolo HTTP. La interfaz WAN y LAN en el firewall debern ser configurados para operar en Modo Transparente. Es preferible configurar direcciones IP en las interfaces WAN y LAN, cuando estas pueden mejorar el rendimiento durante el descubrimiento automtico de anfitriones. Gua de Usuario de los Firewalls D-Link
27.3. Escenarios: Habilitando Modo Transparente
285
Todo el trfico que pasa a travs del firewall tendr que pasar a travs del ajuste de regla IP. Para permitir el trfico HTTP, una nueva regla IP debe ser configurada. (Refirase a 14.3 Escenario.) WebUI :
1. Interfaces Interfaces Ethernet Edit (WAN): Ingrese lo siguiente: IP Address: 10.0.0.2 Network: 10.0.0.0/24 Default Gateway: 10.0.0.1 Transparent Mode: Enable Luego haga click en OK Interfaces Ethernet Edit (LAN): Ingrese lo siguiente: IP Address: 10.0.0.2 Network: 10.0.0.0/24 Transparent Mode: Enable Luego haga click en OK
2. Reglas Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: HTTPAllow Action: Allow Service: http Source Interface: LAN Destination Interface: any Source Network: 10.0.0.0/24 Destination Network: 0.0.0.0/0 (all-nets) Luego haga click en OK
286
Captulo 27 . Modo Transparente
Ejemplo: Escenario 2 Modo Transparente
Figura 27.2: Escenario 2 Modo Transparente.
El escenario 2 muestra cmo un firewall en Modo Transparente puede ser utilizado para separar recursos de servidor desde la red interna agregndolas a una interfaz firewall separada sin necesidad de diferentes rangos de direccin. Los servidores que contienen recursos que son accesibles desde el exterior podran ser un riesgo de seguridad si estos estn ubicados directamente en la red interna. Debido a esto, tales servidores son a menudo conectados a una interfaz separada en el Firewall, como DMZ. En este escenario todos los anfitriones conectados a LAN y DMZ comparten el espacio de direccin 10.0.0.0/24. Cuando este es configurado utilizando el Modo Transparente cualquier direccin IP puede ser utilizada por los servidores, y no hay necesidad para los anfitriones en la red interna el conocer si un recurso est en la misma red o ubicado en DMZ. Esto hace al firewall transparente en la comunicacin entre DMZ y LAN aunque el trfico pueda ser restringido utilizando las reglas de ajuste del Firewall IP. Aqu se permite a los anfitriones en la red interna comunicarse con un servidor HTTP en DMZ. Adems, se permite el servidor HTTP en DMZ para ser alcanzado desde el Internet. Pueden ser aadidas reglas adicionales para permitir otro trfico.
27.3. Escenarios: Habilitando Modo Transparente
287
Este escenario muestra cmo configurar una Ruta Switch sobre las interfaces LAN y DMZ para el espacio de direccin 10.0.0.0/24. Es asumido que la interfaz WAN ya ha sido configurada correctamente. WebUI :
1. Interfaces Interfaces Ethernet Edit (LAN): Ingrese lo siguiente: IP Address: 10.0.0.1 Network: 10.0.0.0/24 Transparent Mode: Disable Add route for interface network: Disable Luego haga click en OK Interfaces Ethernet Edit (DMZ): Ingrese lo siguiente: IP Address: 10.0.0.2 Network: 10.0.0.0/24 Transparent Mode: Disable Add route for interface network: Disable Luego haga click en OK 2. Interface Groups Interfaces Interface Groups Add Interface Group: Ingrese lo siguiente: Name: TransparentGroup Security/Transport Equivalent: Disable Interfaces: Select LAN and DMZ Luego haga click en OK 3. Routing Routing Main Routing Table Add Switch Route: Ingrese lo siguiente: Switched Interfaces: TransparentGroup Network: 10.0.0.0/24 Metric: 0 Luego haga click en OK
288
Captulo 27 . Modo Transparente
4. Reglas Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: HTTP-LAN-to-DMZ Action: Allow Service: http Source Interface: LAN Destination Interface: DMZ Source Network: 10.0.0.0/24 Destination Network: 10.1.4.10 Luego haga click en OK Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: HTTP-WAN-to-DMZ Action: SAT Service: http Source Interface: WAN Destination Interface: DMZ Source Network: all-nets Destination Network: wan-ip Translate: Select Destination IP New IP Address: 10.1.4.10 Luego haga click en OK Rules IP Rules Add IP Rule: Ingrese lo siguiente: Name: HTTP-WAN-to-DMZ Action: Allow Service: http Source Interface: WAN Destination Interface: DMZ Source Network: all-nets Destination Network: wan-ip Luego haga click en OK
Parte XII
Zona de Defensa
CAPITULO
28
Zona de Defensa
28.1
Vista General
La Zona de Defensa es una caracterstica en los firewalls D-Link, la cual permite al firewall controlar localmente los switches adjuntos. Esto puede ser utilizado como una contramedida para evitar que un computador infectado en la red local infecte a otros computadores.
Ajustando las reglas threshold en el firewall, anfitriones redes que estn excediendo el treshold definido pueden ser dinmicamente bloqueados. Los tresholds estn basados en el nmero de nuevas conexiones realizadas por segundo, por tanto un slo anfitrin todos los anfitriones dentro de un rango de red CIDR especificada (un rango de direccin IP especificada por una combinacin de una direccin IP y su mscara de red asociada). Cuando el firewall nota que un anfitrin o una red ha alcanzado el lmite especfico, ste carga reglas ACL (Access Control List) para los switches, lo cual bloquean en turno todo el trfico para ese anfitrin o red. Los anfitriones y redes bloqueadas se mantienen bloqueadas hasta que el sistema administrador manualmente los desbloquee utilizando la Web del firewall la interfaz de lnea de comando.
28.2
Switches de Zona de Defensa
La informacin Switch de acuerdo a cada switch que es controlado por el firewall debe ser manualmente especificada en la configuracin del firewall. La informacin necesitada con el fin de controlar un switch incluye: 291
292
Captulo 28. Zona de Defensa
La informacin IP de la interfaz administrada del switch El tipo de modelo del switch La sucesin SNMP comunitaria (acceso escrito)
Actualmente, la caracterstica de Zona de Defensa soporta los siguientes switches: - D-Link DES 3226S (rmware mnimo: R4.02-B14) - D-Link DES 3250TG (rmware mnimo: R3.00-B09) - D-Link DES 3326S (rmware mnimo: R4.01-B39) - D-Link DES 3350SR (rmware mnimo: R1.02.035) - D-Link DES 3526 (rmware mnimo: R3.01-B23) - D-Link DES 3550 (rmware mnimo: R3.01-B23) - D-Link DGS 3324SR (rmware mnimo: R4.10-B15)
Nota
Asegrese de que los switches tienen las versiones mnimas de firmware requeridas antes de activar la zona de defensa.
28.2.1
SNMP
Simple Network Management Protocol (SNMP) es un protocolo de capa de aplicacin para la administracin de redes complejas. El SNMP permite a los administradores y dispositivos administrados en una red, comunicarse enviando mensajes, con el propsito de acceder a diferentes partes de la red. Administrador Un administrador tpico, como un firewall D-Link, ejecuta el protocolo SNMP para monitorear y controlar los dispositivos de red en el ambiente administrado. El administrador puede cuestionar estadsticas almacenadas desde los dispositivos controlados utilizando la secuencia comunitaria SNMP, la cual es como una id de usuario o contrasea para permitir el acceso a la base de datos de los dispositivos. Si el tipo de sucesin comunitaria es escrito, el administrador ser capaz de modificar propiedades en el dispositivo. Gua de Usuario de los Firewalls D-Link
28.3. Reglas Threshold
293
Dispositivos administrados Los dispositivos administrados son obedientes a SNMP, tal como los switches D-Link. Estos almacenan datos administrados en sus bases de datos, conocidas como Management Information Base (MIB), y entrega la informacin bajo cuestionamiento al administrador.
28.3
Reglas Threshold
Como se explic previamente, una regla threshold desencadenar la Zona de Defensa para bloquear un anfitrin especfico si el rango de conexin especificado en la regla es excedida. Similar a las reglas IP, una regla threshold adems contiene varios campos, especificando cual tipo de trfico debe coincidir la regla. En total, una regla threshold es definida por:
Fuente de interfaz y de red. Interfaz de destino e interfaz de red. Servicio. Tipo de threshold: Anfitrin y/o basado en red.
El trfico que coincide el criterio anterior y que causa que el anfitrin/red threshold sea excedido gatillar la funcin de Zona de Defensa, la cual prevendr al anfitrin/redes de acceder a los switch(es). Todos los bloqueos en respuesta a violaciones de threshold sern prohibidos basado en direcciones IP del anfitrin red en el/los switch(es). Cuando un threshold basado en red ha sido excedido, la fuente de red ser bloqueada en lugar de slo ofender a los anfitriones.
28.4
Bloqueo Manual & Listas Excluyentes
Como un complemento a las reglas threshold, es tambin posible definir manualmente a los anfitriones y redes que estn estticamente bloqueados excludos. Los anfitriones manualmente bloqueados y redes pueden ser bloqueados por defecto basados en un programa. Es adems posible especificar cuales protocolos y nmero de puerto de protocolo deben ser bloqueados. Pueden ser creadas listas excluyentes y utilizadas con el fin de excluir anfitriones de ser bloqueados cuando un lmite de regla threshold es alcanzada. Una buena prctica incluye Gua de Usuario de los Firewalls D-Link
294
el aadir la interfaz IP del firewall direccin MAC conectadas hacia el switch de Zona de Defensa para la lista Excluyente. Esto previene al firewall de ser accidentalmente bloqueado.
28.5
Limitaciones
Dependiendo del modelo del switch, hay varias limitaciones en efecto. La primera, es la latencia entre el activar una regla de bloqueo al momento de que el switch(es) realmente bloquee el trfico coincidente con la regla. Todos los modelos de switch requieren al menos algn tiempo para reforzar las reglas luego de que stas son entregadas por el firewall. Algunos modelos pueden activar las reglas dentro de un segundo mientras otras requieres de un minuto incluso ms. Otra limitacin es el nmero mximo de reglas soportadas por el switch. Algunos switches soportan solo 50 reglas mientras otros soportan por sobre 800 (usualmente, con el fin de bloquear un anfitrin red, una regla por Puerto switch es necesitada). Cuando este lmite ha sido alcanzado no sern bloqueados ms anfitriones redes.
Nota
La Zona de Defensa utiliza un rango para la regla de ajuste ACL en el switch. Para evitar conflictos potenciales en estas reglas y garantizar el control de acceso del firewall, es altamente recomendable que el administrador limpie por completo el ajuste de regla ACL en el switch antes de procesar la configuracin de la Zona de Defensa.
28.6
Escenario: Ajustando Zona de Defensa
El siguiente ejemplo simple ilustra los pasos necesarios para ajustar la funcin de Zona de Defensa en los firewalls D-Link. Se asume que todas las interfaces en el firewall ya han sido propiamente configurados.
Ejemplo: Configurando Zona de Defensa

En este escenario simplificado, un threshold HTTP de 10 conexiones/Segundo es aplicado. Si las conexiones exceden este lmite, el firewall bloquear al anfitrin especfico (en el rango de red 192.168.2.0/24 por ejemplo) de accesar al switch por completo.
28.6. Escenario: Ajustando Zona de Defensa
295
Figura 28.1: Un Escenario de Zona de Defensa.
Un switch D-Link de modelo DES-3226S es utilizado en este caso, con una direccin de administracin de interfaz 192.168.1.250 conectando a la direccin de interfaz del firewall 192.168.1.1. Esta interfaz de firewall es aadida en la lista excluyente para prevenir que el firewall sea accidentalmente bloqueado para accesar el switch. El diseo de red simplificado para este escenario es mostrado en la Figura 28.1. WebUI :
1. Switch aadir un nuevo switch en la seccin de Zona de Defensa. Zone Defense Switches Switch: General Name: switch1 Switch model: DES-3226S IP Address: 192.168.1.250 (o utilice el nombre objetivo si ha sido definido en la direccin objetiva) SNMP Community: Ingrese en el recuadro de editar la serie de comunidad escrita configurada en el switch. Presione el botn de Check Switch para verificar que el firewall puede comunicarse con el switch y la serie correcta de comunidad es ingresada. Luego haga click en OK.
296
2. Lista Excluyente Aada la interfaz de administracin del firewall en la lista excluyente. Zone Defense Exclude: General Direcciones: Elija el nombre objetivo de la direccin de interfaz del firewall 192.168.1.1 desde la lista Available y colquelo en la lista Selected. Luego haga click en OK. 3. Regla Threshold congurando un threshold HTTP de 10 conexiones/segundo. Zone Defense Threshold Add Threshold: General: General: Name: HTTP-Threshold Service: HTTP Address Filter Source Destination Interface: (la interfaz de administracin del firewal) any Network: 192.168.2.0/24(o el nombre objetivo) all-nets
Action:
Action: ZoneDefense Host-based Threshold: 10 Luego haga click en OK.
Parte XIII
Alta Disponibilidad
CAPITULO
29
Alta Disponibilidad
29.1
Alta Disponibilidad Bsica
Esta seccin incluye los siguientes tpicos

Qu hace la Alta Disponibilidad por usted Qu es lo que NO hace la alta Disponibilidad por usted Ejemplo de Configuracin de Alta Disponibilidad
La Alta Disponibilidad D-Link trabaja aadiendo un firewall de respaldo a su Firewall existente. El firewall de respaldo tiene la misma configuracin que el firewall primario. Este se mantendr inactivo, monitoreando el firewall primario, hasta que este considere que el firewall primario no funcionar por ms tiempo, a qu punto ste se activar y asumir el rol activo en el cluster. Cuando el otro firewall se vuelve respaldo, ste asumir un rol pasivo, monitoreando el firewall actualmente activo.
A travs de este captulo, las frases master rewall y primary rewall son utilizados de manera intercambiable, como son las frases slave rewall y back-up rewall.
29.1.1
Qu har la Alta Disponibilidad por usted
La Alta Disponibilidad D-Link le entregar un firewall de estado sincronizado superfluo. Esto significa que el estado del firewall activo, ej. 299
300
Captulo 29. Alta Disponibiidad
Tabla de conexin y otra informacin vital, esta copia continua del firewall inactivo. Cuando el cluster falla sobre el firewall inactivo, Este conoce cul conexin est activa, y la comunicacin puede continuar hacia el flujo no interrumpido. El tiempo del sistema de recuperacin de fallos es de alrededor de un segundo en el alcance de una retransmisin de tiempo de inactividad TCP normal, lo cual es normalmente por sobre de un minuto. Los clientes conectados a travs del firewall experimentarn el procedimiento de recuperacin de fallos como un leve golpe de paquetes perdidos, un TCP siempre re-transmite en tales situaciones los paquetes perdidos dentro de un segundo o dos, y continua con la comunicacin.
29.1.2
Qu es lo que NO hace la Alta Disponibilidad por usted
Aadiendo la superfluidad a su configuracin de firewall eliminar uno de los puntos de falla en su trayectoria de comunicacin. Sin embargo, esta no es una panacea para todas las fallas posibles de comunicacin. Usualmente, su firewall est lejos de tener un slo punto de falla. La Superfluidad de sus routers, switches, y conexin interna son tambin temas que necesitan ser dirigidos. Los clusters de Alta Disponibilidad D-Link no crearn un cluster de comparticin de carga. Un firewall ser activo, y el otro ser inactivo. Los firewalls de respaldo mltiples no pueden ser utilizados en un cluster. Slo son soportados dos firewalls, uno master y uno slave. Como es el caso con todos los otros firewall que soportan el estado de recuperacin de fallos, la Alta Disponibilidad D-Link slo trabajar entre dos Firewalls D-Link. Como el trabajo interno de diferentes firewalls, y en efecto, mejores versiones diferentes del mismo firewall, pueden ser radicalmente diferentes, no hay manera de comunicar el state a algo que posee una comprensin completamente diferente de lo que state significa. Las interfaces rotas no sern detectadas por la implementacin actual de la Alta Disponibilidad, a menos que sean rotas en el punto donde el firewall no pueda continuar corriendo. Esto significa que la recuperacin de fallos no ocurrir si el firewall activo puede comunicarse mantenindose con vida para el firewall inactivo a travs de cualquiera de sus interfaces, incluso aunque una o ms interfaces puedan ser inoperativas. Gua de Usuario de los Firewalls D-Link
29.2. Cuan rpido puede ser logrado el failover
301
29.1.3
Ejemplo de configuracin de la Alta Disponibilidad
Todas las interfaces del firewall primario necesitan ser presentados en el firewall de respaldo, y conectados a la misma red. Como fue previamente mencionado el failover no es realizado innecesariamente, de modo que cualquier firewall puede mantener el rol activo del cluster por un perodo de tiempo extendido. Por lo tanto, el conectar algunos equipos a slo el master o slo el firewall slave est ligado a producir resultados no deseados.
Figura 29.1: Ejemplo de configuracin de HA.
Como se puede ver en la figura 29.1, ambos firewalls estn conectados a la red interna as como a la red externa. Si hay ms redes, por ejemplo una o ms zonas desmilitarizadas, o segmentos de redes internas, ambos firewalls tendrn que ser conectadas a tales redes; el Slo conectar el master a la red ser como guiar a perder la conectividad por perodos de tiempo extendidos. .
29.2
Cmo es logrado el Failover
Esta seccin incluye los siguientes tpicos:

La direccin IP compartida y el mecanismo de failover Latidos Cluster La interfaz de sincronizacin
302
Captulo 29. Alta Disponibilidad
Esta seccin detallar las caractersticas visible externas del mecanismo de failover, y cmo trabajan juntos los dos firewalls para crear un cluster de alta disponibilidad con tiempos de failover muy bajos. Para cada cluster de interfaz, hay tres direcciones IP:
Dos direcciones IP reales; uno para cada firewall. Estas direcciones son
utilizadas para comunicarse con los mismos firewalls, ej. para el control y monitoreo remoto. Estos no deben ser asociados de ningn modo con el trfico que fluye por el cluster; si ningn firewall es inoperativo, la direccin IP asociada ser simplemente inalcanzable.
Una direccin IP virtual; compartida entre los firewalls. Esta es la direccin IP a
utilizar cuando se configura las puertas de enlace predeterminadas y otros asuntos relacionados a routing. Es tambin la direccin utilizada por la traduccin de direccin dinmica, a menos que la configuracin especifica explcitamente otra direccin. No hay mucho que decir acerca de las direcciones IP reales; estos actuarn tal como las interfaces firewall normalmente lo hacen. Usted puede aplica pingo controlar remotamente los firewalls por stos si su configuracin lo permite. Consultas ARP para las direcciones respectivas son respondidas por el firewall que posee la direccin IP utilizando la direccin hardware normal, tal como las unidades normales IP lo hacen.
29.2.1
La direccin IP compartida y mecanismo de failover.
Ambos firewalls en el cluster conocen sobre la direccin IP compartida. Las consultas ARP por la direccin IP compartida, o cualquier otra direccin IP publicada va seccin de configuracin ARP o por Proxy ARP, sern respondidas por el firewall activo.
La direccin hardware de la direccin IP compartida, y otras direcciones publicadas para esos asuntos, no estn relacionadas a las direcciones hardware de las interfaces firewall. Mas bien, est construido desde el cluster ID, en la siguiente forma: 10-00-00-C1-4A-nn, donde nn es el Cluster ID configurado en la seccin de ajustes. Como la direccin IP compartida tiene siempre la misma direccin hardware, no habr tiempo de latencia en la actualizacin de caches ARP de unidades apegadas al mismo LAN como el cluster cuando el failover ocurre.
29.2. Cuan rpido es logrado el Failover
303
Cuando un firewall descubre que su par ya no es operacional, este transmitir un nmero de consultas ARP para s mismo, utilizando la direccin hardware compartida como direccin de remitente, en todas las interfaces. Esto causa switches y puentes para volver a aprender dnde enviar paquetes destinados para la direccin hardware compartida en materia de milisegundos. Por lo tanto, el nico retraso real en el mecanismo de failover es detectar que un rewall ya no es operacional. Los mensajes de activacin (consultas ARP) descritos anteriormente son transmitidos peridicamente para asegurar que los switches no olviden dnde enviar paquetes destinados para la direccin hardware compartida.
29.2.2
Latidos Cluster
Un firewall detecta que su par ya no es operacional cuando ste ya no percibe los latidos cluster de su par. Comnmente, un firewall enviar cinco latidos cluster por segundo. Cuando un firewall ha perdido tres latidos, ej. luego de 0.6 segundos, ste ser declarado inoperativo. De modo que, porqu no hacerlo an ms rpido? Tal vez enviar 100 latidos por segundo y declarar a un firewall inoperativo luego de perder slo dos de ellos? Esto podra despus de todo resultar en un tiempo de failover de.02-segundos. El problema con los tiempos de deteccin de menos de un dcimo por segundo es que tales retrasos pueden ocurrir durante la operacin normal. Slo abriendo un archivo, en cualquier rewall, podra resultar en un gran retraso suficiente para causar que el firewall inactivo se vuelva activo, incluso si el otro firewall se encuentra an activo; una situacin claramente no deseada. Los latidos cluster tienen las siguientes caractersticas:
La fuente IP es la direccin de interfaz del firewall enviado El destino IP es la direccin IP compartida El IP TTL es siempre 255.Si un firewall recibe un latido cluster con cualquier otro
TTL, es asumido que el paquete ha atravesado un router, y por lo tanto no puede ser del todo confiable. Gua de Usuario de los Firewalls D-Link
304
Captulo 29. Ala Disponibilidad
Es un paquete UDP, enviado desde puerto 999, a puerto 999. La direccin de destino MAC es la direccin Ethernet multicast correspondiente
a la direccin hardware compartida, ej. 11-00-00-C1-4A-nn. Link-level multicasts son elegidos sobre paquetes unicast normales por razones de seguridad: El utilizar paquetes unicast podra significar que un agresor local puede engaar switches para dirigir latidos a algn otro lugar, causando que el par firewall jams perciba los latidos.
29.2.3
La interfaz de Sincronizacin
Ambos firewalls son conectados entre ellos por una conexin separada de sincronizacin; son utilizadas tarjetas actuales de red, aunque estas estn dedicadas exclusivamente para este propsito. El firewall activo continuamente enva mensajes de actualizacin de estado a su par, informando sobre las conexiones que son abiertas, conexiones que son cerradas, cambios de estado y tiempo de vida en las conexiones, etc. Cuando el firewall activo cesa de funcionar, por cualquier razn e incluso por un corto tiempo, el mecanismo de latido cluster descrito anteriormente causar que el firewall inactivo se vuelva activo. Puesto que este ya conoce todas las conexiones abiertas, la comunicacin puede continuar fluyendo ininterrumpidamente.
29.3
Ajustando un Cluster de Alta Disponibilidad

Planificar el cluster de Alta Disponibilidad Crear un cluster de Alta Disponibilidad
Esta seccin describe el proceso de instalar un cluster de Alta Disponibilidad. Para una instalacin exitosa, es altamente recomendado que sean ledas las secciones previas, Alta Disponibilidad Bsica y Qu tan rpido es logrado el failover.
Un cluster puede ser creado tanto instalando un par de nuevos firewalls, o convirtiendo firewalls ya instalados en miembros cluster. El firewall con la ms alta versin numrica de su configuracin asegurar siempre que la configuracin es transferida al otro miembro cluster. Gua de Usuario de los Firewalls D-Link
29.3. Ajustando un Cluster de Alta Disponibilidad
305
El tpico a continuacin describe la operacin requerida para ajustar completamente un cluster de Alta Disponibilidad.
29.3.1
Planificar el cluster de Alta Disponibilidad
Como un ejemplo durante toda esta gua, dos Firewalls D-Link son utilizados como miembros cluster. Para simplificar esta gua, slo dos de las interfaces en cada miembro cluster son utilizadas para trfico de red. Los siguientes ajustes son utilizados:
Las interfaces LAN en el miembro cluster son ambas conectadas al mismo switch.
Este switch reside en una red interna con direcciones IP desde la red 192.168.10.0/24.
Las interfaces WAN en los miembros cluster son ambos conectados a un segundo
Switch. Este switch reside en una red externa con direcciones IP desde la red 10.4.10.0/24.
Las direcciones IP para las interfaces son designadas como es indicado por esta
tabla: Interface LAN WAN Shared IP address 192.168.10.1 10.4.10.1 Master IP address 192.168.10.2 10.4.10.2 Slave IP address 192.168.10.3 10.4.10.3
Las interfaces DMZ en los miembros cluster son utilizadas para sincronizacin
de estado, y por lo tanto conectadas entre ellos utilizando cable cruzado Ethernet.
29.3.2
Creando un cluster de Alta Disponibilidad
Ejemplo: Configurando el Firewall como un Miembro Cluster

Cada firewall en el cluster tendr que ser configurado para actuar tanto como un HA master slave. Esto incluye la configuracin de direcciones privadas (master y slave) y direcciones IP compartidas en interfaces, as como seleccionando un cluster ID e interfaz de sincronizacin.
306
WebUI
1. Configuracin HA System High Availability: Enable High Availability: Enable Cluster ID: 0 (Seleccione un cluster ID apropiado) Sync Interface: DMZ (En este ejemplo se utiliza la interfaz DMZ como interfaz sync) Node Type: Master or Slave Luego haga click en OK 2. Configuracin de Par de Direccin HA Se necesita crear un Par de Direccin HA objetiva para almacenar las direcciones IP master y slave. Objects Address Book Add HA IP4 Address Pair: Name: lan-priv-ip (Direcciones IP privadas para interfaz LAN) Master IP Address: 192.168.10.2 Slave IP Address: 192.168.10.3 Luego haga click en OK Objects Address Book Add HA IP4 Address Pair: Name: wan-priv-ip (Direcciones IP privadas para interfaz WAN) Master IP Address: 10.4.10.2 Slave IP Address: 10.4.10.3 Luego haga click en OK 3. Configuracin de Interfaz Interfaces Ethernet Edit (LAN): IP Address: 192.168.10.1 Advanced/High Availability Private IP Address: lan-priv-ip Then click OK Interfaces Ethernet Edit (WAN): IP Address: 10.4.10.1 Advanced/High Availability Private IP Address: wan-priv-ip Luego haga click en OK Cuando la configuracin es guardada y activada, el firewall actuar como un miembro cluster HA.
29.4. Cosas que mantener en mente
307
Nota
Todas las interfaces Ethernet y VLAN debern tener asignadas una direccin IP privada cuando el firewall es configurado para ser miembro HA. Sin embargo, en este ejemplo slo se mostrar cmo configurar las interfaces LAN y WAN. Note que es posible utilizar el mismo Par de Direccin HA IP4 objetiva en interfaces mltiples.
Cuando una modificacin a la configuracin en ambos firewalls ha sido guardada y activada, la configuracin ser automticamente transferida al otro miembro cluster. No importa si la configuracin fue modificada en el firewall master slave, como el miembro cluster con el nmero de versin de configuracin ms alta siempre tratar de transferir la configuracin al otro miembro cluster.
29.4
Cosas que mantener en Mente

Asuntos de Estadisticas y Registro Asuntos de Configuracin
Incluso a travs del cluster de Alta Disponibilidad se comportar como un solo firewall desde muchos aspectos, hay algunas cosas que mantener en mente cuando se maneja y configura.
29.4.1
Asuntos de Estadsticas y Registro
Estadsticas SNMP Las estadsticas SNMP no son compartidas. Los administradores SNMP no tienen capacidades de failover. De este modo, usted necesitar obtener ambos firewalls en el cluster. Los registros vienen desde dos rewalls El registro de datos proviene desde dos firewalls. Esto significa que usted tendr que configurar su receptor de registro para recibirlos desde ambos firewalls. Esto tambin significa que sus consultas de registro probablemente tendrn que incluir ambas fuentes de Firewall, lo cual entregar todos los datos de registro en una vista resultante. Normalmente el firewall inactivo no enviar entradas de registro sobre el trfico con vida, as que la salida se ver mucho como el camino que hizo con slo un firewall. Gua de Usuario de los Firewalls D-Link
308
29.4.2
Asuntos de Configuracin
Cuando se configuran los clusters de Alta Disponibilidad, hay un nmero de cosas que se deben mantener en mente con el fin de evitar riesgos innecesarios. Modificando el cluster ID Modificando el cluster ID, usted actualmente hace dos cosas:
Modificando la direccin hardware de los IPs compartidos. Esto podra causar
problemas para todas las unidades aadidas al LAN local, cuando estos mantendrn la vieja direccin hardware en sus caches ARP hasta que ste times out. Tales unidades debern tener sus caches ARP limpios
Usted puede adems romper la conexin entre los firewalls en el cluster
mientras que estos estn utilizando diferentes configuraciones. Esto podra causar que ambos firewalls se vuelvan activos al mismo tiempo. En resumen, no es buena idea modificar el cluster ID innecesariamente. Luego de que la configuracin ha sido cargada en ambos firewalls, los caches ARP de unidades vitales debern ser limpiados con el fin de restaurar la comunicacin. Jams utilice IPs nicos para trfico activo Las nicas direcciones IP (privadas) de los firewalls no pueden ser utilizados de manera segura para nada salvo manejar los firewalls. El utilizarla para algo ms: utilizarlas como Fuentes IPs en conexiones dinmicamente NATed publicando servicios en estas, causar problemas inevitablemente, como que los IPs nicos desaparecern cuando el firewall al que pertenecen lo hagan.
Parte XIV
Apndice
INDEX
ABR, 75 ACL, 291 ActiveX, 156 AES, 196 AH, 214 ALG, 47 ARP, 27 ARP, 66 AS, 70 ASBRs, 75 Backbone area, 74 BDR, 75 Blowsh, 196 BOOTP, 60 Brute force attack, 196 CA, 49, 199 CAST, 196 Certicate, 49, 199, 221 CHAP, 62, 134, 135, 229 CRL, 50, 200, 222 Cryptography, 195 DES, 196 DH group, 218 DHCP, 60, 275, 277 Dictionary attack, 229 Di-Serv, 247, 250 Digital signature, 198
DMZ, 14, 119, 150, 200, 204, 207, 210 DNS, 101 DoS, 47, 123, 263 DR, 75 DSA, 197 DST, 97 DynDNS, 271 ESP, 214 Ethernet, 53 Ethernet address, 41 Firewall, 9 GRE, 27, 45, 228 H.225, 159 H.245, 160 H.323, 158 High availability, 54 Hop, 69 HTTP, 155 HTTPPoster, 273 HTTPS, 46, 136, 243 IANA, 45 ICMP, 43 ID Lists, 221 IDlist, 51 IDS, 26 311
312
INDEX
IKE, 213 IKE XAuth, 222 IP address, 39 IP spoong, 123 IPsec, 27, 213 L2TP, 27, 228 LAN, 53, 56 LCP, 62 LDAP, 50, 222 LSA, 76 Man-in-the-middle attack, 198, 229 MCUs, 159 MIB, 293 MPPE, 229 NAT, 112, 218 NAT, 112 NCPs, 62 NTP, 98 OSI, 7 OSPF, 73, 74 PAP, 62, 135, 229 PBR, 88 PFS, 217 PPP, 27, 62, 135, 228 PPPoE, 27, 61 PPTP, 27, 228 Proxy ARP, 94 PSK, 216, 220 QoS, 247, 250 RADIUS, 135 Replay attack, 229 RIP, 72 Route, 69 RouteFailover, 77 Router priority, 75 Routing table, 69
RSA, 197 SA, 215 SAT, 114, 115 SNMP, 28, 292 SNTP, 98 SPF, 76 Spoong, 123 SSL, 136, 243 Stub area, 75 SYN ooding, 47 T.120, 160 TLS, 136, 243 ToS, 250 Twosh, 196 UDP/TIME, 98 URL, 157 VLAN, 56 VLink, 74 VoIP, 158 VPN, 13, 193, 207 WWW, 155
APENDICE
Referencia De Comandos de Consola
Este Apndice contiene la lista de comandos que pueden ser utilizados en CLI para Monitorear y solucionar problemas en el firewall. Para informacin sobre cmo acceder Desde un PC terminal, refirase a 4.2, Monitoreo Via CLI.
Lista de Comandos
Al respecto
Entrega informacin referente a la versin del ncleo del firewall en uso y una notificacin copyright.
Syntax: about
Ejemplo: Cmd> about D-Link DFL 2.01.00V Copyright Clavister 1996-2005. All rights reserved SSH IPSEC Express SSHIPM version 5.1.1 library 5.1.1 Copyright 1997-2003 SSH Communications Security Corp. Build : Jun 3 2005
313
314
Capitulo A. Referencia de Comandos de Consola
Acceso
Despliega los contenidos de la seccin de configuracin de Acceso.
Syntax: access
Ejemplo: Cmd> access Source IP Address Access list (proteccin spoofing) Rule Name Action Iface Source Range ----------------- ------ ----------------- ------------Si no coincide una regla de acceso, las reglas PBR sern utilizadas para seleccionar Una tabla routing para ser utilizada en la bsqueda de ruta reversiva. Si la bsqueda De ruta falla, la accin ser rechazada.
ARP
Despliega entradas ARP para la interfaz especificada. Publicadas, son mostrados items tanto esttico como dinmico.
Syntax: arp [options] <interface pattern> Opciones:
- ip <pattern> Despliega slo direcciones IP coincidentes <pattern> - hw <pattern> Despliega slo direcciones hardware coincidentes <pattern> - num <n> Despliega slo la primera <n> entrada por iface (default: 20) - hashinfo Despliega informacin en la tabla de salud hash - ush limpia el cache ARP de TODAS las interfaces - ushif Limpia el cache ARP cache de una interface Ejemplo: Cmd> arp wan ARP cache of iface wan Dynamic 194.2.1.1
= 0020:d216:5eec
Expire=141
315
ARPSnoop
Alternar el despliegue en pantalla de consultas ARP. Este comando puede ser de gran Ayuda en la configuracin del hardware firewall, ya que este muestra cuales Direcciones IP son percibidas en cada interfaz.
Syntax:
- arpsnoop <interface pattern> Alternar rastreo en interfaces entregadas. - arpsnoop all rastrea todas las interfaces. - arpsnoop none Desactiva todo rastreo Ejemplo: Cmd> arpsnoop all ARP snooping active on interfaces: lan wan dmz ARP on wan: gw-world requesting ip ext ARP on lan: 192.168.123.5 requesting lan ip ...
Buers
Este comando puede ser til en la solucin de problemas; ej. si un gran nmero inesperado de Paquetes comienzan a consultar en el firewall cuando el trfico no pareciera estar fluyendo por alguna razn inexplicable. Al analizar los contenidos de los buffers, es posible determinar dnde tal trfico est trabajando en el firewall completo.
Syntax:
-- buffers Entrega una lista de los buffers ms recientemente liberados. Ejemplo: Gua de Usuario de los Firewalls D-Link
316
Cmd> buffers Displaying the RecvIf Num ------ ---wan 1224 lan 837 wan 474 wan 395 ... 20 most recently freed buffers Size Protocol Sender ---------- --------------121 UDP 192.168.3.183 131 UDP 192.168.123.137 112 UDP 192.168.3.183 91 UDP 192.168.3.183
Destination --------------192.168.123.137 192.168.3.183 192.168.123.137 192.168.123.137
-- buffer <number> Muestra los contenidos del buffer especificado. Ejemplo: Cmd> buff 1059 Decodificacin de nmero buffer 1059 lan:Enet 0050:dadf:7bbf->0003:325c:cc00, type 0x0800, len 1058 IP 192.168.123.10->193.13.79.1 IHL:20 DataLen:1024 TTL:254 Proto:ICMP ICMP Echo reply ID:6666 Seq:0 -- buffer . Muestra los contenidos del buffer ms recientemente utilizado. Ejemplo: Cmd> buff . Decodificacin de nmero buffer 1059 lan:Enet 0050:dadf:7bbf->0003:325c:cc00, type 0x0800, len 1058 IP 192.168.123.10->193.13.79.1 IHL:20 DataLen:1024 TTL:254 Proto:ICMP ICMP Echo reply ID:6666 Seq:0
Certcache
Despliega los contenidos del certificado cache.
Syntax: certcache
317
CfgLog
Muestra el resultado de la configuracin ms reciente reinicia el firewall. Este texto es el mismo que se muestra en pantalla durante la reconfiguracin reinicio.
Syntax: cfglog
Ejemplo: Cmd> cfglog Configuration log: Configuration done License file successfully loaded.
Conexiones
Muestra las ltimas 20 conexiones abiertas por el firewall. Las conexiones son creadas cuando el trfico es permitido de pasar va reglas Allow o NAT. El trfico permitido de pasar bajo FwdFast no es includo en esta lista. Cada conexin tiene dos valores de Tiempo de inactividad, uno en cada direccin. Estos son actualizados cuando el firewall recibe paquetes desde cada extremo de la conexin. El valor mostrado en la columna de Tiempo de inactividad es el ms bajo de los dos valores. Los valores posibles en la columna de State incluyen: - SYN RECV TCP paquete con SYN ag recibido - SYNACK S TCP paquete con SYN + ACK ags enviados - ACK RECV TCP paquete con ACK ag recibido - TCP OPEN TCP paquete con ACK ag enviado - FIN RECV TCP paquete con FIN/RST ag recibido - PING La conexin es una conexin ICMP ECHO - UDP La conexin es una conexin UDP - RAWIP La conexin utiliza un protocolo IP aparte de TCP, UDP o ICMP
Syntax: conexiones
318
Ejemplo: Cmd> conn State --------TCP OPEN SYN RECV UDP OPEN Proto ----TCP TCP UDP Source -----------------wan:60.20.37.6:5432 wan:60.20.37.6:5433 lan:10.5.3.2:5433 Destination ---------------- -----dmz:wwwsrv:80 dmz:wwwsrv:80 dmz:dnssrv:53 Tmout 3600 30 50
Cpuid
Muestra informacin respecto al CPU en el hardware rewall.
Syntax: cpuid
Ejemplo: Cmd> cpuid Processor: Est. frequency: Family: Model: Stepping: Vendor ID: Type: Logical CPUs (HTT): Feature flags: Intel Pentium 4 1402 MHz 15 0 10 GenuineIntel Original OEM Processor 1 fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse-36 clfsh ds acpi mmx fxsr sse sse2 ss htt tm
Cache and TLB information: 0x66: 1st-level data cache: 8-KB, 4-way set associative, sectored cache, 64-byte line size ...
DHCP
Syntax: Options:
dhcp [options] <interface>
- renew Fuerza a la interfaz a renovar su contrato - release Fuerza a la interfaz a liberar su contrato Ejemplo: Cmd> dhcp -renew wan
319
DHCPRelay
Muestra los contenidos del la seccin de configuracin de la retransmisin DHCP. Syntax: dhcprelay [options]
Opciones:
- release ip Libera el IP y remueve las rutas asociadas desde el firewall.
Ejemplo: Cmd> dhcprelay
Servidor DHCP
Muestra los contenidos de la seccin de configuracin del servidor DHCP y activa los contratos DHCP.
Syntax: dhcpserver [options] Opciones:
- rules Muestra reglas de servidor DHCP - leases Muestra contraltos de servidor DHCP - mappings Muestra servidor IP DHCPMAC mapeos - release Libera un IP active en lista negra Ejemplo: Cmd> dhcpserver
DynRoute
Despliega la regla de ajuste de filtro de poltica de routing dinmico y exportaciones actuales. Syntax: dynroute [options]
Options:
- rules Despliega regla de ajuste de filtro de routing dinmico - exports Despliega exportaciones actuales Gua de Usuario de los Firewalls D-Link
320
Frags
Muestra los 20 intentos de reensamblaje de fragmentos ms recientes. Esto incluye ambos intentos en curso y completados.
Syntax: frags
Ejemplo: Cmd> frags RecvIf -----lan wan Num --2 8 State ----Done Accept Source Dest. -------------10.5.3.2 26.23.5.4 23.3.8.4 10.5.3.2 Protocol -------ICMP ICMP Next ---2000 1480 Tout ---58 60
HA
Muestra informacin sobre el cluster HA.
Syntax: ha
Ejemplo: Cmd> ha Este dispositivo es un HA SLAVE Este dispositivo es actualmente ACTIVE (reenviar trfico) El par cluster HA est ALIVE
HTTPPoster
Muestra el httpposter urls configurado y estado.
Syntax: httpposter [options] Opciones:
- repost Re-post todos los URLs ahora.
321
Ejemplo: Cmd> httpposter HTTPPoster URL1: Host : "" Port : 0 Path : "" Post : "" User : "" Pass : "" Status: (no configurado) ...
Ifacegroups
Muestra los grupos de interfaz configurados.
Syntax: ifacegroups <name pattern>
Ejemplo: Cmd> ifacegroups Configured interface groups -------------------------------internals lan,vlan1,vlan2,vlan3
IfStat
Syntax:
-- ifstat Muestra una lista de las interfaces instaladas en el firewall. Ejemplo: Cmd> ifstat Interfaces configuradas: Interface name IP Address -------------- -----------core 127.0.0.1 wan 172.16.87.252 lan 192.168.121.1
Interface type ------------Null (sink) ... ...
322
-- ifstat <interface> Muestra las estadisticas hardware y software para el NIC especificado. Ejemplo: Cmd> ifstat lan Iface lan ... MTU : ... IP Address : ... Hw Address : ... Software Statistics: Soft received: ... Soft sent: Dropped: ... IP Input Errs: ... Driver information / hardware statistics: ...
... Send failures: ...
El contador Dropped en la seccin de software expone el nmero de paquetes desechados como el resultado de test de integridad estructural reglas de ajuste drops del rewall. El contador IP Input Errs en la seccin de software especifica el nmero de paquetes desechados debido a los errores checksum encabezados IP rotos mas all de reconocimiento. El ultimo es ms como el resultado de problemas de red local ms que ataques remotos.
Ikesnoop
Ikesnoop es utilizado para diagnosticar problemas con tneles IPsec.
Syntax:
-- ikesnoop Despliega en actual estado ikesnoop. -- ikesnoop off Apaga el IKE. -- ikesnoop on [ipaddr] Enciende el IKE, si un IP es especificado slo el trfico ike de ese IP ser mostrado. -- ikesnoop verbose [ipaddr] Habilita el verbose output, si un IP es especificado slo el trfico ike de ese IP ser mostrado. Gua de Usuario de los Firewalls D-Link
323
Ipseckeepalive
Muestra el estado de las conexiones configuradas Ipsec keepalive.
Syntax: ipseckeepalive
Ejemplo: Cmd> ipseckeepalive 192.168.0.10 -> 192.168.1.10: 908, lost: 2 192.168.1.10 -> 192.168.0.10: 913, lost: 6 Consecutive lost: Consecutive lost: 0, sent: 0, sent:
IPSectunnels
Despliega las conexiones IPSec VPN configuradas.
Syntax: ipsectunnels
Ejemplo: Cmd> ipsectunnel No Name Local Net Remote Net Remote GW 0 vpn-home 192.168.123.0/24 0.0.0.0/0 None MAIN MODE SA PER NET DONT VERIFY PAD IKE group: 2 IKE proplist: ike-default, IPsec proplist: esp-tn-roamingclients
IPSecstats
Despliega puertas de enlace IPSec VPN conectadas y clientes remotos.
Syntax: ipsecstats [options] Opciones:
- ike - ipsec -u -v
Despliega SAs IKE Despliega SAs IPsec (predeterminado) Despliega informacin estadstica SA detallada Despliega informacin verbose Gua de Usuario de los Firewalls D-Link
324
- num <n> Nmero mximo de entradas a desplegar (predeterminado: 40/8) Nota: si se ajusta a 0, TODAS las entradas sern desplegadas Ejemplo: Cmd> ipsecstats --- IPsec SAs: Despliega una lnea por SA-bundle ...
Killsa
Mata todos los IPsec y IKE SAs para la direccin IP especificada.
Syntax: killsa <ipaddr>
Ejemplo: Cmd> killsa 192.168.0.2 Destruye todos los IPsec & IKE SAs por par remoto 192.168.0.2
Licencia
Muestra en contenido del archivo de licencia. Es adems posible remover una licencia desde un firewall corriendo con este commando, removiendo la licencia.
Syntax: license [remove]
Ejemplo: Cmd> lic Contenidos del archivo de Licencia ---------------------------Registration key: ... Bound to MAC address: ... Model: DFL-... Registration date: ... Issued date: ... Last modified: ... New upgrades until: ... Ethernet Interfaces: ... ...
325
Lockdown
Ajusta el bloqueo local a encendido apagado. Durante el bloqueo local, slo el trfico de nets admin al firewall mismo es permitido. Cualquier otra cosa es desechada Nota: Si el bloqueo local ha sido ajustado por el ncleo mismo debido a problemas de licencia o configuracin, este comando NO remover tal bloqueo
Syntax: lockdown [ on | off ]
Loghosts
Muestra la lista del destinatario de registro al que el firewall est configurado a enviar datos de registro. Syntax: loghosts Ejemplo: Cmd> loghosts Log hosts: SysLog 192.168.123.10 Facility: local0 Utiliza registro en intervalos de 3600.
Memoria
Despliega el consume de ncleo de memoria. Tambin despliega el uso de la memoria detallada por algunos componentes y listas.
Syntax: memory
Netcon
Muestra una lista de usuarios actualmente conectados al firewall va protocolo de administracin netcon.
Syntax: netcon
Ejemplo: Cmd> netcon Currently connected NetCon users: Iface IP address port lan 192.168.123.11 39495
326
Netobjects
Despliega la lista de su red nombrada objetiva y sus contenidos. Si una net objetiva es especificada la salida mostrar informacin de autentificacin del usuario asociada con ese objeto.
Syntax: netobjects [options] Options:
- num <number> - dump
Maximo de objetos enlistados (predeterminado: 20)
hace netobject dump MUCHO ms detallado (debug cmds)
OSPF
Muestra informacin de la informacin del tiempo de ejecucin acerca de procesos de Router OSPF y es utilizado para detener/iniciar procesos OSPF).
Syntax: ospf [<process name>] [<parameter>]
[<argument>]
Parmetros disponibles:
- iface [<iface>], Despliega informacin de interfaz - area [<areaID>], Despliega informacin de rea - neighbor [<if>:][<neiID>], Despliega informacin del vecino - route, Despliega la table routing del proceso interno OSPF - database [verbose], Despliega la base de datos LSA - lsa <lsaID>, Despliega detalles para un LS especificado - snoop [on | o], Despliega mensajes de troubleshooting en la consola - ifacedown <iface>, Toma la interfaz especificada fuera de lnea - ifaceup <iface>, Toma la interfaz especificada en lnea - stop, Detiene el proceso OSPF - start, Inicia el proceso OSPF - restart, Reinicia el proceso OSPF Gua de Usuario de los Firewalls D-Link
327
Parmetros de depuracin:
- spf, Ejecuta un clculo completo SPF - refresh, Refresca todos los LSAs originados en el proceso - ifacemetric <if> <metric>, Modifica la mtrica de una interfaz
Ping
Enva un nmero especfico de paquetes ICMP Echo Request a un destino entregado. todos los paquetes son enviados en sucesin inmediata ms que uno por segundo. Esta conducta es la ms apropiada para diagnosticar problemas de conectividad.
Syntax:
ping <IPAddr> [options] [< of packets>
[<size>]]
Opciones:
- r <recvif>, Corre a travs de la Regla de ajustes, simulando que los paquetes fueron Recibidas por <recvif>. - s <srcip>, Utiliza esta fuente IP. - p <table>, Dirige utilizando la tabla PBR especificada. - v, Verbose ping. Ejemplo: Cmd> ping 192.168.12.1 Al enviar 1 ping a 192.168.12.1 desde 192.168.14.19 utilizando la tabla main PBR. Echo responde desde 192.168.12.1 seq=0 time= 10 ms TTL=255
Conductos
Muestra la lista de conductos configurados; los contenidos de la seccin de configuracin de conductos, junto con las figures de rendimiento bsicas de cada conducto.
Syntax: pipes [options] <name> Opciones:
-s
Despliega estadsticas globales Gua de Usuario de los Firewalls D-Link
328
-u
Despliega los usuarios de un conducto entregado <name>
Ejemplo: Cmd> pipes Configured pipes: Name Grouping ----------std-in Per DestIP Current: 42.5 K 21.0 ...
Bits/s ------
Pkts/s ------
Precedence ---------017
Proplists
Enlista las listas propuesta configuradas.
Syntax: proplists [vpnconn]
Ejemplo: Cmd> propl Desplegando todas las listas propuestas configuradas: ike-default ...
ReCongurar
Re-lee el archive FWCore.cfg desde el disco. Este proceso toma aproximadamente un segundo si se realiza desde el disco oppy, y aproximadamente una dcima de segundo desde el disco duro disco ash. Si hay un archivo FWCore N.cfg presentado en el disco, ste ser ledo en cambio. Sin embargo, como no hay Administrador de Firewall para intentar dos medios de comunicacin con el firewall, ste concluir que la configuracin es incorrecta y revertir a FWCore.cfg luego de que la verificacin bi-direccional del perodo de tiempo de inactividad ha expirado (tpicamente 30 segundos).
Syntax: reconfiure
Ejemplo: Cmd> reconfigure Shutdown RECONFIGURE. Activo en 1 segundo. Shutdown reason: Reconfigurar debido a consola de comando Gua de Usuario de los Firewalls D-Link
329
Remotos
Muestra los contenidos de la seccin de Configuracin Remota.
Syntax: remotes
Ejemplo: Cmd> remotes Hosts/nets con control remote del firewall: ... WebUI HTTP (puerto 80) y acceso HTTPS (puerto 443)
Rutas
Despliega la informacin acerca de las tablas de routing, contenidos de una (nombrada) tabla routing una lista de tablas routing, junto con una cuenta total de entradas de ruta en cada tabla, as como cuantas de las entradas son rutas de un solo anfitrin. Note que las rutas ncleo por direcciones de interfaz IP no son normalmente mostradas, Utilice el switch de -all para mostrar las rutas ncleo tambin. En el recuadro de Flags de las tablas routing, las siguientes letras son utilizadas: O: M: D: Aprendido va OSPF X: Ruta es Deshabilitada Ruta es Monitoreada A: Publicada va Proxy ARP Dinmico (desde e.j. transmisin DHCP, IPsec, servidores L2TP/PPP, etc.)
Syntax: rutas [opciones] <table name> Opciones:
- all, Tambin muestra rutas para direcciones de interfaz - num <n>, Despliegue lmite a <n> entradas (predeterminado: 20) - nonhost, No muestra rutas de un slo anfitrin - tables, Despliega una lista de tablas routing nombradas (PBR) - lookup <ip>, Busca la ruta para la direccin IP entregada - v, Verbose Gua de Usuario de los Firewalls D-Link
330
Capitulo A. Referencias de Comandos de Consola
Reglas
Muestra los contenidos de la seccin de configuracin de Reglas.
Syntax: rules [options] <range>
El parmetro de rango especifica cules reglas incluir en la salida de este comando.

Opciones:
- r, Muestra polticas basadas en reglas de ajuste de ruteo - p, Muestra regla de ajuste de conductos - i, Muestra regla de ajuste de deteccin de intrusos - t, Muestra regla de ajustes threshold - v, Be verbose: muestra todos los parmetros de las reglas - s, Filtra las reglas que no son actualmente permitidas por programas seleccionados Ejemplo: Cmd> rules -v 1 Contenidos de la regla de ajuste; la accin predeterminada es desechada Act. Source Destination Protocol/Ports -- ----- -------------- -------------- --------------1 Allow lan: ... core: ... "HTTP" "HTTP-fw" Use: 0 FWLOG:notice SYSLOG:notice
Scrsave
Activa el salva pantallas includas con el ncleo del firewall.
Syntax: scrsave
Ejemplo: Cmd> scr Activating screen saver... Gua de Usuario de los Firewalls D-Link
331
Services
Despliega la lista de servicios nombrados. Los servicios definidos implcitamente dentro de las reglas no son desplegados.
Syntax: services [name or wildcard]
Ejemplo: Cmd> services Configured services: HTTP TCP
ALL > 80
Shutdown
Instruye al firewall para ejecutar un reinicio dentro de un nmero de segundos. No es necesario ejecutar un reinicio antes de que el firewall sea apagado, y cuando ste no mantiene ningn archive abierto mientras corre.
Syntax: shutdown <seconds>
-- Shutdown in <n> seconds (default:
5)
Sysmsgs
Muestra los contenidos del buffer OS sysmsg.
Syntax:
sysmsgs
Ejemplo: Cmd> sysmsg Contenidos del buffer OS sysmsg: ...
Ajustes
Muestra los contenidos de la seccin de configuracin de Ajustes.
Syntax:
-- settings
Shows available groups of settings.
332
Exjemplo: Cmd> sett Categoras disponibles en la seccin de Ajustes: IP - IP (Internet Protocol) Settings TCP - TCP (Transmission Control Protocol) Settings ICMP - ICMP (Internet Control Message Protocol) ARP - ARP (Address Resolution Protocol) Settings State - Stateful Inspection Settings ConnTimeouts - Default Connection timeouts LengthLim - Default Length limits on Sub-IP Protocols Frag - Pseudo Fragment Reassembly settings LocalReass - Local Fragment Reassembly Settings VLAN - VLAN Settings SNMP - SNMP Settings DHCPClient - DHCP (Dynamic Host Configuration Protocol) Client Settings DHCPRelay - DHCP/BOOTP Relaying Settings DHCPServer - DHCP Server Settings IPsec - IPsec and IKE Settings Log - Log Settings SSL - SSL Settings HA - High Availability Settings Timesync - Time Synchronization Settings DNSClient - DNS Client Settings RemoteAdmin - Settings regarding remote administration Transparency - Settings related to transparent mode HTTPPoster - Post user-defined URLs periodically for e.g. dyndns registration, etc WWWSrv - Settings regarding the builtin web server HwPerformance - Hardware performance parameters IfaceMon - Interface Monitor RouteFailOver - Route Fail Over Default values IDS - Intrusion Detection / Prevention Settings PPP - PPP (L2TP/PPTP/PPPoE) Settings Misc - Miscellaneous Settings
333
-- settings <group name> Muestra los ajustes del grupo especificado. Ejemplo: Cmd> settings arp ARP (Address Resolution ARPMatchEnetSender ARPQueryNoSenderIP ARPSenderIP UnsolicitedARPReplies ARPRequests ARPChanges StaticARPChanges ARPExpire ARPMulticast ARPBroadcast ARPCacheSize ARPHashSizeVLAN Protocol) Settings : DropLog : DropLog : Validate : DropLog : Drop : AcceptLog : DropLog : 900 ARPExpireUnknown : 3 : DropLog : DropLog : 4096 ARPHashSize : 512 : 64
Estadisticas
Muestra varias estadsticas vitales y contadores.
Syntax: stats
Ejemplo: Cmd> stats Uptime : ... Last shutdown : ... CPU Load :6 Connections : 4919 out of 32768 Fragments : 17 out of 1024 (17 lingering) Buffers allocated : 1252 Buffers memory : 1252 x 2292 = 2802 KB Fragbufs allocated : 16 Fragbufs memory : 16 x 10040 = 156 KB Out-of-buffers :0 ARP one-shot cache : Hits : 409979144 Misses : 186865338 Interfaces: Phys:2 VLAN:5 VPN:0 Access entries:18 Rule entries:75 Usar el archivo de configuracin "FWCore.cfg", ver ... Gua de Usuario de los Firewalls D-Link
334
Tiempo
Despliega el sistema de fecha y tiempo
Syntax: time [options] Opciones:
- set <arg>, Ajusta el sistema de tiempo local (YYYY-MM-DD HH:MM:SS) - sync, Sincroniza el tiempo con servidores de tiempo (especificados en ajustes) - force, Fuerza la sincronizacin a pesar del ajuste MaxAdjust
Uarules
Despliega los contenidos de la regla de ajuste de autentificacin del usuario. Syntax: uarules [options] <range>
Options:
- v, (verbose)muestra todos los parmetros de las reglas de autentificacin del usuario Ejemplo: Cmd> uarules -v 1-2 Contenidos de la regla de Ajuste de Autentificacin del Usuario Source Net Agent Auth source Auth. Server -- ------------------ ---------------------------1 if1:192.168.0.0/24 HTTPAuth RADIUS FreeRadius 2 *:0.0.0.0/0 XAuth RADIUS IASRadius
Userauth
Despliega a los usuarios actualmente registrados y otra informacin. Adems permite a los usuarios registrados ser desconectados por la fuerza.
Syntax: userauth [options] Options:
- l, despliega una lista de todos los usuarios autentificados - p, despliega una lista de todos los privilegios conocidos (nombres de usuario y grupos) Gua de Usuario de los Firewalls D-Link
335
- v <ip>, despliega toda la info conocida por los usuarios con esta IP - r <ip> <interface>, desconecta a la fuerza a usuarios autentificados - num <num>, nmero mximo de usuarios autentificados para enlistar (predeterminado 20) Ejemplo: Cmd> userauth -l Usuarios actualmente autentificados: Login IP Address Source Interface -------- --------------- --------user1 ... ... ...
Ses/Idle Privileges Timeouts --------- ----------1799 members
Userdb
Enlista base de datos de usuario y sus contenidos.
Syntax: userdb <dbname> [<wildcard> or <username>]
Si es especificado <dbname> los usuarios configurados en sa base de datos de usuario sern mostrados. Una invitacin puede ser utilizada para slo mostrar usuarios que coinciden con ese patrn si un nombre de usuario es informacin especificada concerniente a que ese usuario debe ser mostrado.
Opciones:
- num, Despliega el nmero especificado de usuarios (predeterminado 20) Ejemplo: Cmd> userdb Configured user Name ------------AdminUsers databases: users ------1
336
Ejemplo: Cmd> userdb AdminUsers Configured Username -------admin user databases: Groups Static IP -------------- ---------- ----------------administrators
Remote Networks
Ejemplo: Cmd> userdb AdminUsers admin Information for admin in database AdminUsers: Username : admin Groups : administrators Networks :
Vlan
Muestra informacin sobre los VLANs configurados.
Syntax:
-- vlan List attached VLANs jemplo: Cmd> vlan VLANs: vlan1 IPAddr: vlan2 IPAddr: vlan3 IPAddr:
192.168.123.1 ID: 1 Iface: 192.168.123.1 ID: 2 Iface: 192.168.123.1 ID: 3 Iface:
lan lan lan
337
-- vlan <vlan> Muestra informacin acerca de VLANs especificados. Ejemplo: Cmd> vlan vlan1 VLAN vlan1 Iface lan, VLAN ID: 1 Iface : lan IP Address : 192.168.123.1 Hw Address : 0003:474e:25f9 Software Statistics: Soft received : 0 Soft sent: 0 Send failures: Dropped : 0 IP Input Errs : 0
338
APENDICE
B
Soporte al Cliente
339
340
Capitulo B. Soporte al Cliente
Oficinas Internacionales
Paises Bajos U.S.A
17595 Mt. Herrmann Street Fountain Valley, CA 92708 TEL: 1-800-326-1688 URL: www.dlink.com Weena 290 3012 NJ, Rotterdam Paises Bajos Tel: +31-10-282-1445 Fax: +31-10-282-1331 URL: www.dlink.nl
Canada
2180 Winston Park Drive Oakville, Ontario, L6H 5W1 Canada TEL: 1-905-8295033 FAX: 1-905-8295223 URL: www.dlink.ca
Belgica
Rue des Colonies 11 B-1000 Brussels Belgium Tel: +32(0)2 517 7111 Fax: +32(0)2 517 6500 URL: www.dlink.be
Europa (U. K.)

4th Floor, Merit House Edgware Road, Colindale London NW9 5AB U.K. TEL: 44-20-8731-5555 FAX: 44-20-8731-5511 URL: www.dlink.co.uk
Italia
Via Nino Bonnet n. 6/b 20154 Milano Italia TEL: 39-02-2900-0676 FAX: 39-02-2900-1723 URL: www.dlink.it
Suecia Alemania
Schwalbacher Strasse 74 D-65760 Eschborn Alemania TEL: 49-6196-77990 FAX: 49-6196-7799300 URL: www.dlink.de P.O. Box 15036, S-167 15 Bromma Suecia TEL: 46-(0)8564-61900 FAX: 46-(0)8564-61901 URL: www.dlink.se
Dinamarca Francia
No.2 allee de la Fresnerie 78330 Fontenay le Fleury Francia TEL: 33-1-30238688 FAX: 33-1-30238689 URL: www.dlink.fr Naverland 2, DK-2600 Glostrup, Copenhagen Dinamarca TEL: 45-43-969040 FAX: 45-43-424347 URL: www.dlink.dk
341
Noruega
Karihaugveien 89 N-1086 Oslo Noruega TEL: +47 99 300 100 FAX: +47 22 30 95 80 URL: www.dlink.no
Suiza
Glatt Tower, 2.OG CH-8301 Glattzentrum Postfach 2.OG Suiza TEL : +41 (0) 1 832 11 00 FAX: +41 (0) 1 832 11 01 URL: www.dlink.ch
Finlandia
Latokartanontie 7A FIN-00700 Helsinki Finlandia TEL: +358-10 309 8840 FAX: +358-10 309 8841 URL: www.dlink.
Grecia
101, Panagoulis Str. 163-43 Helioupolis Athens, Grecia TEL : +30 210 9914 512 FAX: +30 210 9916902 URL: www.dlink.gr
Espaa
C/Sabino De Arana 56 Bajos 08028 Barcelona Espaa TEL: 34 93 4090770 FAX: 34 93 4910795 URL: www.dlink.es
Luxemburgo
Rue des Colonies 11, B-1000 Brussels, Belgica TEL: +32 (0)2 517 7111 FAX: +32 (0)2 517 6500 URL: www.dlink.be
Polonia Portugal
Rua Fernando Pahla 50 Edicio Simol 1900 Lisbon Portugal TEL: +351 21 8688493 URL: www.dlink.es Budynek Aurum ul. Walic-w 11 PL-00-851 Warszawa Polonia TEL : +48 (0) 22 583 92 75 FAX: +48 (0) 22 583 92 76 URL: www.dlink.pl
Repbica Checa
Vaclavske namesti 36, Praha 1 Repblica Checa TEL :+420 (603) 276 589 URL: www.dlink.cz
Hungra
R-k-czi-t 70-72 HU-1074 Budapest Hungra TEL : +36 (0) 1 461 30 00 FAX: +36 (0) 1 461 30 09 URL: www.dlink.hu
342
Singapur
1 International Business Park 03-12The Synergy Singapur 609917 TEL: 65-6774-6233 FAX: 65-6774-6322 URL: www.dlink-intl.com
Egypto
19 El-Shahed Helmy, El Masri Al-Maza, Heliopolis Cairo, Egypto TEL:+202 414 4295 FAX:+202 415 6704 URL: www.dlink-me.com
Australia
1 Ginock Avenue North Ryde, NSW 2113 Australia TEL: 61-2-8899-1800 FAX: 61-2-8899-1868 URL: www.dlink.com.au
Israel
11 Hamanom Street Ackerstein Towers, Regus Business Center P.O.B 2148, Hertzelia-Pituach 46120 Israel TEL: +972-9-9715700 FAX: +972-9-9715601 URL: www.dlink.co.il
India
D-Link House, Kurla Bandra Complex Road OCST Road, Santacruz (East) Mumbai - 400098 India TEL: 91-022-26526696/56902210 FAX: 91-022-26528914 URL: www.dlink.co.in
LatinAmerica
Isidora Goyeechea 2934 Ofcina 702 Las Condes Santiago Chile TEL: 56-2-232-3185 FAX: 56-2-232-0923 URL: www.dlink.cl
Oriente Medio (Dubai)

P.O.Box: 500376 Oce: 103, Building:3 Dubai Internet City Dubai, Emiratos Arabes Unidos Tel: +971-4-3916480 Fax: +971-4-3908881 URL: www.dlink-me.com
Brasil
Av das Nacoes Unidas 11857 14- andar - cj 141/142 Brooklin Novo Sao Paulo - SP - Brasil CEP 04578-000 (Zip Code) TEL: (55 11) 21859300 FAX: (55 11) 21859322 URL: www.dlinkbrasil.com.br
Turqua
Ayazaga Maslak Yolu Erdebil Cevahir Is Merkezi 5/A Ayazaga Istanbul Turquia TEL: +90 212 289 56 59 FAX: +90 212 289 76 06 URL: www.dlink.com.tr
343
SudAfrica
Einstein Park II Block B 102-106 Witch-Hazel Avenue Highveld Technopark Centurion Gauteng Republic of South Africa TEL: 27-12-665-2165 FAX: 27-12-665-2186 URL: www.d-link.co.za
China
No.202,C1 Building, Huitong Oce Park, No. 71, Jianguo Road, Chaoyang District, Beijing 100025, China TEL +86-10-58635800 FAX: +86-10-58635799 URL: www.dlink.com.cn
Taiwan Rusia
Grafsky per., 14, oor 6 Moscu 129626 Russia TEL: 7-095-744-0099 FAX: 7-095-744-0099 350 URL: www.dlink.ru 2F, No. 119, Pao-Chung Rd. Hsin-Tien, Taipei Taiwan TEL: 886-2-2910-2626 FAX: 886-2-2910-1515 URL: www.dlinktw.com.tw
Oficina Central
2F, No. 233-2, Pao-Chiao Rd. Hsin-Tien, Taipei Taiwan TEL: 886-2-2916-1600 FAX: 886-2-2914-6299 URL: www.dlink.com.tw
344

Manual DFL-800 Espanol

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual DFL-800 Espanol

Cargado por

Copyright:

Formatos disponibles

CONTENIDOS

Vista General del Producto

1 Capacidades 1.1 Caractersticas del Producto . . . . . . . . . . . . . . . . . . . . . . . . . .

Gua de Usuario de los Firewalls D-Link

95 96 96 96 97 98 98 98 99 99 101 103 103 103 104

Gua de Usuario de los Firewalls D-Link

182 183 183 184 186 186 187 189

Red privada virtual (VPN)

26.1 DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Referencia a Comandos de Consola D-Link Firewalls Users Guide

D-Link Firewalls Users Guide

331 331 333 334 334 334 335 336 339

D-Link Firewalls Users Guide

FIGURES & TABLES

2.1 4.1 4.2 9.1 9.1

150 153 162 166 169 172 174

D-Link Firewalls Users Guide

Seccin 27.3: Habilitando Transparent Mode

Seccin 28.6: Conguracin de Zone Defense . . . . . . . . . . . . . . . . . 294

Acerca de este Documento

Pasos ejemplo para WebUI.

Vista General del Producto

Caracteristicas del Producto

Zona de Defensa Alta Disponibilidad (Algunos modelos)

Captulo 2. El modelo OSI

Gua de Usuario de los Firewalls D-Link

El Rol del Firewall

Cmo trabaja un Firewall?

Capitulo 3. Principios del Firewall

Contra qu NO protege el Firewall?

3.2. Contra qu NO protege el Firewall?

Ataques en Componentes Inseguros pre-instalados

Usuarios inexpertos en Redes protegidas

Ataque a los datos de la Red

Capitulo 3. Principios del Firewall

3.2. Contra qu NO protege el firewall?

Scripts hechos a la medida en servidores web. Es ahora muy fcil ampliar la

Mdems y Conexin VPN

Gua de Usuario de los firewalls D-Link

Capitulo 3. Principios del Firewall

Entradas entre DMZ y las Redes Internas

3.2. Contra qu NO protege el firewall?

Capitulo 3. Principios del Firewall

Gua de Usuario de los Firewalls D-Link

Plataforma de Configuracin Registro Mantenimiento Ajustes Avanzados

Capitulo 4. Plataforma de Configuracin

Figura 4.1: Ventana de Autentificacin WebUI.

Figura 4.2: Ventana Principal WebUI.

Gua de Usuario de los Firewalls D-Link

4.1. Configurando Via WebUI

Captulo 4. Plataforma de Configuracin

- Zona de Defensa: Despliega el estado de la informacin de la Zona de Defensa.

Gua de Usuario de los Firewalls D-Link

4.2. Monitoreando Via CLI

Gua de Usuario de los Firewalls D-Link

Importancia & Capacidades

Gua de Usuario de los Firewalls D-Link

eventos de estado de ingeniera, ej. apertura/cierre de conexiones.

eventos de gestin remota del administrador.

eventos de control de interfaz.

eventos para cliente DHCP, para la retransmisin, o para el servidor.

mensajes de registro provenientes de la ingeniera ARP.

mensajes de registro provenientes de la ingeniera de manejo fragmentada.

informacin para el ruteodinmico.