Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual DFL-800 Espanol
Manual DFL-800 Espanol
Prefacio
Versin del Documento. . . . . .
Extensin de responsabilidad .
Acerca de este Documento. . .
Convenciones Tipogrficas
II
xvi
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
xvii
xvii
xvii
xviii
1 Capacidades
1.1 Caractersticas del Producto . . . . . . . . . . . . . . . . . . . . . . . . . .
3
3
III
Introduccin de Redes
2 El modelo OSI
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
9
9
9
9
10
11
11
11
13
13
14
ii
IV
Administracin
18
4 Plataforma de Configuracin
4.1 Configurando Via WebUI . . . . .
4.1.1 Vista General . . . . . . . . . .
4.1.2 Interface Layout . . . . .
4.1.3 Operaciones de Configuracin
4.2 Monitoreo Via CLI . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
19
19
19
19
22
23
5 Registro
5.1 Vista General . . . . . . . . . . . . . .
. . .
5.1.1 Importancia & Capacidad
. . .
5.1.2 Eventos . . . . . . . . . . .
. . .
5.2 Receptores de Registro . . . . . . . .
. . .
5.2.1 Receptor Syslog . . . . . .
. . .
5.2.2 Receptor de Registro de Memoria.
. . .
5.2.3 Receptor de Evento SMTP . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
25
25
25
26
28
28
29
29
.
.
.
.
.
.
.
.
.
.
6 Mantenimiento
6.1 Actualizacin del Firmware . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Reset a valores de fabrica . . . . . . . . . . . . . . . . . . . . . .
6.3 Respaldo de Configuracin . . . . . . . . . . . . . . . . . . . . . . . .
31
31
32
34
7 Ajustes Avanzados
7.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
35
38
Fundamentos
8 Objetivos Lgicos
8.1 Libro de Direccines . . . . . . . . . . . . . . . . . . .
8.1.1 Direccin IP . . . . . . . . . . . . . . . . . .
8.1.2 Direccin Ethernet . . . . . . . . . . . . . .
8.2 Servicios . . . . . . . . . . . . . . . . . . . . . . . .
8.2.1 Tipos de Servicio . . . . . . . . . . . . . . .
8.2.2 Reporte de Error & Proteccin de Conexin
8.3 Programas. . . . . . . . . . . . . . . . . . . . . . .
8.4 Certificados X.509 . . . . . . . . . . . . . . . . . .
8.4.1 Introduccin a Certificados . . . . . . . .
8.4.2 Certificados X.509 en los Firewalls D-Link .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
39
39
39
41
41
42
46
48
49
49
51
iii
9 Interfaces
9.1 Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.1.1 Interfaces Ethernet . . . . . . . . . . . . . . . . . . . .
.
9.1.2 Interfaces Ethernet en los Firewalls D-Link . . . . . . .
.
9.2 Virtual LAN (VLAN) . . . . . . . . . . . . . . . . . . . . . .
.
9.2.1 Infraestructura VLAN . . . . . . . . . . . . . . . . . .
.
9.2.2 802.1Q VLAN Estandard . . . . . . . . . . . . . . . .
.
9.2.3 Implementacin VLAN . . . . . . . . . . . . . . . . .
.
9.2.4 Utilizando LANs Virtuales para Expandir Interfaces Firewall .
9.3 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.3.1 Cliente DHCP . . . . . . . . . . . . . . . . . . . . . . .
.
9.4 PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.4.1 PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.4.2 Configuracin de Cliente PPPoE . . . . . . . .
.
9.5 Grupos de Interface . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.6 ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.6.1 Tabla ARP. . . . . . . . . . . . . . . . . . . . . . . . .
.
10 Routing
10.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . .
10.2 Jerarqua de Routing . . . . . . . . . . . . . . . . . . . . .
10.3 Algoritmos Routing . . . . . . . . . . . . . . . . . . . .
10.3.1 Routing Esttico . . . . . . . . . . . . . . . . . .
10.3.2 Routing Dinmico . . . . . . . . . . . . . . . . .
10.3.3 OSPF . . . . . . . . . . . . . . . . . . . . . . . .
10.4 Ruta de Failover . . . . . . . . . . . . . . . . . . . . . . .
10.4.1 Escenario: Configuracin de Ruta de Failover. . .
10.5 Implementacin de Routing Dinmico . . . . . . . . . .
10.5.1 Proceso OSPF. . . . . . . . . . . . . . . . . . .
10.5.2 Poltica de Routing Dinmico . . . . . . . . . . .
10.5.3 Escenarios: Configuracin de Routing Dinmico
10.6 Escenario: Configuracin de Routing Esttico. . . . . .
10.7 Politica basada en Routing(PBR) . . . . . . . . . . . . . . .
10.7.1 Vista General. . . . . . . . . . . . . . . . . . . . . .
10.7.2 Politica basada en Routing Tables . . . . . . . . . .
10.7.3 Politica basada en Routing Policy . . . . . . . . . .
10.7.4 Ejecucin PBR . . . . . . . . . . . . . . . . . .
10.7.5 Escenario: Configuracin PBR . . . . . . . . .
10.8 ARP Proxy . . . . . . . . . . . . . . . . . . . . . . . .
Gua de Usuario de los Firewalls D-Link
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
53
53
53
54
56
56
57
58
59
60
60
61
62
62
65
66
66
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
69
69
70
71
71
72
74
77
78
81
81
81
82
87
88
88
89
89
89
91
94
iv
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
95
96
96
96
97
98
98
98
99
99
12 DNS
101
13 Ajustes de Registro
13.1 Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.1.1 Definiendo Receptor Syslog . . . . . . . . . . . . . . . . . .
13.1.2 Habilitando registros . . . . . . . . . . . . . . . . . . . . . . .
103
103
103
104
VI
Polticas de Seguridad
108
14 Reglas IP
14.1 Vista General . . . . . . . . . . . . . . . . . . . . . . .
. .
14.1.1 Campos . . . . . . . . . . . . . . . . . . . . .
. .
14.1.2 Tipos de Accin . . . . . . . . . . . . . . . . .
. .
14.2 Traduccin de Direccin. . . . . . . . . . . . . . . . .
. .
14.2.1 Vista General. . . . . . . . . . . . . . . . . . .
. .
14.2.2 NAT . . . . . . . . . . . . . . . . . . . . . .
. .
14.2.3 Traduccin de direccin en los Firewalls D-Link
. .
14.3 Escenarios: Configuracin de Reglas IP. . . . . . . .
. .
15 Acceso (Anti-spoofing)
15.1 Vista General. . . . . . . . . . . . . . .
.
15.1.1 IP Spoofing . . . . . . . . .
.
15.1.2 Anti-spoofing . . . . . . . .
.
15.2 Regla de Acceso . . . . . . . . . . . . .
.
15.2.1 Funcin. . . . . . . . . . .
.
15.2.2 Ajustes. . . . . . . . . . . .
.
15.3 Escenario: Ajustando Regla de Acceso .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
109
109
110
111
112
112
112
114
116
.
.
.
.
.
.
.
123
123
123
124
124
124
124
126
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
VII
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
127
127
127
129
130
.
.
.
.
.
.
.
.
.
.
.
131
131
131
132
133
134
134
134
135
136
137
137
Inspeccion de Contenido
146
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
147
147
148
148
150
155
155
156
158
158
158
159
160
161
181
vi
19.1.3 Accion . . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
182
. . . . . . . . . . . .
183
19.2.1 Escenario 1 . . . . . . . . . . . . . . .
. . . . . . . . . . . .
183
19.2.2 Escenario 2 . . . . . . . . . . . . . . .
. . . . . . . . . . . .
184
. . . . . . . . . . . .
186
186
187
189
VIII
. . . . . . . . . . . .
192
20 VPN Bsico
193
. . . . . . . . . . . . . . . .
193
. . . . . . . . . . . . . . . .
193
. . . . . . . . . . . . . . . .
195
20.2.1 Encriptacion . . . . . . . . . . .
. . . . . . . . . . . . . . . .
195
. . . . . . . . . . . . . . . .
198
. . . . . . . . . . . . . . . .
200
. . . . . . . . . . . . . . . .
201
21 VPN Planificacion
207
208
213
22.1 IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
213
214
214
22.1.3 IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
215
219
223
228
22.2.1 PPTP . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . .
228
22.2.2 L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
234
243
vii
IX
Administracin de Trfico
246
247
23 Trac Shaping
23.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
23.1.1 Funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
248
23.1.2 Caractersticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
249
23.2 Pipes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
249
250
252
253
253
253
261
24.1 Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
261
261
262
24.1.3 Beneficios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
263
264
. . . . . . . . . . . . . . . . . .
264
. . . . . . . . . . . . . . . . . .
264
265
266
Caractersticas Miscelneas
25 Clientes Miscelneo
266
270
271
271
271
272
273
273
275
277
viii
XI
Modo Transparente
280
27 Modo Transparente
281
27.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
281
27.2 Implementacion de modo transparente en los Firewall Dlink . . . .
282
27.3 Escenarios: Habilitando Modo Transparente . . . . . . . . . . . . . . . . . . . . . 284
XII
Zona de Defensa
28 Zona de defensa
28.1 Vista General . . . . . . . . . . . . . . . .
. . .
28.2 Switch de zona de defensa . . . . . . . .
. . .
28.2.1 SNMP . . . . . . . . . . . . .
. . .
28.3 Reglas Threshold . . . . . . . . . . . .
. . .
28.4 Bloqueo Manual y Listas Excluyentes . . . .
28.5 Limitaciones . . . . . . . . . . . . . . .
. . .
28.6 Escenario: Configurando la zona de defensa
. . .
XIII
290
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Alta Disponibilidad
29 Alta Disponibilidad
29.1 Alta Disponiblidad Basica . . . . . . . . . . . . . . . . . . . . .
. .
29.1.1 Qu har la Alta Disponibilidad para Ud? . . . . . . .
. .
29.1.2 Qu no har la Alta Disponibilidad para Ud? . . . .
. .
29.1.3 Ejemplo de configuracin de Alta disponibilidad . . . . . . . . .. . ..
29.2 Como se logra realizar un Failover . . . . . . . . . . . . .
. .
29.2.1 La direccin IP compartida y mecanismo de Failover
. .
29.2.2 Palpitaciones Cluster . . . . . . . . . . . . . . . . . . . .
. .
29.2.3 La interfaz de sincronizacion . . . . . . . . . . . . .
. .
29.3 Configurando un Cluster de Alta Disponibilidad . . . . . . . . . . . .
. .
29.3.1 Planificando el Cluster de Alta Disponibilidad . . . . . . . .
. .
29.3.2 Creando un Cluster de Alta Disponibilidad . . . . . . . . .
. .
29.4 Cosas que debe mantener presentes . . . . . . . . . . . . . . . . . . . . . . .
29.4.1 Asuntos de estadstica y registros . . . . . . . . . . . . . .
. .
29.4.2 Asuntos de Configuracion . . . . . . . . . . . . . . . . . . .
. .
XIV
Apndice
291
291
291
292
293
293
294
294
298
299
299
299
300
301
301
302
303
304
304
305
305
307
307
308
310
313
ix
Lista de Comandos .
About . . . . .
Access . . . . .
ARP . . . . . .
ARPSnoop . .
Buers . . . . .
Certcache . . .
CfgLog . . . . .
Connections . .
Cpuid . . . . .
DHCP . . . . .
DHCPRelay .
DHCPServer .
DynRoute . . .
Frags . . . . . .
HA . . . . . . .
HTTPPoster .
Ifacegroups . .
IfStat . . . . . .
Ikesnoop . . . .
Ipseckeepalive
IPSectunnels .
IPSecstats . . .
Killsa . . . . . .
License . . . . .
Lockdown . . .
Loghosts . . . .
Memory . . . .
Netcon . . . . .
Netobjects . .
OSPF . . . . .
Ping . . . . . .
Pipes . . . . . .
Proplists . . . .
ReConfigure .
Remotes . . . .
Routes . . . . .
Rules . . . . . .
Scrsave . . . . .
Services . . . .
Shutdown . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
313
313
314
314
315
315
316
317
317
318
318
319
319
319
320
320
320
321
321
322
323
323
323
324
324
325
325
325
325
326
326
327
327
328
328
329
329
330
330
331
331
Sysmsgs .
Settings .
Stats . . .
Time . . .
Uarules .
Userauth
Userdb . .
Vlan . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
B Soporte a clientes
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
331
331
333
334
334
334
335
336
339
2.1
4.1
4.2
20
20
9.1
9.1
A VLAN Infrastructure. . . . . . . . . . . . . . . . . . . . . . . .
802.1Q Standard Ethernet Frame. . . . . . . . . . . . . . . . . .
57
58
78
82
87
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
150
153
162
166
169
172
174
xii
VPN
VPN
VPN
VPN
VPN
VPN
Deployment
Deployment
Deployment
Deployment
Deployment
Deployment
Scenario
Scenario
Scenario
Scenario
Scenario
Scenario
1
2
3
4
5
6
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
22.1
22.2
22.1
22.2
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
201
202
203
203
204
205
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
223
225
228
235
LISTA DE ESCENARIOS
78
82
87
91
. . . . . . . . . . 137
. . . . . . . . . . . . . . . . . . . . . . . 266
. . . . . . . . . . . . . . 284
xiii
Parte I
Prefacio
xiv
Versin de Documento
Version No.: 1.0
Advertencia
La informacin en esta gua de usuario est sujeta a cambios sin previo aviso.
Convenciones Tipogrficas
Ejemplo:
Pasos de configuracin para realizar ciertas funciones.
WebUI
Nota
Informacin adicional que el usuario debe tener en conocimiento.
Tip
Sugerencias en la configuracin que deben ser tomadas en consideracin.
Aviso
Informacin crtica que el usuario debe seguir al llevar a cabo cierta accin.
Advertencia
Informacin critica que el usuario DEBE seguir para evitar un dao potencial
xvii
Parte
II
CAPITULO
1
Capacidades
1.1
Las caractersticas claves de los firewalls D-Link pueden ser resumidas como:
Asistente de arranque de fcil ejecucin
Interfaz grfica de usuario basado en web (WebUI)
Efectivo y de fcil mantencin
Polticas de control completo de seguridad
Capas de puerta de enlace de aplicacin avanzada (FTP, HTTP, H.323)
Mtodos avanzados de monitoreo y registro
Cumplimiento VLAN total
Soporte para la construccin VPN (IPSec, PPTP, L2TP)
Deteccin de errores de Ruta
Ruteo avanzado (OSPF)
Soporte de Modo Transparente
Balance de Registro de Servidor
Sistema de Deteccin de Intrusos
Capitulo 1. Capacidades
Zona de Defensa
Alta Disponibilidad (Algunos modelos)
Parte
III
Introduccin a Redes
CAPITULO
2
El modelo OSI
Capa de Aplicacin
6 Capa de Presentacin
Capa de Sesin
Capa de Transporte
Capa de Red
Capa de Datos-Link
Capa Fsica
CAPITULO
3
Principios Firewall
3.1
3.1.1
Qu es un Firewall?
3.1.2
10
cumpla con las definiciones actuales de protocolo. Esto puede prevenir que
servicios mal implementados en los servidores protegidos y clientes software sean
expuestos a datos inesperados, causando que stos se suspendan se caigan. En
resumen un firewall es la respuesta de la red a una seguridad
deficiente por parte del anfitrin.
3.2
3.2.1
11
3.2.2
Ningn firewall en el mundo puede proteger contra el dao que usuarios inexpertos
pueden provocar a una red protegida.
Si stos asisten a un intruso de una manera u otra, ej. abriendo un
programa no reconocido enviado va email tal como merryxmas2001.exe,
se puede lograr ms dao que si colocramos juntos todos los virus de aplicaciones y
sistemas operativos.
Todos los intentos de asegurar las redes de una organizacin deben ser precedidos
por una profunda investigacin sobre que puede o no ser permitido.
El resultado de sto debe ser una poltica de seguridad que se aplique a todas las partes
de la organizacin, desde la administracin inferior. Con la intencin de que tales polticas
funcionen, todos los usuarios deben estar conscientes de estas polticas y por qu
deben ser reforzadas.
3.2.3
12
estn abiertos sin scripts. Tales pginas pueden, a menudo con la ayuda
de usuarios locales confiados que son engaados en Ayudar a la pgina
haciendo click en un botn, enviando el archivo vinculado hacia adelante a un
servidor Internet desconocido.
Los documentos enviados por email que contienen scripts hostiles son
activados una vez que el documento es abierto. Maneras posibles para proteger su
sistema contra estas formas de ataque incluyen el evitar utilizando
un software buscador basado en email o deshabilitando el script e introduciendo
puertas de enlace mail que pueden bloquear scripts y otros cdigos ejecutables.
Buer overruns, contra los cuales muy raramente proveen proteccin los firewalls.
scanners de virus, puertas de enlace mail y otros dispositivos similares con el fin
de incrementar seguridad, pero debe ser notado que la funcionalidad
fundamental de un firewall no entrega normalmente tal proteccin.
Incluso si un firewall es conectado a un scanner de virus, es posible que los virus
web. Los servidores Web son claramente representados en esta categora debido
a su enorme complejidad.
Gua de Usuario de los Firewalls D-Link
13
3.2.4
Ataques internos
Un firewall slo puede filtrar datos que pasan a travs de ste. Por lo tanto, no puede
ofrecer proteccin alguna contra ataques internos en las redes locales, donde todos
los computadores se comunican directamente entre ellos.
En adicin, los firewalls no pueden proveer proteccin contra los usuarios
locales introduciendo un software prejudicial a la red desde un medio removible, o a
travs de la exportacin de informacin sensible del mismo modo.
Esto puede parecer obvio. Sin embargo, la mayora de la gente subestima el impacto
de tal dao.
Aunque diferentes Fuentes entregan diferentes imgenes, es claro que ms de un
50% de todos los problemas de seguridad de datos son el resultado de ataques
internos. Algunas fuentes colocan esta imagen a una altura del 80%.
3.2.5
Un error comn es creer que los mdems y puertas de enlace VPN son tan seguros
como la red protegida y pueden ser conectados directamente a sta sin proteccin.
14
En casos en donde el firewall pone en relieve una puerta de enlace VPN integrada, es
usualmente posible imponer los tipos de comunicacin permitidos. El Firewall
D-Link pone a flote tal facilidad.
3.2.6
15
Nota
El problema aqu no son los paquetes IP que son dirigidos a travs de los servidores
DMZ, por eso el deshabilitar IP forwarding no le proveer ninguna proteccin.
El problema es que los intrusos pueden ejecutar comandos en estos servidores
del mismo modo que cualquiera en el teclado.
Debe tambin ser notado que su red interna ser an vulnerable
a los ataques incluso si el canal entre el DMZ y la red interna esta
hecha en un protocolo no-dirigible como un NetBEUI. Nuevamente, el problema
no son los paquetes que atraviesan redes inseguras hacia la red interna.
Gua de Usuario de los Firewalls D-Link
16
Parte IV
Administracin
Plataforma de Configuracin
Registro
Mantenimiento
Ajustes Avanzados
CAPITULO
Plataforma de Configuracin
4.1
4.1.1
Configurando Va WebUI
Vista General
Los firewalls D-Link pueden ser configurados utilizando una interfaz web. Una
interfaz web es usualmente una manera rpida y eficiente para configurar un firewall, que
no requiere que el administrador instale ningn programa especfico para configurar
ste. Esto tambin permitir al administrador configurar el firewall remotamente,
de manera virtual desde cualquier lugar en el mundo.
4.1.2
Diseo de Interfaz
Antes de utilizar la interfaz WebUI, el usuario deber ser autentificado a travs del
ingreso de nombre de usuario/contrasea en la ventana de autentificacin,
mostrado en la Figura 4.1.
Una vez registrado en el WebUI, al usuario se le presentar una pgina con tres
Secciones distintas, como se muestra en la Figura 4.2:
Barra de Menu
Lista con Vista de Arbol
Ventana principal
19
20
21
Barra Menu
La barra menu consiste en un nmero de botones con tanto una sola opcin
mltiples sub-opciones.
Home
Dirijase a la pgina de inicio del WebUI.
Configuracin
Herramientas
- Ping: Herramienta utilizada para ping anfitriones en la red. til para la solucin
de problemas y depuracin.
- Backup: Herramienta utilizada para guardar y restaurar respaldos de la configuracin
actual.
- Reset: En esta pgina es posible reiniciar el firewall y reestablecerlo
a lo predeterminado de fbrica.
- Upgrade: En esta pgina las firmas IDS y firmware del firewall pueden ser
modernizados.
Estado
- System: Aqu es mostrado el estado del sistema. Carga CPU, conexiones etc.
- Logging: Aqu es donde la carga almacenada en la memoria de registro es
desplegada.
- Connections: Despliega las conexiones actuales a travs del firewall.
- Interfaces: Despliega el estado para interfaces y tneles.
- IPSec: Despliega el estado de informacin IPSec.
- Routes: Despliega la actual tabla de ruteo.
- DHCP Server: Despliega la informacin en uso para servidores DHCP.
- IDS: Despliega el estado de informacin IDS.
- SLB: Despliega el estado de informacin SLB.
Gua de Usuario de los Firewalls D-Link
22
Logout
Log out from the WebUI.
Help
Lea la ltima version de este manual.
4.1.3
Operaciones de Configuracin
4.2
23
Monitoreo Va CLI
Para conectar una terminal al puerto consola, siga los siguientes pasos:
1. Coloque los ajustes terminales como ha sido descrito con anterioridad.
2. Conecte uno de los conectores del cable RS-232 directamente al
puerto de consola en el hardware del firewall.
3. Conecte el otro extremo del cable a la terminal o conector serial del
c computador que hace correr el software de comunicacin.
A travs del texto basado en el Interface de comandos (CLI) de la consola, un
anlisis ms profundo de varios aspectos estadsticos del firewall pueden ser
conducidos tambin como un detector de problemas avanzado. Una referencia
detallada de varios comandos que pueden ser utilizados en esta interfaz es cubierta
en el Apndice A, Referencia de Comandos de Consola.
Nota
Actualmente, el CLI puede slo ser utilizado para visualizacin de estadsticas y estados.
El firewall no puede ser configurado a travs de esta interfaz.
CAPITULO
5
Registro
Este captulo trata de los principios de registro y entrega una breve introduccin al
diseo de los firewalls de registro D-Link. Para informacin acerca de cmo implementar
la funcin de registro por el firewall, refirase a 13, Ajustes de registro
en la parte de Fundamentos.
5.1
Vista General
5.1.1
26
Chapter 5. Logging
5.1.2
Eventos
Hay un nmero de situaciones diferentes que pueden causar que los firewalls D-Link
generen y entreguen datos de registro. Cada una de tales ocasiones es referida
como un evento.
Algunos eventos, por ejemplo, el inicio y cierre del firewall, generarn siempre
entradas de registro. Otros, por ejemplo, para registrar si una regla especificada es
coincidente, son configurables. La razn ms obvia y simple transmisin
por evento generado es, por supuesto, cuando el registro es configurado en la regla del
firewall, tal como una regla IP, reglas de Autentificacin del Usuario, Reglas Threshold,
etc.
Los eventos de inters para captura generalmente caen en tres categoras claras:
Firewall System Issues, Security Policy, y Network Connection Status.
System Issues
Esta categora de eventos registra el estado del sistema del firewall y cambios del
hardware, por ejemplo:
BUFFERS eventos con respecto al uso del buffer.
TIMESYNC tiempos de sincronizacin de eventos firewall.
HWM hardware monitoreador de eventos.
SYSTEM Inicio & Cierre.
5.1. Overview
27
Security Policy
La informacin sobre diferentes acciones gatilladas por las reglas de firewall
son entregadas en esta categora, incluyendo:
ACCEPT paquetes aceptados para futuras intromisiones.
FWD- paquetes direccionados sin estado
DROP paquetes rechazados.
Conexiones de Red
Varias conexiones de trfico, estados de routing, y registro de actividades del
usuario para depurar y monitorear el ambiente de la red caen en esta categora.
Tanto los servicios autorizados como conexiones rechazadas pueden ser
registradas. Normalmente, el nombre de los servicios (o nombre de protocolo) es
utilizado como la etiqueta para el evento en la entrada de registro. Los eventos
ms
comunes dentro de sta categora son enlistados a continuacin.
USAGE
estadsticas peridicas del uso del sistema, tal como amplitud de banda,
conexiones, y etc.
CONN
28
Captulo 5. Registro
HA
5.2
Receptores de Registro
5.2.1
Receptor Syslog
29
Con
de facilitar
procesamiento automatizado
todos los mensajes, los
Febel5fin
2000
09:45:23elgateway.ourcompany.com
FW:deDROP:
Firewalls D-Link copian todos los datos de registro a una sola lnea del texto. Los
datos siguientes al texto inicial son presentados en el formato nombre=valor. Esto
permite a los filtros automticos encontrar fcilmente los valores que estn buscando
El texto subsiguiente depende del evento que ha ocurrido.
sin suponer que una parte especfica de datos se encuentra en una localizacin
especfica en la entrada de datos. En un firewall D-Link, pueden ser configurados por
sobre 8 receptores Syslog y stos pueden ser agrupados en uno o ms grupos de
receptores. Comparado con el Memory Log Receiver el cual es introducido a
continuacin, los receptores Syslog pueden ser utilizados para salvar y a largo plazo
almacenar los eventos registrados. Estos servidores de registro entregan una gestin
centralizada de archivos de registro, y el respaldo de los archivos, es posible
dependiendo del receptor(es) Syslog particular en uso.
5.2.2
Receptor de registro de memoria
Los firewalls D-Link pueden actuar como receptor de registro con su memoria
incorporada. Cuando la memoria de receptor de registro es habilitada en el firewall,
todos los eventos sern guardados en el archivo de registro en la memoria, y las
entradas ms actuales generadas del archivo pueden ser desplegadas para el
administrador si lo solicita. Este almacenamiento de archivos de registro es temporal,
todos los contenidos del archivo pueden ser limpiados luego de ser reiniciado el
firewall, y ah no hay respaldo. Solo una memoria de receptor de registro puede ser
configurada por un firewall
.
5.2.3
Receptor de Evento SMTP
Una nica caracterstica designada para eventos de registro IDS/IDP y alertas es
entregada por los firewalls D-Link, denominada como Receptor de Evento SMTP.
Con una apropiada configuracin, el firewall est capacitado para registrar posibles
intromisiones y notificar al administrador enviando e-mail(s) para especificar
direccin(es) e-mail. Para mayor informacin acerca de esta funcin, refirase a 19.5
Receptor de Registro SMTP para Eventos IDS.
31
CAPITULO
6
Mantenimiento
6.1
Los Firewalls D-Link pueden ser modernizados con nuevos firmwares para introducir
nuevas funcionalidades y corregir problemas conocidos. Asegrese de revisar regularmente
la website de soporte D-Link para nuevos firmware modernizados.
32
Capitulo 6. Mantenimiento
Aviso
6.2
Hay tres maneras de reajustar el Firewall D-Link a sus ajustes firmware y configuracin
predeterminados de fbrica.
1. Reajuste a Ajustes Preestablecidos de Fbrica desde el WebUI
En el WebUI del Firewall navegue a la pgina de Tools Reset en la barra de
herramientas. Seleccione Reset to Factory Defaults, confirme y espere hasta que el
proceso de revertir est completo.
33
Aviso
NO SUSPENDA EL PROCESO DE REAJUSTAR A LOS AJUSTES DE FABRICA.
Si es suspendido, el firewall puede dejar de funcionar correctamente.
Luego del proceso de reajuste, los ajustes del firewall sern restaurados
permanentemente.
Captulo 6. Mantenimiento
34
6.3
Respaldo de Configuracin
Nota
La funcionalidad de respaldo SOLO incluye la configuracin del firewall.
La informacin Dinmica tal como el arriendo de base de datos del servidor DHCP
lista de bloqueo de la Zona de Defensa no sern respaldadas.
CAPITULO
7
Ajustes Avanzados
7.1
Vista General
.
Los Ajustes Avanzados contienen varios ajustes globales para un firewall en trminos
de lmites de tamao de paquetes, tiempos de desconexin, parmetros de protocolo,
test de integridad estructural al que cada paquete debe ser sujeto, etc.
Generalmente, los valores predeterminados entregados en estas secciones son
apropiados para la mayora de las instalaciones. Pero tales opciones entregan
posibilidades de instalaciones avanzadas para configurar casi todos los aspectos del
firewall.
WebUI
Parte V
Fundamentos
Objetos Logicos
Interfaces
Ruteo
DNS
Ajustes de Registro
CAPITULO
8
Objetos Lgicos
Los objetos lgicos son elementos bsicos de red definidos en el firewall, refiriendo
a las entidades que necesitan ser protegidas y tambin las fuentes inseguras y
aplicaciones que deben ser monitoreadas por las polticas de seguridad.
8.1
Libro de Direcciones
Como un libro de contactos que registra los nombres de personas junto con el
nmero telefnico y direccin email, el libro de direcciones en un Firewall es una
lista de nombres simblicos asociados con varios tipos de direcciones, incluyendo
direcciones IP y direcciones MAC ethernet. Estos tems son elementos
fundamentales fuertemente utilizados en la configuracin del firewall, tal como
la especificacin de campos de filtro para polticas de seguridad. Por lo tanto, elegir
un nombre descriptivo y fcil de recordar para cada tem de direccin facilitar
enormemente el trabajo de administracin. El administrador puede utilizar el
nombre en cada tarea de configuracin en vez de llenar direcciones cada vez y en caso
de modificar una direccin, solo se necesita modificar un punto en el libro de direcciones.
8.1.1
Direcciones IP
Para habilitar que cada entidad reciba y enve datos desde o hacia una red TCP/IP,
se necesita una direccin IP de capa de red (OSI capa 3) para asociar
con cada punto entre la entidad de red y el link fsico, esta es una interfaz.
En otras palabras, cada interfaz tiene una direccin IP nica en la red para indicar
39
40
su localizacin.
El libro de direccin en los firewalls D-Link permite al administrador nombrar
Direcciones IP tanto para un solo anfitrin, una red, un par maestro/esclavo utilizado
en Alta disponibilidad, o un grupo de computadores o interfaces. Una direccin
0.0.0.0/0 denominada como all-nets es utilizada para denotar todas las redes
posibles.
Ejemplos de IP4Host/Network son mostrados a continuacin.
La autentificacin de usuario desde una direccin IP objetiva puede ser habilitada en
IP4 Host/Network o IP4 Address Group agregando nombres de usuarios
grupos de usuarios al objeto. Una vez que el firewall verifica el trfico que fluye
desde una direccin objetiva y encuentra el nombre de usuario definido en ste,
avisar al usuario con solicitudes de autentificacin de acuerdo a las Reglas de
Autentificacin del Usuario (Ver 17 Autentificacin del Usuario).
8.2. Servicios
41
1. Especificar una Red IP4 objetiva lannet como se muestra en el ultimo ejemplo.
2. Objects Address Book Add IP4 Address Group
General:
Ingrese lo siguiente:
Name: lannet users
Group members:
De la lista Available, seleccione lannet object y colquelo en la lista
Selected.
Comments: Auth. users on lannet
User Authentication:
8.1.2
Direccion Ethernet
Una direccin Ethernet, tambin conocida como direccin LAN, una direccin fsica,
direccin MAC (media access control), es una capa de datos nica (capa 2 OSI)
identificador de la tarjeta de interfaz de red, ej. un adaptador ethernet, el cual es utilizado
para el envo de estructuras de datos. Los usuarios pueden asimismo
entregar un nombre especfico a una direccin Ethernet o un grupo de direccin
como se explica en 8.1.1 arriba.
8.2
Servicios
Los Servicios son programas software que utilizan protocolo de definicin para entregar
varias aplicaciones a los usuarios de red. La mayora de las aplicaciones cuentan
con protocolos localizados en la capa 7 OSI capa de Aplicacin para entregar
comunicacin desde
Gua de Usuario de los Firewalls D-Link
42
un programa de usuario a otros grupos en una red. En esta capa, otros grupos son
identificados y pueden ser alcanzados por tipos de protocolos de aplicacin
especficos y parmetros correspondientes, tal como nmeros de puerto. Por
ejemplo, el servicio HTTP de buscador en Web es definido como para utilizar el protocolo
TCP con puerto de destino 80. Alguno de los otros servicios populares en esta capa
incluyen FTP, POP3, SMTP, Telnet, y etc. Junto con estas aplicaciones oficialmente
definidas, los servicios a solicitud del usuario pueden ser creados en los
firewalls D-Link.
Los servicios son simples, en el sentido en el que stos no pueden llevar a cabo
por s mismos ninguna accin en el firewall. De este modo, una definicin de
servicio no incluye ninguna informacin si el servicio debe ser permitido a travs del
Firewall o no. Tal decisin es realizada por completo por las reglas IP del firewall, en las
cuales el servicio es utilizado como un parmetro de filtro. Para mayor informacin
acerca de cmo utilizar los servicios en reglas , vase 14 Reglas IP.
8.2.1
Tipos de servicio
En los firewalls D-Link, los servicios pueden ser configurados a travs de tres
opciones: TCP/UDP, ICMP, y servicio de Protocolo IP. Un servicio es bsicamente
definido por un nombre descriptivo, el tipo de protocolo, y parmetros de protocolo.
Los diferentes servicios pueden ser unidos en un Grupo de Servicio para simplificar las
polticas de configuracin, de manera que los administradores no necesiten configurar
una regla para cada servicio.
Servicios basados en TCP y UDP
Los servicios de aplicacin son corridos de manera ms comn en TCP o UDP, y son
a menudo asociados con un nmero de puerto bien conocido. En el firewall, estn
definidos por el tipo de protocolo que la aplicacin usa, y el nmero de puerto
asignado o rango de puerto. Para muchos servicios, un solo puerto de destino es
suficiente. El servicio HTTP, por ejemplo, utiliza un puerto de destino TCP 80,
Telnet utiliza TCP 23, y SMT utiliza TCP 25. En estos casos, todos los puertos
(0-65535) sern aceptados como puertos de fuente.
Los puertos mltiples o rangos de puerto pueden asimismo ser ajustados, por ejemplo, un
servicio puede ser definido para tener como puertos de fuente 1024-65535 y puertos de
destino 80-82, 90-92, 95. En este caso, un paquete TCP o UDP con puerto de destino
que es uno de 80, 81, 82, 90, 91, 92 o 95, y con un puerto de fuente en el rango
1024-65535, coincidir con este servicio.
8.2. Services
43
conectividad.
Destination Unreachable la fuente ha informado que un problema ha ocurrido
44
Redirect la fuente avisa que existe una mejor ruta para un paquete
de la Echo Request.
Source Quenching la fuente enva datos demasiado rpido para el receptor,
el buffer se ha llenado.
Time Exceeded el paquete es descartado cuando toma demasiado tiempo en
ser entregado.
8.2. Servicios
45
46
Grupo de Servicio
Los servicios definidos en las opciones anteriores pueden ser agrupadas con el
fin de simplificar la configuracin de polticas de seguridad. Considere un servidor web
utilizando HTTP estndar al igual que SSL encriptado HTTP (HTTPS, refirase a 22.3
SSL/TLS(HTTPS) ). En lugar de tener que crear dos reglas por separado
permitiendo ambos tipos de servicios a travs del firewall, un grupo de servicio llamado,
por ejemplo, Web, puede ser creado, con el HTTP y los servicios HTTPS como
miembros de grupo (mostrado en el ejemplo a continuacin).
8.2.2
8.2. Servicios
47
una buena idea, ya que puede causar que la red protegida sea vulnerable a muchos
tipos de ataques, ej. DoS (Denial of Service) en particular.
Para resolver este problema, los firewalls D-Link pueden ser configurados para pasar un
mensaje de error ICMP slo si est relacionado con una conexin existente a un
servicio.
Proteccin de Flood SYN (SYN Relay)
Un mecanismo denominado como SYN Relay puede ser habilitado en el firewall para
proteger las direcciones de destino utilizados por un servicio desde el flujo SYN.
El ataque SYN flood es lanzado por un envo de solicitudes de conexin TCP
ms rpido de lo que un mecanismo puede procesar. El agresor enva solicitudes SYN a
un servidor con una direccin de fuente burlada, la cual jams responder al
SYN/ACK del servidor. Cada solicitud SYN llenar una nueva conexin TCP de
la tabla de conexin del servidor; cuando todas las conexiones en la tabla estn
esperando por confiar y la tabla est llena, el servidor no aceptar ninguna nueva
solicitud entrante. Las solicitudes de usuarios legtimos son luego ignorados.
El mecanismo SYN Relay cuenta los ataques escondiendo el servidor protegido
detrs del firewall. El firewall recibe solicitudes SYN y se asegura de que la
conexin sea vlida (esto es, el SYN/ACK respondida desde la fuente)
antes de enviar un paquete SYN al servidor. Si luego de cierto tiempo, no es recibido
ACK por el firewall, la conexin es suspendida.
Application Layer Gateway (ALG)
Una application layer gateway puede ser especificada para manejar diferentes servicios.
Mayor informacin puede ser encontrada en 18 Application Layer Gateway (ALG).
Para un servicio habilitado ALG, puede ser definido el nmero mximo de sesiones
permitidas al utilizar este servicio.
48
8.3
Programas
Programacion es un camino para crear limitaciones oportunas en las reglas del firewall.
Esto habilita al usuario para definir un cierto perodo de tiempo, en el formato de
aofechatiempo, lo cual slo activar las reglas en los tiempos designados.
Cualquier actividad fuera del espacio de tiempo programado no seguir las reglas
y por lo tanto no le ser permitido el paso a travs del firewall. Los programas pueden
ser configurados para tener un tiempo de inicio y trmino, as como la creacin de
diferentes perodos de tiempo en un da.
8.4
49
Certificados X.509
Los firewalls D-Link soportan certificados que cumplen con el estndar internacional
ITU-T X.509. Esta tecnologa utiliza una jerarqua de certificado X.509
con una criptografa de clave pblica (Vase 20.2, Introduccin a la Criptografa) para
conseguir la distribucin de clave y autentificacin de entidades.
8.4.1
Introduccin a Certificados
Un certificado es una prueba digital de identidad. ste enlaza una identidad a una clave
pblica para establecer si una clave pblica realmente pertenece al supuesto dueo.
De este modo, se previene una intercepcin en la transferencia de datos por terceras
personas, las cuales pueden enviar una clave telefnica con el nombre e ID de
usuario de un receptor previsto. Un certificado consiste en lo siguiente:
- Una clave pblica: La identity del usuario, tal como nombre, ID del usuario, etc.
- Firmas digitales: Una declaracin que informa que la informacin adjunta en el
Certificado ha sido respondida por una Certificate Authority (CA).
Colocando la informacin anterior junta, un certificado es una clave pblica con
formas de identificacin adjuntas, asociadas con un sello de aprobacin por una
parte confiable.
Certification Authority
Una Certification Authority (CA) es una entidad confiable que dicta certificados
a otras entidades. El CA digitalmente firma todos los certificados que dicta. Una firma de
CA vlida en un certificado verifica la identidad del titular, y garantiza que el certificado
no ha sido falsificado por terceros.
50
Tiempo de validez
Un certificado no es vlido por siempre. Cada certificado contiene las fechas
dentro de las cuales es vlido. Cuando este perodo de validez expira,
el certificado no puede seguir siendo utilizado, y se debe establecer un nuevo certificado.
Certificate Revocation Lists(CRL)
Una certificate revocation list (CRL) contiene una lista de todos los certificados que han
sido cancelados luego de su fecha de expiracin. Esto puede suceder por distintas
razones. Una de stas puede ser que la clave del certificado ha sido comprometida
de alguna manera, tal vez que el titular del certificado ha perdido los derechos de
autenticidad utilizando dicho certificado. Esto puede ocurrir, por ejemplo, si un
Empleado ha dejado la compaa desde donde el certificado ha sido establecido.
51
8.4.2
Carga de Certificado
Objects X.509 Certificates Add X.509 Certificate:
Ingrese lo siguiente:
Name: Name of the certificate.
Options
Seleccione uno de lo siguiente:
Upload self-signed X.509 Certificate
Upload a remote certificate
CAPITULO
9
Interfaces
Las interfaces fsicas son entradas de las conexiones de red. stas permiten
al trfico de red ingresar o salir de las reas de red con las cuales stas conectan.
Con el fin de controlar el trfico en ambas direcciones, entrantes y salientes, y proteger
la red local, las reglas de seguridad en el firewall estn limitadas a todas
las interfaces relevantes.
9.1
Ethernet
Ethernet es una de las arquitecturas Local Area Network (LAN) que sirven como base
para el IEEE 802.3 estndard, la cual especifica las capas de software fsicas y
mas bajas. Es una de las ms ampliamente implementadas LAN estndar.
Esta seccin presenta el concepto de interfaz Ethernet. Alguno de los protocolos ms
comnmente utilizados que corren en Ethernet son introducidos en las secciones
9.2 VLAN y 9.4 PPPoE en este captulo, otros como IPsec, PPTP,
L2TP, y ARP son cubiertos luego en el documento.
9.1.1
Interfaces Ethernet
54
Capitulo 9. Interfaces
9.1.2
Nota
En el firewall, hay dos interfaces lgicas denominadas como core y
any respectivamente. core se localiza en el corazn del firewall, todo el trfico
desde las interfaces fsicas son reemitidas a core para ser controladas por
las polticas de seguridad. any representa todas las interfaces posibles incluyendo
core.
Gua de Usuario de los Firewalls D-Link
9.1. Ethernet
55
(Los ajustes de red del hardware del adaptador pueden ser ajustados aqu.)
Media Especifique si la velocidad del vnculo debe ser auto-negociada o
bloqueada a una velocidad esttica.
Duplex Especifique si duplex (bidireccional) debe ser auto-negociada o
bloqueada por completo half duplex.
Advanced:
56
9.2
Capitulo 9. Interfaces
La conexin de Redes Virtual es la habilidad que tienen los dispositivos de red para
manejar las topologas de red lgica en la parte superior de la conexin fsica actual,
permitiendo segmentos arbitrarios dentro de una red para ser combinado en un grupo
lgico. Desde que la flexibilidad y el fcil control de red entregado por las topologas
lgicas, la conexin de red virtual se ha vuelto una de las mayores reas en el trabajo
internet
Los firewalls D-Link son por complete obedientes con las especificaciones IEEE
802.1Q para LANs virtuales, presentados por la definicin de interfaces virtuales sobre
la interfaz fsica Ethernet. Cada interfaz virtual es interpretada como una interfaz
lgica por el firewall, con el mismo control de polticas de seguridad y capacidades
de configuracin como interfaz regular.
9.2.1
Infraestructura VLAN
Una Local Area Network (LAN) es una emisin de dominio, que es, una seccin de la red
Cuando el ambiente LAN se vuelve ms grande, el soporte de
aplicaciones broadcast o multicast que inundan paquetes totalmente implican un
desperdicio considerable de banda ancha, debido a que los paquetes son a menudo
re-direccionados a nodos que no los requieren.
Los LAN virtuales (VLAN) permiten a un LAN fsico ser dividido en varios
LANs lgicos ms pequeos los cuales tienen diferentes emisores de dominio. sto
limita el tamao del emisor de dominio para cada LAN lgico, salva los costos de
emision de la banda ancha para optimizar el rendimiento y asignacin de recursos,
y adems divide grandes LANs en varias zonas de seguridad independientes
Para adherir puntos de control de seguridad. Los dispositivos localizados en el mismo
LAN pueden comunicarse sin tener conciencia de los dispositivos en otros LANs
Virtuales. Esto es ideal para separar departamentos industriales desde topologas
fsicas a diferentes segmentos de funcin.
Una infraestructura simple de VLAN es mostrada en la Figura 9.1. En este caso, un
Firewall D-Link es configurado para tener 2 interfaces VLAN. Ahora, aunque los clientes y
servidores se encuentren an compartiendo el mismo medio fsico, el Cliente A puede
comunicarse slo con el servidor D y el firewall desde que stos son configurados
Gua de Usuario de los Firewalls D-Link
57
9.2.2
58
Capitulo 9. Interfaces
Preamble
Dest.
Source
bytes
4
32 bits
3
1
Pri- CFI
ority
16
VLAN
Type
Indicator
(0x8100)
Length
46
to
1500
Data
CRC
12
VID
VLAN Tag
Tabla 9.1: Esquema Ethernet 802.1Q Estndar.
9.2.3
Implementacin VLAN
59
9.2.4
Los LANs virtuales son excelentes herramientas para expandir el nmero de interfaces
en los firewalls D-Link. Los Firewalls D-Link con interfaces Ethernet de gigabit
pueden fcilmente ser expandidas con 16 nuevas interfaces utilizando un switch Ethernet
de puerto-16 con puerto uplink gigabit y soporte de LAN Virtual.
El proceso trazado a continuacin describe los pasos requeridos para ejecutar una
expansin de interfaz. Note que la configuracin especfica del switch y firewall es un
modelo altamente dependiente y fuera del alcance de esta documentacin.
Conectar el puerto gigabit uplink del switch a una de las interfaces gigabit del
firewall.
60
Capitulo 9. Interfaces
puerto uplink est configurado como un puerto trunk para todos los IDs VLAN.
Cada puerto del switch sera visto ahora como una interfaz lgica en el firewall.
De este modo, el trfico ingresando a travs del switch, por ejemplo, puerto 12
sera recibido por la interfaz vlan 12 en el firewall.
En el ejemplo anterior, fue utilizado un puerto gigabit uplink en el switch y una interfaz
gigabit en el firewall. Las interfaces gigabit no son un requisito desde una perspectiva
de la funcionalidad;.
Sin embargo, desde una perspectiva de rendimiento, las interfaces gigabit son
recomendadas. Recuerde que un slo link Ethernet es utilizado para llevar todo el
trfico desde los puertos 16 switch, cada uno con una velocidad de link de interfaz de
100 Mbps.
9.3
DHCP
9.3.1
Cliente DHCP
9.4. PPPoE
61
Y usualmente acepta la primera oferta que recibe. Los clientes pueden renovar o liberar
su direccin IP asignada durante el perodo de contrato.
Interfaces Ethernet:
Haga click en la interfaz que es conectada a la red externa y ser utilizada como
cliente DHCP.
General:
Ajuste el nombre y direcciones de la interfaz.
(Vea el ejemplo en 9.1 Ethernet)
Marque la caja de verificacin Enable DHCP Client.
Y luego haga Click en OK.
9.4
PPPoE
62
Captulo 9. Interfaces
9.4.1
PPP
9.4.2
Los firewalls D-Link permiten a los usuarios una conexin segura y de fcil manejo al
ISP.
Gua de Usuario de los Firewalls D-Link
9.4. PPPoE
63
Interfaz PPPoE
Puesto que el protocolo PPPoE corre PPP sobre Ethernet, el firewall necesita utilizar
una de las interfaces normales Ethernet para correr sobre el tunel PPPoE.
Cada Tnel PPPoE es interpretado como una interfaz lgica por el firewall, con la
Misma]/o filtro/filtracin, la capacidades de formacin y configuracin de trfico como
interfaces regulares.
El trfico de red proveniente del tunel PPPoE ser transferido a la regla de ajustes del
Firewall para evaluacin. La interfaz de fuente del trfico de red es remitido al
nombre del Tunel PPPoE asociado en el firewall. El mismo es confiable para el trfico
proveniente de la direccin opuesta, eso es, yendo a un tnel PPPoE.
Adems una Ruta debe ser definida, de modo que el firewall conozca qu direcciones IP
deben ser aceptadas y enviadas a travs del tnel PPPoE. El PPPoE puede
utilizar un nombre de servicio para distinguir entre diferentes servidores en la misma
red Ethernet.
Informacin de direccin IP
PPPoE utiliza una asignacin de direccin IP automatica la cual es similar a DHCP.
Cuando el firewall recibe esta informacin de direccin IP desde el ISP, ste necesita
almacenarla en una red objectiva con un nombre simblico de anfitrin/red, con el fin de
establecer la conexin PPP.
Autentificacin del Usuario
Si es requerida una autentificacin de usuario por el ISP, se puede ajustar en el firewall
el nombre de usuario y contrasea para ingresar en el servidor PPPoE.
Conectar en demanda
Si se permite el conectar en demanda, la conexin PPPoE se realizar slo cuando haya
trfico en la interfaz PPPoE. Es posible configurar cmo el firewall debe detectar
actividad en la interfaz, tanto en trfico saliente, trfico entrante o ambos. Adems es
configurable el tiempo de espera de inactividad antes de que el tnel sea
desconectado.
64
Capitulo 9. Interfaces
Cliente PPPoE
Se configurar el cliente PPPoE en la interfaz WAN.
Interfaces PPPoE Tunnels Add PPPoE Tunnel:
Ingrese lo siguiente:
Name: PPPoEClient
Physical Interface: WAN
Remote Network: 0.0.0.0/0 (todas las nets, como ser dirigido todo el trfico en el
tunel)
Service Name: Si su proveedor de servicio le ha entregado un nombre de servicio,
Ingrese aqu el nombre de servicio.
Username: El nombre de usuario entregado por su proveedor de servicio.
Password: La contrasea estregada por su proveedor de servicio.
Confirm Password: Re-digite la contrasea.
Autentificacin
Es posible especificar exactamente qu protocolos debe utilizar el cliente PPPoE
para autentificarse. Se mantienen los ajustes predeterminados para la
autentificacinn.
Dial-on-demand
Enable Dial-on-demand: Disable
Advanced
Si est habilitado Add route for remote network, una nueva ruta ser adherida parar
Esta interfaz.
Luego haga click en OK
9.5
65
Grupos de Interfaz
Similar al grupo objetivo lgico, las interfaces mltiples pueden ser agrupadas juntas en
el firewall para aplicar una poltica comn. Un grupo de interfaz puede consistir en
interfaces Ethernet regulares, interfaces VLAN, o Tneles VPN (vea 22).
Todos los miembros de un grupo de interfaz no necesitan ser interfaces del mismo tipo.
esto significa que un grupo de interfaz puede ser construido, por ejemplo, por dos
interfaces Ethernet y cuatro interfaces VLAN.
66
Capitulo 9. Interfaces
9.6
ARP
Address Resolution Protocol (ARP) es un protocolo de red, el cual mapea una direccin
de protocol de capa de red a una direccin hardware de capa de datos vinculados. Por
ejemplo, ARP es utilizado para determinar la direccin IP de la direccin Ethernet
correspondiente. Este trabaja en la OSI Data Link Layer (Capa 2) y es encapsulado por
headers Ethernet para transmission.
Un anfitrin en una red Ethernet puede comunicarse con otro anfitrin, slo si ste
conoce la direccin Ethernet (direccin MAC) de ese anfitrin. Los protocolos de
mayor nivel tal como IP utilizan direcciones IP. Estos son diferentes del plan de
direccionamiento de un hardware de ms bajo nivel tal como direccin MAC. El ARP
es utilizado para conseguir la direccin Ethernet de un anfitrin desde su direccin
IP.
Cuando un anfitrin necesita determinar una direccin IP para una direccin
Ethernet, ste transmite un paquete de solicitud ARP. El paquete de solicitud ARP
contiene la fuente de direccin MAC, la fuente de direccin IP y la direccin IP de
destino. Cada anfitrin en la red local recibe este paquete. El anfitrin con la direccin
IP de destino especfico, enva un paquete de respuesta ARP al anfitrin de origen
con su direccin MAC.
9.6.1
Tabla ARP
Los items estticos ARP pueden ayudar en situaciones donde un dispositivo est
reportando una direccin de hardware incorrecto en respuesta a las solicitudes. Algunos
puentes de terminal de trabajo, tales como mdems radio, tienen tales problemas. Estos
pueden tambin ser utilizados para cerrar una direccin IP a un hardware especfico
para incrementar la seguridad o evitar efectos de denial-of-service si hay usuarios
en una red. Notese sin embargo que tal proteccin slo se aplica a paquetes que son
enviados a esa direccin IP, no se aplica a los paquetes que son enviados desde
esa direccin IP.
El publicar una direccin IP utilizando ARP puede server para dos propsitos:
Asistir a los equipos cercanos de red respondiendo a ARP de una manera incorrecta.
IP.
Gua de Usuario de los Firewalls D-Link
9.6. ARP
67
Nota
En la seleccin ARP, las direcciones pueden solo ser publicadas una a la vez. La
seccin de Ruta por el otro lado, puede manejar redes publicadas por completo
utilizando 10.8 Proxy ARP.
Nota
Para que las direcciones IP publicadas trabajen correctamente podra ser necesario
agregar una nueva ruta. (Vase 10 Routing) Si es agregada una direccin adicional
para una interfaz, la interfaz central deber probablemente ser especificada como la
interfaz cuando se configure la ruta.
68
Capitulo 9. Interfaces
Este ejemplo describe cmo agregar una direccin IP extra a una interfaz Ethernet o
VLAN utilizando una ARP pblica.
WebUI
CAPITULO
10
Routing
10.1
Vista General
Los dispositivos que funcionan en la capa de red, tal como routers o firewalls,
ejecutan el ruteo para conseguir dos tareas ante todo, la
Determinacin de Trayectoria y el Packet Switching.
Determinacin de Trayectoria
Antes de que cualquier paquete pueda ser enviado desde el remitente al receptor
se necesita determinar una trayectoria por la cual el paquete deba pasar.
Localizada en el corazn de cualquier dispositivo capaz de routing, como un
Firewall o un router es la tabla de routing, un mapa que entrega toda las
selecciones de ruta. Cada entrada en esta tabla de mapeo describe una ruta
disponible.
La definicin de una ruta aqu es la conexin que vincula dos extremos de
comunicacin y asimismo todos los dispositivos intermediarios de routing.
La descripcin de ruta dentro de la tabla de routing indica la direccin del
receptor, y donde se encuentra la siguiente detencin a la que el paquete se
debe dirigir para estar un paso ms cerca de su destino, ya que en la circunstancia
de la red, es comn tener ms de un dispositivo situado a lo largo del camino.
Estos contenidos estn almacenados en la tabla como campos diferentes, tal
como Interfaz, Red, Puerta de enlace, Destino, etc.
69
70
10.2
Jerarqua de Routing
71
Los routers dentro de un AS corren el mismo algoritmo routing y slo necesitan conocer
la topologa del rea. Hay routers con puerta de enlace especial en el ASs que son
responsables de routing paquetes desde el rea interna a varios ASs externos.
Los routers de puerta de enlace corren entre- el algoritmo de routing AS para determinar
las trayectorias hacia los destinos localizados en otros ASs. Los routers Intra-AS
mantienen todos relaciones con el router de puerta de enlace para dirigir los paquetes
hacia afuera. El algoritmo de routing intra-AS(Gateway interior) ms frecuente es
es cubierto en la siguiente seccin.
10.3
Algoritmos de Routing
10.3.1
Routing Esttico
Stactic Routing (Routing Esttico) es un trmino utilizado para referir a la configuracin manual de la
tabla routing. El administrador de red necesita planificar la tabla routing, y agregar
manualmente cada ruta necesaria e informacin relacionada en la tabla para un
reenvo exitoso del paquete. Cualquier modificacin en una trayectoria podra
requerir que el administrador actualice la informacin en cada router afectado.
72
10.3.2
Routing Dinmico
73
74
Bandwidth
10.3.3
OSPF
75
Proceso Operativo
Establishment Hello
En la fase de inicializacin, cada router dentro de un rea detecta sus redes
conectadas directamente, y enva paquetes de Hello a todas sus interfaces
habilitadas OSPF para determinar quines son sus routers vecinos.
Los routers que poseen interfaces directamente conectadas y residen en la misma
rea OSPF se vuelven vecinos.
Cuando un router enva y recibe paquetes Hello y detecta mltiples
routers en un AS, ste seleccionar un Designated Router(DR) y adems un
Backup Designated Router(BDR) para un intercambio de informacin
link-state adicional.
DR y BDR son elegidos automticamente por el protocolo Hello en cada red
transmitida OSPF. La Router Priority que es configurable en base a cada
interfaz, es el parmetro que controla la eleccin. El router con el mayor numero
de prioridad se vuelve DR y el siguiente ms alto se vuelve BDR. Si el nmero
Gua de Usuario de los Firewalls D-Link
76
77
10.4
Route Failover
78
10.4.1
En este escenario mostrado en la figura 10.1, dos ISP:s (ISP A e ISP B) son utilizados
para conectar al Internet. ISP A es conectado a la interfaz WAN1 del firewall e ISP B
es conectado a la interfaz WAN2. Con el fin de configurar el firewall D-Link para
utilizar ISP A como ISP primario, e ISP B como ISP de respaldo, las rutas
monitoreadas debern ser configuradas.
Se necesitar de dos rutas, una ruta predeterminada (0.0.0.0/0) con mtrica 1, sta
utiliza la puerta de enlace predeterminada de ISP A y una ruta predeterminada con
mtrica 2 que utiliza la puerta de enlace predeterminada de ISP B.
WebUI
79
Nota
Es posible configurar manualmente el intervalo de bsqueda ARP a utilizar. El valor
elegido debe ser al menos 100 ms. Si rutas mltiples son monitoreadas en la misma
Interfaz, se deber elegir el valor ms alto para asegurar que la red no est excedida
con solicitudes ARP.
3. Agregar la ruta predeterminada sobre la interfaz WAN2.
El siguiente paso es agregar la ruta predeterminada para la interfaz WAN2.
Routes Main Routing Table Add Route:
Ingrese lo siguiente:
General
Interface: WAN2
Network: 0.0.0.0/0
Gateway: Default gateway of ISP B.
Local IP Address: (None)
Metric: 2
Luego haga click en OK
80
Nota
La ruta predeterminada para la interfaz WAN2 no ser monitoreada. La razn para esto
es que no se posee una ruta de respaldo para la ruta sobre la interfaz WAN2.
10.5
81
10.5.1
Proceso OSPF
Las reas son definidas en base a las interfaces del firewall. Una interfaz que pertenece
a un area posee una Routing Priority a utilizar para la eleccin DR del rea.
La interfaz puede ser utilizada tanto para transmitir, point-to-point, o comunicacin
point-to-multipoint. La interfaz de transmisin se entera de los routers vecinos
automticamente a travs de la flooding de paquetes Hello, mientras que para la
interfaz point-to-point o point-to-multipoint, se necesitan configurar por la interfaz
manualmente uno o ms vecinos especficos. Las mtricas de Routing utilizadas por
OSPF pueden tambin ser ajustadas o modificadas en una interfaz para interferir en
la determinacin de trayectoria OSPF.
Una vez que el proceso OSPF es apropiadamente configurado por el firewall, ste puede
comenzar a dialogar con otros firewalls/routers utilizando algoritmo OSPF, enterndose
de la informacin link-state de la red.
10.5.2
82
10.5.3
Como se muestra en la Figura 10.2 , el firewall es adoptado para tener una interfaz
lan3 conectada a una pareja de redes locales, en donde el firewall controlar el
nico trayecto entre estas; y 2 interfaces, lan1 y lan2 adheridas a la red local ms
larga. Algunas de las redes sern accesibles a travs de ambas interfaces, de modo
que alguna redundancy puede ser lograda si una trayectoria se vuelve inalcanzable.
Esto se realiza localizando las dos interfaces lan1 y lan2 en un grupo de interfaz
de seguridad equivalente.
Se crea un proceso OSPF denominado como ospf-proc1, y slo un rea OSPF,
el rea central area0 (0.0.0.0), es utilizado en este ejemplo. Las 3 interfaces
involucradas son agregadas al rea para hacer al firewall participante del proceso
OSPF. Sin embargo, esto no agregar ninguna ruta ya enterada a la tabla routing, ni
informar a sus vecinos acerca de rutas estticas en su tabla(s) routing (a excepcin
de las rutas para las 3 interfaces participantes en este proceso OSPF). Para controlar
este intercambio de informacin, se necesita que las polticas de routing dinmico
Gua de Usuario de los Firewalls D-Link
83
entren a actuar (Vea los siguientes 2 escenarios para polticas de routing dinmico).
WebUI
1. Proceso OSPF:
aadiendo un proceso OSPF denominado ospf-proc1.
Routing OSPF Processes Add OSPF Process: General:
Name: ospf-proc1
Autentificacin:
84
3. Interfaces:
aadiendo las interfaces participantes en el proceso.
En la pgina de configuracin area0:
Interfaces Add Interface:
General:
Interfaz: seleccione lan1 desde la lista desplegable.
(lan1 es adoptado para ser definido en las interfaces Ethernet)
Interface Type: select Auto
Metric/Bandwidth:
Ajuste un valor mtrico especifique una amplitud de banda, ej. 100Mbit.
Advanced:
Nota
Asegrese de que las reglas IP del firewall, las cuales permiten que el trfico
pase a travs de estas interfaces, utilicen este grupo de interfaz como
fuente de interfaz.
85
86
10.6
En este ejemplo una red 192.168.2.0/24 ha sido ajustada para ser ruteada
a travs de un router(192.168.1.10) en la red local, como se muestra en la
Figura 10.3. Para permitir que el firewall se comunique con esa red
(a travs de la interfaz lan), se debe configurar una ruta esttica.
WebUI
87
88
Nota
Como un resultado a este ajuste el trfico en retorno desde el router ser dirigido
directamente sobre la red local con una regla de ajuste estndar Allow. Para que
este escenario trabaje la regla de ajuste IP debe establecer que el trfico para esta
Red sera NATed o que ser reenviada sin estado de rastreo
10.7
10.7.1
Vista General
89
Todos los usuarios comparten un eje central activo comn, pero pueden
utilizar diferentes ISPs, suscribindose a diferentes flujos de proveedores de
medios de comunicacin.
La implementacin PBR en los firewalls D-Link consiste en dos elementos:
Una o ms denominadas tablas PBR en adicin a la tabla de routing normal.
Una regla de ajuste PBR separada, la cual determina cual tabla routing nombrada
se debe utilizar.
10.7.2
10.7.3
Las reglas definidas en las polticas PBR son selectores de diferentes tablas routing.
Cada regla PBR es provocada por los campos/recuadros de tipo de servicio e interfaz de
fuente & destino y red. Durante la bsqueda del firewall, la primera regla coincidente
es llevada a cabo, y las rutas pueden ser elegidas y priorizadas por el parmetro de orden
en base a cada estado aparte de la bsqueda paquete por paquete, lo cual significa
que las reglas PBR pueden especificar cul tabla routing se utilizar tanto en direccin
de reenvo y retorno.
10.7.4
Ejecucin PBR
La secuencia de ejecucin PBR cooperadora con la tabla routing principal y los ajustes
de reglas del firewall pueden ser resumidas a continuacin:
1. Verificador de tabla routing principal busca la interfaz por las direcciones de
destino de los paquetes.
2. Consultador de reglas busca en la lista de Reglas del firewall para determinar
La accin de los paquetes.
3. Consultador de polticas PBR Si la bsqueda en el paso 2 resulta en la posibilidad
De que los paquetes pasen a travs, el firewall desplegar una bsqueda en las
Gua de Usuario de los Firewalls D-Link
90
91
10.7.5
92
Network
1.2.3.0/24
2.3.4.0/24
1.2.3.1/32
2.3.4.1/32
0.0.0.0/0
Gateway
ProxyARP
WAN1
WAN1
LAN1
LAN1
1.2.3.1
Network
0.0.0.0/0
Gateway
2.3.4.1
Source
Range
2.3.4.0/24
0.0.0.0/0
Dest.
Interface
WAN2
LAN1
Dest.
Range
0.0.0.0/0
2.3.4.0/24
Service
ALL
ALL
Forward
PBR
r2
<main>
Return
PBR
<main>
r2
93
Nota
Se aaden rutas para conexiones entrantes as como salientes.
Completar los siguientes pasos para configurar este escenario ejemplo en el
firewall.
1. Aadir rutas a la tabla routing principal.
Aadir las rutas encontradas en la lista de rutas en la tabla routing principal, como se
ha mostrado anteriormente.
Ver seccin 10.6 Creating a Static Route para mayor informacin sobre cmo aadir
rutas.
94
10.8
Proxy ARP
Nota
Slo es posible el Proxy ARP en interfaces Ethernet y VLAN.
CAPITULO
11
Fecha & Tiempo
95
96
11.1
11.1.1
Ejemplo:
Para ajustar la fecha y hora en curso, siga los pasos esbozados a continuacin:
WebUI
Nota
La nueva fecha y hora en curso sern aplicadas
instantneamente.
11.1.2
Zona Horaria
El ajuste de Zona Horaria debe ser determinada para reflejar la zona horaria donde
el producto se encuentra localizado fsicamente.
Ejemplo:
Para modificar la zona horaria, siga los pasos esbozados a continuacin:
WebUI
11.1.3
97
Muchas regiones cuentan con Daylight Saving Time (DST) (o tiempo de verano como es
denominado en muchos pases). El horario de verano trabaja adelantando la hora
durante el verano para obtener mucho ms de los das de verano. Desafortunadamente
los principios regulatorios del horario de verano varan segn el pas, y en algunos casos
hay incluso variantes dentro del mismo pas. Por esta razn, el producto no conoce
automticamente cundo ajustar el DST. En cambio, esta informacin debe ser
manualmente entregada si el horario de verano es utilizado.
Ejemplo:
Para habilitar DST, siga los pasos esbozados a continuacin:
WebUI
98
11.2
Sincronizacin de Tiempo
11.2.1
Definido por RFC 2030, The Simple Network Time Protocol (SNTP)
es una implementacin ligera del Protocolo de Tiempo de Red (NTP)
descrito en RFC 1305.
UDP/TIME
11.2.2
Servidores de Tiempo
Se pueden configurar por sobre tres servidores de tiempo para preguntar por
informacin de tiempo. El utilizar ms de un servidor, puede prevenir que situaciones
en donde un servidor inalcanzable cause que el proceso de sincronizacin de tiempo
fracase. Ntese que el producto siempre cuestiona todos los servidores de tiempo
configurados con el fin de calcular un promedio basado en respuestas de todos los
servidores. Motores de bsqueda en el internet pueden ser utilizados para encontrar listas
actualizadas de servidores de tiempo pblicos disponibles.
Gua de Usuario de los Firewalls D-Link
11.2.3
99
Modificacin Mxima
Para evitar situaciones donde un servidor de tiempo defectuoso causa que el producto
actualice su reloj con datos altamente errneos de tiempo, se puede especificar un valor
de modificacin mxima (en Segundos). Si la diferencia entre el tiempo vigente en el
producto y el tiempo recibido desde un servidor de tiempo es mayor que el valor de
modificacin mxima, esa respuesta del servidor de tiempo ser desechada.
Por ejemplo, se asume que el valor de modificacin mxima es ajustado a 60
segundos, y que el tiempo vigente en el producto es 16:42:35. Si un servidor de
tiempo responde con el tiempo de 16:43:38, la diferencia es de 63 segundos,
lo cual no es aceptable de acuerdo a la modificacin mxima. De este modo, no
se realizar ninguna actualizacin con esa respuesta. El valor predeterminado de
modificacin mxima es 36,000 segundos.
11.2.4
Intervalo de Sincronizacin
100
Nota
Este ejemplo utiliza nombre de dominio en vez de direcciones IP. Por lo tanto,
asegrese de que los ajustes de cliente DNS del sistema se encuentran apropiadamente
configurados como se describe en 12 DNS.
CAPITULO
12
DNS
Domain Name System (DNS) puede ser considerado como una gran base de datos
distribuida que es utilizada para traducir desde nombres computacionales a sus
direcciones IP.
DNS es utilizado dentro del firewall siempre que sea necesario traducir un
nombre de dominio a una direccin IP. Adems, el servidor DHCP dentro del firewall
puede distribuir los servidores DNS configurados en el firewall a todos los clientes que
soliciten un contrato IP. El ejemplo a continuacin describe cmo configurar servidores
DNS en los firewalls D-Link. Los servidores configurados son utilizados por los clientes
DNS internos as como otros subsistemas tales como el servidor DHCP.
System DNS:
Primary Server: Ingrese la direccin IP del servidor DNS primario o seleccione
la direccin objetiva desde la lista desplegable (si la direccin del servidor ha sido
definida en el Libro de Direcciones).
Secondary Server: (Optional)
Tertiary Server: (Optional)
Luego haga click en OK.
101
CAPITULO
13
Ajustes de Registro
13.1
Implementacin
13.1.1
104
13.1.2
Habilitando Registro
13.1. Implementacin
WebUI
105
Parte VI
Polticas de Seguridad
Reglas IP
Acceso (Anti-spoofing)
Autentificacin de Usuario
CAPITULO
14
Reglas IP
14.1
Vista General
110
Capitulo14. Reglas IP
14.1.1
Campos
Los campos son algunos objetos de red predefinidos y reutilizables, tales como
direcciones y servicios, los cuales son utilizados en cada regla con propsitos de
coincidencia. Los siguientes campos en la lista de regla son utilizados por el firewall para
verificar un paquete en el flujo de trfico. Todos estos campos de filtro deben coincidir
los contenidos de un paquete para que cualquier regla se desencadene.
Servicio: el tipo de protocolo que el paquete debe coincidir.
(Los Servicios son definidos como objetos lgicos antes de configurar las reglas,
vea 8.2 Servicios )
Interfaz de Fuente: uno o un grupo de interfaces donde un paquete es recibido en
el firewall.
Red de Fuente: la red a la que coincide la direccin IP de fuente del paquete.
dirigido.
Red de Destino: la red a la que coincide la direccin IP de destino de los
paquetes.
14.1.2
111
Tipos de Accin
Cuando todos los campos enlistados en la seccin anterior son coincididos por un
paquete, una regla es desencadenada, una cierta accin especificada por la regla
coincidente ser llevada a cabo. Los tipos de accin incluyen:
Allow:
Deja a los paquetes pasar a travs del firewall. El firewall ajustar adems un
state para recordar la conexin, y pasar el resto de los paquetes en esta conexin
a travs de su motor de inspeccin dinmica.
NAT:
Trabaja como las reglas Allow, pero con una traduccin de direccin dinmica
habilitada. (Ver 14.2.2 NAT)
FwdFast:
Deja al paquete pasar a travs del firewall sin ajustar un estado para ste.
Generalmente hablando, es ms rpido para un paquete individual, pero es
menos seguro que una regla Allow o NAT, y adems ms lento que reglas Allow
para la completa conexin establecida, como cada paquete subsecuente tambin
necesita ser verificado contra la seccin de regla.
SAT:
112
Capitulo14. Reglas IP
14.2
Traduccin de Direccin
14.2.1
Vista General
14.2.2
NAT
Qu es NAT?
Cuando se comunica con el Internet, cada nodo necesita registrar una direccin de
Red nica para ser alcanzable. Pero las nicas direcciones disponibles del
Rango de IPv4 son muy limitadas mientras actualmente las redes se vuelven ms y ms
grandes. La traduccin de direccin de Red (NAT) habilita a los computadores en
redes privadas para utilizar un grupo de direcciones no registradas internamente, y
comparte uno o un grupo de direcciones pblicas IP para conexiones externas a
recursos Internet. Normalmente un router o un firewall localizado donde el LAN
encuentra el Internet hace todo lo necesario para las traducciones de
direcciones IP.
Para cada red NATed, los espacios de direccin IP privada (10.0.0.0/8,
172.16.0.0/12, 192.168.0.0/16) son reutilizadas. Esto significa que interfaces
mltiples conectadas a diferentes redes pueden tener la misma direccin, mitigando
la presin de tener que utilizar direcciones pblicas IPv4 para cada nodo.
Por qu NAT es generalmente utilizado?
En adicin a la resolucin del problema de escasez IP, NAT es desarrollado para
atender muchos otros propsitos:
Funcionalidad Utilizando NAT, no hay necesidad de registrar una direccin IP para
cada computador en una red local. Una compaa puede utilizar muchas
direcciones IP internas y una IP pblica registrada para entregar servicios
internet. Ya que esta direccin es utilizada solo de manera interna, no hay
posibilidad de colisin de direcciones con otras compaas. Esto permite a una
compaa combinar conexiones de acceso mltiple a una sola conexin Internet.
113
el mundo externo, toda la red privada es como un nodo que utiliza una direccin
IP pblica, y la estructura interior y direcciones de la red se encuentran ocultas.
NAT depende de una mquina en la red local para iniciar cualquier conexin a
anfitriones del otro lado del firewall del router, esto previene actividades
malintencionadas iniciadas por anfitriones externos para alcanzar a estos
anfitriones locales. NAT-habilita firewalls, por ejemplo, los firewalls D-Link,
manejan todo el trabajo de traduccin y redireccionamiento para pasar el trfico
y pueden entregar caminos para restringir acceso a Internet al mismo tiempo.
Flexibilidad de administracin NAT puede ser utilizado para dividir una gran
114
14.2.3
Los firewalls D-Link soportan dos tipos de traduccin de direccin: dinmico (NAT
oculto), y esttico (SAT).
Traduccin de Direccin de Red Dinmica
El proceso de traduccin de direccin dinmica involucra la traduccin de direcciones
de remitente mltiples en una o ms direcciones de remitente, tal como direcciones IP
privadas son mapeadas para un grupo de direcciones IP pblicas.
FW tran
reply
FW rest
Sender
192.168.1.5 : 1038
195.11.22.33: 32789
195.11.22.33: 32789
192.168.1.5 : 1038
Server
195.55.66.77
195.55.66.77
195.55.66.77
195.55.66.77
:
:
:
:
80
80
80
80
115
116
14.3
Regla SAT
En este ejemplo, se configura una regla IP para permitir paquetes ICMP (Ping) para ser
recibidos por la interfaz externa del firewall.
1. Define un servicio ICMP objetivo y lo denomina ping-inbound. (Note
que el Firewall D-Link es repartido con un servicio ping-inbound configurado
como predeterminado el cual puede ser utilizado)
2. Crea una Regla nueva con nombre Ping to Ext, y permite el servicio desde
cualquier interfaz en todas las nets para la interfaz central del firewall en la red
ip ext .
WebUI
117
2. Crear Regla
El paso final es crear la regla que permitir paquetes ICMP(Ping) ser recibidos
por la interfaz externa del firewall.
Rules IP Rules Add IP Rule:
Name: Ping to Ext
Action: Allow
Service: ping-inbound
Source Interface: any
Source Network: all-nets
Destination Interface: core
Destination Network: ip ext
Luego haga click en OK
En este caso, se ajusta una regla NAT en el firewall que permitir buscar el Internet
desde direcciones IP privadas detrs del firewall. Las direcciones IP privadas sern
traducidas a la direccin IP externa del firewall.
1. Agregar un servicio objetivo HTTP que utiliza puerto 80 TCP.
2. Agregar un servicio objetivo DNS que utilizar puerto 53 TCP/UDP para habilitar
el nombre de servicio determinado.
3. Crear dos reglas que apliquen NAT a los servicios anteriores desde la interfaz interna en
La red interna para cualquier interfaz de destino en cualquier red.
WebUI
118
119
Nota
Para reglas NAT es posible especificar la direccin IP que deben traducir las
direcciones IP internas. Esto puede ser realizado en la etiqueta NAT cuando se
configure la regla. Por defecto, la direccin de la interfaz de destino es utilizada.
Este ejemplo ofrece un servidor web con una direccin privada localizada en un
DMZ, y mquinas internas localizadas en una red local que desean buscar el
Internet. Con el fin de habilitar usuarios externos para acceder al servidor web, el
servidor debe ser alcanzable desde una direccin pblica. De este modo, se traslada el
puerto 80 en la direccin externa del firewall al puerto 80 en el servidor web:
1. Aadir un servicio HTTP objetivo que utilice el puerto 80 TCP.
Gua de Usuario de los Firewalls D-Link
120
Capitulo14. Reglas IP
2. Regla 1: Crear una nueva regla que SAT el trfico HTTP direccionado a la
direccin pblica IP externa ip ext, a la direccin IP privada del servidor web.
Regla 2: Crear una regla NAT que permita el trfico SAT:ed por la regla
anterior.
Regla 3: Crear una regla NAT que permita a las mquinas internas en la red local
WebUI
121
Nota
122
a travs de la lista de regla hasta que una segunda regla coincida. Cuando
los paquetes abandonan la lista de regla, esta regla las redirecciona al
destino.
Problemas con la regla de ajuste vigente
Esta regla de ajuste hace las direcciones internas visible a los aparatos en el
DMZ (ver 16, DMZ & Por Forwarding). Cuando los aparatos internos se
conectan a la interfaz externa del firewall ip ext, estarn habilitados para
proceder por la Regla 2 sin NAT (el primer principio coincidente).
Desde la perspectiva de la seguridad, todos los aparatos en el DMZ que
entregan servicios pblicos deben ser considerados como cualquier otro
Servidore Internet conectado a redes no confiables.
Soluciones Alternativas
1. Mantener la Regla 1 y revertir la secuencia de la Regla 2 y 3, de modo que
la regla NAT sea llevada a cabo para el trfico interno antes de que la
regla Allow coincida.
2. Mantener la Regla 1 y 3, modificar la Regla 2 de modo que slo se aplique al
trfico externo (el trfico ms probable desde la interfaz WAN) una regla
Allow para permitir la Regla 1 desde conexiones externas (la interfaz WAN
ms probable) en todas las nets para la direccin pblica externa del firewall
ip ext.
Dato
La determinacin del mejor curso de accin y el orden secuencial de las reglas
debe ser realizada en base a caso a caso, tomando todas las circunstancias en cuenta.
CAPITULO
15
Acceso (Anti-spoofing)
15.1
Vista General
15.1.1
IP Spoofing
124
Servicios (DoS). Incluso si el firewall est capacitado para detectar los ataques DoS, es
difcil localizarlos o detenerlos debido al spoofing.
15.1.2
Anti-spoofing
Para equipar el firewall con la habilidad Anti-spoofing, se necesita un filtro extra contra
la verificacin de direccin de fuente. Los firewalls D-Link entregan al administrador
de red elecciones a para hacer el filtrado basado en IP por Reglas de Acceso.
Otra caracterstica entregada por los firewalls D-Link, tal como Autentificacin de Usuario
y Encriptacin, aseguran que exista una apropiada medida de autentificacin
y la comunicacin sea llevada a cabo sobre canales seguros, los cuales pueden adems
reducir la amenaza de spoofing.(Ver 17 Autentificacin del Usuario, VIII VPN)
15.2
Reglas de Acceso
15.2.1
Funcin
La regla de Acceso es capaz de monitorear el trfico para verificar que los paquetes
que llegan a una interfaz del firewall no tienen una direccin de fuente que pueda ser
asociada con la red de otra interfaz. En otras palabras, el principio de las reglas
puede ser descrito de la siguiente manera:
Cualquier trfico entrante con una direccin de fuente IP perteneciente a un
15.2.2
Ajustes
125
Campos de Filtro
Interfaz:
Acepta los paquetes que coinciden con los campos definidos para una
mayor inspeccin en los ajustes de Regla.
Expect:
Si la direccin del remitente del paquete coincide la Red especificada por esta
regla, la interfaz receptora es comparada con la interfaz especfica.
Si la interfaz coincide, el paquete es aceptado de la misma manera que por la accin
de Accept. Si la interfaz no coincide, el paquete es desechado de la misma
manera que la accin de Drop.
El Registro puede ser habilitado en demanda para estas Acciones.
(Refirase a 5 Registro)
126
15.3
Este ejemplo mostrar cmo asegurar que el trfico recibido en la interfaz LAN siempre
posea la direccin de fuente correcta, dentro de la red lan-net.
WebUI
CAPITULO
16
DMZ & Port Forwarding
16.1
General
16.1.1
Conceptos
DMZ Demilitarized Zone Se mantiene para un rea que no es parte de una red
Interna confiable ni es parte directa de Internet pblico.
Tpicamente, DMZ es una subred distinta entre el firewall protegido, el LAN privado y
la red pblica. Contiene uno o ms computadores que son accesibles al trfico
Internet y actan como servidores proxy para servicios pblicos, tal como
Web (HTTP), FTP, SMTP(Email), y servidores DNS.
En una configuracin DMZ, los computadores (servidores) asentados fuera del LAN
Privado, responden a reenvan las solicitudes de servicio. El firewall es configurado
para prevenir a los computadores en el DMZ de solicitudes entrantes iniciales, y
reenva el trfico desde el Internet a computadores DMZ sin contacto directo con el
LAN interno. Obviamente, esta propuesta aade una capa extra de proteccin a la
infraestructura IntranetfirewallInternet.
Los firewalls D-Link ofrecen soporte al planeamiento DMZ y proteccin a travs de la
Interfaz de red objetiva y configuracin de Reglas.
127
128
16.1. General
129
el servidor. Por ejemplo, suponiendo que nuestro servidor web est corriendo en NT eso
podra ser vulnerable a un nmero de ataques de negacin-de-servicio contra servicios
tales como RPC, NetBIOS y SMB. Estos servicios no son requeridos para la
operacin de HTTP. De modo que se pueden ajustar reglas para bloquear conexiones
TCP relevantes para puertos 135, 137, 138, y 139 en ese servidor para reducir la
exposicin a ataques de negacin-de-servicio.
Resumen:
Esta solucin significa que, con un despliegue DMZ, no hay acceso directo desde el
Internet a la red interna, y nadie tratando de acceder a recursos en DMZ desde el
Internet podr pasar las reglas del firewall.
Los ajustes de las reglas del firewall siguen un principio importante de seguridad,
esto es, limitar las conexiones a un nmero mnimo necesario para soportar los
servicios.
16.1.2
Planificacin DMZ
web.
Un Servidor Web para conexiones pblicas.
Propuesta 1 Archivo de Servidor, Servidor de Base de datos, un Cliente A en Int net;
Servidor Web en DMZ net.
Desventaja: El servidor Web en net DMZ necesita abrir algunos puertos en
Int net para acceder al servidor de Base de datos. Si el Servidor Web asume el
cargo por intrusin, el Servidor de Base de datos y otros componentes en Int
Net pueden exponerse a ataques.
Gua de Usuario de los Firewalls D-Link
130
16.1.3
Beneficios
Como se ha ilustrado en la seccin previa, el hacer buen uso de una red DMZ entrega
varias ventajas tanto en seguridad de red como en perspectivas de administracin:
Repartir servicios no slo por anfitriones, sino que con los limites de red en
Nivel de confianza entre componentes de red. Esta propuesta puede reducir mucho
la probabilidad de penetracin en un componente utilizado para interrumpir en los
otros.
Dividir DMZ en diferentes zonas ayuda a restringir polticas de seguridad sobre
CAPITULO
17
Autentificacin del Usuario
17.1
17.1.1
Mtodos de Autentificacin
132
17.1.2
Criterio de Contrasea
Intente casos posibles. Las contraseas que son elegidas desde un diccionario,
informacin personal del usuario, tal como nombre, nmero telefnico, y
fecha de cumpleaos son vulnerables a estos ataques.
Descubrir:
133
17.1.3
Tipos de Usuario
134
17.2
Componentes de Autentificacin
Los firewalls D-Link pueden ser utilizados tanto como una base de datos almacenada
localmente, o una base de datos en un servidor externo para entregar autentificacin
de usuario.
17.2.1
17.2.2
En una gran topologa de red, es preferible tener una base de datos central dentro
de un servidor dedicado o un cluster de servidores para manejar toda la
Gua de Usuario de los Firewalls D-Link
135
17.2.3
Agentes de Autentificacin
136
HTTPS
17.2.4
Reglas de Autentificacin
solicitar autentificacin.
Cul es la localizacin de la base de datos a la que el firewall consulta para
Nota
Cuando se utiliza un agente XAUTH, no hay necesidad de especificar la
Interfaz receptora, o fuente de red, como esta informacin no est disponible en la
fase XAUTH. Por la misma razn, slo una regla de autentificacin de usuario XAUTH
puede ser definido. XAUTH es slo utilizado para ajustar tneles VPN IPsec.
Gua de Usuario de los Firewalls D-Link
17.3
137
Proceso de Autentificacin
Nombre de usuario/contrasea.
El firewall valida la informacin w.r.t la fuente de autentificacin especificada en la
regla de autentificacin, sern tomadas tanto la base de datos local una base
de datos externa en un servidor RADIUS.
Si es encontrada una entrada coincidente en la base de datos, el firewall responde
17.4
En esta seccin, son cubiertas pauta y ejemplos para autentificacin a travs de agente
HTTP/HTTPS. Para ms ejemplos sobre PPP y XAuth,
Por favor refirase a 9.4.2, el Cliente de Configuracin PPPoE, y 22, Protocolos VPN
& y Tneles, respectivamente.
138
Nota
Hay dos grupos predeterminados de usuario, el grupo administrador y el grupo
auditor. Los usuarios que son miembros del grupo administrador son permitidos para
cambiar la configuracin del firewall, mientras los usuarios que pertenecen al grupo
auditores estn slo autorizados para ver la configuracin del firewall. Presione los
botones bajo el recuadro de editar de los Grupos para garantizar la membresa de estos
grupos a un usuario.
139
140
141
General
Local User DB: lannet auth users
HTTP(s) Agent Options
General
Login Type: HTMLForm.
Haga click en OK.
3. Rules IP Rules Add IP rule:
General
Name: Allow http auth
Action: NAT
Service: HTTP
Filtro de Direccin
Source
Destination
Interface: lan
any
Network: lannet users
all-nets
(Note que la fuente de red es aqu una direccin objetiva contenedora de informacin
de autentificacin de usuario.)
Comments: Permitir users autentificados desde lannet al buscador Web en
Internet.
Haga click en OK.
142
Nota
143
Parte VII
Inspeccin de Contenido
CAPITULO
18
18.1
Vista General
H.323
147
148
18.2
FTP
18.2.1
Conexiones FTP
FTP utiliza dos canales de comunicacin, uno para comandos de control y uno para
que los archivos actuales sean transferidos.
Cuando una sesin FTP es abierta, el cliente FTP establece una conexin TCP
(el canal de control) al puerto 21( por defecto) en el servidor FTP.
Lo que sucede luego de este punto depende del modo en que es utilizado el FTP.
Modos
Existen dos modos, activo y pasivo, describiendo el rol del servidor con respecto a los
canales de datos abiertos
En el modo activo, el cliente FTP enva un comando al servidor FTP indicando a qu
direccin IP y puerto el servidor debe conectarse. El servidor FTP establece el canal
de datos de vuelta al cliente FTP utilizando la informacin de direccin recibida.
En el modo pasivo, el canal de datos es abierto por el cliente FTP del servidor FTP,
tal como el canal comando. Este es el modo recomendado por defecto para
Clientes FTP, de acuerdo a el firewall-friendly FTP
RFC.
Asuntos de Seguridad
Ambos modos de operacin FTP presentan problemas para firewalls. Considere un
escenario donde un cliente FTP en la red interna se conecta a travs del firewall a un
Servidor FTP en el Internet. La regla IP en el firewall es entonces configurada para permitir
trfico de red desde el cliente FTP al puerto 21 en el servidor FTP.
18.2. FTP
149
Solucin
El ALG FTP soluciona este problema reuniendo completamente la corriente TCP
del canal de comando y examinando sus contenidos. De este modo, el firewall
conoce qu puerto se abre para el canal de datos. Adems, el ALG FTP tambin
entrega funcionalidad para filtrar ciertos comandos de control y entrega una
proteccin bsica a invasin buffer.
La caracterstica ms importante del ALG FTP es la capacidad nica de ejecutar una
conversin en el camino entre el modo activo y pasivo. La conversin puede ser
descrita como:
El cliente FTP puede ser configurado para utilizar el modo pasivo, el cual es el modo
recibir el canal pasivo de datos desde el cliente FTP y el canal activo de datos
desde el servidor, y los atar juntos.
Esta implementacin resulta en que tanto, el cliente FTP y el servidor FTP trabajan
en su modo ms seguro. Naturalmente, la conversin tambin trabaja el otro camino,
este es, con el cliente FTP utilizando modo activo y el servidor
FTP utilizando modo pasivo.
Gua de Usuario del Firewall D-Link
150
18.2.2
1. ALG
Objects Application Layer Gateways Add FTP ALG:
General:
Name: ftp-inbound
Marque cliente Allow para utilizar el modo activo (inseguro para cliente).
Desmarque Allow servidor para utilizar el modo pasivo (inseguro para el servidor)
Luego haga click en OK.
Gua de Usuario de los Firewalls D-Link
18.2. FTP
151
2. Services
Objects Services Add TCP/UDP Service:
General:
Ingrese lo siguiente:
Name: ftp-inbound
Type: seleccione TCP desde la lista desplegable.
Destination: 21 (el puerto donde reside el servidor FTP).
Application Layer Gateway:
ALG: seleccione ftp-inbound que debe ser creado.
Luego haga click en OK.
3. Rules
Permita conexiones al IP pblico en el puerto 21 y reenvelo al servidor
FTP interno.
Rules IP Rules Add IP Rule:
General:
Name: SAT-ftp-inbound
Action: SAT
Service: ftp-inbound
Address Filter:
Source
Destination
Interface: any
core
Network: all-nets
ip-ext
(se asume que la interfaz externa ha sido definida como ip-ext)
SAT:
Marque Translate the Destination IP Address
A:
New IP Address: ftp-internal.
(Se asume que esta direccin IP interna del servidor FTP ha sido definida en el
Libro de Direccion objetiva.)
New Port: 21.
Luego haga click en OK.
152
18.2. FTP
153
WebUI
1. ALG
Objects Application Layer Gateways Add FTP ALG:
General:
Ingrese un nombre descriptivo para el ALG.
Name: ftp-outbound
Desmarque Allow client para utilizar el modo activo (inseguro para el cliente).
Marque Allow server para utilizar el modo pasivo (inseguro para el servidor)
Luego haga click en OK.
Gua de Usuario de los Firewalls D-Link
154
2. Services
Objects Services Add TCP/UDP Service:
General:
Ingrese lo siguiente:
Name: ftp-outbound
Type: seleccione TCP desde la lista desplegable.
Destination: 21 (el puerto donde reside el servidor FTP).
Application Layer Gateway
ALG: select ftp-outbound that has been created.
Luego haga click en OK.
3. Rules (Using Public IPs)
La siguiente regla necesita ser aadida a las reglas IP en el firewall si ste est
utilizando IP pblico; asegrese de que no hay reglas rechazando o permitiendo
el mismo tipo de puertos/trficos antes de estas reglas. El servicio en uso es el
ftp-outbound, el cual debe estar utilizando la definicin ALG
ftp-outbound como se describe previamente.
Permita las conexiones a servidores-FTP en el exterior:
Rules IP Rules Add IP Rule:
General:
Name: Allow-ftp-outbound
Action: Allow
Service: ftp-outbound
Address Filter:
Source
Destination
Interface: lan
wan
Network: lannet
all-nets
Luego haga click en OK.
18.3. HTTP
155
Destination
wan
all-nets
NAT:
Check Use Interface Address
Luego haga click en OK.
18.3
HTTP
18.3.1
156
Complementos ActiveX
Un complemento ActiveX es un componente HTTP, el cual es ejecutado en el
computador del cliente. Debido a que es ejecutado en el cliente, existen
ciertas tareas de seguridad, lo cual puede causar dao al sistema del computador
local.
JavaScript/VBScript
Con el fin de visualizar pginas HTML ms avanzadas y dinmicas, los scripts pueden
ser utilizados. Un script es ejecutado por el buscador web, y puede ser utilizado
para controlar la funcionalidad del buscador, validar la entrada del usuario, un
nmero de otras caractersticas. Puede ser potencialmente utilizado por un agresor en
un intento de causar un dao al sistema computacional, o causar varias molestias, tales
como pop-up windows.
Java Applets
Un java applet es escrito en lenguaje de programacin JAVA, y un buscador java-habilitado
puede descargar y ejecutar este cdigo en el computador del cliente. Un applet puede
contener cdigos maliciosos, los cuales conducen a problemas de seguridad.
Cookies
Un cookie es un archive de texto pequeo, almacenado localmente en el computador
del cliente. Su objetivo es hacer que un servidor web recuerde cierta informacin sobre
un usuario, el cual ha sido ingresado previamente. Esto puede adems contener
informacin confidencial.
18.3.2
Solucion
El firewall D-Link direcciona las ultimas areas de seguridad mostradas en la seccin previa
por Stripping Contents and URL Filtering.
Stripping Contents
En la configuracin D-Link HTTP ALG, algunos o todos los contenidos activos
Mencionados previamente pueden ser apartados desde el trfico HTTP sobre
Solicitudes del administrador.
Gua de Usuario de los Firewalls D-Link
18.3. HTTP
157
Filtro URL
Un Uniform Resource Locator (URL) es una direccin a un recurso en el WWW. Este
puede por ejemplo ser una pgina HTML, un recurso de archivo. Como una parte de
una poltica de seguridad, puede ser til restringir el acceso a ciertos sitios, o incluso
bloquear que ciertos tipos de archives sean descargados. El requisito opuesto puede
adems ser verdad puede ser favorable permitir el acceso completo (ej. No remover
los objetos anteriormente mencionados) a ciertas Fuentes confiables.
Un URL puede quedar en lista negra (blacklist) con el fin de prevenir el acceso a ste,
mientras un URL, whitelisted permite acceso complete a la fuente especfica.
WebUI
1. ALG
Objects Application Layer Gateways Add
HTTP ALG:
General:
Ingrese un nombre descriptive para el ALG.
Name: http-activex
Active Content Handling
Marque Strip ActiveX objects (incluyendo Flash)
Luego haga click en OK.
158
Luego de hacer click en ok, la pgina de configuracin va hacia URL Filtering list.
Add HTTP URL:
General
Action: seleccione Blacklist desde la lista desplegable.
URL: Ingrese una direccin no deseada en el recuadro de edit.
Luego haga click en OK.
2. Service
Adding the HTTP ALG into the corresponding service object.
Objects Services HTTP:
Application Layer Gateway
ALG: seleccione http-activex que ha sido creado.
Luego haga click en OK.
18.4
H.323
18.4.1
18.4.2
Componentes H.323
18.4. H.323
159
Terminals
Una terminal H.323 es un dispositivo que es utilizado para audio y video como opcin
comunicacin de datos. Por ejemplo telfonos, unidades de conferencia, telfonos
software (por ejemploe: NetMeeting) corriendo en PCs estndar.
Gateways
Un gateway conecta dos redes similares y traduce el trfico entre ellos. Un H.323
gateway entrega conectividad entre redes H.323 y redes no-H.323 tales como
public switched telephone networks (PSTN). El gateway se preocupa de traducir
protocolos y convertir media entre redes diferentes. Un Gateway no es requerido
para la comunicacin entre dos terminales H.323.
Gatekeepers
El Gatekeeper es un componente en el sistema H.323 el cual es utilizado para
direccionar, autorizar y autentificar de terminales y gateways. Este puede adems
preocuparse de tales cosas como administracin de amplitud de banda pago de cuenta
y cargos. El gatekeeper puede permitir llamadas directamente entre puntos
de trmino, puede dirigir la seal de llamado a travs de s mismo para ejecutar
funciones tales como sigame-encuentreme, direccionar si esta ocupado, etc.
Un gatekeeper es
necesitado cuando hay ms de una terminal H.323 detrs de un firewall
NAT con slo una IP pblica.
MCUs (Multipoint Control Units)
MCUs entrega soporte para conferencias de tres ms terminals H.323. Todas las
terminales H.323 participantes en la llamada de conferencia deben establecer una
conexin con el MCU. El MCU luego administra los llamados, recursos, codecs de
video y audio utilizados en la llamada.
18.4.3
Protocolos H.323
160
canal de seal de llamada es abierto entre dos puntos de trmino H.323 entre un
punto de trmino H.323 y gatekeeper. Para la comunicacin entre dos puntos de
trmino H.323, es utilizado TCP 1720. Cuando se conecta al gatekeeper, es utilizado el
puerto UDP 1719 (H.225 RAS mensajes).
H.245 Media Control and Transport
El protocolo H.245 entrega control a sesiones multimedia establecidas entre dos
puntos de trmino H.323. La tarea ms importante para este protocolo es negociar la
apertura y cierre de canales lgicos. Un canal lgico es, por ejemplo, un canal de audio
utilizado para comunicacin de voz. Los canales de video y T.120 son adems
llamados canales lgicos durante la negociacin.
T.120
El T.120 estndar es construido de un juego de comunicacin y protocolos de
aplicacin. Dependiendo del tipo de producto H.323, el protocolo T.120 puede ser
utilizado para el intercambio de aplicacin, transferencia de archivo y caractersticas
de conferencia tales como whiteboards.
18.4.4
El H.323 ALG es una application layer gateway flexible que permite dispositivos H.323
tales como telfonos H.323 y aplicaciones para realizar y recibir llamadas entre ellos
mismos mientras estn conectados a redes privadas aseguradas por los Firewalls
D-Link.
La especificacin H.323 no fue designada para manejar NAT, cuando direcciones IP
y puertos son enviados en el servidor de mensajes H.323. El H.323 ALG
modifica y traduce mensaje H.323 para asegurar de que el mensaje H.323 ser
dirigido al destino correcto y permitido a travs del firewall.
El H.323 ALG tiene las siguientes caractersticas:
H.323 version 5 (H.225.0 v5, H.245 v10)
Application sharing (T.120)
Gatekeeper support
NAT, SAT
18.4. H.323
161
18.4.5
El H.323 ALG puede ser configurado para seguir diferentes escenarios de uso.
Es posible configurar si los canales de datos TCP deben ser permitidos para
atravesar el firewall o no. Los canales de datos TCP son utilizados por el protocolo
T.120 (ver 18.4.3), por ejemplo. Adems, el nmero mximo de canales de datos TCP
pueden ser limitados a un valor fijo.
El registro de tiempo de vida del gatekeeper puede ser controlado por el firewall con
el fin de forzar el re-registro de clientes dentro de un marco de tiempo especificado por
el administrador.
Presentados aqu hay algunos escenarios de red, visualizados en diagramas de red.
Los escenarios son ejemplos de ajustes de red en donde el H.323 ALG es apropiado para
utilizar. Para cada escenario es presentada un ejemplo de configuracin de tanto el ALG
como de las reglas.
Las tres definiciones de servicio utilizadas en estos escenarios son:
Gatekeeper (UDP ALL 1719)
H323 (H.323 ALG, TCP ALL 1720)
H323-Gatekeeper (H.323 ALG, UDP 1719)
162
Las siguientes reglas necesitan ser aadidas al listado de regla en el firewall, asegrese
de que no hay reglas rechazando permitiendo el mismo tipo de puertos/trfico ante
estas reglas.
18.4. H.323
WebUI
163
1. Outgoing Rule
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: H323AllowOut
Action: Allow
Service: H323
Source Interface: LAN
Destination Interface: any
Source Network: lan-net
Destination Network: 0.0.0.0/0 (all-nets)
Comment: Allow outgoing calls.
Luego haga click en OK
2. Incoming Rule
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: H323AllowIn
Action: Allow
Service: H323
Source Interface: any
Destination Interface: LAN
Source Network: 0.0.0.0/0 (all-nets)
Destination Network: lan-net
Comment: Allow incoming calls.
Luego haga click en OK
164
1. Outgoing Rule
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: H323Out
Action: NAT
Service: H323
Source Interface: LAN
Destination Interface: any
Source Network: lan-net
Destination Network: 0.0.0.0/0 (all-nets)
Comment: Permitir llamadas salientes.
Luego haga click en OK
18.4. H.323
165
2. Incoming Rules
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: H323In
Action: SAT
Service: H323
Source Interface: any
Destination Interface: core
Source Network: 0.0.0.0/0 (all-nets)
Destination Network: ip-wan (IP externo del firewall)
Comment:Permitir llamadas entrantes al telfono H.323 en ip-phone.
SAT
Translate Destination IP Address: To New IP Address: ip-phone (direccin IP
del telfono)
Luego haga click en OK
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: H323In
Action: Allow
Service: H323
Source Interface: any
Destination Interface: core
Source Network: 0.0.0.0/0 (all-nets)
Destination Network: ip-wan (external IP of the firewall)
Comment: Permitir llamadas entrantes a telfono H.323 en ip-phone.
Luego haga click en OK
Para ubicar una llamada al telfono detrs del Firewall D-Link, haga una llamada a la
direccin IP externa en el firewall. Si telfonos H.323 mltiples son ubicados detrs del
firewall, una regla SAT debe ser configurada para cada telfono. Esto significa que
direcciones externas mltiples deben ser utilizadas. Sin embargo, es preferible
utilizar un gatekeeper H.323 gatekeeper como en el escenario H.323 con Gatekeeper
(ver 18.4.5), como esto slo requiere una direccin externa.
166
18.4. H.323
WebUI
167
1. Outgoing Rule
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: H323AllowOut
Action: Allow
Service: H323
Source Interface: LAN
Destination Interface: any
Source Network: lan-net
Destination Network: 0.0.0.0/0 (all-nets)
Comment: Permitir llamadas salientes.
Luego haga click en OK
2. Incoming Rule
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: H323AllowIn
Action: Allow
Service: H323
Source Interface: any
Destination Interface: LAN
Source Network: 0.0.0.0/0 (all-nets)
Destination Network: lan-net
Comment: Permitir llamadas entrantes.
Luego haga click en OK
168
Utilizando IPs privado en los telfonos, el trfico entrante necesita ser SATed como en
el ejemplo a continuacin. El ip-phone objetivo a continuacin debe ser el IP interno del
telfono H.323 detrs de cada firewall.
WebUI
1. Outgoing Rule
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: H323Out
Action: NAT
Service: H323
Source Interface: LAN
Destination Interface: any
Source Network: lan-net
Destination Network: 0.0.0.0/0 (all-nets)
Comment: Permitir llamadas salientes.
Luego haga click en OK
2. Incoming Rules
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: H323In
Action: SAT
Service: H323
Source Interface: any
Destination Interface: core
Source Network: 0.0.0.0/0 (all-nets)
Destination Network: ip-wan (IP externo del firewall)
Comment: Permitir llamadas entrantes a telfonos H.323 en ip-phone.
SAT
Translate Destination IP Address: To New IP Address: ip-phone (direccin IP
del telfono)
Luego haga click en OK
18.4. H.323
169
Para hacer llamadas al telfono detrs del Firewall D-Link, haga una llamada a la
direccin IP externa en el firewall. Si mltiples telfonos H.323 son ubicados detrs del
firewall, una regla SAT debe ser configurada para cada telfono. Esto significa que
direcciones mltiples externas deben ser utilizadas. Sin embargo, es preferible
utilizar un gatekeeper H.323 como en el escenario H.323 con Gatekeeper
(ver 18.4.5), cuando esto slo requiere una direccin externa.
170
WebUI
18.4. H.323
171
Nota
No hay necesidad de especificar una regla especfica para llamadas salientes. El
Firewall D-Link monitorea la comunicacin entre telfonos external y el Gatekeeper
para asegurar que es posible para los telfonos internos llamar a los telfonos externos
que son registrados con el gatekeeper.
172
18.4. H.323
WebUI
173
Nota
No hay necesidad de especificar una regla especfica para llamadas salientes. El
Firewall D-Link monitorea la comunicacin entre telfonos external y el Gatekeeper
para asegurar que es posible para telfonos internos llamar a los telfonos
externos que son registrados con el gatekeeper.
174
18.4. H.323
WebUI
175
176
18.4. H.323
177
178
WebUI
La sucursal del Firewall D-Link tiene un Gateway H.323 conectado a su DMZ. Con el
fin de permitir al Gateway registrarse dentro del H.323 Gatekeeper en la Oficina Central,
la siguiente regla debe ser configurada.
18.4. H.323
WebUI
179
Nota
No hay necesidad de especificar una regla especfica para llamadas salientes. El
Firewall D-Link monitorea la comunicacin entre telfonos external y el Gatekeeper
para asegurarse de que es posible para los telfonos internos llamar a los telfonos
externos que estn registrados con el gatekeeper.
CAPITULO
19
19.1
Vista General
Como un ejemplo, imagine un sistema que est monitoreando FTP. Podra slo
preocuparse del trfico relacionado a FTP, mientras que el trfico relacionado con, por ejemplo
POP3, no tendra inters en cualquiera. Adems, slo los ataques que aluden al
protocolo FTP seran de inters.
181
182
19.1.1
Una Regla de Deteccin de Intrusos define el tipo de trfico-servicio que debe ser
analizado. Adems es definido aqu el filtro de campos con respecto a fuente y
destino, interfaces, redes, puertos y protocolos. Slo el trfico coincidente con esta
regla es pasado al siguiente nivel de procesamiento de IDS, donde el anlisis actual
toma lugar.
19.1.2
Patrn de Coincidencia
Con el fin de que el IDS identifique correctamente un ataque, este debe saber qu es un
Ataque. Para conseguir esto, patrones pre-definidos, denominados signatures, son
creados para describir ciertos ataques. El trfico de red es luego analizado por el IDS,
buscando por estas coincidencias. Esto es conocido adems como misuse
detection o signature detection.
Considere el siguiente ejemplo. Un usuario intenta recuperar el archive de contrasea
passwd desde un sistema, utilizando FTP:
RETR passwd
Una signature buscando por el texto ASCII RETR y passwd puede causar una
coincidencia en este caso, sealando que se ha encontrado un ataque.
Con el fin de hacer este ejemplo fcil de seguir, se utilizarn patrones contenedores de
Texto ASCII. Esto no es necesario; los patrones pueden de todas formas contener
datos binarios.
Si es encontrado un ataque, se llevar a cabo el siguiente nivel de procesamiento del
IDS- causa de accin.
19.1.3
Accin
Luego de que ha sido detectada una intromisin, una accin respuesta debe ser tomada.
Dependiendo de la gravedad del ataque, el trfico puede tanto ser desechado,
Registrado, ambos, o simplemente ignorado.
Gua de Usuario de los Firewalls D-Link
19.2
183
Cadena de Eventos
19.2.1
Escenario 1
184
19.2.2
Escenario 2
ste es similar al primer escenario, pero con una gran diferencia. El trfico sera siempre
pasado en el IDS a pesar de la accin elegida por la regla de ajuste del firewall IP.
Esto significa que el trfico que el firewall deseche ser tambin analizado.
La Figura 19.2 muestra la secuencia de eventos cuando la regla de ajuste IP del firewall
decide que el trfico no es vlido y deber ser desechado y el trfico es pasado al IDS
para futuros anlisis.
1. Un paquete llega al firewall y son desplegadas verificaciones concernientes a
la fuente/destino de direcciones IP y puertos de fuente/destino. La regla de
ajuste del firewall IP decide que este paquete deber ser desechado, pero antes
de eso, el trfico es pasado por el sub-sistema IDS para futuros
anlisis.
2. La informacin de fuente y destino del nuevo paquete es comparado con la Regla
de Deteccin de Intrusos. Si es encontrada una coincidencia, esta ser pasada al
siguiente nivel del procesamiento IDS patrn de coincidencia. Si no, el paquete
es desechado.
Gua de Usuario de los Firewalls D-Link
185
186
19.3
Grupos de Firmas
19.4
187
19.5
188
Una vez que un evento IDS ocurre, la Regla de Deteccin de Intrusos es gatillada. Al
menos un nuevo evento ha ocurrido dentro del Hold Time, 120 segundos, de este
modo alcanzando el nivel de log threshold (al menos 2 eventos han ocurrido). Esto
resulta en un e-mail a ser enviado, conteniendo una suma de eventos IDS.
Varios eventos IDS pueden ocurrir despus de esto, pero para prevenir un exceso de
servidores mail, el firewall esperar por 600 segundos (10 minutos) antes de enviar
un nuevo e-mail, conteniendo informacin sobre los nuevos eventos. Un servidor
SMTP es asumido para ser configurado en el libro de direccin, con un nombre de
direccin IP objetiva smtp-server.
WebUI
19.6
189
El siguiente ejemplo ilustra los pasos necesarios para ajustar IDS para un simple
escenario donde un servidor mail es expuesto al Internet en la red DMZ, con una
direccin IP pblica, y debe ser protegida por el IDS, como se muestra en la Figura
19.4. El Internet puede ser alcanzado a travs del firewall en la interfaz WAN.
WebUI
190
Parte
VIII
Introduccin a VPN
Introduccin a Criptografa
VPN en Firewalls
Planeamiento VPN
CAPITULO
20
VPN Bsico
20.1
Introduccin a VPN
20.1.1
El utilizar lneas arrendadas u otros canales no pblicos para intercambiar datos entre
organizaciones no es un nuevo concepto. Se ha realizado desde que los
193
194
Se puede argumentar que tal vez alguna comunicacin se puede realizar por medio
de intermediarios. Si se desea hablar con la compaa B, Se pueden enviar mis datos tal
vez a la compaa C que tiene un enlace con la compaa B? De esta manera No se
tendra un vnculo a la compaa B de mi propiedad ?
En algunos casos, en pequea escala, esto puede resultar. Por otro lado, esto no puede
resultar en todos incluso si est en una escala manejable. Considere una compaa que
vende un producto a diez clientes que compiten entre ellos.
- Podra alguno de ellos aceptar que sus confirmaciones de pedidos y
entregas viajen a travs de las manos de uno de sus competidores?
- Difcilmente.
Gua de Usuario de los Firewalls D-Link
195
20.2
Introduccin a la Criptografa
Confidenciabilidad
Nadie salvo los receptores previstos son capaces de interceptar y comprender la
comunicacin. La Confidenciabilidad es lograda por encriptacin.
Autentificacin & Integridad
Una prueba para el receptor de que la comunicacin fue en realidad enviada por
el remitente esperado, y que los datos no han sido modificados en el trnsito.
Esto es logrado por la autentificacin, a menudo por el uso de
Claves Criptograficas(cryptographic
keyed hashes)
No-rechazo
Una prueba de que el remitente en realidad ha enviado los datos; el remitente no
puede negarlo despus de haberlo enviado. No-rechazo es usualmente un efecto
secundario benigno de autentificacin.
20.2.1
Encriptacin
196
Encriptacin Simtrica
En la Encriptacin Simtrica, la misma clave es utilizada para tanto la encriptacin
como la decriptacin. Por lo tanto la clave es compartida por el remitente y los
recipientes, y debe ser mantenida en secreto. El utilizar la misma clave secreta es un
mtodo rpido y de simple clculo, pero la clave de distribucin entre usuarios en
primer lugar es un problema mayor, el cual debe ser llevado a cabo muy cuidadosamente
para prevenir que la clave pase a manos errneas.
Para asegurar el compartir la clave secreta, claves de sesin o claves pblicas son a
menudo involucrados en la operacin actual.
Una clave de sesin, como su nombre describe, es slo vlido para una sesin. Incluso
si la clave es comprometida en una sesin, esta no puede ser utilizada para una
decriptacin futura. Otra solucin es el uso de clave pblica manejada por la
Encriptacin Asimtrica presentada a continuacin.
Actualmente, el algoritmo de Encriptacin Asimtrica ms comnmente usado
incluye:
DES y Triple DES
DES utiliza una clave de 56-bit y es considerada igual en resistencia a la
mayora de los otros algoritmos que utilizan claves de 40-bit keys. Esta es
relativamente una clave de corta longitud por estndar moderno implicando que
es actualmente considerado vulnerable a ataques de fuerza bruta.
Triple-pass DES utiliza tres claves diferentes en tres pasos DES, formando
una clave terica de longitud de 168 bits.
Blowfish
Una cifra bloqueada de 64-bit con longitud de clave variable entre 32 y 448
bits.
Twofish
Una cifra bloqueada de 128-bit con longitud de clave de 128, 192, o 256
bits.
CAST-128
Una cifra bloqueada de 64-bit con una clave de 128-bit, menos frecuentemente
empleado que Blowfish.
AES
Una medida bloqueada de 128-bit con longitudes de clave de 128-256 bits, una
sonido alternativo al perodo DES.
La implementacin del VPN de firewall D-Link soporta todos los algoritmos anteriores.
Gua de Usuario de los Firewalls D-Link
197
Encriptacin Asimtrica
Un par de claves es utilizada en la Encriptacin asimtrica, uno denominado clave pblica,
la cual puede estar disponible para cualquiera que desee utilizar encriptacin, y la otra,
denominada clave privada, que debe permanecer confidencialmente y es conocida
slo por el dueo.
Las dos claves son nmeros primarios muy largos y matemticamente relacionados,
pero una no podra ser utilizada para resolver la otra. Nadie puede enviar una informacin
privada a un receptor, supongamos A, encriptando la informacin utilizando la clave pblica
A s . Pero no slo A estar capacitado para recobrar la informacin por la decriptacin
del texto cifrado utilizando la clave privada relacionada. Adems, si alguna informacin
conocida puede ser recuperada correctamente decriptando con la clave pblica de A, sta
debe haber sido encriptada por la clave privada de A, y por lo tanto por A. Esto significa
que el algoritmo asimtrico entrega pruebas de origen. RSA y DSA son los algoritmos
asimtricos mejor conocidos y ms comnmente utilizados.
Comparado con la Encriptacin simtrica, las claves ms largas causan una baja
velocidad y recurso de intensidad que el utilizado por encriptacin asimtrica, y por
lo tanto es inconveniente para la Encriptacin de grandes cantidades de datos. Esto es
generalmente utilizado para asesorar la distribucin de clave simtrica y tareas de
Autentificacin. La combinacin de algoritmos simtricos y asimtricos es denominada
Hybrid Encryption.
Hybrid Encryption
La Encriptacin Hbrida combina lo mejor de los dos mundos: algoritmos simtricos y
asimtricos. La clave Simtrica entrega una Encriptacin y Decriptacin ms rpida, y
los proyectos asimtricos entregan un camino conveniente para compartir la clave
secreta.
Protocolo de intercambio de clave Diffe-Hellman:
El protocolo Diffe-Hellman permite a los usuarios intercambiar una clave secreta sobre
un medio inseguro sin secretos previos, lo cual es uno de los mtodos de intercambio de
clave ms generalmente utilizados soportando varios protocolos seguros de Internet
ej. SSL, SSH, e IPsec.
En el protocolo, cada lado de la conexin genera un par de claves privada-pblica
relacionadas, y publica la parte pblica. Luego del intercambio de clave pblica, se es
capaz de calcular una nueva clave secreta utilizando la clave privada de uno y la clave
pblica de otro. La clave resultante es comn para ambos lados, y puede ser utilizada
como una clave secreta compartida para la encriptacin simtrica. De tal modo,
Gua de Usuario de los Firewalls D-Link
198
20.2.2
Autentificacin e Integridad
199
200
20.3
Virtual Private Network (VPN) puede ser implementada de muchas maneras distintas.
Las grandes diferencias estn en si utilizar o no las puertas de enlace de seguridad:
Dispositivos de red cuyo propsito es ejecutar el trabajo de encriptacin y
autentificacin. Hay tanto beneficios como inconvenientes en cada despliegue
diferente de puerta de enlace de seguridad.
La puerta de enlace de seguridad, puede ser ubicada en varias localidades
diferentes con relacin a su router y su firewall:
Fuera del firewall, en lnea
Fuera del firewall, en la red externa
Entre el firewall y la red interna
En la red interna
En un DMZ separado
Incorporado en el firewall mismo
Cada escenario anterior tiene sus distintos beneficios e inconvenientes. Los asuntos
que necesitan ser consideradas incluyen:
Puede el firewall proteger la puerta de enlace de seguridad e intentos de
201
En casos donde la puerta de enlace VPN es localizada fuera del firewall, puede
el firewall reconocer el trfico VPN protegido desde el trfico Internet de texto sin
formato, de modo que este conoce qu pasa a travs de la red interna?
Requiere esto una configuracin adicional al firewall o anfitriones participantes
en el VPN?
En los firewalls D-Link, la Puerta de enlace de Seguridad VPN es integrada en el firewall
mismo. La razn de este diseo puede ser encontrada en el anlisis de escenario
presentado a continuacin.
20.3.1
Despliegue VPN
Beneficios
Soporta clientes roaming, aunque sea dificultoso
No se necesita informacin especial de routing en el firewall
El firewall puede ser inspeccionar y registrar texto sin formato desde el VPN
Inconvenientes
La Puerta de enlace de Seguridad no es protegida por el firewall
El firewall no puede fcilmente determinar qu trfico viene a travs de un VPN
202
Beneficios
La conectividad Internet no depende de la Puerta de enlace de Seguridad
El firewall puede inspeccionar y registrar el texto sin formato desde el VPN
Inconvenientes
La Puerta de Enlace de Seguridad no es protegida por el firewall
El firewall no puede fcilmente determinar qu trfico viene a travs de un VPN
203
El trfico VPN no debe normalmente ser considerado para ser una parte incorporada de
la red interna.
En la Red Interna
(Figura 20.4)
Beneficios
El firewall puede proteger la Puerta de Enlace de Seguridad
La conectividad Internet no depende de la Puerta de Enlace de Seguridad
Inconvenientes
El firewall no puede inspeccionar o registrar el texto sin formato desde el VPN
Se necesitan aadir rutas especiales al firewall o a todos los clientes internos
participantes en el VPN
El soporte para clientes roaming es muy difcil de conseguir
204
En un DMZ separado
(Figura 20.5)
Beneficios
El firewall puede proteger la Puerta de Enlace de Seguridad
La conectividad Internet no depende de la Puerta de Enlace de Seguridad
El firewall puede inspeccionar y registrar el texto sin formato desde el VPN
Inconvenientes
Se necesitan aadir rutas especiales al firewall
El soporte a clientes roaming es muy difcil de conseguir, ya que el firewall no
205
CAPITULO
21
Planificacin VPN
21.1
Al disear un VPN, hay muchos asuntos no-obvios que necesitan ser tratados.
Estos incluyen:
La proteccin de computadores mviles y de hogar.
La restriccin de acceso a travs de VPN a slo servicios necesitados, ya que
207
208
Una idea equivocada comn es que las conexiones VPN son equivalentes a la
red interna desde el punto de vista de la seguridad y que se pueden conectar
directamente sin mayores precauciones.
Es importante recordar que aunque la conexin VPN misma puede ser segura,
el nivel total de seguridad es slo tan alto como la seguridad de los puntos finales
del tnel.
Se vuelve cada vez ms comn para los usuarios en movimiento conectarse
directamente la red de sus compaas va VPN desde sus laptops. Sin embargo,
el laptop mismo no es a menudo protegido. En otras palabras, un intruso puede ganar
acceso a la red protegida a travs de un laptop no protegido y conexiones VPN
ya abiertas.
En conclusin, una conexin VPN no debe ser considerada como parte integral de una
red protegida. La puerta de enlace VPN debe en cambio ser localizada en un DMZ
especial o fuera del firewall dedicado a esta tarea. Haciendo esto, se puede restringir
cul servicio puede ser accedido va VPN y mdem y asegurar que estos servicios
estn bien protegidos contra intrusos.
En casos donde el firewall ofrece una puerta de enlace VPN integrada, es
usualmente posible dictar los tipos de comunicacin permitidos. El mdulo VPN
D-Link ofrece tal facilidad.
21.1.1
209
un mnimo para reducir el impacto del hurto. Esto incluye carpetas de e-mail cache.
Actualmente, puede ser lo mejor si el mail es ledo a travs la web gateway, ya que
sto deja la minima cantidad de archivos en almacenaje local.
Gua de Usuario de los Firewalls D-Link
210
Si los requisitos anteriores no pueden ser logrados, por ejemplo, en casos donde
21.1.2
Distribucin de Clave
Planifique sus tareas de distribucin hacia delante del tiempo. Asuntos que necesitan
ser dirigidos incluyen:
Por qu medios distribuir las claves? Email no es una buena idea.
clave por grupo de usuario? Una clave por conexin LAN-to-LAN?Una clave
para todos los usuarios y una clave para todas las conexiones LAN-to-LAN? Usted
estar probablemente mejor utilizando ms claves de las que usted considera
necesarias hoy en da, ya que sto se vuelve fcil para ajustar el acceso por usuario
(grupo) en el futuro.
Deben las claves ser modificadas? Si es as, qu tan a menudo? En casos
donde las claves son compartidas con mltiples usuarios, usted puede desear
considerar proyectos superpuestos, de modo que las claves antiguas trabajen por
un pequeo perodo de tiempo cuando las claves nuevas han sido establecidas.
Gua de Usuario de los Firewalls D-Link
211
tal como un VPN gateway, Cmo debe ser almacenada la clave? Debe estar en
un floppy? Cmo una frase de paso a memorizar? En una tarjeta electrnica?
Si es fsicamente tomada, cmo debe ser administrada?
CAPITULO
22
22.1
IPsec
213
214
La primera parte, IKE, es la fase de negociacin inicial, donde los dos puntos finales
VPN concuerdan en cules mtodos sern utilizados para entregar seguridad para el
trfico IP subyascente. Adems, IKE es utilizado para administrar conexiones
definiendo un grupo de Asociaciones de Seguridad, SAs, para cada conexin. SAs es
unidireccional, de modo que habrn al menos dos SAs por conexin.
La segunda parte es la actual transferencia de datos IP, utilizando los mtodos de
Encriptacin y autentificacin acordados en la negociacin IKE. Esto puede ser
logrado por varios caminos; utilizando protocolos IPsec ESP, AH, o una combinacin
de ambos.
El flujo de operacin puede ser brevemente descrita como lo siguiente:
IKE negocia cmo IKE debe ser protegido
IKE negocia cmo IPsec debe ser protegido
IPsec mueve datos en VPN
22.1.1
Protocolos IPsec
22.1.2
22.1. IPsec
215
22.1.3
IKE
mismos.
Establece nuevas conexiones IPsec (0c1rea pares SA)
Administra conexiones existentes
Negociacin IKE
El proceso de parmetros de negociacin de conexin consiste principalmente en dos
fases:
IKE Fase-1
Negocia cmo debe ser protegido IKE para futuras negociaciones.
Gua de Usuario de los Firewalls D-Link
216
(PSK) o certificado.
Intercambia los materiales de enclave con mtodo Diffie-Hellman.
Son creados SAs IKE.
IKE Fase-2
Negocia cmo debe ser protegido IPsec.
Crea un par de SAs IPsec utilizando el SAs IKE desde la fase-1,
22.1. IPsec
217
DES es solo incluido para ser interoperable con algunas antiguas implementaciones
VPN. La utilizacin de DES debe ser evitada siempre que sea posible, ya que este es un
algoritmo antiguo que ya no es considerado como seguro.
Perfect Forward Secrecy (PFS)
Perfect Forward Secrecy (PFS) es una propiedad opcional de las negociaciones IKE.
Cuando es configurado PFS, las claves que protegen la transmisin de datos no son
utilizadas para obtener claves adicionales, y el material de enclave utilizado para crear
las claves de transmisin de datos no son reutilizadas.
PFS puede ser utilizado de dos modos, el primero es PFS en claves, donde un nuevo
intercambio de clave ser ejecutado en cada fase-2 de negociacin, esto es, un
intercambio Diffie-Hellman para cada negociacin SA IPsec. El otro tipo es PFS en
identidades, donde las identidades son adems protegidas, borrando la fase-1 SA
cada vez que la fase-2 de negociacin ha finalizado, asegurando que no ms de una
fase-2 de negociacin sea encriptada utilizando la misma clave.
IKE crea una nueva SA para cada SA IPsec necesitada.
218
NAT transversal, y las versiones especficas del proyecto que stas soportan.
22.1. IPsec
219
y puerto de fuente de cada par que utiliza es la misma que el otro par ve.
Si la direccin de fuente y puerto no se ha modificado, el trfico no ha sido NaTed en el
camino, y NAT transversal no es necesario. Si la direccin de fuente y/o puerto ha cambiado,
el trfico ha sido NATed, y el NAT transversal es utilizado.
Una vez que el par IPsec ha decidido que NAT transversal es necesario, la negociacin IKE
es movida fuera del Puerto UDP 500 a Puerto 4500. Esto es necesario ya que ciertos
dispositivos NAT tratan paquetes UDP al Puerto 500 de manera diferente desde otros paquetes
UDP en un esfuerzo por trabajar alrededor de los problemas NAT con IKE. El problema
es que este manejo especial de paquetes IKE puede en efecto romper las negociaciones
IKE, lo cual es el por qu el Puerto UDP utilizado por IKE ha sido modificado.
Otro problema que resuelve NAT transversal es con respecto al protocolo ESP.
El protocolo ESP es un protocolo IP y no hay informacin de puerto como en TCP y
UDP, lo cual hace imposible tener ms de un cliente NATed conectado a la misma
puerta de enlace remota al mismo tiempo. Para resolver este problema, los paquetes ESP
son encapsulados en UDP. El trfico ESP-UDP es enviado al puerto 4500, el mismo puerto
que IKE cuando es utilizado NAT transversal. Una vez que el puerto ha sido modificado,
todas las comunicaciones IKE siguientes son realizadas sobre el Puerto 4500. Los paquetes
mantenidos con vida son adems enviados peridicamente para mantener el mapeo NAT
con vida.
22.1.4
220
MD5 128-bit mensaje resumen, ms rpido que SHA-1 pero menos seguro.
22.1. IPsec
221
Certificado X.509
La otra opcin para Autentificacin primaria es utilizar Certificado X.509 dentro de cada
puerta de enlace VPN. Para probar la identidad, cada puerta de enlace tiene un
certificado propio firmado por un CA confiable. El certificado prueba que la clave
pblica aadida a ste realmente pertenece a la puerta de enlace del titular, y cada
puerta de enlace adems tiene una copia de la clave pblica del CA para ser capaz de
confiar en el CA y validar los certificados de otras puertas de enlace establecidas para
se CA.
Comparado al uso de PSK, los certificados son ms flexibles. Muchos clientes VPN,
por ejemplo, pueden ser administrados sin tener la misma clave pre-compartida
configurada en todos ellos, lo cual es a menudo el caso cuando se utilizan claves precompartidas y clientes roaming. A cambio, un cliente debe ser comprometido, el
certificado del cliente puede simplemente ser revocado. No se necesita re-configurar
cada cliente. Pero a este mtodo se le aade complejidad. Un certificado basado en
Autentificacin puede ser utilizado como parte de una gran infraestructura, haciendo a
todos los clientes VPN y puertas de enlace dependientes de terceros. En otras palabras,
hay ms cosas que deben ser configuradas, y hay ms cosas que pueden salir mal.
222
IKE XAuth
IKE Extended Authentication (XAuth), es una caracterstica extendida para mejorar la
autentificacin IKE estndar.
XAuth no reemplaza IKE; esto ocurre luego de la fase-1 de negociacin IKE, pero
antes de la fase-2 de negociacin SA IPsec IKE. Antes de XAuth, IKE slo
soporta la Autentificacin del dispositivo, no la autentificacin del usuario que utiliza
el dispositivo. Con XAuth, IKE puede ahora autentificar los usuarios luego de que el
dispositivo ha sido autentificado durante la fase-1 de negociacin. Si es habilitado una
combinacin de nombres de usuario & contrasea ser solicitada para aadir la
autentificacin del usuario.
22.1. IPsec
22.1.5
223
Este ejemplo describe cmo configurar un tnel IPsec LAN-a-LAN, utilizado para
conectar una sucursal a la red de la oficina central.
La red de la oficina central utiliza el span de red 10.0.1.0/24 con un IP de firewall
externo ip head wan. La sucursal utiliza el span de red 10.0.2.0/24 con el IP de firewall
externo ip branch wan.
Se debe realizar la siguiente configuracin tanto en el firewall de la oficina central
como en el de la sucursal.
224
WebUI
1. Clave pre-compartida
Antes que todo se necesita crear una clave pre-compartida para utilizar con la
autentificacin IPsec.
Objects VPN Objects Pre-Shared Keys Add Pre-Shared
Key:
Ingrese lo siguiente
Name: Ingrese un nombre para la clave pre-compartida, TestKey por ejemplo.
Passphrase/Shared Secret: Ingrese una frase de paso secreta.
Passphrase/Confirm Secret: Ingrese la frase de paso nuevamente.
Luego haga click en OK
2. Tnel IPsec
El siguiente paso es configurar el tnel IPsec.
Interfaces IPsec Tunnels Add IPsec Tunnel:
General
Ingrese lo siguiente:
Name: IPsecTunnel
Local Network: Esta es la red local a la que los usuarios remotos se conectarn.
De modo que en el firewall de la oficina central se utilizar 10.0.1.0/24 y en el
firewall de la sucursal se utilizar 10.0.2.0/24.
Remote Network: Esta es la red desde la que los usuarios remotos se conectarn.
De modo que en el firewall de la oficina central se utilizar 10.0.2.0/24 y en el
Firewall de la sucursal se utilizar 10.0.1.0/24.
Remote Endpoint: Esta es la IP pblica de cada firewall, donde el tnel ser
terminado. Esto significa que el firewall de la oficina central utilizar
ip branch wan y el firewall de la sucursal utilizar ip head wan.
Encapsulation Mode: Tunnel
Algoritmos
IKE Algorithms: Medium or High
IPsec Algorithms: Medium or High
Authentication
22.1. IPsec
225
3. Configurar Ruta
El siguiente paso es configurar la ruta al tnel IPsec.
Routing Main Routing Table Add Route:
Ingrese lo siguiente:
Interface: IPsecTunnel
Network: En el firewall de la oficina central 10.0.2.0/24 y en el firewall de la sucursal
10.0.1.0/24.
Luego haga click en OK
4. Configurar Reglas
Finalmente se necesita configurar las reglas para permitir el trfico dentro del tnel.
Ver 14.3 Configuracin de Reglas IP para detalles de cmo configurar las reglas.
Este ejemplo describe cmo configurar un tnel IPsec, utilizado por clientes roaming
(usuarios mviles) que se conectan a la oficina central para ganar acceso remoto.
La red de la oficina central utiliza el span de red 10.0.1.0/24 con firewall IP externo
ip wan.
Gua de Usuario de los Firewalls D-Link
226
1. Clave pre-compartida
Antes que todo se necesita crear una clave pre-compartida a utilizar para la
autentificacin IPsec.
Objects VPN Objects Pre-Shared Keys Add Pre-Shared
Key:
Ingrese lo siguiente:
Name: Ingrese un nombre para la clave pre-compartida, SecretKey por ejemplo.
Passphrase/Shared Secret: Ingrese una frase de paso secreta.
Passphrase/Confirm Secret: Ingrese la frase secreta nuevamente.
Luego haga click en OK
22.1. IPsec
227
2. Tnel IPsec
El siguiente paso es configurar el tunnel IPsec.
Interfaces IPsec Tunnels Add IPsec Tunnel:
General
Ingrese lo siguiente:
Name: RoamingIPsecTunnel
Local Network: 10.0.1.0/24 (Esta es la red local a la que se conectarn los usuarios
roaming)
Remote Network: El firewall ve este campo y lo compara con la direccin de fuente
IP del usuario roaming con el fin de permitir las conexiones solo desde la net local
configurada a la net remota. Sin embargo, en este escenario, los clientes deben ser
capaces para roam desde cualquier lado. De este modo, este campo es ajustado a
todas las nets (0.0.0.0/0). Este significa que virtualmente todas las direcciones IPv4
existentes son capaces de conectarse.
Remote Endpoint: (None)
Encapsulation Mode: Tunnel
Algoritmos
IKE Algorithms: Medium or High
IPsec Algorithms: Medium or High
Authentication
Automatic Routing
El tnel IPsec necesita ser configurado para aadir dinmicamente rutas a la
red remota cuando el tnel es establecido. Esto es realizado bajo la etiqueta de
Routing. Aadir Dinmicamente ruta a la red remota cuando un tnel es
establecido: Enable
Luego haga click en OK
3. Configurar Reglas
Finalmente se necesita configurar las reglas para permitir el trfico dentro del tnel.
Ver 14.3 Configuracin de Reglas IP para detalles sobre cmo configurar las reglas.
228
22.2
PPTP/ L2TP
Como fue introducido en las secciones previas, IPsec entrega mtodos para que dos
puntos de trmino transporten paquetes de datos cuando stos estn conectados por
un canal privado. Tal tcnica es a menudo llamada Tunneling. Como las funciones de
IPsec que se han discutido, los protocolos de tunneling ofrecen el estndar para
encapsulacin, transmisin, y decapsulacin del proceso de transferencia de datos.
Los puntos de trmino del tnel deben acordar en el mismo protocolo de tunneling para
ser capaces de comunicarse.
IPsec ofrece la encapsulacin ESP de modo Tnel con encriptacin y autentificacin y
se vuelve extensamente utilizado para implementaciones VPN muy seguras.
Sin embargo hay algunas limitaciones en utilizar tunneling IPsec, por ejemplo, no
es soportado por todos los sistemas y puede ser difcil de configurar.
22.2.1
PPTP
IP Header
GRE Header
PPP
Payload
PPP Frame
229
Autentificacin PPTP
La Autentificacin como una opcin en PPTP es derivado directamente desde PPP, tal
como:
Password Authentication Protocol (PAP)
Challenge Handshake Authentication Protocol (CHAP)
Microsoft CHAP version 1 y version 2
230
231
3. Servidor PPTP
El siguiente paso es configurar el servidor PPTP.
Interfaces L2TP/PPTP Servers Add L2TP/PPTP Server:
General
Ingrese lo siguiente:
Name: PPTPServer
Inner IP Address: Esta es la direccin IP del servidor PPTP dentro del tnel. En este
caso 192.168.1.1
Tunnel Protocol: PPTP
Outer Interface Filter: WAN
Server IP: Esta es la IP a la que los usuarios remotos se conectarn, en este caso
10.0.0.1
PPP Parameters
Use User Authentication Rules: Enable (Especifique que la autentificacin debe ser
ejecutada)
Microsoft Point-to-Point Encryption (MPPE): Seleccione la intensidad de encriptacin
a permitir.
IP Pool: 192.168.1.10-192.168.1.20 (La fuente de direcciones IP para asignar IP:s
desde usuarios conectados)
DNS (Primary/Secondary): Especifique cualquier servidor DNS eventual para distribuir
a clientes conectados.
NBNS (Primary/Secondary): Especifique cualquier servidor NBNS (WINS) eventual
para distribuir a clientes conectados.
Add Routes
232
233
1. Cliente PPTP
El primer paso es configurar el cliente PPTP.
Interfaces L2TP/PPTP Clients Add L2TP/PPTP Client:
Ingrese lo siguiente:
Name: PPTPClient
Tunnel Protocol: PPTP
Remote Endpoint: 10.0.0.1 (La IP del servidor PPTP)
Remote Network: 0.0.0.0/0 (todas las nets, como se ha dirigido todo el trfico en el
tnel)
Username: El nombre de usuario entregado por su proveedor de servicio.
Password: La contrasea entregada por su proveedor de servicio.
Confirm Password: Redigite la contrasea.
Se mantienen los ajustes predeterminados para la autentificacin y encriptacin. Si
es habilitado dial-on-demand, el tnel slo ser capaz cuando haya trfico en la
interfaz del cliente PPTP. Es posible configurar cmo el firewall debe sentir actividad
en la interfaz, y cunto tiempo esperar sin actividad antes de que el tnel sea
desconectado. Luego haga click en OK
234
2. Rutas
El paso final es configurar una ruta de un slo titular al servidor PPTP sobre la
interfaz WAN.
Routing Main Routing Table Add Route:
Ingrese lo siguiente:
Interface: WAN
Network: 10.0.0.1 (IP del servidor PPTP)
Gateway: La puerta de enlace en la red WAN. Ninguna si no se utiliza puerta de enlace.
Local IP Address: (None)
Metric: 0
Luego haga click en OK
Cuando la configuracin es guardada y activada, el cliente PPTP debe ser conectado
al servidor PPTP, y todo el trfico (excepto el trfico a 10.0.0.1) debe ser dirigido sobre
la interfaz PPTP.
22.2.2
L2TP
El Layer Two Tunneling Protocol (L2TP) es una extensin basada en PPP, lo cual es
ms flexible que PPTP e IPsec en que stos utilizan el protocolo UDP para comunicacin,
lo cual facilita el atravesar rutas con NAT. En adicin, L2TP soporta llamadas
mltiples para cada tnel mientras slo una conexin por tnel es permitida por PPTP
tunneling.
Formato de Tunneling L2TP
L2TP cuenta con el protocolo para encapsular datagramas (ver 9.4.1
PPP). La estructura PPP es luego encapsulada en un header L2TP, lo cual es en
cambio empaquetado con un header UDP e IP para cumplir con la convencin
de direccionamiento internet, mostrado en la Tabla 22.2. El header de capa de datos-link
y trailer son puestos en el paquete encapsulado L2TP para formar el tunneling de datos.
L2TP utiliza puerto 1701 UDP para su control y conexiones de datos.
Autentificacin L2TP
Los Tneles PPTP y L2TP utilizan los mismos mecanismos de autentificacin que las
conexiones PPP tales como, PAP, CHAP, MS-CHAP v1 y v2.
Gua de Usuario de los Firewalls D-Link
235
L2TP Header
PPP
Payload
PPP Frame
Tabla 22.2: Encapsulacin L2TP.
Encriptacin L2TP
L2TP llama a MPPE para encriptacin.
L2TP/IPsec
Los mtodos de autentificacin direccionados por PPTP y L2TP principalmente cuentan
con la contrasea del usuario, y la encriptacin al tunneling de datos no es inicialmente
diseado por estos protocolos. De este modo, PPTP y L2TP NO son resistentes a
muchos ataques comunes, ej. Ataques Man-in-the-middle, Repeticin,
Spoofing, Diccionario, y Dos.
L2TP e IPsec pueden trabajar juntos para beneficiarse de tanto flexibilidad como
una seguridad ms fuerte. Encapsulando L2TP como payload en un paquete IPsec,
conexiones pueden ser protegidas activando Encriptacin y autentificacin. Esta
combinacin es denominada L2TP/IPsec.
236
WebUI
1. Clave pre-compartida
Primero que todo se necesita crear una clave pre-compartida para utilizar con la
Autentificacin IPsec.
Objects VPN Objects Pre-Shared Keys Add Pre-Shared
Key:
Ingrese lo siguiente:
Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo
Passphrase/Shared Secret: Ingrese una frase secreta.
Passphrase/Confirm Secret: Ingrese la frase secreta nuevamente.
Luego haga click en OK
2. Base de Datos del Usuario Local
Se necesita crear una base de datos de usuario local para almacenar informacin del
usuario.
Para mayor informacin, ver 17.2.1 seccin de Base de Datos de Usuario Local.
User Authentication Local User Databases Add Local User
Database:
Ingrese un nombre para la base de datos de usuario, UserDB se utilizar en este
ejemplo:
Name: UserDB
Luego haga click en OK
3. Aadir Usuario a la Base de datos Local
Se necesita aadir un usuario a a la base de datos de usuario local creado antes.
User Authentication Local User Databases UserDB Add
User:
Ingrese lo siguiente:
Username: testuser
Password: testpassword
Confirm Password: testpassword
Es posible configurar una IP esttica para este usuario en la seccin de
configuracin IP por usuario PPTP/L2TP. Luego
haga click en OK
237
4. Tnel IPsec
El siguiente paso es configurar el tnel IPsec.
Interfaces IPsec Tunnels Add IPsec Tunnel:
General
Ingrese lo siguiente:
Name: L2TPIPsecTunnel
Local Network: Esta es la red local a la que los usuarios remotes se conectarn.
Como vamos a utilizar L2TP esta es la IP a la que se conectarn loc clientes L2TP.
En este caso 10.0.0.1
Remote Network: El firewall mira en este campo y lo compara con la direccin IP
de la fuente del usuario roaming con el fin de permitir conexiones slo desde
la net local configurada a la net remota. Sin embargo, en este escenario, los clientes
deben ser capaces de roam desde cualquier lugar. De este modo, este campo es
ajustado a todas las nets (0.0.0.0/0). Eso significa que virtualmente todas las
direcciones IPv4- existentes son capaces de conectarse.
Remote Endpoint: (None)
Encapsulation Mode: Transport
Algoritmos
IKE Algorithms: Medium
IPsec Algorithms: Medium
Authentication
Automatic Routing
El tnel IPsec necesita ser configurado para aadir dinmicamente rutas a la red
remota cuando el tnel es establecido. Esto es realizado bajo la etiqueta de
Routing. Aada dinmicamente una ruta a la red remota cuando un tnel es
establecido: Enable
Luego haga click en OK
238
5. Servidor L2TP
El siguiente paso es configurar el servidor L2TP.
Interfaces L2TP/PPTP Servers Add L2TP/PPTP Server:
General
Ingrese lo siguiente:
Name: L2TPServer
Inner IP Address: Esta es la direccin IP del servidor L2TP dentro del tnel. En este
caso 192.168.1.1
Tunnel Protocol: L2TP
Outer Interface Filter: L2TPIPsecTunnel
Server IP: Esta es la IP a la que se conectarn los usuarios remotos, en este caso
10.0.0.1
PPP Parameters
Use User Authentication Rules: Enable (Especifica que la autentificacin debe ser
ejecutada)
Microsoft Point-to-Point Encryption (MPPE): Seleccione la intensidad de encriptacin
a permitir.
IP Pool: 192.168.1.10-192.168.1.20 (La fuente de direcciones IP para asignar IP:s
a usuarios conectados)
DNS (Primary/Secondary): Especifica cualquier servidor DNS eventual para distribuir
a clientes conectados.
NBNS (Primary/Secondary): Especifica cualquier servidor NBNS (WINS) eventual
para distribuir a clientes conectados.
Add Route
239
240
1. Clave Pre-Compartida
Primero que todo se necesita crear una clave pre-compartida para utilizar en la
autentificacin IPsec.
Objects VPN Objects Pre-Shared Keys Add Pre-Shared
Key:
Ingrese lo siguiente:
Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo.
Passphrase/Shared Secret: Ingrese la frase secreta. (Debe ser la misma
configurada en el servidor L2TP/IPsec)
Passphrase/Confirm Secret: Ingrese la frase secreta nuevamente.
Luego haga click en OK
241
2. Tnel IPsec
El siguiente paso es configurar el tnel IPsec.
Interfaces IPsec Tunnels Add IPsec Tunnel:
General
Ingrese lo siguiente:
Name: L2TPIPsecTunnel
Local Network: IP de la interfaz a conectar.
Remote Network: 10.0.0.1 (Cuando sta es donde es localizado el servidor
L2TP/IPsec)
Remote Endpoint: (None)
Encapsulation Mode: Transport
Algoritmos
IKE Algorithms: Medium
IPsec Algorithms: Medium
Authentication
Automatic Routing
El tnel IPsec necesita ser configurado para aadir rutas no-dinmicamente a la red
remota cuando el tnel es establecido. Esto es realizado bajo la etiqueta de
Routing. Aadir rutas dinmicamente a la red remota cuando un tnel es establecido:
Disable
Luego haga click en OK
242
3. Cliente L2TP
El siguiente paso es configurar el cliente L2TP.
Interfaces L2TP/PPTP Clients Add L2TP/PPTP Client:
Ingrese lo siguiente:
Name: L2TPClient
Tunnel Protocol: L2TP
Remote Endpoint: 10.0.0.1 (La IP del servidor L2TP/IPsec)
Remote Network: 0.0.0.0/0 (todas las nets, cuando se dirige todo el trfico en el
tnel)
Autentificacin
Username: El nombre de usuario entregado por su proveedor de servicio.
Password: La contrasea entregada por su proveedor de servicio.
Confirm Password: Re-digite la contrasea.
Se mantienen los ajustes predeterminados para la autentificacin y la encriptacin
dial-on-demand es habilitado, el tnel es slo capaz cuando hay trfico en la
interfaz del cliente L2TP. Es posible configurar cmo el firewall debe sentir actividad
en la interfaz, y cunto tiempo esperar sin actividad antes de que el tnel sea
desconectado. Luego haga click en OK
4. Rutas
El paso final es configurar una ruta de un slo titular al servidor L2TP/IPsec sobre la
interfaz IPsec.
Routing Main Routing Table Add Route:
Ingrese lo siguiente:
Interface: L2TPIPsecTunnel
Network: 10.0.0.1 (IP del servidor L2TP/IPsec)
Gateway: (None)
Local IP Address: (None)
Metric: 0
Luego haga click en OK
Cuando la configuracin es guardada y activada, el cliente L2TP/IPsec
debe conectarse al servidor L2TP/IPsec, y todo el trfico (a excepcin del trfico a
10.0.0.1) debe ser dirigido sobre la interfaz.
22.3
243
SSL/TLS (HTTPS)
Parte IX
Administracin de Trfico
Traffic Shaping
CAPITULO
23
Traffic Shaping
23.1
Vista General
Las redes TCP/IP son llamadas para llevar el trfico perteneciente a una variedad
creciente de usuarios con diversas necesidades de servicio, por ejemplo, transferencia
masiva de datos, telefona IP, VPNs, y aplicaciones multimedia. Pero uno de los mayores
inconvenientes de TCP/IP es la falta de una verdadera funcionalidad de Quality of Service
(QoS), la cual es la habilidad de garantizar y limitar la banda ancha para ciertos servicios
y usuarios. Aunque, existen protocolos como Diff-Serv (Differentiated Services) y otras
soluciones que intentan ofrecer QoS en redes grandes y complejas, ninguna de las
soluciones ha alcanzado un alto estndar suficiente para el uso a gran escala.
Otro hecho es que la mayora de las soluciones QoS actuales son basadas en aplicaciones,
esto es, que trabajan teniendo aplicaciones que suministran a la red con informacin
QoS. Desde el punto de vista de la seguridad, es por supuesto inaceptable que las
aplicaciones (esto es, los usuarios) decidan la prioridad de su propio trfico dentro de una
red. En escenarios sensible a la seguridad, donde el usuario no puede ser confiable, el
equipo de la red deber ser el arbitro exclusivo de prioridades y localidades de
banda ancha.
Para tratar los problemas anteriores, los firewall D-Link entregan funcionalidad QoS
y aplica lmites y garantas al mismo trfico de red, ms que confiar en las
aplicaciones/ usuarios para hacer elecciones. Es por lo tanto bien adecuado
administrar la banda ancha por un pequeo LAN as como en uno o ms puntos de
obstruccin en grandes WANs.
247
248
23.1.1
Funciones
El medio ms simple para obtener QoS en una red, visto desde la perspectiva de
seguridad as como de la funcionalidad, es tener componentes en la red, conocidos
como Traffic Shaping, responsables del control de trfico de red en puntos de
obstruccin bien definidos. Un firewall D-Link tiene un traffic shaper extensible
integrado.
El traffic shaper trabaja midiendo y enfilando paquetes IP, en trnsito, con
respecto a un nmero de parmetros configurables. Pueden ser creados ndices de
limites diferenciados y garantas de trfico basados en fuentes, destino, y parmetros de
protocolo, del mismo modo muchas reglas firewall son implementadas. Las funciones
principales pueden ser resumidas a continuacin:
Aplicacin de lmites de banda ancha ordenando paquetes que podran exceder
23.2. Conductos
23.1.2
249
Caractersticas
El traffic shaper en los firewalls D-Link tienen las siguientes caractersticas claves:
Basado en Conductos
Cada conducto contiene un nmero de niveles de prioridad, cada uno con su propio
lmite de banda ancha, especificado en kilobits por segundo. Los lmites pueden
adems ser especificados por el total del conducto.
Agrupamiento
Cuando los conductos son asignados a reglas de conducto, pueden ser concadenados
por sobre ocho conductos para formar una cadena. Esto permite filtrar y limitar para
ser manejados de manera muy sofisticada.
Garantas de trfico
Con la configuracin de conducto apropiado, el traffic shaping puede ser utilizado para
garantizar la banda ancha (y de este modo calidad) para el trfico a travs del
firewall.
Una vista cercana a estas caractersticas es entregada en las secciones a continuacin.
23.2
Pipes
250
simples, ya que estos no conocen mucho acerca de los tipos de trfico que pasan a
travs de estos, y no saben nada sobre la direccin tampoco. Un conducto
simplemente mide la cantidad de trfico que pasa a travs de l y aplica los
lmites configurados en cada preferencia y/ grupo de usuario. La tarea del filtro de
trfico, categorizacin, y priorizacin es realizada por las Reglas de Conducto
cubiertas en la siguiente seccin.
Los firewalls D-Link son capaces de manejar cientos de conductos simultneamente
pero en realidad, slo unos cuantos conductos son requeridos para la mayora de las
instalaciones. La nica ocasin que utiliza docenas de conductos es el escenario donde
un conducto individual es creado para cada servicio (protocolo, o cliente en
casos ISP).
23.2.1
Preferencias y Garantas
23.2. Conductos
251
los lmites separados de banda ancha pueden ser especificados para cada una de las
4 preferencias con una unidad de kilobits por segundo. El trfico que excede el lmite
de una alta preferencia ser automticamente transferido al nivel Low para un mejor
esfuerzo de distribucin, tanto como haya espacio en esta preferencia.
1 byte
1 byte
2 bytes
Total Length
Flags Fragment Oset
Header Checksum
En adicin al lmite por preferencia, puede ser especificado un lmite por el conducto como
total. Cuando la utilizacin de banda ancha a travs del conducto alcanza el lmite total,
el trfico es priorizado dependiendo de a qu preferencia este pertenezca. Una
Higher preferencia tiene una mayor oportunidad de lograrlo a travs del conducto sin
ordenarlo.
Nota
252
Para que cualquier traffic shaper trabaje, ste necesita conocer la banda
ancha pasando a travs del punto de obstruccin que est tratando de protect.
Si la conexin es compartida con otros usuarios o servidores que no estn bajo
el control del firewall, es casi imposible garantizar la banda ancha,
simplemente porque el firewall no conocer cunta banda ancha est
disponible para la conexin. Los lmites simples trabajarn por supuesto, pero
las garantas, las prioridades y el balance dinmico no lo hacen.
4. Buscar filtraciones
Asegrese de que todos los trficos que son deseados por el control de banda ancha
pasen a travs de los conductos.
23.2.2
23.2.3
253
Como fue previamente indicado, la banda ancha por usuario puede ser limitada
habilitando el agrupamiento dentro de un conducto. Esto puede ser utilizado para
asegurar que un grupo no puede consumir toda la banda ancha disponible. Pero qu pasa
si la banda ancha para un conducto como total tiene un lmite, y ese lmite es excedido?
Tal problema es tratado por una caracterstica en los firewalls D-Link denominada Balance
Dinmico. Este algoritmo asegura que el lmite de banda ancha de cada grupo es
disminudo dinmicamente (o aumentado) con el fin de balancear regularmente la
banda ancha disponible entre los grupos del conducto. La restriccin temporal ser
removida cuando los lmites configurados sean satisfechos.
Los ajustes dinmicos se realizan 20 veces por segundo, y se adaptarn rpidamente a
las distribuciones modificadas de banda ancha.
Las funciones de Balance Dinmico dentro de cada preferencia de un conducto individualmente
esto significa que si los grupos son asignados una pequea cantidad de trafico de
Alta prioridad, y una gran parte de trfico de mejor esfuerzo, todos los grupos tendrn
su parte de trfico de high-preferencia as como un a justa reparticin de trfico de
mejor esfuerzo.
23.3
Reglas de Conducto
Las reglas de Conducto son polticas que toman decisiones sobre qu trfico debe ser
pasado a travs de cules conductos. Las reglas de conducto filtran el trfico por tipo
de servicio y direcciones de interfaz & red IP, muchas del mismo modo que las reglas
normales IP. Luego, la regla elige el reenvo apropiado y regresa los conductos al trfico,
y determina la preferencia (prioridad) en estos. Cuando el firewall recibe el trfico, estar
capacitado para encontrar esta informacin de conductos y preferencias en reglas
coincidentes, y controla la utilizacin de banda ancha de acuerdo a los lmites y/o
agrupamiento definido en conductos especficos. Recuerde que slo el trfico
coincidente con una regla de conducto ser trffic shaped, y la primera regla coincidente
es la utilizada.
23.4
Como se ha visto en secciones previas, en los firewalls D-Link, todas las mediciones,
limitaciones, garantizaciones y balance es llevado a cabo en conductos. Sin
embargo un conducto por s mismo no tiene sentido a menos que sea puesto en uso
Gua de Usuario de los Firewalls D-Link
254
WebUI
255
1. Conductos
Conducto std-in por trfico entrante:
Ingrese lo siguiente y luego haga click en OK.
Traffic Shaping Pipes Add Pipe:
General
Name: std-in
Pipe Limits
Total: 1000
Pipe std-out for outbound traffic:
Crear el otro conducto utilizando los mismos pasos anteriores con el nombre
cambiado a std-out
2. Reglas de Conducto
Regla ToInternet asignando conductos al trfico que va a travs del firewall
desde LAN a WAN para todos los servicios(definidos por los Servicios objetivos
all-services):
Traffic Shaping Pipe Rules Add Pipe Rule:
General
Ingrese lo siguiente:
Name: ToInternet
Service: all-services
Address Filter
Source
Destination
Interface: lan
wan
Network: lannet wannet
256
Traffic Shaping
Cadenas de Conducto
Forward Chain: Seleccione std-out desde la lista Available y colquela en la lista
Selected.
Return Chain: Seleccione std-in desde la lista Available y colquela en la lista
Selected.
Preferencia
Marque Use Fixed Precedence
Seleccione Low desde la lista desplegable
Y luego haga click en OK.
Regla FromInternet asignando conductos al trfico que va a travs del firewall
desde WAN a LAN para all-services:
Traffic Shaping Pipe Rules Add Pipe Rule:
General
Ingrese lo siguiente:
Name: FromInternet
Service: all-services
Address Filter
Source
Destination
Interface: wan
lan
Network: wannet lannet
Traffic Shaping
Cadenas de Conducto
Forward Chain: Seleccione std-in desde la lista Available y colquela en la lista
Selected.
Return Chain: Seleccione std-out desde la lista Available y colquela en la lista
Selected.
Preferencia
Marque Use Fixed Precedence
Seleccione Low desde la lista desplegable
Y luego haga click en OK.
257
Cadenas de Conducto
Forward Chain: Seleccione std-out desde la lista Available y colquela en la lista
Selected.
Return Chain: Seleccione std-in desde la lista Available y coplquela en la lista
Selected.
Preferencia
Marque Use Fixed Precedence
Seleccione Medium desde la lista desplegable
y luego haga click en OK.
Click derecho en el item de regla HTTP y haga click en Move to Top.
258
259
WebUI
CAPITULO
24
24.1
Vista General
Server Load Balancing (SLB) es un mecanismo que trata con la distribucin de carga de
trfico a travs de mltiples servidores para escalar ms all de la capacidad de un slo
servidor, y para tolerar una falla de servidor. Esta tecnologa es integrada en los firewalls
D-Link para habilitar una alta ejecucin y rendimiento de la red.
24.1.1
El mdulo SLB
Server farm
Una coleccin de servidores computacionales usualmente mantenidos por una
empresa para lograr las necesidades de servicio por sobre la capacidad de un solo
aparato.
261
262
24.1.2
Caractersticas SLB
263
a tiempo real del estado de los servidores, y notifica la distribucin de trfico para
redireccionar el trfico si falla algn servidor.
24.1.3
Beneficios
Fcil Mantenimiento
La Administracin de aplicaciones de servidor es fcil. El banco de servidores es
visto como un solo servidor virtual por los Clientes con una direccin pblica; no se
necesita de una administracin para los cambios reales de servidor, los cuales son
transparentes a la red externa.
Gua de Usuario de los Firewalls D-Link
264
24.2
Implementacin SLB
24.2.1
Modo de Distribucin
Los firewalls D-Link pueden ser configurados para trabajar para SLB con los siguientes
modos:
1. Distribucin por estado:
El estado de cada distribucin es grabado por el firewall. Una sesin completa
podra ser transferida al mismo servidor para garantizar una confiable transmisin
de datos.
2. Stickiness de direccin IP:
Los modos sticky rastrean las conexiones de cliente para entregar integridad de
transmisin. En el modo stickness de direccin IP, nuevas conexiones desde
direcciones de cliente IP son asignadas al mismo servidor real como si fueran
conexiones previas de esa direccin.
3. Stickiness de red:
Este modo trabaja como el mismo stickiness de direccin IP, slo aplique a las
direcciones subred.
24.2.2
Algoritmos de Distribucin
265
24.2.3
266
24.2.4
24.3
regla SAT con campos de filtro para que el firewall coincide con el flujo de trfico
y gatille el SLB .
Especificar el Modo de Distribucin & Algoritmo Entrega las polticas de
267
Este ejemplo describe cmo puede ser utilizado SLB para load balance
conexiones SSH a dos servidores SSH detrs de un Firewall D-Link conectado a Internet
con direccin IP ip ext, como muestra la Figura 24.2. Los dos servidores SSH
tienen las direcciones IP privadas 192.168.1.10 y 192.168.1.11.
WebUI
1. Crear Objetivos
Primero que todo se necesita crear objetivos locales que mantengan la direccin IP
para cada servidor.
Objects Address Book Add IP4 Host/Network:
Name: SSH Server1
IP Address: 192.168.1.10
Luego haga click en OK
Objects Address Book Add IP4 Host/Network:
Name: SSH Server2
IP Address: 192.168.1.11
Luego haga click en OK
2. Crear Regla SLB SAT
El siguiente paso es ajustar la regla SLB SAT.
Rules IP Rules Add IP Rule:
Name: SSH SLB
Action: SLB SAT
Service: ssh
Source Interface: any
Source Network: all-nets
Destination Interface: core
Destination Network: ip ext
SAT Server Load Balancing
Server Addresses: Seleccione Servidor1 SSH y Servidor2 SSH.
Luego haga click en OK
268
Nota
Es posible configurar ajustes para monitoreo, mtodo de distribucin
y stickiness. Pero en este ejemplo es utilizado el valor por defecto.
Parte X
Caractersticas Miscelneas.
Clientes Miscelaneos
CAPITULO
25
Clientes Miscelneos
25.1
Vista General
Los firewalls D-Link ofrecen soporte a clientes de red miscelneos para DNS
Dinmico y servicios similares. Actualmente, los proveedores de servicio que son
soportados por el firewall incluyen:
Dyndns.org
Dyns.cx
Cjb.net
Oray.net Peanut Hull DynDNS
Telia
BigPond
25.2
DNS Dinmico
272
contactando el servicio DNS cada vez que la direccin IP entregada por el ISP
cambia y actualiza posteriormente la base de datos DNS para reflejar el cambio en la
direccin IP. Este mtodo permite que la mquina del usuario tenga un nombre de
dominio que siempre apunte a ste, a pesar de que la direccin IP cambie a menudo.
Otros usuarios no tienen cmo conocer la direccin IP modificada con el fin de conectarse
a la mquina.
Con el fin de utilizar esta funcin como un cliente DynDNS, uno debe tener una cuenta con
uno de los proveedores de servicio soportados.
Dyndns.org
Dyndns.org es un servicio gratuito DynDNS que permite los registros bajo docenas
de dominios, ej. MYDNS.dyndns.org,
MYDNS.dnsalias.net, etc.
Dyns.cx
Dyns.cx es un servicio gratuito DynDNS que permite los registros bajo un
nmero de dominios: dyns.cx, dyns.net, ma.cx, metadns.cx,
etc.
Cjb.net
Cjb.net entrega servicio gratuito DynDNS (y ms) que permite los
registros bajo cjb.net.
Oray.net
Oray.net Peanut Hull DynDNS ofrece servicios gratuitos DynDNS bajo varios
nombres de dominio.
Luego de un registro exitoso en uno de los proveedores de servicio DynDNS, un
cliente DynDNS puede configurar la informacin de cuenta en el firewall para ser capaz de
ingresar automticamente al servicio.
25.3
Algunos proveedores de servicio Internet necesitan que los usuarios se registren va URL
cada vez antes de que cualquier servicio sea repartido.
Actualmente, los firewalls D-Link ofrecen un registro automtico de cliente a los siguientes
proveedores:
Telia Una mejor compaa de servicio de telecomunicacin en la regin Nrdica
y Bltica.
Gua de Usuario de los Firewalls D-Link
273
multimedia. Autentifica utilizando la interfaz (la cual debe ser permitida por DHCP)
asociada con la ruta predeterminada.
25.4
Poster HTTP
Poster HTTP es una funcin que habilita el registro automtico de cliente, nombres
de dominio y direcciones IP sin fecha para DynDNS. Cuando el firewall ha parcelado su
configuracin, el Poster HTTP expone todos los URLs configurados sucesivamente, y
esperar un tiempo de retraso configurable para re-post los URLs.
Nota
El actualizar muy a menudo puede causar que el proveedor de servicio cancele el
servicio. De este modo, dependiendo de los requerimientos por proveedores particulares,
el valor del retraso no debe ser muy pequeo.
25.4.1
Formato URL
El formato URL utilizado en el Poster HTTP Poster varan dependiendo del proveedor
de servicio especfico. Bsicamente, un URL contiene Nombre de Usuario/Contrasea,
nombre de dominio del proveedor, y otros parmetros. Por ejemplo, el formato URL para
servicio DynDNS entregado por Dyndns.org es:
http://MYUID:MYPWD@members.dyndns.org/nic/update?hostname=
MYDNS.dyndns.org
CAPITULO
26
26.1
Servidor DHCP
275
276
26.2
277
DHCP Relayer
Un relayer DHCP toma el lugar del servidor DHCP en la red local para actuar como el
intermedio entre el cliente y el servidor DHCP remoto. Este intercepta solicitudes
para clientes y los re-transmite al servidor. El servidor luego responde de vuelta a la retransmisin,
la cual reenva la respuesta al cliente. La retransmisin DHCP sigue la funcionalidad de agente
de relayer BOOPT y retiene el formato de mensaje BOOTP y protocolo de comunicacin, y por
lo tanto son denominados a menudo BOOTP relayer agents.
278
WebUI
1. Grupo de Interfaz:
aadir interfaces VLAN vlan1 y vlan2 que deben retransmitir a un grupo
de interfaz denominado como ipgrp-dhcp.
Interface Interface Groups Add Interface Group:
Name: ipgrp-dhcp
Interfaces: seleccione vlan1 y vlan2 desde la lista Available y colquelas en
la lista Selected.
Luego haga click en OK.
2. DHCP relay:
aada un DHCP relay denominado como vlan-to-dhcpserver
System DHCP Settings DHCP Relays Add DHCP
Relay:
General:
General
Name: vlan-to-dhcpserver
Action: Relay
Source Interface: ipgrp-dhcp
DHCP Server to relay to: ip-dhcp
Add Route:
Parte XI
Modo Transparente
CAPITULO
27
Modo Transparente
27.1
Vista General
282
27.2
Modo transparente.
Gua de Usuario de los Firewalls D-Link
283
Una tabla CAM contiene informacin de las direcciones MAC disponibles en una
interfaz fsica entregada del firewall, mientras la Capa 3 cache almacena mapeos
entre direcciones IP, direccin MAC e interfaz.
Como la Capa 3 Cache es slo utilizada por el trfico IP, las entradas de Capa 3 Cache
son almacenadas como una sola entrada de anfitrin en la tabla routing.
Para cada paquete IP que atravesar el firewall, se realizar una bsqueda de ruta
para el destino. Si la ruta del paquete coincide una ruta switch entrada de Capa 3
Cach en la tabla routing, el firewall sabe que debe manejar este paquete de manera
Transparente. Si una interfaz de destino y direccin MAC est disponible en la
ruta, el firewall tiene la informacin necesaria para reenviar el paquete al destino. Si
la ruta fue un routerswitch , no es disponible ninguna informacin especfica acerca del
destino y el firewall tendr que descubrir donde est localizado el destino en la red.
El descubrimiento es realizado enviando solicitudes ARP, actuando como el remitente
inicial del paquete original IP para el destino en las interfaces especificadas en el
RouterSwitch. Si una respuesta ARP es recibida, el firewall actualizar la tabla CAM
y la Capa 3 Cache y reenva el paquete al destino.
284
Si la Tabla CAM Capa 3 Cache est completa, las tablas son parcialmente
Limpiada automticamente. Utilizando el mecanismo de descubrimiento, el firewall
redescubrir destinos que pueden ser limpiada.
27.3
285
Todo el trfico que pasa a travs del firewall tendr que pasar a travs del ajuste de regla
IP. Para permitir el trfico HTTP, una nueva regla IP debe ser configurada. (Refirase
a 14.3 Escenario.)
WebUI
1. Interfaces
Interfaces Ethernet Edit (WAN):
Ingrese lo siguiente:
IP Address: 10.0.0.2
Network: 10.0.0.0/24
Default Gateway: 10.0.0.1
Transparent Mode: Enable
Luego haga click en OK
Interfaces Ethernet Edit (LAN):
Ingrese lo siguiente:
IP Address: 10.0.0.2
Network: 10.0.0.0/24
Transparent Mode: Enable
Luego haga click en OK
2. Reglas
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: HTTPAllow
Action: Allow
Service: http
Source Interface: LAN
Destination Interface: any
Source Network: 10.0.0.0/24
Destination Network: 0.0.0.0/0 (all-nets)
Luego haga click en OK
286
287
Este escenario muestra cmo configurar una Ruta Switch sobre las interfaces LAN y
DMZ para el espacio de direccin 10.0.0.0/24. Es asumido que la interfaz WAN ya ha
sido configurada correctamente.
WebUI
1. Interfaces
Interfaces Ethernet Edit (LAN):
Ingrese lo siguiente:
IP Address: 10.0.0.1
Network: 10.0.0.0/24
Transparent Mode: Disable
Add route for interface network: Disable
Luego haga click en OK
Interfaces Ethernet Edit (DMZ):
Ingrese lo siguiente:
IP Address: 10.0.0.2
Network: 10.0.0.0/24
Transparent Mode: Disable
Add route for interface network: Disable
Luego haga click en OK
2. Interface Groups
Interfaces Interface Groups Add Interface Group:
Ingrese lo siguiente:
Name: TransparentGroup
Security/Transport Equivalent: Disable
Interfaces: Select LAN and DMZ
Luego haga click en OK
3. Routing
Routing Main Routing Table Add Switch Route:
Ingrese lo siguiente:
Switched Interfaces: TransparentGroup
Network: 10.0.0.0/24
Metric: 0
Luego haga click en OK
288
4. Reglas
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: HTTP-LAN-to-DMZ
Action: Allow
Service: http
Source Interface: LAN
Destination Interface: DMZ
Source Network: 10.0.0.0/24
Destination Network: 10.1.4.10
Luego haga click en OK
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: HTTP-WAN-to-DMZ
Action: SAT
Service: http
Source Interface: WAN
Destination Interface: DMZ
Source Network: all-nets
Destination Network: wan-ip
Translate: Select Destination IP
New IP Address: 10.1.4.10
Luego haga click en OK
Rules IP Rules Add IP Rule:
Ingrese lo siguiente:
Name: HTTP-WAN-to-DMZ
Action: Allow
Service: http
Source Interface: WAN
Destination Interface: DMZ
Source Network: all-nets
Destination Network: wan-ip
Luego haga click en OK
Parte XII
Zona de Defensa
CAPITULO
28
Zona de Defensa
28.1
Vista General
La Zona de Defensa es una caracterstica en los firewalls D-Link, la cual permite al firewall
controlar localmente los switches adjuntos. Esto puede ser utilizado como una contramedida
para evitar que un computador infectado en la red local infecte a otros computadores.
Ajustando las reglas threshold en el firewall, anfitriones redes que estn excediendo
el treshold definido pueden ser dinmicamente bloqueados. Los tresholds estn
basados en el nmero de nuevas conexiones realizadas por segundo, por tanto un slo
anfitrin todos los anfitriones dentro de un rango de red CIDR especificada (un rango
de direccin IP especificada por una combinacin de una direccin IP y su
mscara de red asociada). Cuando el firewall nota que un anfitrin o una red ha
alcanzado el lmite especfico, ste carga reglas ACL (Access Control
List) para los switches, lo cual bloquean en turno todo el trfico para ese anfitrin o
red. Los anfitriones y redes bloqueadas se mantienen bloqueadas hasta que el
sistema administrador manualmente los desbloquee utilizando la Web del firewall
la interfaz de lnea de comando.
28.2
292
Nota
Asegrese de que los switches tienen las versiones mnimas de firmware requeridas
antes de activar la zona de defensa.
28.2.1
SNMP
293
Dispositivos administrados
Los dispositivos administrados son obedientes a SNMP, tal como los switches
D-Link. Estos almacenan datos administrados en sus bases de datos, conocidas como
Management Information Base (MIB), y entrega la informacin bajo cuestionamiento
al administrador.
28.3
Reglas Threshold
28.4
294
28.5
Limitaciones
Dependiendo del modelo del switch, hay varias limitaciones en efecto. La primera,
es la latencia entre el activar una regla de bloqueo al momento de que el switch(es)
realmente bloquee el trfico coincidente con la regla. Todos los modelos de
switch requieren al menos algn tiempo para reforzar las reglas luego de que stas
son entregadas por el firewall. Algunos modelos pueden activar las reglas dentro de
un segundo mientras otras requieres de un minuto incluso ms.
Otra limitacin es el nmero mximo de reglas soportadas por el switch. Algunos
switches soportan solo 50 reglas mientras otros soportan por sobre 800
(usualmente, con el fin de bloquear un anfitrin red, una regla por Puerto switch es
necesitada). Cuando este lmite ha sido alcanzado no sern bloqueados ms
anfitriones redes.
Nota
La Zona de Defensa utiliza un rango para la regla de ajuste ACL en el switch. Para evitar
conflictos potenciales en estas reglas y garantizar el control de acceso del firewall,
es altamente recomendable que el administrador limpie por completo el ajuste de regla
ACL en el switch antes de procesar la configuracin de la Zona de
Defensa.
28.6
El siguiente ejemplo simple ilustra los pasos necesarios para ajustar la funcin de
Zona de Defensa en los firewalls D-Link. Se asume que todas las interfaces en el firewall
ya han sido propiamente configurados.
295
Un switch D-Link de modelo DES-3226S es utilizado en este caso, con una direccin de
administracin de interfaz 192.168.1.250 conectando a la direccin de interfaz del firewall
192.168.1.1. Esta interfaz de firewall es aadida en la lista excluyente para prevenir que el
firewall sea accidentalmente bloqueado para accesar el switch.
El diseo de red simplificado para este escenario es mostrado en la Figura 28.1.
WebUI
1. Switch
aadir un nuevo switch en la seccin de Zona de Defensa.
Zone Defense Switches Switch:
General
Name: switch1
Switch model: DES-3226S
IP Address: 192.168.1.250
(o utilice el nombre objetivo si ha sido definido en la direccin objetiva)
SNMP Community:
Ingrese en el recuadro de editar la serie de comunidad escrita configurada en el switch.
Presione el botn de Check Switch para verificar que el firewall puede comunicarse
con el switch y la serie correcta de comunidad es ingresada.
Luego haga click en OK.
296
2. Lista Excluyente
Aada la interfaz de administracin del firewall en la lista excluyente.
Zone Defense Exclude:
General
Direcciones:
Elija el nombre objetivo de la direccin de interfaz del firewall 192.168.1.1 desde la
lista Available y colquelo en la lista Selected.
Luego haga click en OK.
3. Regla Threshold
configurando un threshold HTTP de 10 conexiones/segundo.
Zone Defense Threshold Add Threshold:
General:
General:
Name: HTTP-Threshold
Service: HTTP
Address Filter
Source
Destination
Interface: (la interfaz de administracin del firewal) any
Network: 192.168.2.0/24(o el nombre objetivo)
all-nets
Action:
Action: ZoneDefense
Host-based Threshold: 10
Luego haga click en OK.
Parte XIII
Alta Disponibilidad
CAPITULO
29
Alta Disponibilidad
29.1
29.1.1
300
Tabla de conexin y otra informacin vital, esta copia continua del firewall
inactivo. Cuando el cluster falla sobre el firewall inactivo, Este conoce cul
conexin est activa, y la comunicacin puede continuar hacia el flujo
no interrumpido.
El tiempo del sistema de recuperacin de fallos es de alrededor de un segundo en
el alcance de una retransmisin de tiempo de inactividad TCP normal, lo cual es
normalmente por sobre de un minuto. Los clientes conectados a travs del firewall
experimentarn el procedimiento de recuperacin de fallos como un leve golpe de
paquetes perdidos, un TCP siempre re-transmite en tales situaciones los paquetes
perdidos dentro de un segundo o dos, y continua con la comunicacin.
29.1.2
29.1.3
301
Todas las interfaces del firewall primario necesitan ser presentados en el firewall de
respaldo, y conectados a la misma red. Como fue previamente mencionado el failover
no es realizado innecesariamente, de modo que cualquier firewall puede mantener el rol
activo del cluster por un perodo de tiempo extendido. Por lo tanto, el conectar algunos
equipos a slo el master o slo el firewall slave est ligado a producir resultados
no deseados.
Como se puede ver en la figura 29.1, ambos firewalls estn conectados a la red interna
as como a la red externa. Si hay ms redes, por ejemplo una o ms zonas desmilitarizadas,
o segmentos de redes internas, ambos firewalls tendrn que ser conectadas a tales redes;
el Slo conectar el master a la red ser como guiar a perder la conectividad por
perodos de tiempo extendidos.
.
29.2
302
Esta seccin detallar las caractersticas visible externas del mecanismo de failover,
y cmo trabajan juntos los dos firewalls para crear un cluster de alta disponibilidad
con tiempos de failover muy bajos.
Para cada cluster de interfaz, hay tres direcciones IP:
Dos direcciones IP reales; uno para cada firewall. Estas direcciones son
utilizadas para comunicarse con los mismos firewalls, ej. para el control y
monitoreo remoto. Estos no deben ser asociados de ningn modo con el trfico
que fluye por el cluster; si ningn firewall es inoperativo, la direccin IP asociada
ser simplemente inalcanzable.
Una direccin IP virtual; compartida entre los firewalls. Esta es la direccin IP a
29.2.1
303
29.2.2
Latidos Cluster
304
29.2.3
La interfaz de Sincronizacin
Ambos firewalls son conectados entre ellos por una conexin separada de
sincronizacin; son utilizadas tarjetas actuales de red, aunque estas estn dedicadas
exclusivamente para este propsito.
El firewall activo continuamente enva mensajes de actualizacin de estado a su par,
informando sobre las conexiones que son abiertas, conexiones que son cerradas,
cambios de estado y tiempo de vida en las conexiones, etc.
Cuando el firewall activo cesa de funcionar, por cualquier razn e incluso por un corto
tiempo, el mecanismo de latido cluster descrito anteriormente causar que el firewall
inactivo se vuelva activo. Puesto que este ya conoce todas las conexiones abiertas,
la comunicacin puede continuar fluyendo ininterrumpidamente.
29.3
Un cluster puede ser creado tanto instalando un par de nuevos firewalls, o convirtiendo
firewalls ya instalados en miembros cluster.
El firewall con la ms alta versin numrica de su configuracin asegurar siempre que la
configuracin es transferida al otro miembro cluster.
Gua de Usuario de los Firewalls D-Link
305
29.3.1
Como un ejemplo durante toda esta gua, dos Firewalls D-Link son utilizados como
miembros cluster. Para simplificar esta gua, slo dos de las interfaces en cada
miembro cluster son utilizadas para trfico de red. Los siguientes ajustes son utilizados:
Las interfaces LAN en el miembro cluster son ambas conectadas al mismo switch.
Este switch reside en una red interna con direcciones IP desde la red
192.168.10.0/24.
Las interfaces WAN en los miembros cluster son ambos conectados a un segundo
Switch. Este switch reside en una red externa con direcciones IP desde la red
10.4.10.0/24.
Las direcciones IP para las interfaces son designadas como es indicado por esta
tabla:
Interface
LAN
WAN
Shared IP address
192.168.10.1
10.4.10.1
Master IP address
192.168.10.2
10.4.10.2
Slave IP address
192.168.10.3
10.4.10.3
Las interfaces DMZ en los miembros cluster son utilizadas para sincronizacin
29.3.2
306
WebUI
1. Configuracin HA
System High Availability:
Enable High Availability: Enable
Cluster ID: 0 (Seleccione un cluster ID apropiado)
Sync Interface: DMZ (En este ejemplo se utiliza la interfaz DMZ como interfaz sync)
Node Type: Master or Slave
Luego haga click en OK
2. Configuracin de Par de Direccin HA
Se necesita crear un Par de Direccin HA objetiva para almacenar las direcciones
IP master y slave.
Objects Address Book Add HA IP4 Address Pair:
Name: lan-priv-ip (Direcciones IP privadas para interfaz LAN)
Master IP Address: 192.168.10.2
Slave IP Address: 192.168.10.3
Luego haga click en OK
Objects Address Book Add HA IP4 Address Pair:
Name: wan-priv-ip (Direcciones IP privadas para interfaz WAN)
Master IP Address: 10.4.10.2
Slave IP Address: 10.4.10.3
Luego haga click en OK
3. Configuracin de Interfaz
Interfaces Ethernet Edit (LAN):
IP Address: 192.168.10.1
Advanced/High Availability
Private IP Address: lan-priv-ip Then click OK
Interfaces Ethernet Edit (WAN):
IP Address: 10.4.10.1
Advanced/High Availability
Private IP Address: wan-priv-ip
Luego haga click en OK
Cuando la configuracin es guardada y activada, el firewall actuar como un
miembro cluster HA.
307
Nota
Todas las interfaces Ethernet y VLAN debern tener asignadas una direccin IP
privada cuando el firewall es configurado para ser miembro HA. Sin embargo, en este
ejemplo slo se mostrar cmo configurar las interfaces LAN y WAN. Note que
es posible utilizar el mismo Par de Direccin HA IP4 objetiva en interfaces mltiples.
29.4
Incluso a travs del cluster de Alta Disponibilidad se comportar como un solo firewall
desde muchos aspectos, hay algunas cosas que mantener en mente cuando se maneja
y configura.
29.4.1
Estadsticas SNMP
Las estadsticas SNMP no son compartidas. Los administradores SNMP no tienen
capacidades de failover. De este modo, usted necesitar obtener ambos firewalls
en el cluster.
Los registros vienen desde dos firewalls
El registro de datos proviene desde dos firewalls. Esto significa que usted tendr que
configurar su receptor de registro para recibirlos desde ambos firewalls. Esto tambin
significa que sus consultas de registro probablemente tendrn que incluir ambas fuentes de
Firewall, lo cual entregar todos los datos de registro en una vista resultante. Normalmente
el firewall inactivo no enviar entradas de registro sobre el trfico con vida, as que la
salida se ver mucho como el camino que hizo con slo un firewall.
Gua de Usuario de los Firewalls D-Link
308
29.4.2
Asuntos de Configuracin
Cuando se configuran los clusters de Alta Disponibilidad, hay un nmero de cosas que
se deben mantener en mente con el fin de evitar riesgos innecesarios.
Modificando el cluster ID
Modificando el cluster ID, usted actualmente hace dos cosas:
Modificando la direccin hardware de los IPs compartidos. Esto podra causar
problemas para todas las unidades aadidas al LAN local, cuando estos mantendrn
la vieja direccin hardware en sus caches ARP hasta que ste times out. Tales
unidades debern tener sus caches ARP limpios
Usted puede adems romper la conexin entre los firewalls en el cluster
mientras que estos estn utilizando diferentes configuraciones. Esto podra causar
que ambos firewalls se vuelvan activos al mismo tiempo.
En resumen, no es buena idea modificar el cluster ID innecesariamente.
Luego de que la configuracin ha sido cargada en ambos firewalls, los caches ARP de
unidades vitales debern ser limpiados con el fin de restaurar la comunicacin.
Jams utilice IPs nicos para trfico activo
Las nicas direcciones IP (privadas) de los firewalls no pueden ser utilizados de manera
segura para nada salvo manejar los firewalls.
El utilizarla para algo ms: utilizarlas como Fuentes IPs en
conexiones dinmicamente NATed publicando servicios en estas, causar
problemas inevitablemente, como que los IPs nicos desaparecern cuando el firewall
al que pertenecen lo hagan.
Parte XIV
Apndice
INDEX
ABR, 75
ACL, 291
ActiveX, 156
AES, 196
AH, 214
ALG, 47
ARP, 27
ARP, 66
AS, 70
ASBRs, 75
Backbone area, 74
BDR, 75
Blowfish, 196
BOOTP, 60
Brute force attack, 196
CA, 49, 199
CAST, 196
Certificate, 49, 199, 221
CHAP, 62, 134, 135, 229
CRL, 50, 200, 222
Cryptography, 195
DES, 196
DH group, 218
DHCP, 60, 275, 277
Dictionary attack, 229
Di-Serv, 247, 250
Digital signature, 198
312
INDEX
IKE, 213
IKE XAuth, 222
IP address, 39
IP spoofing, 123
IPsec, 27, 213
RSA, 197
SA, 215
SAT, 114, 115
SNMP, 28, 292
SNTP, 98
SPF, 76
Spoofing, 123
SSL, 136, 243
Stub area, 75
SYN flooding, 47
T.120, 160
TLS, 136, 243
ToS, 250
Twofish, 196
UDP/TIME, 98
URL, 157
VLAN, 56
VLink, 74
VoIP, 158
VPN, 13, 193, 207
WWW, 155
APENDICE
Este Apndice contiene la lista de comandos que pueden ser utilizados en CLI para
Monitorear y solucionar problemas en el firewall. Para informacin sobre cmo acceder
Desde un PC terminal, refirase a 4.2, Monitoreo Via CLI.
Lista de Comandos
Al respecto
Entrega informacin referente a la versin del ncleo del firewall en uso y una notificacin
copyright.
Syntax: about
Ejemplo:
Cmd> about
D-Link DFL 2.01.00V
Copyright Clavister 1996-2005. All rights reserved
SSH IPSEC Express SSHIPM version 5.1.1 library 5.1.1
Copyright 1997-2003 SSH Communications Security Corp.
Build : Jun 3 2005
313
314
Acceso
Despliega los contenidos de la seccin de configuracin de Acceso.
Syntax: access
Ejemplo:
Cmd> access
Source IP Address Access list (proteccin spoofing)
Rule Name
Action Iface
Source Range
----------------- ------ ----------------- ------------Si no coincide una regla de acceso, las reglas PBR sern utilizadas para seleccionar
Una tabla routing para ser utilizada en la bsqueda de ruta reversiva. Si la bsqueda
De ruta falla, la accin ser rechazada.
ARP
Despliega entradas ARP para la interfaz especificada. Publicadas, son mostrados items
tanto esttico como dinmico.
Syntax: arp [options] <interface pattern>
Opciones:
= 0020:d216:5eec
Expire=141
315
ARPSnoop
Alternar el despliegue en pantalla de consultas ARP. Este comando puede ser de gran
Ayuda en la configuracin del hardware firewall, ya que este muestra cuales
Direcciones IP son percibidas en cada interfaz.
Syntax:
Buers
Este comando puede ser til en la solucin de problemas; ej. si un gran nmero
inesperado
de Paquetes comienzan a consultar en el firewall cuando el trfico no pareciera estar
fluyendo por alguna razn inexplicable. Al analizar los contenidos de los buffers, es
posible determinar dnde tal trfico est trabajando en el firewall completo.
Syntax:
-- buffers
Entrega una lista de los buffers ms recientemente liberados.
Ejemplo:
Gua de Usuario de los Firewalls D-Link
316
Cmd> buffers
Displaying the
RecvIf Num
------ ---wan
1224
lan
837
wan
474
wan
395
...
Destination
--------------192.168.123.137
192.168.3.183
192.168.123.137
192.168.123.137
-- buffer <number>
Muestra los contenidos del buffer especificado.
Ejemplo:
Cmd> buff 1059
Decodificacin de nmero buffer 1059
lan:Enet 0050:dadf:7bbf->0003:325c:cc00, type 0x0800, len 1058
IP 192.168.123.10->193.13.79.1 IHL:20 DataLen:1024 TTL:254
Proto:ICMP
ICMP Echo reply ID:6666 Seq:0
-- buffer .
Muestra los contenidos del buffer ms recientemente utilizado.
Ejemplo:
Cmd> buff .
Decodificacin de nmero buffer 1059
lan:Enet 0050:dadf:7bbf->0003:325c:cc00, type 0x0800, len 1058
IP 192.168.123.10->193.13.79.1 IHL:20 DataLen:1024 TTL:254
Proto:ICMP
ICMP Echo reply ID:6666 Seq:0
Certcache
Despliega los contenidos del certificado cache.
Syntax: certcache
317
CfgLog
Muestra el resultado de la configuracin ms reciente reinicia el firewall. Este
texto es el mismo que se muestra en pantalla durante la reconfiguracin
reinicio.
Syntax: cfglog
Ejemplo:
Cmd> cfglog
Configuration log:
Configuration done
Conexiones
Muestra las ltimas 20 conexiones abiertas por el firewall. Las conexiones son creadas
cuando el trfico es permitido de pasar va reglas Allow o NAT. El trfico permitido de
pasar bajo FwdFast no es includo en esta lista.
Cada conexin tiene dos valores de Tiempo de inactividad, uno en cada direccin. Estos
son actualizados cuando el firewall recibe paquetes desde cada extremo de la conexin.
El valor mostrado en la columna de Tiempo de inactividad es el ms bajo de los dos
valores. Los valores posibles en la columna de State incluyen:
- SYN RECV TCP paquete con SYN flag recibido
- SYNACK S TCP paquete con SYN + ACK flags enviados
- ACK RECV TCP paquete con ACK flag recibido
- TCP OPEN TCP paquete con ACK flag enviado
- FIN RECV TCP paquete con FIN/RST flag recibido
- PING La conexin es una conexin ICMP ECHO
- UDP La conexin es una conexin UDP
- RAWIP La conexin utiliza un protocolo IP aparte de TCP, UDP o
ICMP
Syntax: conexiones
318
Ejemplo:
Cmd> conn
State
--------TCP OPEN
SYN RECV
UDP OPEN
Proto
----TCP
TCP
UDP
Source
-----------------wan:60.20.37.6:5432
wan:60.20.37.6:5433
lan:10.5.3.2:5433
Destination
---------------- -----dmz:wwwsrv:80
dmz:wwwsrv:80
dmz:dnssrv:53
Cpuid
Muestra informacin respecto al CPU en el hardware firewall.
Syntax: cpuid
Ejemplo:
Cmd> cpuid
Processor:
Est. frequency:
Family:
Model:
Stepping:
Vendor ID:
Type:
Logical CPUs (HTT):
Feature flags:
Intel Pentium 4
1402 MHz
15
0
10
GenuineIntel
Original OEM Processor
1
fpu vme de pse tsc msr pae mce cx8 apic
sep mtrr pge mca cmov pat pse-36 clfsh
ds acpi mmx fxsr sse sse2 ss htt tm
DHCP
Syntax:
Options:
Tmout
3600
30
50
319
DHCPRelay
Muestra los contenidos del la seccin de configuracin de la
retransmisin DHCP.
Syntax: dhcprelay [options]
Opciones:
Ejemplo:
Cmd> dhcprelay
Servidor DHCP
Muestra los contenidos de la seccin de configuracin del servidor DHCP y activa los
contratos DHCP.
Syntax: dhcpserver [options]
Opciones:
DynRoute
Despliega la regla de ajuste de filtro de poltica de routing dinmico y exportaciones
actuales.
Syntax: dynroute [options]
Options:
320
Frags
Muestra los 20 intentos de reensamblaje de fragmentos ms recientes. Esto incluye
ambos intentos en curso y completados.
Syntax: frags
Ejemplo:
Cmd> frags
RecvIf
-----lan
wan
Num
--2
8
State
----Done
Accept
Source
Dest.
-------------10.5.3.2 26.23.5.4
23.3.8.4 10.5.3.2
Protocol
-------ICMP
ICMP
HA
Muestra informacin sobre el cluster HA.
Syntax: ha
Ejemplo:
Cmd> ha
Este dispositivo es un HA SLAVE
Este dispositivo es actualmente ACTIVE (reenviar trfico)
El par cluster HA est ALIVE
HTTPPoster
Muestra el httpposter urls configurado y estado.
Syntax: httpposter [options]
Opciones:
Next
---2000
1480
Tout
---58
60
321
Ejemplo:
Cmd> httpposter
HTTPPoster URL1:
Host :
""
Port :
0
Path :
""
Post :
""
User :
""
Pass :
""
Status: (no configurado)
...
Ifacegroups
Muestra los grupos de interfaz configurados.
Syntax: ifacegroups <name pattern>
Ejemplo:
Cmd> ifacegroups
Configured interface groups
-------------------------------internals lan,vlan1,vlan2,vlan3
IfStat
Syntax:
-- ifstat
Muestra una lista de las interfaces instaladas en el firewall.
Ejemplo:
Cmd> ifstat
Interfaces configuradas:
Interface name IP Address
-------------- -----------core
127.0.0.1
wan
172.16.87.252
lan
192.168.121.1
Interface type
------------Null (sink)
...
...
322
-- ifstat <interface>
Muestra las estadisticas hardware y software para el NIC especificado.
Ejemplo:
Cmd> ifstat lan
Iface lan
...
MTU :
...
IP Address : ...
Hw Address : ...
Software Statistics:
Soft received: ... Soft sent:
Dropped:
... IP Input Errs: ...
Driver information / hardware statistics:
...
Ikesnoop
Ikesnoop es utilizado para diagnosticar problemas con tneles IPsec.
Syntax:
-- ikesnoop
Despliega en actual estado ikesnoop.
-- ikesnoop off
Apaga el IKE.
-- ikesnoop on [ipaddr]
Enciende el IKE, si un IP es especificado slo el trfico ike de ese IP
ser mostrado.
-- ikesnoop verbose [ipaddr]
Habilita el verbose output, si un IP es especificado slo el trfico ike de ese
IP ser mostrado.
Gua de Usuario de los Firewalls D-Link
323
Ipseckeepalive
Muestra el estado de las conexiones configuradas Ipsec keepalive.
Syntax: ipseckeepalive
Ejemplo:
Cmd> ipseckeepalive
192.168.0.10 -> 192.168.1.10:
908, lost: 2
192.168.1.10 -> 192.168.0.10:
913, lost: 6
Consecutive lost:
0, sent:
Consecutive lost:
0, sent:
IPSectunnels
Despliega las conexiones IPSec VPN configuradas.
Syntax: ipsectunnels
Ejemplo:
Cmd> ipsectunnel
No Name
Local Net
Remote Net Remote GW
0
vpn-home 192.168.123.0/24 0.0.0.0/0
None
MAIN MODE SA PER NET DONT VERIFY PAD IKE group: 2
IKE proplist: ike-default, IPsec proplist:
esp-tn-roamingclients
IPSecstats
Despliega puertas de enlace IPSec VPN conectadas y clientes remotos.
Syntax: ipsecstats [options]
Opciones:
- ike
- ipsec
-u
-v
324
- num <n>
Nmero mximo de entradas a desplegar (predeterminado: 40/8)
Nota: si se ajusta a 0, TODAS las entradas sern desplegadas
Ejemplo:
Cmd> ipsecstats
--- IPsec SAs:
Despliega una lnea por SA-bundle
...
Killsa
Mata todos los IPsec y IKE SAs para la direccin IP especificada.
Syntax: killsa <ipaddr>
Ejemplo:
Cmd> killsa 192.168.0.2
Destruye todos los IPsec & IKE SAs por par remoto 192.168.0.2
Licencia
Muestra en contenido del archivo de licencia. Es adems posible remover una licencia
desde un firewall corriendo con este commando, removiendo la licencia.
Syntax: license [remove]
Ejemplo:
Cmd> lic
Contenidos del archivo de Licencia
---------------------------Registration key:
...
Bound to MAC address: ...
Model:
DFL-...
Registration date:
...
Issued date:
...
Last modified:
...
New upgrades until:
...
Ethernet Interfaces:
...
...
325
Lockdown
Ajusta el bloqueo local a encendido apagado. Durante el bloqueo local, slo el
trfico de nets admin al firewall mismo es permitido. Cualquier otra cosa es
desechada
Nota: Si el bloqueo local ha sido ajustado por el ncleo mismo debido a problemas
de
licencia o configuracin, este comando NO remover tal bloqueo
Syntax: lockdown [ on | off ]
Loghosts
Muestra la lista del destinatario de registro al que el firewall est configurado a enviar
datos de registro.
Syntax: loghosts
Ejemplo:
Cmd> loghosts
Log hosts:
SysLog 192.168.123.10
Facility: local0
Utiliza registro en intervalos de 3600.
Memoria
Despliega el consume de ncleo de memoria. Tambin despliega el uso de la memoria detallada
por algunos componentes y listas.
Syntax: memory
Netcon
Muestra una lista de usuarios actualmente conectados al firewall va protocolo de
administracin netcon.
Syntax: netcon
Ejemplo:
Cmd> netcon
Currently connected NetCon users:
Iface IP address
port
lan
192.168.123.11 39495
326
Netobjects
Despliega la lista de su red nombrada objetiva y sus contenidos. Si una net
objetiva es especificada la salida mostrar informacin de autentificacin del usuario
asociada con ese objeto.
Syntax: netobjects [options]
Options:
- num <number>
- dump
OSPF
Muestra informacin de la informacin del tiempo de ejecucin acerca de procesos de
Router OSPF y es utilizado para detener/iniciar procesos OSPF).
Syntax: ospf [<process name>] [<parameter>]
[<argument>]
Parmetros disponibles:
327
Parmetros de depuracin:
Ping
Enva un nmero especfico de paquetes ICMP Echo Request a un destino entregado.
todos los paquetes son enviados en sucesin inmediata ms que uno por segundo.
Esta conducta es la ms apropiada para diagnosticar problemas de conectividad.
Syntax:
[<size>]]
Opciones:
- r <recvif>, Corre a travs de la Regla de ajustes, simulando que los paquetes fueron
Recibidas por <recvif>.
- s <srcip>, Utiliza esta fuente IP.
- p <table>, Dirige utilizando la tabla PBR especificada.
- v, Verbose ping.
Ejemplo:
Cmd> ping 192.168.12.1
Al enviar 1 ping a 192.168.12.1 desde 192.168.14.19 utilizando la tabla main PBR.
Echo responde desde 192.168.12.1 seq=0 time= 10 ms
TTL=255
Conductos
Muestra la lista de conductos configurados; los contenidos de la seccin de configuracin
de conductos, junto con las figures de rendimiento bsicas de cada conducto.
Syntax: pipes [options] <name>
Opciones:
-s
328
-u
Ejemplo:
Cmd> pipes
Configured pipes:
Name
Grouping
----------std-in Per DestIP
Current: 42.5 K 21.0
...
Bits/s
------
Pkts/s
------
Precedence
---------017
Proplists
Enlista las listas propuesta configuradas.
Syntax: proplists [vpnconn]
Ejemplo:
Cmd> propl
Desplegando todas las listas propuestas configuradas:
ike-default
...
ReConfigurar
Re-lee el archive FWCore.cfg desde el disco. Este proceso toma aproximadamente un
segundo si se realiza desde el disco floppy, y aproximadamente una dcima de segundo
desde el disco duro disco flash. Si hay un archivo FWCore N.cfg presentado en el disco,
ste ser ledo en cambio. Sin embargo, como no hay Administrador de Firewall para
intentar dos medios de comunicacin con el firewall, ste concluir que la configuracin es
incorrecta y revertir a FWCore.cfg luego de que la verificacin bi-direccional del perodo
de tiempo de inactividad ha expirado (tpicamente 30 segundos).
Syntax: reconfiure
Ejemplo:
Cmd> reconfigure
Shutdown RECONFIGURE. Activo en 1 segundo.
Shutdown reason: Reconfigurar debido a consola de comando
Gua de Usuario de los Firewalls D-Link
329
Remotos
Muestra los contenidos de la seccin de Configuracin Remota.
Syntax: remotes
Ejemplo:
Cmd> remotes
Hosts/nets con control remote del firewall:
...
WebUI HTTP (puerto 80) y acceso HTTPS (puerto 443)
Rutas
Despliega la informacin acerca de las tablas de routing, contenidos de una (nombrada)
tabla routing una lista de tablas routing, junto con una cuenta total de entradas de ruta
en cada tabla, as como cuantas de las entradas son rutas de un solo anfitrin.
Note que las rutas ncleo por direcciones de interfaz IP no son normalmente mostradas,
Utilice el switch de -all para mostrar las rutas ncleo tambin.
En el recuadro de Flags de las tablas routing, las siguientes letras son utilizadas:
O:
M:
D:
330
Reglas
Muestra los contenidos de la seccin de configuracin de Reglas.
Syntax: rules [options] <range>
Scrsave
Activa el salva pantallas includas con el ncleo del firewall.
Syntax: scrsave
Ejemplo:
Cmd> scr
Activating screen saver...
Gua de Usuario de los Firewalls D-Link
331
Services
Despliega la lista de servicios nombrados. Los servicios definidos implcitamente dentro
de las reglas no son desplegados.
Syntax: services [name or wildcard]
Ejemplo:
Cmd> services
Configured services:
HTTP
TCP
ALL > 80
Shutdown
Instruye al firewall para ejecutar un reinicio dentro de un nmero de segundos.
No es necesario ejecutar un reinicio antes de que el firewall sea apagado, y cuando
ste no mantiene ningn archive abierto mientras corre.
Syntax: shutdown <seconds>
5)
Sysmsgs
Muestra los contenidos del buffer OS sysmsg.
Syntax:
sysmsgs
Ejemplo:
Cmd> sysmsg
Contenidos del buffer OS sysmsg:
...
Ajustes
Muestra los contenidos de la seccin de configuracin de Ajustes.
Syntax:
-- settings
332
Exjemplo:
Cmd> sett
Categoras disponibles en la seccin de Ajustes:
IP
- IP (Internet Protocol) Settings
TCP
- TCP (Transmission Control Protocol) Settings
ICMP
- ICMP (Internet Control Message Protocol)
ARP
- ARP (Address Resolution Protocol) Settings
State
- Stateful Inspection Settings
ConnTimeouts
- Default Connection timeouts
LengthLim
- Default Length limits on Sub-IP Protocols
Frag
- Pseudo Fragment Reassembly settings
LocalReass
- Local Fragment Reassembly Settings
VLAN
- VLAN Settings
SNMP
- SNMP Settings
DHCPClient
- DHCP (Dynamic Host Configuration Protocol)
Client Settings
DHCPRelay
- DHCP/BOOTP Relaying Settings
DHCPServer
- DHCP Server Settings
IPsec
- IPsec and IKE Settings
Log
- Log Settings
SSL
- SSL Settings
HA
- High Availability Settings
Timesync
- Time Synchronization Settings
DNSClient
- DNS Client Settings
RemoteAdmin
- Settings regarding remote administration
Transparency
- Settings related to transparent mode
HTTPPoster
- Post user-defined URLs periodically
for e.g. dyndns registration, etc
WWWSrv
- Settings regarding the builtin web server
HwPerformance - Hardware performance parameters
IfaceMon
- Interface Monitor
RouteFailOver - Route Fail Over Default values
IDS
- Intrusion Detection / Prevention Settings
PPP
- PPP (L2TP/PPTP/PPPoE) Settings
Misc
- Miscellaneous Settings
333
Protocol) Settings
: DropLog
: DropLog
: Validate
: DropLog
: Drop
: AcceptLog
: DropLog
: 900 ARPExpireUnknown : 3
: DropLog
: DropLog
: 4096 ARPHashSize : 512
: 64
Estadisticas
Muestra varias estadsticas vitales y contadores.
Syntax: stats
Ejemplo:
Cmd> stats
Uptime
: ...
Last shutdown
: ...
CPU Load
:6
Connections
: 4919 out of 32768
Fragments
: 17 out of 1024 (17 lingering)
Buffers allocated
: 1252
Buffers memory
: 1252 x 2292 = 2802 KB
Fragbufs allocated : 16
Fragbufs memory
: 16 x 10040 = 156 KB
Out-of-buffers
:0
ARP one-shot cache : Hits : 409979144 Misses : 186865338
Interfaces: Phys:2 VLAN:5 VPN:0
Access entries:18 Rule entries:75
Usar el archivo de configuracin "FWCore.cfg", ver ...
Gua de Usuario de los Firewalls D-Link
334
Tiempo
Despliega el sistema de fecha y tiempo
Syntax: time [options]
Opciones:
Uarules
Despliega los contenidos de la regla de ajuste de autentificacin del
usuario.
Syntax: uarules [options] <range>
Options:
Userauth
Despliega a los usuarios actualmente registrados y otra informacin. Adems permite
a los usuarios registrados ser desconectados por la fuerza.
Syntax: userauth [options]
Options:
335
- v <ip>, despliega toda la info conocida por los usuarios con esta IP
- r <ip> <interface>, desconecta a la fuerza a usuarios autentificados
- num <num>, nmero mximo de usuarios autentificados para enlistar
(predeterminado 20)
Ejemplo:
Cmd> userauth -l
Usuarios actualmente autentificados:
Login
IP Address
Source
Interface
-------- --------------- --------user1
...
...
...
Ses/Idle
Privileges
Timeouts
--------- ----------1799
members
Userdb
Enlista base de datos de usuario y sus contenidos.
Syntax: userdb <dbname> [<wildcard> or <username>]
databases:
users
------1
336
Ejemplo:
Cmd> userdb AdminUsers
Configured
Username
-------admin
user databases:
Groups
Static IP
-------------- ---------- ----------------administrators
Remote Networks
Ejemplo:
Cmd> userdb AdminUsers admin
Information for admin in database AdminUsers:
Username : admin
Groups
: administrators
Networks :
Vlan
Muestra informacin sobre los VLANs configurados.
Syntax:
-- vlan
List attached VLANs
jemplo:
Cmd> vlan
VLANs:
vlan1 IPAddr:
vlan2 IPAddr:
vlan3 IPAddr:
lan
lan
lan
337
-- vlan <vlan>
Muestra informacin acerca de VLANs especificados.
Ejemplo:
Cmd> vlan vlan1
VLAN vlan1
Iface lan, VLAN ID: 1
Iface
: lan
IP Address
: 192.168.123.1
Hw Address
: 0003:474e:25f9
Software Statistics:
Soft received : 0 Soft sent: 0 Send failures:
Dropped
: 0 IP Input Errs : 0
338
APENDICE
B
Soporte al Cliente
339
340
Oficinas Internacionales
Paises Bajos
Weena 290
3012 NJ, Rotterdam
Paises Bajos
Tel: +31-10-282-1445
Fax: +31-10-282-1331
URL: www.dlink.nl
Canada
Belgica
Italia
U.S.A
Suecia
Alemania
Schwalbacher Strasse 74
D-65760 Eschborn
Alemania
TEL: 49-6196-77990
FAX: 49-6196-7799300
URL: www.dlink.de
Dinamarca
Francia
No.2 allee de la Fresnerie
78330 Fontenay le Fleury
Francia
TEL: 33-1-30238688
FAX: 33-1-30238689
URL: www.dlink.fr
Naverland 2,
DK-2600 Glostrup,
Copenhagen
Dinamarca
TEL: 45-43-969040
FAX: 45-43-424347
URL: www.dlink.dk
341
Noruega
Suiza
Karihaugveien 89
N-1086 Oslo
Noruega
TEL: +47 99 300 100
FAX: +47 22 30 95 80
URL: www.dlink.no
Finlandia
Grecia
Latokartanontie 7A
FIN-00700 Helsinki
Finlandia
TEL: +358-10 309 8840
FAX: +358-10 309 8841
URL: www.dlink.fi
Espaa
Luxemburgo
C/Sabino De Arana
56 Bajos
08028 Barcelona
Espaa
TEL: 34 93 4090770
FAX: 34 93 4910795
URL: www.dlink.es
Polonia
Portugal
Hungra
Repbica Checa
Vaclavske namesti 36, Praha 1
Repblica Checa
TEL :+420 (603) 276 589
URL: www.dlink.cz
R-k-czi-t 70-72
HU-1074 Budapest
Hungra
TEL : +36 (0) 1 461 30 00
FAX: +36 (0) 1 461 30 09
URL: www.dlink.hu
342
Singapur
Egypto
Australia
Israel
1 Ginock Avenue
North Ryde, NSW 2113
Australia
TEL: 61-2-8899-1800
FAX: 61-2-8899-1868
URL: www.dlink.com.au
11 Hamanofim Street
Ackerstein Towers,
Regus Business Center P.O.B 2148,
Hertzelia-Pituach 46120
Israel
TEL: +972-9-9715700
FAX: +972-9-9715601
URL: www.dlink.co.il
India
D-Link House, Kurla Bandra
Complex Road OCST Road,
Santacruz (East)
Mumbai - 400098
India
TEL: 91-022-26526696/56902210
FAX: 91-022-26528914
URL: www.dlink.co.in
LatinAmerica
Isidora Goyeechea 2934
Ofcina 702
Las Condes
Santiago Chile
TEL: 56-2-232-3185
FAX: 56-2-232-0923
URL: www.dlink.cl
Turqua
Brasil
Av das Nacoes Unidas
11857 14- andar - cj 141/142
Brooklin Novo
Sao Paulo - SP - Brasil
CEP 04578-000 (Zip Code)
TEL: (55 11) 21859300
FAX: (55 11) 21859322
URL: www.dlinkbrasil.com.br
343
SudAfrica
China
Einstein Park II
Block B
102-106 Witch-Hazel Avenue
Highveld Technopark
Centurion
Gauteng Republic of South Africa
TEL: 27-12-665-2165
FAX: 27-12-665-2186
URL: www.d-link.co.za
No.202,C1 Building,
Huitong Oce Park,
No. 71, Jianguo Road,
Chaoyang District,
Beijing 100025, China
TEL +86-10-58635800
FAX: +86-10-58635799
URL: www.dlink.com.cn
Taiwan
Rusia
Grafsky per., 14, floor 6
Moscu
129626 Russia
TEL: 7-095-744-0099
FAX: 7-095-744-0099 350
URL: www.dlink.ru
Oficina Central
2F, No. 233-2, Pao-Chiao Rd.
Hsin-Tien, Taipei
Taiwan
TEL: 886-2-2916-1600
FAX: 886-2-2914-6299
URL: www.dlink.com.tw
344