Manual DFL-800 Espanol

CONTENIDOS
Prefacio
Versin del Documento. . . . . .
Extensin de responsabilidad .
Acerca de este Documento. . .
Convenciones Tipogrficas
II
xvi
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Vista General del Producto
xvii
xvii
xvii
xviii
1 Capacidades
1.1 Caractersticas del Producto . . . . . . . . . . . . . . . . . . . . . . . . . .
3
3
III
Introduccin de Redes
2 El modelo OSI
3 Principios del Firewall

3.1 El Rol del Firewall . . . . . . . . . . . . . . . . .
3.1.1 Qu es un Firewall? . . . . . . . . . . . . . . . .
3.1.2 Cmo trabaja un Firewall? . . . . . . . . . . . .
3.2 Contra qu NO protg el Firewall? . . . . . .
3.2.1 Ataques en Componentes Inseguros pre-instalados
3.2.2 Usuarios Inexpertos en Redes protegidas . .
3.2.3 Data-Driven Network Attacks . . . . . . . . . .
3.2.4 Ataques Internos . . . . . . . . . . . . . . . . . .
3.2.5 Modems y Conexin VPN . . . . . . . . .
3.2.6 Agujeros entre DMZs y Redes Internas .
i
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
9
9
9
9
10
11
11
11
13
13
14
ii
IV
Administracin
18
4 Plataforma de Configuracin
4.1 Configurando Via WebUI . . . . .
4.1.1 Vista General . . . . . . . . . .
4.1.2 Interface Layout . . . . .
4.1.3 Operaciones de Configuracin
4.2 Monitoreo Via CLI . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
19
19
19
19
22
23
5 Registro
5.1 Vista General . . . . . . . . . . . . . .
. . .
5.1.1 Importancia & Capacidad
. . .
5.1.2 Eventos . . . . . . . . . . .
. . .
5.2 Receptores de Registro . . . . . . . .
. . .
5.2.1 Receptor Syslog . . . . . .
. . .
5.2.2 Receptor de Registro de Memoria.
. . .
5.2.3 Receptor de Evento SMTP . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
25
25
25
26
28
28
29
29
.
.
.
.
.
.
.
.
.
.
6 Mantenimiento
6.1 Actualizacin del Firmware . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Reset a valores de fabrica . . . . . . . . . . . . . . . . . . . . . .
6.3 Respaldo de Configuracin . . . . . . . . . . . . . . . . . . . . . . . .
31
31
32
34
7 Ajustes Avanzados
7.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
35
38
Fundamentos
8 Objetivos Lgicos
8.1 Libro de Direccines . . . . . . . . . . . . . . . . . . .
8.1.1 Direccin IP . . . . . . . . . . . . . . . . . .
8.1.2 Direccin Ethernet . . . . . . . . . . . . . .
8.2 Servicios . . . . . . . . . . . . . . . . . . . . . . . .
8.2.1 Tipos de Servicio . . . . . . . . . . . . . . .
8.2.2 Reporte de Error & Proteccin de Conexin
8.3 Programas. . . . . . . . . . . . . . . . . . . . . . .
8.4 Certificados X.509 . . . . . . . . . . . . . . . . . .
8.4.1 Introduccin a Certificados . . . . . . . .
8.4.2 Certificados X.509 en los Firewalls D-Link .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Gua de Usuario de los Firewalls D-Link
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
39
39
39
41
41
42
46
48
49
49
51
iii
9 Interfaces
9.1 Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.1.1 Interfaces Ethernet . . . . . . . . . . . . . . . . . . . .
.
9.1.2 Interfaces Ethernet en los Firewalls D-Link . . . . . . .
.
9.2 Virtual LAN (VLAN) . . . . . . . . . . . . . . . . . . . . . .
.
9.2.1 Infraestructura VLAN . . . . . . . . . . . . . . . . . .
.
9.2.2 802.1Q VLAN Estandard . . . . . . . . . . . . . . . .
.
9.2.3 Implementacin VLAN . . . . . . . . . . . . . . . . .
.
9.2.4 Utilizando LANs Virtuales para Expandir Interfaces Firewall .
9.3 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.3.1 Cliente DHCP . . . . . . . . . . . . . . . . . . . . . . .
.
9.4 PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.4.1 PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.4.2 Configuracin de Cliente PPPoE . . . . . . . .
.
9.5 Grupos de Interface . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.6 ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
9.6.1 Tabla ARP. . . . . . . . . . . . . . . . . . . . . . . . .
.
10 Routing
10.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . .
10.2 Jerarqua de Routing . . . . . . . . . . . . . . . . . . . . .
10.3 Algoritmos Routing . . . . . . . . . . . . . . . . . . . .
10.3.1 Routing Esttico . . . . . . . . . . . . . . . . . .
10.3.2 Routing Dinmico . . . . . . . . . . . . . . . . .
10.3.3 OSPF . . . . . . . . . . . . . . . . . . . . . . . .
10.4 Ruta de Failover . . . . . . . . . . . . . . . . . . . . . . .
10.4.1 Escenario: Configuracin de Ruta de Failover. . .
10.5 Implementacin de Routing Dinmico . . . . . . . . . .
10.5.1 Proceso OSPF. . . . . . . . . . . . . . . . . . .
10.5.2 Poltica de Routing Dinmico . . . . . . . . . . .
10.5.3 Escenarios: Configuracin de Routing Dinmico
10.6 Escenario: Configuracin de Routing Esttico. . . . . .
10.7 Politica basada en Routing(PBR) . . . . . . . . . . . . . . .
10.7.1 Vista General. . . . . . . . . . . . . . . . . . . . . .
10.7.2 Politica basada en Routing Tables . . . . . . . . . .
10.7.3 Politica basada en Routing Policy . . . . . . . . . .
10.7.4 Ejecucin PBR . . . . . . . . . . . . . . . . . .
10.7.5 Escenario: Configuracin PBR . . . . . . . . .
10.8 ARP Proxy . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
53
53
53
54
56
56
57
58
59
60
60
61
62
62
65
66
66
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
69
69
70
71
71
72
74
77
78
81
81
81
82
87
88
88
89
89
89
91
94
iv
11 Fecha & Tiempo

11.1 Ajustando la Fecha y Tiempo . . . . . . . .
. .
11.1.1 Fecha y Tiempo actual. . . . . .
. .
11.1.2 Zona Horaria . . . . . . . . . . . . . .
. .
11.1.3 Horario de Verano(DST) . . .
. .
11.2 Sincronizacin de Tiempo . . . . . . . . . . .
. .
11.2.1 Protocolos de Sincronizacin de Tiempo.
. .
11.2.2 Servidores de Tiempo. . . . . . . . . . . . . .
11.2.3 Ajuste Mximo. . . . . .
. .
11.2.4 Intervalo de Sincronizacin . . . . .
. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
95
96
96
96
97
98
98
98
99
99
12 DNS
101
13 Ajustes de Registro
13.1 Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.1.1 Definiendo Receptor Syslog . . . . . . . . . . . . . . . . . .
13.1.2 Habilitando registros . . . . . . . . . . . . . . . . . . . . . . .
103
103
103
104
VI
Polticas de Seguridad
108
14 Reglas IP
14.1 Vista General . . . . . . . . . . . . . . . . . . . . . . .
. .
14.1.1 Campos . . . . . . . . . . . . . . . . . . . . .
. .
14.1.2 Tipos de Accin . . . . . . . . . . . . . . . . .
. .
14.2 Traduccin de Direccin. . . . . . . . . . . . . . . . .
. .
14.2.1 Vista General. . . . . . . . . . . . . . . . . . .
. .
14.2.2 NAT . . . . . . . . . . . . . . . . . . . . . .
. .
14.2.3 Traduccin de direccin en los Firewalls D-Link
. .
14.3 Escenarios: Configuracin de Reglas IP. . . . . . . .
. .
15 Acceso (Anti-spoofing)
15.1 Vista General. . . . . . . . . . . . . . .
.
15.1.1 IP Spoofing . . . . . . . . .
.
15.1.2 Anti-spoofing . . . . . . . .
.
15.2 Regla de Acceso . . . . . . . . . . . . .
.
15.2.1 Funcin. . . . . . . . . . .
.
15.2.2 Ajustes. . . . . . . . . . . .
.
15.3 Escenario: Ajustando Regla de Acceso .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
109
109
110
111
112
112
112
114
116
.
.
.
.
.
.
.
123
123
123
124
124
124
124
126
16 DMZ & Port Forwarding

16.1 General . . . . . . . . . .
16.1.1 Conceptos . . . . .
16.1.2 Planificacin DMZ.
16.1.3 Beneficios. . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
17 Autentificacin del Usuario

17.1 Vista General de Autentificacin. . . . . . . . . .
. . . .
17.1.1 Mtodos de Autentificacin. . . . . . . . .
. . . .
17.1.2 Criterio de Contrasea. . . . . . . . . . . . .
. . . .
17.1.3 Tipos de usuarios . . . . . . . . . . . . . . . . . .
. . . .
17.2 Componentes de Autenticacin . . . . . . . . . . . .
. . . .
17.2.1 Base de Datos de Usuarios Locales(UserDB) . ... . ..
.17.2.2 Servidor de Autenticacin Externo . . . . .
. . . .
17.2.3 Agentes de Autenticacin . . . . . . . . . .
. . . .
17.2.4 Reglas de Autenticacin . . . . . . . . . . .
. . . .
17.3 Proceso de Autenticacin . . . . . . . . . . . . . . .
. . . .
17.4 Escenarios: Configuracin de Autenticacin de Usuario
. . . .
VII
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
127
127
127
129
130
.
.
.
.
.
.
.
.
.
.
.
131
131
131
132
133
134
134
134
135
136
137
137
Inspeccion de Contenido
18 Application Layer Gateway (ALG)

18.1 Vista General. . . . . . . . . . . . . . . . . . . . . .
.
18.2 FTP . . . . . . . . . . . . . . . . . . . . . . . . .
.
18.2.1 Conexiones FTP. . . . . . . . . . . . .
.
18.2.2 Escenarios: Configuracion FTP ALG .
.
18.3 HTTP . . . . . . . . . . . . . . . . . . . . . . . .
.
18.3.1 Componentes & Asuntos de Seguridad . . . . ..
18.3.2 Solucion . . . . . . . . . . . . . . . . . .
.
18.4 H.323 . . . . . . . . . . . . . . . . . . . . . . . . .
.
18.4.1 Vista General Standard H.323. . . . . . . .
.
18.4.2 H.323 Componentes . . . . . . . . . . . .
.
18.4.3 H.323 Protocolos . . . . . . . . . . . . . .
.
18.4.4 H.323 ALG Vista General . . . . . . . . . .
.
18.4.5 Escenarios: Configuracin H.323 ALG
.
146
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
19 Sistema de Deteccion de Intrusos (IDS)

19.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
19.1.1 Reglas de Deteccion de Intrusos . . . . . . . . . . . . . . . . . . 182
19.1.2 Patron de coincidencia . . . . . . . . . . . . . . . . . . . . . . . 182
.
.
.
.
.
.
.
.
.
.
.
.
.
147
147
148
148
150
155
155
156
158
158
158
159
160
161
181
vi
19.1.3 Accion . . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
182
19.2 Cadena de Eventos . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
183
19.2.1 Escenario 1 . . . . . . . . . . . . . . .
. . . . . . . . . . . .
183
19.2.2 Escenario 2 . . . . . . . . . . . . . . .
. . . . . . . . . . . .
184
. . . . . . . . . . . .
186
19.4 Actualizacin automtica de Base de datos de Firmas

. . . . . . . . . . . .
186
19.5 Repecion de registros SMTP para eventos IDS . ... . . . . . . . . . .
187
19.6 Escenario: Configurando IDS . . . . . . . . . .
189
19.3 Grupos de Firmas . . . . . . . . . . . . . . .
VIII
. . . . . . . . . . . .
Red privada virtual (VPN)
192
20 VPN Bsico
193
20.1 Introduccin a VPN . . . . . . . . .
. . . . . . . . . . . . . . . .
193
. . . . . . . . . . . . . . . .
193
. . . . . . . . . . . . . . . .
195
20.2.1 Encriptacion . . . . . . . . . . .
. . . . . . . . . . . . . . . .
195
20.2.2 Autenticacion e Integridad .
. . . . . . . . . . . . . . . .
198
20.3 Por VPN en los Firewalls? . . . . . . . .
. . . . . . . . . . . . . . . .
200
20.3.1 Despliegue VPN. . . . . . .
. . . . . . . . . . . . . . . .
201
20.1.1 VPNs vs Conexiones fijas

20.2 Introduccion a la Criptografia . . .
21 VPN Planificacion
207
21.1 Consideracion en Diseo de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

21.1.1 Seguridad en Punto de Termino . . . . . . . . . . . . . . . . . . . . . .
208
21.1.2 Distribucion de Claves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

22 VPN Protocolos y Tuneles
213
22.1 IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
213
22.1.1 IPsec protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
214
22.1.2 IPsec Modos de Encapsulacion. . . . .. . . . . . . . . . . . . .
214
22.1.3 IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
215
22.1.4 IKE integridad y autenticacion. . . . . . . . . . . . . . . . . . . .
219
22.1.5 Escenarios: Configuracion IPsec . . . . . . . . . . . . . . . . .
223
22.2 PPTP/ L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
228
22.2.1 PPTP . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . .
228
22.2.2 L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
234
22.3 SSL/TLS (HTTPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
243
D-Link Firewalls Users Guide
vii
IX
Administracin de Trfico
246
247
23 Trac Shaping
23.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
23.1.1 Funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
248
23.1.2 Caractersticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
249
23.2 Pipes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
249
23.2.1 Procedencias y Garantas . . . . . . . . .. . . . . . . . . . . . . .
250
23.2.2 Agrupando usuarios en un conducto .. . .. . . . . . . . . . . . .
252
23.2.3 Balanceo de Carga Dinmico . . . . . . . . . . . . . . . . . . . .
253
23.3 Pipe Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
253
23.4 Escenarios: configurando Trac Shaping . . . . . . . . . . . . . . .
253
24 Servidor de Balanceo de Carga (SLB)
261
24.1 Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
261
24.1.1 EL Modulo SLB . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
261
24.1.2 caractersticas SLB. . . . . . . . . . . . . . . . . . . . . . . . . .
262
24.1.3 Beneficios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
263
24.2 SLB Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
264
24.2.1 Modos de. Distribucin . .
. . . . . . . . . . . . . . . . . .
264
24.2.2 Algoritmos de Distribucion .
. . . . . . . . . . . . . . . . . .
264
24.2.3 Verificacin del estado del Servidor

. . . .. . . . . . . . . . . . . . .
.24.2.4 Paquetes que fluyen en SAT ... . . . . . . . . . . . . . . . . .
265
24.3 Escenario: Habilitando SLB . . . . . . . . . . . . . . . . . . . . . . . . .
266
Caractersticas Miscelneas
25 Clientes Miscelneo
266
270
271
25.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
271
25.2 DNS Dinamico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
271
25.3 Registro automatico de cliente

. . . . . . . . . . . . . . . . . . . . . . .
272
25.4 HTTP Poster . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . .
273
25.4.1 URL Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
273
26 Servidor y relay DHCP
275
26.1 DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

26.2 DHCP Relayer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
277
viii
XI
Modo Transparente
280
27 Modo Transparente
281
27.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
281
27.2 Implementacion de modo transparente en los Firewall Dlink . . . .
282
27.3 Escenarios: Habilitando Modo Transparente . . . . . . . . . . . . . . . . . . . . . 284
XII
Zona de Defensa
28 Zona de defensa
28.1 Vista General . . . . . . . . . . . . . . . .
. . .
28.2 Switch de zona de defensa . . . . . . . .
. . .
28.2.1 SNMP . . . . . . . . . . . . .
. . .
28.3 Reglas Threshold . . . . . . . . . . . .
. . .
28.4 Bloqueo Manual y Listas Excluyentes . . . .
28.5 Limitaciones . . . . . . . . . . . . . . .
. . .
28.6 Escenario: Configurando la zona de defensa
. . .
XIII
290
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Alta Disponibilidad
29 Alta Disponibilidad
29.1 Alta Disponiblidad Basica . . . . . . . . . . . . . . . . . . . . .
. .
29.1.1 Qu har la Alta Disponibilidad para Ud? . . . . . . .
. .
29.1.2 Qu no har la Alta Disponibilidad para Ud? . . . .
. .
29.1.3 Ejemplo de configuracin de Alta disponibilidad . . . . . . . . .. . ..
29.2 Como se logra realizar un Failover . . . . . . . . . . . . .
. .
29.2.1 La direccin IP compartida y mecanismo de Failover
. .
29.2.2 Palpitaciones Cluster . . . . . . . . . . . . . . . . . . . .
. .
29.2.3 La interfaz de sincronizacion . . . . . . . . . . . . .
. .
29.3 Configurando un Cluster de Alta Disponibilidad . . . . . . . . . . . .
. .
29.3.1 Planificando el Cluster de Alta Disponibilidad . . . . . . . .
. .
29.3.2 Creando un Cluster de Alta Disponibilidad . . . . . . . . .
. .
29.4 Cosas que debe mantener presentes . . . . . . . . . . . . . . . . . . . . . . .
29.4.1 Asuntos de estadstica y registros . . . . . . . . . . . . . .
. .
29.4.2 Asuntos de Configuracion . . . . . . . . . . . . . . . . . . .
. .
XIV
Apndice
291
291
291
292
293
293
294
294
298
299
299
299
300
301
301
302
303
304
304
305
305
307
307
308
310
Referencia a Comandos de Consola

313
ix
Lista de Comandos .
About . . . . .
Access . . . . .
ARP . . . . . .
ARPSnoop . .
Buers . . . . .
Certcache . . .
CfgLog . . . . .
Connections . .
Cpuid . . . . .
DHCP . . . . .
DHCPRelay .
DHCPServer .
DynRoute . . .
Frags . . . . . .
HA . . . . . . .
HTTPPoster .
Ifacegroups . .
IfStat . . . . . .
Ikesnoop . . . .
Ipseckeepalive
IPSectunnels .
IPSecstats . . .
Killsa . . . . . .
License . . . . .
Lockdown . . .
Loghosts . . . .
Memory . . . .
Netcon . . . . .
Netobjects . .
OSPF . . . . .
Ping . . . . . .
Pipes . . . . . .
Proplists . . . .
ReConfigure .
Remotes . . . .
Routes . . . . .
Rules . . . . . .
Scrsave . . . . .
Services . . . .
Shutdown . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
313
313
314
314
315
315
316
317
317
318
318
319
319
319
320
320
320
321
321
322
323
323
323
324
324
325
325
325
325
326
326
327
327
328
328
329
329
330
330
331
331
Sysmsgs .
Settings .
Stats . . .
Time . . .
Uarules .
Userauth
Userdb . .
Vlan . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
B Soporte a clientes
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
331
331
333
334
334
334
335
336
339
FIGURES & TABLES
2.1
The OSI 7-Layer Model. . . . . . . . . . . . . . . . . . . . . . . .
4.1
4.2
WebUI Authentication Window. . . . . . . . . . . . . . . . . . .

WebUI Main Display. . . . . . . . . . . . . . . . . . . . . . . . . .
20
20
9.1
9.1
A VLAN Infrastructure. . . . . . . . . . . . . . . . . . . . . . . .
802.1Q Standard Ethernet Frame. . . . . . . . . . . . . . . . . .
57
58
10.1 Route Failover Scenario . . . . . . . . . . . . . . . . . . . . . . .

10.2 OSPF Process Scenario . . . . . . . . . . . . . . . . . . . . . . .
10.3 Static Routing Scenario . . . . . . . . . . . . . . . . . . . . . . .
78
82
87
14.1 Dynamic NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

14.1 SAT Example. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
16.1 A Web Server in DMZ . . . . . . . . . . . . . . . . . . . . . . . . 128
18.1
18.2
18.3
18.4
18.5
18.6
18.7
FTP ALG Scenario 1

FTP ALG Scenario 2
H.323 Scenario 1. . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
19.1 IDS Chain of Events Scenario 1 . . . . . . . . . . . . . . . . . . 183

19.2 IDS Chain of Events Scenario 2 . . . . . . . . . . . . . . . . . . 185
19.3 Signature Database Update . . . . . . . . . . . . . . . . . . . . . 187
xi
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
150
153
162
166
169
172
174
xii
19.4 An IDS Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

20.1
20.2
20.3
20.4
20.5
20.6
VPN
VPN
VPN
VPN
VPN
VPN
Deployment
Deployment
Deployment
Deployment
Deployment
Deployment
Scenario
Scenario
Scenario
Scenario
Scenario
Scenario
1
2
3
4
5
6
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
22.1
22.2
22.1
22.2
LAN-to-LAN Example Scenario. . . . . . .

IPsec Roaming Client Example Scenario. .
PPTP Encapsulation. . . . . . . . . . . . . .
L2TP Encapsulation. . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
201
202
203
203
204
205
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
223
225
228
235
23.1 IPv4 Packet Format . . . . . . . . . . . . . . . . . . . . . . . . . . 251

24.1 A SLB Logical View. . . . . . . . . . . . . . . . . . . . . . . . . . 262
24.2 A SLB Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
27.1 Transparent Mode Scenario 1. . . . . . . . . . . . . . . . . . . . 284
27.2 Transparent Mode Scenario 2. . . . . . . . . . . . . . . . . . . . 286
28.1 A Zone Defense Scenario. . . . . . . . . . . . . . . . . . . . . . . 295
29.1 Example HA Setup. . . . . . . . . . . . . . . . . . . . . . . . . . . 301
LISTA DE ESCENARIOS
Seccin 10.4: Configuracin Route Failover. . . . . . . . . . . .
78
Seccin 10.5: Configuracin Dynamic Routing. . . . . . . . . . . .
82
Seccin 10.6: Configuracin Static Routing. . . . . . . . . . . . . .
87
Seccin 10.7: Configuracin PBR . . . . . . . . . . . . . . . . . . . .
91
Seccin 14.3: Configuracin IP Rules . . . . . . . . . . . . . . . . . . 116

Seccin 15.3: Configuracin Access Rule . . . . . . . . . . . . . . . . . . 126
Seccin 17.4: Configuracin User Authentication
. . . . . . . . . . 137
Seccin 18.2: Configuracin FTP ALG . . . . . . . . . . . . . . . . 150

Seccin 18.4: Configuracin H.323 ALG . . . . . . . . . . . . . . . 161
Seccin 19.6: Configuracin de IDS . . . . . . . . . . . . . . . . . . . . . . . 189
Seccin 22.1: Configuracin IPsec. . . . . . . . . . . . . . . . . . . 223
Seccin 23.4: Configuracin de Trac Shaping . . . . . . . . . . . . . . . . 253
Seccin 24.3: Habilitando SLB
. . . . . . . . . . . . . . . . . . . . . . . 266
Seccin 27.3: Habilitando Transparent Mode
. . . . . . . . . . . . . . 284
Seccin 28.6: Configuracin de Zone Defense . . . . . . . . . . . . . . . . . 294
xiii
Parte I
Prefacio
xiv
Versin de Documento
Version No.: 1.0
Advertencia
La informacin en esta gua de usuario est sujeta a cambios sin previo aviso.
Acerca de este Documento

Esta Gua de Usuario esta diseada para ser un manual de configuracin til as como
una herramienta de aprendizaje de trabajo Internet y conocimientos de seguridad
para los administradores de red.
El documento intenta no slo presentar medios para llevar a cabo
ciertas operaciones del producto, sino entregar fundamentos sobre en qu
conceptos estn basadas las funciones, cmo varias secciones del producto
trabajan efectivamente, y por qu ciertos grupos de configuraciones son ejecutadas
con el fin de aumentar la comprensin del lector.
El contenido de esta gua est lgicamente organizado en Partes, Captulos, y
Secciones, con anlisis de Escenarios para cada caracterstica principal, para permitir
mejor al lector aprender varias funciones. En forma consecutiva a las partes y captulos
detallados, ser presentada informacin suplementaria y un ndice de trminos
relevantes en esta gua.
Convenciones Tipogrficas
Ejemplo:
Pasos de configuracin para realizar ciertas funciones.
WebUI
Pasos ejemplo para WebUI.
Nota
Informacin adicional que el usuario debe tener en conocimiento.
Tip
Sugerencias en la configuracin que deben ser tomadas en consideracin.
Aviso
Informacin crtica que el usuario debe seguir al llevar a cabo cierta accin.
Advertencia
Informacin critica que el usuario DEBE seguir para evitar un dao potencial
xvii
Parte
II
Vista General del Producto
CAPITULO
1
Capacidades
1.1
Caracteristicas del Producto
Las caractersticas claves de los firewalls D-Link pueden ser resumidas como:
Asistente de arranque de fcil ejecucin
Interfaz grfica de usuario basado en web (WebUI)
Efectivo y de fcil mantencin
Polticas de control completo de seguridad
Capas de puerta de enlace de aplicacin avanzada (FTP, HTTP, H.323)
Mtodos avanzados de monitoreo y registro
Cumplimiento VLAN total
Soporte para la construccin VPN (IPSec, PPTP, L2TP)
Deteccin de errores de Ruta
Ruteo avanzado (OSPF)
Soporte de Modo Transparente
Balance de Registro de Servidor
Sistema de Deteccin de Intrusos
Capitulo 1. Capacidades
Zona de Defensa
Alta Disponibilidad (Algunos modelos)
Detalles sobre cmo hacer funcionar estas caractersticas son encontradas en

captulos especficos en esta gua de usuario.
Parte
III
Introduccin a Redes
CAPITULO
2
El modelo OSI
El modelo Open System Interconnection (OSI) define un marco primario para

comunicaciones inter-computacionales, a travs de la categorizacin de diferentes
protocolos para una gran variedad de aplicaciones de red, en siete pequeas capas
ms manejables. El modelo describe cmo los datos de una aplicacin en un computador
pueden ser transferidas a travs de un medio de red, a una aplicacin en otro computador.
El control de trfico de datos es pasado de una capa a la siguiente
partiendo de la capa de aplicacin de un computador, avanzando a la capa
de abajo, atravesando por el medio a otro computador y luego
transfirindolo a la parte superior de la jerarqua. Cada capa maneja un cierto grupo de
protocolos, de manera que las tareas para realizar una aplicacin puedan ser distribuidas
a diferentes capas para ser implementadas independientemente.
Tabla 2.1 muestra la definicin de 7 capas. Funciones bsicas y los
protocolos comunes envueltos en cada capa son explicados a
continuacin.
Capa de aplicacin
define la interfaz de usuario que soporta las aplicaciones directamente.
Protocolos: HTTP, FTP, DNS, SMTP, Telnet, SNMP, etc.
Capa de presentacin
traduce las diversas aplicaciones a un formato uniforme de red que
Pueda ser comprendido por el resto de las capas.
Capa de Sesin
establece, mantiene y termina las sesiones a travs de la red.
Protocolos: NetBIOS, RPC, etc.
7
Captulo 2. El modelo OSI
Capa de Aplicacin
6 Capa de Presentacin
Capa de Sesin
Capa de Transporte
Capa de Red
Capa de Datos-Link
Capa Fsica
Tabla 2.1: Modelo OSI de 7-Capas.

Capa de Transporte
controla el flujo de datos y entrega un manejo de errores. Protocolos: TCP,
UDP, etc.
Capa de Red
despliega el direccionamiento y ruteo. Protocolos: IP, OSPF, ICMP,
IGMP, etc.
Capa de Datos-Link
estructura los datos. Protocolos: Ethernet, PPP, etc.
Capa Fsica
define los soportes de hardware.
Los firewalls D-Link manejan el trfico de red y despliegan diversas funciones
para garantas de seguridad y soporte de aplicacin a travs de las 7 capas del
modelo OSI.
CAPITULO
3
Principios Firewall
3.1
El Rol del Firewall
3.1.1
Qu es un Firewall?
Cuando usted conecta su computador su red de rea local a otra red

ej. el internet, se deben tomar ciertas medidas para prevenir que intrusos
tengan acceso a fuentes y materiales que usted considere confidenciales
sensibles. Con el fin de conseguir esto, se debe implementar un firewall en la
red. Esta tarea es para asegurar que slo es permitido el flujo de comunicacin
aprobada entre redes y que la comunicacin no autorizada es bloqueada
y registrada.
3.1.2
Cmo trabaja un Firewall?
El propsito primario de un firewall es reforzar el estado de polticas de seguridad sobre

quin puede comunicarse con quin y de qu manera.
El firewall consigue sto examinando el trfico que pasa a travs de ste,
comparando la informacin con un conjunto de reglas programadas en ste y
tomando una decisin basada en factores tales como la direccin del emisor,
direccin de destino, protocolo y puertos. Esto le permite instalar menos servicios de
seguridad de red en sus redes protegidas y prevenir de que intrusos tengan acceso
a stos servicios.
La mayora de los firewalls, incluyendo los firewalls D-Link, aseguran que el trfico
de red
9
10
Capitulo 3. Principios del Firewall
cumpla con las definiciones actuales de protocolo. Esto puede prevenir que
servicios mal implementados en los servidores protegidos y clientes software sean
expuestos a datos inesperados, causando que stos se suspendan se caigan. En
resumen un firewall es la respuesta de la red a una seguridad
deficiente por parte del anfitrin.
3.2
Contra qu NO protege el Firewall?
La seguridad implica mucho ms que slo firewalls. Sin embargo, en la mayora de

los casos, instalar un firewall es necesariamente el primer paso para asegurar su red
y computador.
Esta seccin no est especficamente dedicada a los firewalls D-Links; sino que
trata de los firewalls en general. Los problemas descritos aqu pueden ocurrir
independiente de cual firewall usted elija instalar.
Una idea errnea comn es que toda la comunicacin est inmediatamente
asegurada una ves que pasa a travs del firewall. Esto sin embargo no es verdad.
Muchos ejecutivos de marketing y vendedores sonren y reclaman que nuestro
Firewall le proteger contra todo. Se espera que esto sea slo
pura ignorancia de parte de ellos y no un intento consciente de engaar a
potenciales compradores.
Un firewall puede slo proteger contra aquello a lo que ha sido diseado.
Desafortunadamente, es imposible predecir todos los virus que otros software pueden
tener. En adicin, hay un gran nmero de situaciones en donde un firewall
no puede entregar una total proteccin a toda la comunicacin que pasa
a travs de ste.
La siguiente es una seleccin de problemas de seguridad con los que a menudo
un firewall es incapaz de lidiar, y en algunas instancias entregamos soluciones para
combatir stos.
Tome nota de que sto slo raya la superficie en trminos del nmero de
problemas existentes.
Una proteccin completa slo puede ser alcanzada a travs una comprensin profunda
de todas las debilidades posibles en los protocolos de red y en el software utilizado,
y de la implementacin de medidas apropiadas para compensar stas.
3.2. Contra qu NO protege el Firewall?
3.2.1
11
Ataques en Componentes Inseguros pre-instalados
Un problema muy comn es el hecho de que sistemas operativos y aplicaciones

usualmente contienen componentes inseguros pre-instalados. Tales componentes
incluyen servicios indocumentados presentes en computadores conectados a
Internet, permitiendo el ingreso de conexiones de red externas. Un ejemplo de
esta forma de vulnerabilidad son los componentes de simplificacin que permiten
el acceso directo ODBC va HTTP en servidores web.
La caracterstica ms comn para la mayora de estos componentes es que no
estn previstos para el uso en una red pblica, en donde intrusos pueden utilizar la extra
funcionabilidad a mano para interrumpir fcilmente en el sistema. Sin embargo, los
sistemas modernos estn frecuentemente previstos con tales componentes pre-instalados
con el fin de hacer el sistema fcil de utilizar.
Una buena precaucin a tomar es revisar todos los sistemas conectados a Internet,
clientes y servidores, y remover todas las funcionalidades innecesarias.
3.2.2
Usuarios inexpertos en Redes protegidas
Ningn firewall en el mundo puede proteger contra el dao que usuarios inexpertos
pueden provocar a una red protegida.
Si stos asisten a un intruso de una manera u otra, ej. abriendo un
programa no reconocido enviado va email tal como merryxmas2001.exe,
se puede lograr ms dao que si colocramos juntos todos los virus de aplicaciones y
sistemas operativos.
Todos los intentos de asegurar las redes de una organizacin deben ser precedidos
por una profunda investigacin sobre que puede o no ser permitido.
El resultado de sto debe ser una poltica de seguridad que se aplique a todas las partes
de la organizacin, desde la administracin inferior. Con la intencin de que tales polticas
funcionen, todos los usuarios deben estar conscientes de estas polticas y por qu
deben ser reforzadas.
3.2.3
Ataque a los datos de la Red
Normalmente, un firewall puede slo proteger un sistema contra ataques de datos

en circunstancias excepcionales. Tales ataques incluyen:
Paginas HTML contenedoras de javascript o Java que atacan la red
desde el interior cuando la pgina es vista en un buscador programa

e-mail. La nica proteccin posible contra esta clase de ataque,
12
aparte de un software de mejor escritura, es deshabilitar tales servicios o

limitando la navegacin a computadores menos sensibles.
Pginas HTML que vinculan en los contenidos de archivos locales cuando stos
estn abiertos sin scripts. Tales pginas pueden, a menudo con la ayuda
de usuarios locales confiados que son engaados en Ayudar a la pgina
haciendo click en un botn, enviando el archivo vinculado hacia adelante a un
servidor Internet desconocido.
Los documentos enviados por email que contienen scripts hostiles son
activados una vez que el documento es abierto. Maneras posibles para proteger su
sistema contra estas formas de ataque incluyen el evitar utilizando
un software buscador basado en email o deshabilitando el script e introduciendo
puertas de enlace mail que pueden bloquear scripts y otros cdigos ejecutables.
Buer overruns, contra los cuales muy raramente proveen proteccin los firewalls.
Buer overruns pueden ocurrir en cualquier aplicacin, con un resultado net de

intrusos que son capaces de conseguir que los computadores protegidos ejecuten
cualquier comando. Aqu, la nica solucin es asegurar que slo las aplicaciones
bien escritas, las cuales son diseadas especficamente para ser inmunes a
esta forma de ataque son bien instaladas y utilizadas. Desafortunadamente los
software ms actuales no estn escritos con este problema en mente. Al
momento de escribir, se es de la opinin de que esto plantea la mejor amenaza
tcnica para todas las formas de ataque basado en red, cuando casi todo el
software es susceptible a buer overruns.
Virus y troyanos. Un firewall puede por supuesto ser conectado a
scanners de virus, puertas de enlace mail y otros dispositivos similares con el fin
de incrementar seguridad, pero debe ser notado que la funcionalidad
fundamental de un firewall no entrega normalmente tal proteccin.
Incluso si un firewall es conectado a un scanner de virus, es posible que los virus
atacantes pueden estar tan bien ocultos que el scanner es incapaz de

detectarlos. En adicin, un scanner de virus puede slo detectar los virus que
reconozca. Si alguien disea un virus especficamente para atacar sus
sistemas o aquellos de un pequeo grupo de personas, o si el troyano o virus
en cuestin no se encuentra en circulacin lo suficiente para
que se vuelva bien conocido, el scanner de virus no lo reconocer.
En el presente, las tareas ms comunes para ataques de datos son:
Servidores pblicos tales como servidores mail, servidores DNS y servidores
web. Los servidores Web son claramente representados en esta categora debido
a su enorme complejidad.
3.2. Contra qu NO protege el firewall?
13
Scripts hechos a la medida en servidores web. Es ahora muy fcil ampliar la
funcionabilidad de su servidor web escribiendo pequeos, programas a la

medida para manejar una multitud de tareas. Sin embargo, una consciencia
insuficiente de problemas potenciales pueden conducirle, la mayora de las veces,
a realizar pequeas modificaciones, dificultando la deteccin de errores que pueden
habilitar a un intruso para ganar acceso a su sistema.
Los buscadores de Web. La automatizacin de procesos y la simplificacin de
operaciones para el beneficio de los usuarios crean un incremento en la

complejidad interna y de este modo incrementa el riesgo de vulnerabilidades.
El software Desktop, ante todo desea en buena medida soportar
lenguajes scripting, por la misma razn que un buscador . Los lenguajes

scripting entregan acceso casi ilimitado a computadores locales y a todas las
fuentes de red conectados. Como resultado, los intrusos pueden causar todo
tipo de problemas si stos pueden obtener usuarios internos para abrir
documentos contenedores de scripts malvolos.
3.2.4
Ataques internos
Un firewall slo puede filtrar datos que pasan a travs de ste. Por lo tanto, no puede
ofrecer proteccin alguna contra ataques internos en las redes locales, donde todos
los computadores se comunican directamente entre ellos.
En adicin, los firewalls no pueden proveer proteccin contra los usuarios
locales introduciendo un software prejudicial a la red desde un medio removible, o a
travs de la exportacin de informacin sensible del mismo modo.
Esto puede parecer obvio. Sin embargo, la mayora de la gente subestima el impacto
de tal dao.
Aunque diferentes Fuentes entregan diferentes imgenes, es claro que ms de un
50% de todos los problemas de seguridad de datos son el resultado de ataques
internos. Algunas fuentes colocan esta imagen a una altura del 80%.
3.2.5
Mdems y Conexin VPN
Un error comn es creer que los mdems y puertas de enlace VPN son tan seguros
como la red protegida y pueden ser conectados directamente a sta sin proteccin.
Gua de Usuario de los firewalls D-Link
14
Modem pools puede estar sujetas a ataques directos y, en casos extremos,

las lneas telefnicas pueden ser interceptadas. Switches, localizados en
cualquier punto de las redes tele-comunicacionales o en la oficina, pueden ser
reprogramados sin que el intruso necesite estar cerca de stos.
Cuando ste se vuelve a las conexiones VPN, es importante recordar que
aunque las conexiones mismas pueden ser seguras, el nivel total de seguridad es
slo tan alto como la seguridad de los puntos de trmino del tnel.
Se vuelve cada vez ms comn para los usuarios en el flujo conectarse
directamente a las redes de sus compaas desde sus laptops va VPN. Sin embargo,
el laptop mismo no es a menudo protegido. En otras palabras, un intruso puede obtener
acceso a las redes protegidas a travs de un laptop no protegido con
conexiones VPN ya abiertas.
Una precaucin bsica a tomar es la proteccin de su red contra ataques a los modems
y conexiones VPN, asegurando que los computadores mviles jams se
comuniquen directamente con el Internet. En cambio, deben siempre ser
dirigidos a travs de VPN o modem de conexin y la red de la compaa, sin importar
a aquellos a los que se desea comunicar. De esta manera, stos disfrutan
mas o menos el mismo nivel de proteccin que el resto de la red. Para conexiones
VPN, un cliente VPN competente que puede bloquear todos los trficos Internet
entrantes, a un lado de aquellos que pasan a travs de las conexiones VPN,
deben ser instalados en cada laptop.
Una conexin VPN o modem pool no debe jams ser considerado como una parte
directa de una red protegida. Los puntos de trmino VPN deben en cambio ser localizados
en un DMZ especial o fuera del firewall al que estn dedicadas sus tareas. Al hacer esto,
usted puede restringir cules servicios pueden ser accedidos va VPN y
modem y por lo tanto asegurar que se servicio est bien protegido contra intrusos.
En casos en donde el firewall pone en relieve una puerta de enlace VPN integrada, es
usualmente posible imponer los tipos de comunicacin permitidos. El Firewall
D-Link pone a flote tal facilidad.
3.2.6
Entradas entre DMZ y las Redes Internas
Aunque la llegada de extranets y comercio electrnico ha servido para conducir

envos desarrollados, y como mas y ms compaas comienzan a hacer
datos internos disponibles va servidores web, los riesgos de seguridad como resultado
son incrementados.
3.2. Contra qu NO protege el firewall?
15
Es ahora una prctica comn localizar servidores web en zonas desmilitarizadas,

donde stos se comunican con fuentes de datos en redes protegidas. En tales casos,
los ataques a los datos plantean una gran amenaza.
El problema con los agujeros entre DMZ y redes internas no es realmente un problema
en s. Mas bien, es una consecuencia de los problemas discutidos con anterioridad.
Mucha gente abre estos agujeros sin tener cuidado de los problemas que pueden
causar, lo cual es el por qu hemos elegido destacar estos problemas en
una seccin separada.
La razn para localizar un servidor web en un DMZ es simple el servidor no puede
confiar en ser completamente seguro. Qu sucede si alguien gana control sobre
el servidor y hay un agujero abierto a travs del cual se puede ganar acceso
a las fuentes de datos en la red interna? El resultado es que las redes protegidas
estn abiertas a ataques desde el Internet, utilizando un servidor web como
intermediario.
No subestime los efectos de sta vulnerabilidad! En nuestra experiencia,
incluso el atacante ms inexperto necesita slo unos minutos para ganar
acceso a las redes protegidas utilizando tcnicas estandarizadas y bien conocidas,
especficamente desarrolladas para explotar ste tipo de agujeros.
La ms simple defensa contra sto es el incremento de la segmentacin de la red.
A travs de la localizacin de fuente de datos, ej. un servidor SQL, en un segmento
de red separada y previnindole de la comunicacin directa con el resto de la red,
usted puede limitar el dao causado por semejante ataque.
Nota
El problema aqu no son los paquetes IP que son dirigidos a travs de los servidores
DMZ, por eso el deshabilitar IP forwarding no le proveer ninguna proteccin.
El problema es que los intrusos pueden ejecutar comandos en estos servidores
del mismo modo que cualquiera en el teclado.
Debe tambin ser notado que su red interna ser an vulnerable
a los ataques incluso si el canal entre el DMZ y la red interna esta
hecha en un protocolo no-dirigible como un NetBEUI. Nuevamente, el problema
no son los paquetes que atraviesan redes inseguras hacia la red interna.
16
Mejor dicho, el problema es que aparatos inseguros pueden ejecutar comandos en

aparatos protegidos.
Otra forma de proteccin valiosa considerada es ajustar una fuente de datos
separados que contienen informacin limitada a la que el servidor web tiene
acceso. Esta debe slo contener informacin estimada suficientemente insensible
a ser accedida desde un servidor web. Este proceso requiere de una exportacin
automtica de datos desde la fuente interna de datos a la fuente externa de datos,
para ser ejecutados cuando la informacin necesite ser actualizada, o en
determinados momentos del da. Un problema insuperable puede presentarse
cuando el servidor web necesite actualizar la fuente de datos. La mejor manera de
afrontar tal problema es mover la fuente afectada de datos a un segmento
separado de red, y de este modo reducir el dao potencial en caso de intromisin.
Parte IV
Administracin
Esta parte cubre aspectos bsicos de la gestin y administracin

de los Firewalls D-Link, incluyendo:
Plataforma de Configuracin
Registro
Mantenimiento
Ajustes Avanzados
CAPITULO
Plataforma de Configuracin
4.1
4.1.1
Configurando Va WebUI
Vista General
Los firewalls D-Link pueden ser configurados utilizando una interfaz web. Una
interfaz web es usualmente una manera rpida y eficiente para configurar un firewall, que
no requiere que el administrador instale ningn programa especfico para configurar
ste. Esto tambin permitir al administrador configurar el firewall remotamente,
de manera virtual desde cualquier lugar en el mundo.
4.1.2
Diseo de Interfaz
Antes de utilizar la interfaz WebUI, el usuario deber ser autentificado a travs del
ingreso de nombre de usuario/contrasea en la ventana de autentificacin,
mostrado en la Figura 4.1.
Una vez registrado en el WebUI, al usuario se le presentar una pgina con tres
Secciones distintas, como se muestra en la Figura 4.2:
Barra de Menu
Lista con Vista de Arbol
Ventana principal
19
20
Capitulo 4. Plataforma de Configuracin
Figura 4.1: Ventana de Autentificacin WebUI.
Figura 4.2: Ventana Principal WebUI.
4.1. Configurando Via WebUI
21
Barra Menu
La barra menu consiste en un nmero de botones con tanto una sola opcin
mltiples sub-opciones.
Home
Dirijase a la pgina de inicio del WebUI.
Configuracin
- Guardar y Activar: Guarda la configuracin y activa las modificaciones.

- Descartar Modificaciones: Descarta las ltimas modificaciones en la configuracin.
Herramientas
- Ping: Herramienta utilizada para ping anfitriones en la red. til para la solucin
de problemas y depuracin.
- Backup: Herramienta utilizada para guardar y restaurar respaldos de la configuracin
actual.
- Reset: En esta pgina es posible reiniciar el firewall y reestablecerlo
a lo predeterminado de fbrica.
- Upgrade: En esta pgina las firmas IDS y firmware del firewall pueden ser
modernizados.
Estado
- System: Aqu es mostrado el estado del sistema. Carga CPU, conexiones etc.
- Logging: Aqu es donde la carga almacenada en la memoria de registro es
desplegada.
- Connections: Despliega las conexiones actuales a travs del firewall.
- Interfaces: Despliega el estado para interfaces y tneles.
- IPSec: Despliega el estado de informacin IPSec.
- Routes: Despliega la actual tabla de ruteo.
- DHCP Server: Despliega la informacin en uso para servidores DHCP.
- IDS: Despliega el estado de informacin IDS.
- SLB: Despliega el estado de informacin SLB.
22
Captulo 4. Plataforma de Configuracin
- Zona de Defensa: Despliega el estado de la informacin de la Zona de

Defensa.
Logout
Log out from the WebUI.
Help
Lea la ltima version de este manual.
Lista con Vista de Arbol

La vista arbol es un listado de las secciones de configuracin en el firewall.
El rbol puede ser expandido para mostrar opciones de configuracin ms detallada.
Ventana Principal
La ventana principal despliega la seccin de configuracin seleccionada o el objeto a
modificar. Asegrese de hacer click en el botn de OK para guardar los cambios
realizados a un objeto, o cancelar para descartarlos, antes de navegar ms en la WebUI.
4.1.3
Operaciones de Configuracin
Cuando se configura el firewall, las mismas direcciones IP, definiciones de red,

servicios etc, son a menudo utilizados en mltiples localizaciones a lo largo
de la configuracin. Para simplificar la administracin y hacerla ms fcil para modificar
direcciones IP, redes etc, logical objects (va 8 Logical Objects) son utilizados
a lo largo de la configuracin del firewall.
Cuando el usuario ha configurado el firewall va WebUI, la configuracin
deber ser guardada y activada antes de que la nueva configuracin sea
utilizada por el firewall. Esto es realizado a travs de la opcin de barra men Save and
Activate bajo Configuration.
4.2. Monitoreando Via CLI
4.2
23
Monitoreo Va CLI
Los administradores pueden asimismo monitorear y solucionar problemas en el firewall

Interface de comandos (CLI), a travs del empleo del puerto de Consola
en el Firewall.
La serie de puerto de consola es un puerto RS-232 que permite una conexin a un PC
o terminal. Para accesar el puerto de consola, son necesarios los siguientes
requisitos:
Una terminal o computador (porttil) con un puerto serial la habilidad
de emular una terminal (ej utilizando el software Hyper Terminal incluido

en la mayora de las instalaciones Microsoft Windows). La terminal
debe tener los siguientes ajustes: 9600 baud, No parity, 8 bits
y 1 stop bit.
Un cable RS-232 con conectores apropiados.
Para conectar una terminal al puerto consola, siga los siguientes pasos:
1. Coloque los ajustes terminales como ha sido descrito con anterioridad.
2. Conecte uno de los conectores del cable RS-232 directamente al
puerto de consola en el hardware del firewall.
3. Conecte el otro extremo del cable a la terminal o conector serial del
c computador que hace correr el software de comunicacin.
A travs del texto basado en el Interface de comandos (CLI) de la consola, un
anlisis ms profundo de varios aspectos estadsticos del firewall pueden ser
conducidos tambin como un detector de problemas avanzado. Una referencia
detallada de varios comandos que pueden ser utilizados en esta interfaz es cubierta
en el Apndice A, Referencia de Comandos de Consola.
Nota
Actualmente, el CLI puede slo ser utilizado para visualizacin de estadsticas y estados.
El firewall no puede ser configurado a travs de esta interfaz.
CAPITULO
5
Registro
Este captulo trata de los principios de registro y entrega una breve introduccin al
diseo de los firewalls de registro D-Link. Para informacin acerca de cmo implementar
la funcin de registro por el firewall, refirase a 13, Ajustes de registro
en la parte de Fundamentos.
5.1
Vista General
El registro es una prctica para mantener el contacto con aquellas actividades

pertinentes a la operacin de firewall y a las polticas de seguridad que el firewall
est reforzando. El archivo generado desde el registro ayuda a los administradores a
observar en detalle qu eventos han ocurrido. Los firewalls D-Link entregan una
variedad de opciones para registrar actividades.
5.1.1
Importancia & Capacidades
A pesar de qu poltica de seguridad es implementada por el firewall,

el registro es crtico para asegurar que la implementacin est corriendo sin
problemas adems de mantenerse en alerta sobre lo que est ocurriendo en el entorno de
una red. Esto entrega a los profesionales la habilidad de monitorear la operacin del
dispositivo y asegurar que los eventos en progreso estn anticipados.
Desde que el firewall se encarga de todo el trfico que pasa a travs de sus
interfaces desde una red protegida a otras reas y adems de los otros caminos
alrededor, ninguna desconfiguracin o uso incorrecto de las funciones pueden resultar
25
26
Chapter 5. Logging
en una discontinuidad de servicios. A travs de la revisin de salida de registro, hay

una gran oportunidad de que administrador sea capaz de imaginar los
eventos problemticos, y tomar las acciones necesarias para corregir esos
problemas. Una vez que los problemas son resueltos, el contenido correcto puede
encontrado en la nueva informacin de registro para verificar que los cambios
apropiados han sido realizados.
El registro puede tambin ser utilizado en el Intrusion Detection System (IDS). El trfico
sospechado e intentado, fallido, o ataques exitosos contra el firewall y la red
pueden ser registrados, con notificaciones enviadas para alertar a los administradores.
Esta informacin de registro es muy til para que los administradores determinen
cmo puede ocurrir una intromisin y qu mtodo de contra-taque puede ser
adherido para mejorar las implementaciones del firewall.
Tan pronto como los eventos requeridos por el registro ocurran, el firewall genera
respuestas basadas en tales eventos, y luego stas son exportadas en archivos
de una forma u otra a uno o ms receptores de registro.
5.1.2
Eventos
Hay un nmero de situaciones diferentes que pueden causar que los firewalls D-Link
generen y entreguen datos de registro. Cada una de tales ocasiones es referida
como un evento.
Algunos eventos, por ejemplo, el inicio y cierre del firewall, generarn siempre
entradas de registro. Otros, por ejemplo, para registrar si una regla especificada es
coincidente, son configurables. La razn ms obvia y simple transmisin
por evento generado es, por supuesto, cuando el registro es configurado en la regla del
firewall, tal como una regla IP, reglas de Autentificacin del Usuario, Reglas Threshold,
etc.
Los eventos de inters para captura generalmente caen en tres categoras claras:
Firewall System Issues, Security Policy, y Network Connection Status.
System Issues
Esta categora de eventos registra el estado del sistema del firewall y cambios del
hardware, por ejemplo:
BUFFERS eventos con respecto al uso del buffer.
TIMESYNC tiempos de sincronizacin de eventos firewall.
HWM hardware monitoreador de eventos.
SYSTEM Inicio & Cierre.
5.1. Overview
27
Security Policy
La informacin sobre diferentes acciones gatilladas por las reglas de firewall
son entregadas en esta categora, incluyendo:
ACCEPT paquetes aceptados para futuras intromisiones.
FWD- paquetes direccionados sin estado
DROP paquetes rechazados.
Conexiones de Red
Varias conexiones de trfico, estados de routing, y registro de actividades del
usuario para depurar y monitorear el ambiente de la red caen en esta categora.
Tanto los servicios autorizados como conexiones rechazadas pueden ser
registradas. Normalmente, el nombre de los servicios (o nombre de protocolo) es
utilizado como la etiqueta para el evento en la entrada de registro. Los eventos
ms
comunes dentro de sta categora son enlistados a continuacin.
USAGE
estadsticas peridicas del uso del sistema, tal como amplitud de banda,
conexiones, y etc.
CONN
eventos de estado de ingeniera, ej. apertura/cierre de conexiones.

NETCON
eventos de gestin remota del administrador.

IFACEMON
eventos de control de interfaz.

DHCP/DHCPRELAY/DHCPSERVER
eventos para cliente DHCP, para la retransmisin, o para el servidor.

ARP
mensajes de registro provenientes de la ingeniera ARP.

FRAG
mensajes de registro provenientes de la ingeniera de manejo fragmentada.

OSPF/DYNROUTING
informacin para el ruteodinmico.

RFO
dirige eventos fail over.

PPP/PPPOE/PPTP/L2TP/GRE/IPSEC
eventos para diferentes tneles.

USERAUTH
eventos para la autentificacin del usuario.

28
Captulo 5. Registro
HA
Eventos de Alta Disponibilidad.

IDS/IDSUPDATE
Eventos de Deteccin de Intrusos y actualizacin de base de datos.

ZONEDEFENSE
Eventos de Zona de Defensa.

SNMP
accesos SNMP permitidos y rechazados.

IP.../TCP...
informacin concerniente a paquetes TCP/IP.
5.2
Receptores de Registro
Un receptor de registro es un computador distinto, conocido como Syslog server,

o una seccin de memoria construida en el firewall para manejar todos los
eventos registrados, generados por el firewall.
Una vez que un nuevo evento es recibido, el receptor adhiere una entrada en el archivo
de registro para grabar los datos.
5.2.1
Receptor Syslog
El Firewall D-Link puede enviar datos de registro a los receptores Syslog.

El Syslog es un protocolo estandarizado para el envo de datos de registro a
loghosts, aunque no haya un formato estandarizado para estos mensajes de registro.
El formato utilizado por el Firewall D-Link es ideal para procedimientos automatizados,
filtracin y bsqueda.
Aunque el formato exacto de cada entrada de registro depende de cmo trabaje
el recipiente syslog particular, la mayora son muy similares. El modo en el cual los registros
son ledos es adems dependiente del receptor. Los demonios Syslog en servidores
UNIX usualmente registran a archivos de texto, lnea por lnea.
La mayora de los receptores syslog introducen cada entrada de registro con un registro
de tiempo y la direccin IP del artefacto que enva el dato de registro:
Feb 5 2000 09:45:23 gateway.ourcompany.com
Esto es seguido por el texto que el emisor ha elegido enviar. Todas las entradas de
registro del Firewall D-Link son introducidas por FW: y una categora, ej.
DROP: .
5.2. Receptores de Registro
29
Con
de facilitar
procesamiento automatizado
todos los mensajes, los
Febel5fin
2000
09:45:23elgateway.ourcompany.com
FW:deDROP:
Firewalls D-Link copian todos los datos de registro a una sola lnea del texto. Los
datos siguientes al texto inicial son presentados en el formato nombre=valor. Esto
permite a los filtros automticos encontrar fcilmente los valores que estn buscando
El texto subsiguiente depende del evento que ha ocurrido.
sin suponer que una parte especfica de datos se encuentra en una localizacin
especfica en la entrada de datos. En un firewall D-Link, pueden ser configurados por
sobre 8 receptores Syslog y stos pueden ser agrupados en uno o ms grupos de
receptores. Comparado con el Memory Log Receiver el cual es introducido a
continuacin, los receptores Syslog pueden ser utilizados para salvar y a largo plazo
almacenar los eventos registrados. Estos servidores de registro entregan una gestin
centralizada de archivos de registro, y el respaldo de los archivos, es posible
dependiendo del receptor(es) Syslog particular en uso.
5.2.2
Receptor de registro de memoria
Los firewalls D-Link pueden actuar como receptor de registro con su memoria
incorporada. Cuando la memoria de receptor de registro es habilitada en el firewall,
todos los eventos sern guardados en el archivo de registro en la memoria, y las
entradas ms actuales generadas del archivo pueden ser desplegadas para el
administrador si lo solicita. Este almacenamiento de archivos de registro es temporal,
todos los contenidos del archivo pueden ser limpiados luego de ser reiniciado el
firewall, y ah no hay respaldo. Solo una memoria de receptor de registro puede ser
configurada por un firewall
.
5.2.3
Receptor de Evento SMTP
Una nica caracterstica designada para eventos de registro IDS/IDP y alertas es
entregada por los firewalls D-Link, denominada como Receptor de Evento SMTP.
Con una apropiada configuracin, el firewall est capacitado para registrar posibles
intromisiones y notificar al administrador enviando e-mail(s) para especificar
direccin(es) e-mail. Para mayor informacin acerca de esta funcin, refirase a 19.5
Receptor de Registro SMTP para Eventos IDS.
31
CAPITULO
6
Mantenimiento
6.1
Actualizaciones del Firmware
Los Firewalls D-Link pueden ser modernizados con nuevos firmwares para introducir
nuevas funcionalidades y corregir problemas conocidos. Asegrese de revisar regularmente
la website de soporte D-Link para nuevos firmware modernizados.
Ejemplo: Modernizando el Firmware

Este ejemplo describe cmo modernizar un Firewall D-Link con una nueva
versin de firmware.
WebUI
1. Verifique Versin Actual

Primero que todo, verifique cual versin de firmware est actualmente corriendo
en el Firewall D-Link.
Status System: Tome nota del nmero de Firmware Version ubicado bajo
System Status.
2. Descarga de Firmware Modernizado
Dirjase al website de soporte D-Link y navegue en la seccin de soporte de su modelo
firewall. Revise si se encuentra disponible una modernizacin de la versin firmware que
usted est actualmente corriendo en el firewall.
Si existe una nueva versin, descrguela y colquela en su hardrive y tome nota
de dnde coloca su nuevo archivo.
32
Capitulo 6. Mantenimiento
3. Modernize el Firmware Firewall

Dirjase a WebUI de su Firewall D-Link y navegue hacia la pgina Tools
Upgrade en la barra de herramientas. Bajo Firmware Upload, haga click en el botn
de Browse. Seleccione el archivo de modernizacin de firmware que recientemente
descarg del website de soporte D-Link.
Haga click en el botn de Upload Firmware y espere hasta que el archivo sea cargado
a continuacin de esto se mostrarn las instrucciones en la pgina.
Aviso
NO SUSPENDA EL PROCESO DE CARGA DEL FIRMWARE.

La carga del firmware tomar algunos minutos dependiendo de la velocidad de
su conexin al firewall.
6.2
Reset a Valores de Fbrica
Hay tres maneras de reajustar el Firewall D-Link a sus ajustes firmware y configuracin
predeterminados de fbrica.
1. Reajuste a Ajustes Preestablecidos de Fbrica desde el WebUI
En el WebUI del Firewall navegue a la pgina de Tools Reset en la barra de
herramientas. Seleccione Reset to Factory Defaults, confirme y espere hasta que el
proceso de revertir est completo.
6.2. Reajustar a Predeterminados de Fbrica.
33
2. Reajuste a los ajustes predeterminados de Fbrica va Consola en

Serie.
Conecte el cable en serie y adjunte utilizando un software emulador de terminal
(si es utilizado Windows, puede ser utilizado el accesorio de comunicacin
HyperTerminal). Reajuste el firewall. Presione cualquier tecla cuando aparezca el mensaje
Press any key to abort and load boot menu en la consola. Cuando aparezca el menu
seleccione Reset to factory defaults, confirme y espere a que el proceso de revertir
se complete.
El siguiente procedimiento slo se aplica al DFL-800:

3. Reajuste a los ajustes predeterminados de Fbrica utilizando el Switch
de Reajuste
Reajuste el firewall. Presione y mantenga por 20 segundos el botn de
reset to factory defaults. Espere a que el proceso de revertir est completo y el
firewall se inicie.
El siguiente procedimiento slo se aplica al DFL-1600/2500:

3. Reajuste a valores Predeterminados de Fbrica utilizando el Keypad y Display.
Reajuste el firewall. Presione cualquier tecla en el teclado cuando aparezca el mensaje
Press keypad to Enter Setup en la visualizacin. Seleccione Reset firewall,
confirme seleccionando yes y espere a que el proceso de revertir sea completado.
Aviso
NO SUSPENDA EL PROCESO DE REAJUSTAR A LOS AJUSTES DE FABRICA.
Si es suspendido, el firewall puede dejar de funcionar correctamente.
Luego del proceso de reajuste, los ajustes del firewall sern restaurados
permanentemente.
Captulo 6. Mantenimiento
34
6.3
Respaldo de Configuracin
La configuracin de los Firewalls D-Link puede ser respaldada y restaurada a

solicitud. Esto puede por ejemplo ser utilizado para recordar
last known good configuracin cuando se experimenta con diferentes ajustes de
configuracin.
Para crear un respaldo de la configuracin actual:
WebUI
Crear y Descargar el Paquete de Respaldo

En el WebUI del firewall D-Link navegue hacia la pgina Tools Backup
en la barra de herramientas. Haga click en Download configuration, seleccione un
nombre para el respaldo instantneo y descargue el paquete.
Para restaurar una configuracin respaldada:

WebUI
Restaurar el Paquete de Respaldo

En la WebUI del firewall D-Link navegue a la pgina de Tools Backup
en la barra de herramientas. En la sub-seccin de Restore units configuration ,
utilice la funcionalidad del buscador para localizar el paquete de respaldo. Haga click
en Upload configuration y cuando se le pregunte, elija activar la configuracin.
Nota
La funcionalidad de respaldo SOLO incluye la configuracin del firewall.
La informacin Dinmica tal como el arriendo de base de datos del servidor DHCP
lista de bloqueo de la Zona de Defensa no sern respaldadas.
CAPITULO
7
Ajustes Avanzados
7.1
Vista General
.
Los Ajustes Avanzados contienen varios ajustes globales para un firewall en trminos
de lmites de tamao de paquetes, tiempos de desconexin, parmetros de protocolo,
test de integridad estructural al que cada paquete debe ser sujeto, etc.
Generalmente, los valores predeterminados entregados en estas secciones son
apropiados para la mayora de las instalaciones. Pero tales opciones entregan
posibilidades de instalaciones avanzadas para configurar casi todos los aspectos del
firewall.
WebUI
En la WebUI, hay una seccin de Ajustes Avanzados localizada en:

System Advanced Settings.
La mayora de los ajustes configurables estn disponibles aqu. Otros
Ajustes avanzados para adaptar funciones especficas del firewall pueden ser
encontrados en la pgina de configuracin dentro de secciones pertinentes.
Un caso que requiere modificaciones en los ajustes avanzados es explicado
en 17.4, Ejemplo: Habilitando autentificacin HTTP va base de datos de usuario local.
Ntese que en este ejemplo, los ajustes avanzados en la seccin de Administracin
Remota del Firewall necesitan ser modificados para resolver una colisin de nmero de
Puerto TCP con un servicio de autentificacin HTTP.
Parte V
Fundamentos
Desde una perspectiva tanto fsica como lgica, esta parte

introduce los componentes bsicos de los firewalls D-Link, los
cuales son construcciones de bloqueo para polticas de seguridad
y funciones avanzadas.
Los tpicos en esta parte incluyen:
Objetos Logicos
Interfaces
Ruteo
Fecha & Tiempo
DNS
Ajustes de Registro
CAPITULO
8
Objetos Lgicos
Los objetos lgicos son elementos bsicos de red definidos en el firewall, refiriendo
a las entidades que necesitan ser protegidas y tambin las fuentes inseguras y
aplicaciones que deben ser monitoreadas por las polticas de seguridad.
8.1
Libro de Direcciones
Como un libro de contactos que registra los nombres de personas junto con el
nmero telefnico y direccin email, el libro de direcciones en un Firewall es una
lista de nombres simblicos asociados con varios tipos de direcciones, incluyendo
direcciones IP y direcciones MAC ethernet. Estos tems son elementos
fundamentales fuertemente utilizados en la configuracin del firewall, tal como
la especificacin de campos de filtro para polticas de seguridad. Por lo tanto, elegir
un nombre descriptivo y fcil de recordar para cada tem de direccin facilitar
enormemente el trabajo de administracin. El administrador puede utilizar el
nombre en cada tarea de configuracin en vez de llenar direcciones cada vez y en caso
de modificar una direccin, solo se necesita modificar un punto en el libro de direcciones.
8.1.1
Direcciones IP
Para habilitar que cada entidad reciba y enve datos desde o hacia una red TCP/IP,
se necesita una direccin IP de capa de red (OSI capa 3) para asociar
con cada punto entre la entidad de red y el link fsico, esta es una interfaz.
En otras palabras, cada interfaz tiene una direccin IP nica en la red para indicar
39
40
Captulo 8. Objetivos Lgicos.
su localizacin.
El libro de direccin en los firewalls D-Link permite al administrador nombrar
Direcciones IP tanto para un solo anfitrin, una red, un par maestro/esclavo utilizado
en Alta disponibilidad, o un grupo de computadores o interfaces. Una direccin
0.0.0.0/0 denominada como all-nets es utilizada para denotar todas las redes
posibles.
Ejemplos de IP4Host/Network son mostrados a continuacin.
La autentificacin de usuario desde una direccin IP objetiva puede ser habilitada en
IP4 Host/Network o IP4 Address Group agregando nombres de usuarios
grupos de usuarios al objeto. Una vez que el firewall verifica el trfico que fluye
desde una direccin objetiva y encuentra el nombre de usuario definido en ste,
avisar al usuario con solicitudes de autentificacin de acuerdo a las Reglas de
Autentificacin del Usuario (Ver 17 Autentificacin del Usuario).
Ejemplo: Especificando un anfitrin IP4

La direccin IP 192.168.0.1 es definida por la interfaz de red local denominada
como lan ip.
WebUI
Objects Address Book InterfaceAddresses Add IP4

Host/Network General:
Ingrese lo siguiente y luego haga click en OK:
Name: lan ip
IP Address: 192.168.0.1
(InterfaceAddresses es un Archivo de Direccin para agrupar las direcciones de
Interfaces IP)
Ejemplo: Especificando una Red IP4

La red local 192.168.0.0/24 es definida como lannet.
WebUI
Objects Address Book InterfaceAddresses Add IP4

Host/Network General:
Name: lannet
IP Address: 192.168.0.0/24
8.2. Servicios
41
Ejemplo: Habilitando la Autentificacin de Usuario de un IP Objetivo

Un grupo de usuarios users es definido en la direccin de red local lannet para
crear una direccin de autentificacin objetiva lannet users. Para informacin sobre
especificar el grupo usuario, refirase a Escenario 17.4.
WebUI
1. Especificar una Red IP4 objetiva lannet como se muestra en el ultimo ejemplo.
2. Objects Address Book Add IP4 Address Group
General:
Ingrese lo siguiente:
Name: lannet users
Group members:
De la lista Available, seleccione lannet object y colquelo en la lista
Selected.
Comments: Auth. users on lannet
User Authentication:
Ingrese el nombre del grupo usuario y luego haga click en OK:

Comma-separated list of user names and groups: users
8.1.2
Direccion Ethernet
Una direccin Ethernet, tambin conocida como direccin LAN, una direccin fsica,
direccin MAC (media access control), es una capa de datos nica (capa 2 OSI)
identificador de la tarjeta de interfaz de red, ej. un adaptador ethernet, el cual es utilizado
para el envo de estructuras de datos. Los usuarios pueden asimismo
entregar un nombre especfico a una direccin Ethernet o un grupo de direccin
como se explica en 8.1.1 arriba.
8.2
Servicios
Los Servicios son programas software que utilizan protocolo de definicin para entregar
varias aplicaciones a los usuarios de red. La mayora de las aplicaciones cuentan
con protocolos localizados en la capa 7 OSI capa de Aplicacin para entregar
comunicacin desde
42
Captulo 8. Objetivos Lgicos
un programa de usuario a otros grupos en una red. En esta capa, otros grupos son
identificados y pueden ser alcanzados por tipos de protocolos de aplicacin
especficos y parmetros correspondientes, tal como nmeros de puerto. Por
ejemplo, el servicio HTTP de buscador en Web es definido como para utilizar el protocolo
TCP con puerto de destino 80. Alguno de los otros servicios populares en esta capa
incluyen FTP, POP3, SMTP, Telnet, y etc. Junto con estas aplicaciones oficialmente
definidas, los servicios a solicitud del usuario pueden ser creados en los
firewalls D-Link.
Los servicios son simples, en el sentido en el que stos no pueden llevar a cabo
por s mismos ninguna accin en el firewall. De este modo, una definicin de
servicio no incluye ninguna informacin si el servicio debe ser permitido a travs del
Firewall o no. Tal decisin es realizada por completo por las reglas IP del firewall, en las
cuales el servicio es utilizado como un parmetro de filtro. Para mayor informacin
acerca de cmo utilizar los servicios en reglas , vase 14 Reglas IP.
8.2.1
Tipos de servicio
En los firewalls D-Link, los servicios pueden ser configurados a travs de tres
opciones: TCP/UDP, ICMP, y servicio de Protocolo IP. Un servicio es bsicamente
definido por un nombre descriptivo, el tipo de protocolo, y parmetros de protocolo.
Los diferentes servicios pueden ser unidos en un Grupo de Servicio para simplificar las
polticas de configuracin, de manera que los administradores no necesiten configurar
una regla para cada servicio.
Servicios basados en TCP y UDP
Los servicios de aplicacin son corridos de manera ms comn en TCP o UDP, y son
a menudo asociados con un nmero de puerto bien conocido. En el firewall, estn
definidos por el tipo de protocolo que la aplicacin usa, y el nmero de puerto
asignado o rango de puerto. Para muchos servicios, un solo puerto de destino es
suficiente. El servicio HTTP, por ejemplo, utiliza un puerto de destino TCP 80,
Telnet utiliza TCP 23, y SMT utiliza TCP 25. En estos casos, todos los puertos
(0-65535) sern aceptados como puertos de fuente.
Los puertos mltiples o rangos de puerto pueden asimismo ser ajustados, por ejemplo, un
servicio puede ser definido para tener como puertos de fuente 1024-65535 y puertos de
destino 80-82, 90-92, 95. En este caso, un paquete TCP o UDP con puerto de destino
que es uno de 80, 81, 82, 90, 91, 92 o 95, y con un puerto de fuente en el rango
1024-65535, coincidir con este servicio.
Gua de Usuario de los firewalls D-Link
8.2. Services
43
Ejemplo: Especificar un servicio TCP -- HTTP

En este ejemplo, es definido el servicio HTTP para la conexin de servidores web.
Como se ha explicado previamente, HTTP utiliza puerto de destino TCP 80.
WebUI
Objects Services Add TCP/UDP:

General
Name: HTTP
Type: TCP
Source: 0-65535
Destination: 80
Servicios basados en ICMP

Internet Control Message Protocol (ICMP), es un protocolo integrado con IP
para el reporte de errores y transmisin de control de informacin. El servicio PING,
por ejemplo, utiliza ICMP para probar una conectividad Internet. El mensaje ICMP
repartido en paquetes IP, y cada mensaje es un protocolo separado poseedor de un
formato propio. Este contenido cambia dependiendo del Mensaje tipo y cdigo.
El tipo de mensaje ICMP que puede ser configurado en los firewalls D-Link junto con
diversos cdigos son enlistados a continuacin:
Echo Request enviado por PING a un destino con el fin de verificar la
conectividad.
Destination Unreachable la fuente ha informado que un problema ha ocurrido
cuando se est entregando un paquete. Hay cdigos de 0 a 5 para este tipo:
- Code 0. Net Inalcanzable

- Code 1. Host Inalcanzable
- Code 2. Protocolo Inalcanzable
- Code 3. Puerto Inalcanzable
- Code 4. No puede Fragmentar
- Code 5. Ruta de Fuente Fallida
44
Captulo 8. Objetivos Lgicos.
Redirect la fuente avisa que existe una mejor ruta para un paquete
particular. Los cdigos asignados son los siguientes:

- Cdigo 0. Redirecciona datagramas para la red
- Cdigo 1. Redirecciona datagramas para el anfitrin
- Cdigo 2. Redirecciona datagramas para el Tipo de Servicio y la red
- Cdigo 3. Redirecciona datagramas para el Tipo de Servicio y el anfitrin
Parameter Problem identifica un parmetro incorrecto en el datagrama.
Echo Reply es la respuesta del destino al cual se ha enviado como un resultado
de la Echo Request.
Source Quenching la fuente enva datos demasiado rpido para el receptor,
el buffer se ha llenado.
Time Exceeded el paquete es descartado cuando toma demasiado tiempo en
ser entregado.
Ejemplo: Agregando un servicio ICMP solicitado

Un servicio ICMP solicitado es adherido y puede ser utilizado en polticas de
seguridad.
WebUI :
Objects Services Add ICMP Service
General:
Ingrese un Nombre para el nuevo servicio ICMP.
ICMP Parameters
Seleccione el tipo ICMP y especifique los cdigos para el servicio.

(Si es seleccionada la opcin All ICMP Message Types, este servicio coincidir con
Todos los 256 posibles Tipos de Mensajes ICMP.)
Haga click en OK.
8.2. Servicios
45
Servicio de protocolo IP definido por usuario

Los servicios que corren sobre una IP y despliegan funciones de capa de
aplicacin/transporte, pueden ser definidas por nmeros de protocolo IP. IP puede
transportar datos para un nmero de protocolos diferentes. stos estn cada uno
identificado por un nmero nico de protocolo IP especificado en un campo del
encabezado IP, por ejemplo, ICMP, IGMP, y EGP tienen nmeros de protocolo 1,
2, y 8 respectivamente. Los nmeros de protocolo IP actualmente asignados y referencias
estn publicadas en el sitio web del Internet Assigned Numbers Authority (IANA):
http://www.iana.org/assignments/protocol-numbers
Similar a los rangos de puerto TCP/UDP descritos previamente, un rango de nmeros
de protocolo IP pueden ser utilizados para especificar aplicaciones mltiples para
un servicio.
Ejemplo: Adheriendo un servicio que coincide con el protocolo GRE

(Para mayor informacin acerca GRE, refirase a 22.2 PPTP/L2TP )
WebUI
Objects Services Add IP Protocol Service

General
Name: GRE
IP Protocol: 47
46
Capitulo 8. Objetivos Lgicos
Grupo de Servicio
Los servicios definidos en las opciones anteriores pueden ser agrupadas con el
fin de simplificar la configuracin de polticas de seguridad. Considere un servidor web
utilizando HTTP estndar al igual que SSL encriptado HTTP (HTTPS, refirase a 22.3
SSL/TLS(HTTPS) ). En lugar de tener que crear dos reglas por separado
permitiendo ambos tipos de servicios a travs del firewall, un grupo de servicio llamado,
por ejemplo, Web, puede ser creado, con el HTTP y los servicios HTTPS como
miembros de grupo (mostrado en el ejemplo a continuacin).
Ejemplo: Especificando un grupo de servicio "Web"

WebUI
Siga los pasos resumidos a continuacin:

1. Adhiera un servicio el objeto TCP HTTP con puerto 80.
2. Adhiera un servicio el objeto TCP HTTPS con puerto 443.
3. Objects Services Add Service Group
General
Name: Web
Elija HTTP y HTTPS desde la Available list y colquelos en la lista seleccionada
Haga click en OK.
8.2.2
Reporte de Error & Proteccin de Conexin
Mensaje de error ICMP

El mensaje de error ICMP entrega una retroalimentacin acerca de los
problemas en el ambiente de comunicacin, ej. cuando un paquete IP no puede
alcanzar su destino. Sin embargo, los mensajes de error ICMP y firewalls no son
usualmente una muy buena combinacin; el mensaje de error ICMP es iniciado
en el host de destino (o un dispositivo dentro del recorrido al destino) y enviado al
host de origen. El resultado es que el mensaje de error ICMP ser interpretado
por el firewall como una nueva conexin y desechada, si no es explcitamente
permitido por los ajustes de regla del firewall. El permitir que cualquier mensaje
ICMP entrante est capacitado para tener estos mensajes de error remitidos no es por lo
general
8.2. Servicios
47
una buena idea, ya que puede causar que la red protegida sea vulnerable a muchos
tipos de ataques, ej. DoS (Denial of Service) en particular.
Para resolver este problema, los firewalls D-Link pueden ser configurados para pasar un
mensaje de error ICMP slo si est relacionado con una conexin existente a un
servicio.
Proteccin de Flood SYN (SYN Relay)
Un mecanismo denominado como SYN Relay puede ser habilitado en el firewall para
proteger las direcciones de destino utilizados por un servicio desde el flujo SYN.
El ataque SYN flood es lanzado por un envo de solicitudes de conexin TCP
ms rpido de lo que un mecanismo puede procesar. El agresor enva solicitudes SYN a
un servidor con una direccin de fuente burlada, la cual jams responder al
SYN/ACK del servidor. Cada solicitud SYN llenar una nueva conexin TCP de
la tabla de conexin del servidor; cuando todas las conexiones en la tabla estn
esperando por confiar y la tabla est llena, el servidor no aceptar ninguna nueva
solicitud entrante. Las solicitudes de usuarios legtimos son luego ignorados.
El mecanismo SYN Relay cuenta los ataques escondiendo el servidor protegido
detrs del firewall. El firewall recibe solicitudes SYN y se asegura de que la
conexin sea vlida (esto es, el SYN/ACK respondida desde la fuente)
antes de enviar un paquete SYN al servidor. Si luego de cierto tiempo, no es recibido
ACK por el firewall, la conexin es suspendida.
Application Layer Gateway (ALG)
Una application layer gateway puede ser especificada para manejar diferentes servicios.
Mayor informacin puede ser encontrada en 18 Application Layer Gateway (ALG).
Para un servicio habilitado ALG, puede ser definido el nmero mximo de sesiones
permitidas al utilizar este servicio.
48
Captulo 8. Objetivos Lgicos
8.3
Programas
Programacion es un camino para crear limitaciones oportunas en las reglas del firewall.
Esto habilita al usuario para definir un cierto perodo de tiempo, en el formato de
aofechatiempo, lo cual slo activar las reglas en los tiempos designados.
Cualquier actividad fuera del espacio de tiempo programado no seguir las reglas
y por lo tanto no le ser permitido el paso a travs del firewall. Los programas pueden
ser configurados para tener un tiempo de inicio y trmino, as como la creacin de
diferentes perodos de tiempo en un da.
Ejemplo: Un programa en horario de oficina

Una organizacin puede desear que slo los usuarios internos accedan a Internet
durante las horas de trabajo, y esperar que esta restriccin sea vlida por un ao.
Por lo tanto, uno puede crear un programa para restringir al firewall para permitir
trfico de Lunes-Viernes, 8AM-5PM solamente, comenzando desde cierta fecha y
hora, colocando 2005-04-01 00:00:00, para una fecha de trmino. Durante las horas
no laborales, el firewall no permitir el acceso.
WebUI
Objects Schedule Profiles Add Schedule Profile:

General
Name: Ingrese un nombre para este programa, e.j. oce-hour.
Defina un periodo de tiempo verificando los recuadros.
Start Date: Llene en el tiempo de inicio en un formato de aaaa-mm-dd hh:mm:ss
haga click en el icono de calendario y elija la fecha de la ventana emergente.
End Date: (del mismo modo que Start Date anterior)
Y luego haga click en OK.
8.4. Certificados X.509
8.4
49
Certificados X.509
Los firewalls D-Link soportan certificados que cumplen con el estndar internacional
ITU-T X.509. Esta tecnologa utiliza una jerarqua de certificado X.509
con una criptografa de clave pblica (Vase 20.2, Introduccin a la Criptografa) para
conseguir la distribucin de clave y autentificacin de entidades.
8.4.1
Introduccin a Certificados
Un certificado es una prueba digital de identidad. ste enlaza una identidad a una clave
pblica para establecer si una clave pblica realmente pertenece al supuesto dueo.
De este modo, se previene una intercepcin en la transferencia de datos por terceras
personas, las cuales pueden enviar una clave telefnica con el nombre e ID de
usuario de un receptor previsto. Un certificado consiste en lo siguiente:
- Una clave pblica: La identity del usuario, tal como nombre, ID del usuario, etc.
- Firmas digitales: Una declaracin que informa que la informacin adjunta en el
Certificado ha sido respondida por una Certificate Authority (CA).
Colocando la informacin anterior junta, un certificado es una clave pblica con
formas de identificacin adjuntas, asociadas con un sello de aprobacin por una
parte confiable.
Certification Authority
Una Certification Authority (CA) es una entidad confiable que dicta certificados
a otras entidades. El CA digitalmente firma todos los certificados que dicta. Una firma de
CA vlida en un certificado verifica la identidad del titular, y garantiza que el certificado
no ha sido falsificado por terceros.
Una autoridad de certificacin es responsable de asegurar que la informacin en cada

certificado que emite es correcta. sta tambin debe asegurar que la identidad del
certificado coincide con la identidad del titular del certificado.
Un CA puede tambin emitir certificados a otros CAs. Esto conduce a una jerarqua
de certificado ramificada. La CA ms alta es denominada como CA de origen.
en sta jerarqua, cada CA es firmada por el CA que est directamente sobre ste,
excepto para el CA de origen, el cual es tpicamente firmado por l mismo.
Una trayectoria de certificado refiere al trayecto del certificado desde uno a otro. Cuando
se verifica la validez de un usuario certificado, el trayecto completo
50
Capitulo 8. Objetivos Lgicos
desde el usuario certificado hasta el certificado de origen debe ser examinado

antes de establecer la validez del usuario certificado.
El certificado CA es como cualquier otro certificado, excepto que ste permite
a la clave privada correspondiente firmar otros certificados. Debe ser comprometida
la clave privada del CA, por completo, incluyendo cada certificado que sta ha firmado.
Tiempo de validez
Un certificado no es vlido por siempre. Cada certificado contiene las fechas
dentro de las cuales es vlido. Cuando este perodo de validez expira,
el certificado no puede seguir siendo utilizado, y se debe establecer un nuevo certificado.
Certificate Revocation Lists(CRL)
Una certificate revocation list (CRL) contiene una lista de todos los certificados que han
sido cancelados luego de su fecha de expiracin. Esto puede suceder por distintas
razones. Una de stas puede ser que la clave del certificado ha sido comprometida
de alguna manera, tal vez que el titular del certificado ha perdido los derechos de
autenticidad utilizando dicho certificado. Esto puede ocurrir, por ejemplo, si un
Empleado ha dejado la compaa desde donde el certificado ha sido establecido.
Una CRL es regularmente publicada en un servidor al cual todos los usuarios

Certificados tiene acceso, utilizando tanto los protocolos LDAP HTTP.
Los certificados a menudo contienen un campo de CRL Distribution Point (CDP), el
cual especifica la localizacin desde donde el CRL puede ser descargado. En algunos
casos los certificados no contienen este campo. En aquellos casos la localizacin del
CRL debe ser configurada manualmente. Vase 22.1.4, LDAP .
El CA actualiza su CRL a un intervalo asignado. La extensin de este intervalo
depende de cmo es configurado el CA. Usualmente, esto es entre una hora a varios
das.
Certificados confiables
Cuando se utilizan los certificados, el firewall confa en cualquiera cuyo certificado
est firmado por un CA asignado. Antes de que un certificado sea aceptado, se siguen
los siguientes pasos para verificar la validez del certificado:
- La construccin de un trayecto de certificacin hacia el CA de origen
confiable.
8.4. Certificados X.509
51
- La verificacin de las firmas de todos los certificados en el trayecto de

certificacin.
- Se trae el CRL de cada certificado para verificar que ninguno de los
certificados ha sido revocado.
Listas de Identificacin
En adicin a la verificacin de las firmas de certificados, los firewalls D-Link tambin
emplean listas de identificacin (Vase 22.1.4, Identification Lists(IDLists)). Una
lista de identificacin es una lista que nombra todas las identidades remotas que tienen
acceso permitido a travs de un tnel VPN especfico, entregando el resultado de la
validacin del procedimiento de certificacin descrito anteriormente.
8.4.2
Certificados X.509 en el Firewall D-Link
El certificado X.509 puede ser cargado al Firewall D-Link para utilizar en la

Autentificacin IKE/IPSec, webauth etc. Hay dos tipos de certificados que pueden ser
cargados, certificados auto-firmados y certificados remotos pertenecientes a un par
Remoto servidor CA.
Ejemplo: Cargando un Certificado a un Firewall D-Link

Este ejemplo describe cmo cargar un certificado X.509 a un Firewall D-Link.
El certificado puede ser tanto auto-firmado perteneciente a un par remoto
servidor CA.
WebUI
Carga de Certificado
Objects X.509 Certificates Add X.509 Certificate:
Name: Name of the certificate.
Options
Seleccione uno de lo siguiente:
Upload self-signed X.509 Certificate
Upload a remote certificate
Luego haga click en OK y siga las instrucciones en pantalla.
CAPITULO
9
Interfaces
Las interfaces fsicas son entradas de las conexiones de red. stas permiten
al trfico de red ingresar o salir de las reas de red con las cuales stas conectan.
Con el fin de controlar el trfico en ambas direcciones, entrantes y salientes, y proteger
la red local, las reglas de seguridad en el firewall estn limitadas a todas
las interfaces relevantes.
9.1
Ethernet
Ethernet es una de las arquitecturas Local Area Network (LAN) que sirven como base
para el IEEE 802.3 estndard, la cual especifica las capas de software fsicas y
mas bajas. Es una de las ms ampliamente implementadas LAN estndar.
Esta seccin presenta el concepto de interfaz Ethernet. Alguno de los protocolos ms
comnmente utilizados que corren en Ethernet son introducidos en las secciones
9.2 VLAN y 9.4 PPPoE en este captulo, otros como IPsec, PPTP,
L2TP, y ARP son cubiertos luego en el documento.
9.1.1
Interfaces Ethernet
Una interfaz Ethernet representa un adaptador fsico Ethernet utilizado en el firewall. La

configuracin de una interfaz Ethernet involucra la funcin de una direccin IP y otros
parmetros, para hacer a la interfaz accesible a la capa de red.
Cuando se instala el firewall D-Link, todos los adaptadores Ethernet soportados en el

53
54
Capitulo 9. Interfaces
firewall sern enumerados y configurados durante el proceso de ajuste de consola

local. Cada adaptador fsico Ethernet se volver una interfaz Ethernet y se entregar un
nombre en la configuracin del firewall. Los administradores pueden adaptar el
nombre descriptivo y modificar las direcciones IP de una interfaz luego de la instalacin
primaria.
9.1.2
Interfaces Ethernet en los Firewalls D-Link
La configuracin de una interfaz Ethernet principalmente incluyen la especificacin

del nombre y direcciones. Una direccin IP esta limitada a cada interfaz que debe ser
utilizada para ping el firewall, controlarlo remotamente, y ser ajustado por el firewall
como fuente de direccin para conexiones dinmicamente traducidas. Una direccin
IP adicional puede ser publicada en una interfaz utilizando ARP para similar el efecto
de una interfaz que posee ms de una IP (Vase 9.6 ARP). Adems, los
administradores pueden aplicar funciones de direccin dinmica a la red habilitando
el cliente DHCP en la interfaz correspondiente (Vase 9.3 DHCP).
Como caracterstica avanzada, Alta Disponibilidad(HA) & Transparencia pueden
ser implementadas en la base de las interfaces firewall.
El HA habilita a las interfaces para compartir una direccin IP comn y cada una como
una direccin IP privada para nicamente identificar un nodo cluster. El IP privado es
derivado desde el Par de Direccin HA IP4 configurado en el Libro de Direccin
objeto (Vase XIII High Availability para mayor informacin sobre escenarios cluster
HA).
Cuando se ajusta una interfaz para utilizar el modo transparente, el firewall actuar como
un switch de capa 2 y mostrar el trfico que pasa a travs de esa interfaz sin
modificar la fuente o destino de la informacin de direccin. Ambos lados de la
comunicacin sern inconscientes de la presencia del firewall.
Para la configuracin del modo transparente en las interfaces, refirase a 27
Transparencia.
Nota
En el firewall, hay dos interfaces lgicas denominadas como core y
any respectivamente. core se localiza en el corazn del firewall, todo el trfico
desde las interfaces fsicas son reemitidas a core para ser controladas por
las polticas de seguridad. any representa todas las interfaces posibles incluyendo
core.
9.1. Ethernet
55
Ejemplo: Una configuracin de interfaz LAN

La interfaz conectada a LAN (o uno de los LANs) es configurada con
lan ip, lannet, y la direccin de puerta de enlace predeterminada lan
gate.
WebUI
:
1. Especificando el anfitrin IP4 lan ip y lan gate, y una Red IP4

lannet en el Objects.
(Vea los ejemplos en 8.1 Address Book)
2. Interfaces Ethernet:
Haga click en el item para interfaz LAN
General:
Name: Defina o modifique el nombre de la interfaz interface en el recuadro de editar.
IP Address: Seleccione lan ip desde la lista desplegable.
Network: Seleccione lannet desde la lista desplegable.
Default Gateway: Seleccione lan gate desde la lista desplegable.
3. Optional settings:
General:
Habilite DHCP Client en el recuadro de verificacin
Habilite Transparent Mode en el recuadro de verificacin
Hardware Settings:
(Los ajustes de red del hardware del adaptador pueden ser ajustados aqu.)
Media Especifique si la velocidad del vnculo debe ser auto-negociada o
bloqueada a una velocidad esttica.
Duplex Especifique si duplex (bidireccional) debe ser auto-negociada o
bloqueada por completo half duplex.
Advanced:
Recuadro de verificacin de Automatic Route Creation

Route Metric edit box
(Verificando estas opciones y especificando el valor mtrico, la interfaz configurada
Aqu ser adherida a la Main Routing Table
Como rutas para la informacin de direccin de destino. El valor mtrico
Predeterminado es 100.)
High Availability: Seleccin de direccin IP Privada.
56
9.2
LAN Virtual (VLAN)
La conexin de Redes Virtual es la habilidad que tienen los dispositivos de red para
manejar las topologas de red lgica en la parte superior de la conexin fsica actual,
permitiendo segmentos arbitrarios dentro de una red para ser combinado en un grupo
lgico. Desde que la flexibilidad y el fcil control de red entregado por las topologas
lgicas, la conexin de red virtual se ha vuelto una de las mayores reas en el trabajo
internet
Los firewalls D-Link son por complete obedientes con las especificaciones IEEE
802.1Q para LANs virtuales, presentados por la definicin de interfaces virtuales sobre
la interfaz fsica Ethernet. Cada interfaz virtual es interpretada como una interfaz
lgica por el firewall, con el mismo control de polticas de seguridad y capacidades
de configuracin como interfaz regular.
9.2.1
Infraestructura VLAN
Una Local Area Network (LAN) es una emisin de dominio, que es, una seccin de la red
Cuando el ambiente LAN se vuelve ms grande, el soporte de
aplicaciones broadcast o multicast que inundan paquetes totalmente implican un
desperdicio considerable de banda ancha, debido a que los paquetes son a menudo
re-direccionados a nodos que no los requieren.
Los LAN virtuales (VLAN) permiten a un LAN fsico ser dividido en varios
LANs lgicos ms pequeos los cuales tienen diferentes emisores de dominio. sto
limita el tamao del emisor de dominio para cada LAN lgico, salva los costos de
emision de la banda ancha para optimizar el rendimiento y asignacin de recursos,
y adems divide grandes LANs en varias zonas de seguridad independientes
Para adherir puntos de control de seguridad. Los dispositivos localizados en el mismo
LAN pueden comunicarse sin tener conciencia de los dispositivos en otros LANs
Virtuales. Esto es ideal para separar departamentos industriales desde topologas
fsicas a diferentes segmentos de funcin.
Una infraestructura simple de VLAN es mostrada en la Figura 9.1. En este caso, un
Firewall D-Link es configurado para tener 2 interfaces VLAN. Ahora, aunque los clientes y
servidores se encuentren an compartiendo el mismo medio fsico, el Cliente A puede
comunicarse slo con el servidor D y el firewall desde que stos son configurados
9.2. LAN Virtual (VLAN)
57
A un mismo VLAN, y el Cliente B puede comunicarse slo con el Servidor C

a travs del firewall.
Figura 9.1: Una infraestructura VLAN.
9.2.2
VLAN 802.1Q Estndar
El IEEE 802.1Q estndar define la operacin de dispositivos VLAN que

permiten la definicin, operacin y administracin de topologas Virtuales LAN
dentro de infraestructuras LAN.
Las especificaciones 802.1Q establecen un mtodo estndar para la etiquetacin de

esquemas Ethernet con informacin de socios VLAN. Como es definido en el estndar,
una etiqueta de 4-byte es aadida al esquema Ethernet conteniendo una parte del
indicador del tipo de esquema VLAN (0x8100), un identificador VLAN(VID), y alguna
informacin de control (mostrado en la Tabla 9.1).
Hay 12 bits para VID dentro de cada etiqueta de 4-byte. Con estos 12 bits de
identificador, pueden existir por sobre 4096 VLANs en una red fsica.
Sin embargo, todas estn reservadas y todos los ceros indican la no asociacin VLAN.
Todos los otros identificadores pueden ser utilizados para indicar un VLAN
particular.
58
Preamble
Dest.
Source
bytes
4
32 bits
3
1
Pri- CFI
ority
16
VLAN
Type
Indicator
(0x8100)
Length
46
to
1500
Data
CRC
12
VID
VLAN Tag
Tabla 9.1: Esquema Ethernet 802.1Q Estndar.
9.2.3
Implementacin VLAN
Cumpliendo con el 802.1Q estndar, el firewall D-Link implementa VLAN definiendo

una o ms interfaces VLAN en ste utilizando un VID nico para cada VLAN. Cuando
el esquema Ethernet es recibido por el firewall, stos son examinados por el VID.
Y si el VID es encontrado, y coincide con la interfaz VID como ha sido definida, el firewall
estar capacitado para reconocer la membresa y destino de aquella comunicacin
VLAN.
Los VLANs en los firewalls D-Link son tiles en varios escenarios diferentes, por
ejemplo, cuando se necesita un filtro firewall entre diferentes departamentos de una
organizacin, o cuando se necesita expandir el nmero de interfaces.
9.2. LAN Virtual (VLAN)
59
Ejemplo: Configurar una interfaz VLAN en un Firewall D-Link

Este ejemplo muestra cmo configurar una interfaz VLAN.
WebUI
1. Crear una interfaz VLAN.

Interfaces VLAN Add VLAN:
General
Name: Digite un nombre para la interfaz VLAN.
Interface: Seleccione la interfaz Ethernet a utilizar.
VLAN ID: Seleccione una ID VLAN conveniente. Dos VLANs no pueden tener la misma
ID VLAN si estn definidos en la misma interfaz Ethernet. ( La misma ID deber ser
Utilizada en el lado de trmino.)
Ajustes de Direccin
IP Address: Seleccione la direccin IP que la interfaz VLAN debe utilizar. Si no es
configurado, se debe utilizar el IP de la interfaz Ethernet. (Opcional)
Network: Seleccione la red para esta interfaz VLAN. (Opcional)
Default Gateway: Seleccione la puerta de enlace predeterminada para esta interfaz VLAN.
(Opcional)
Luego haga click en OK
9.2.4
Utilizando LANs Virtuales para Expandir Interfaces Firewall
Los LANs virtuales son excelentes herramientas para expandir el nmero de interfaces
en los firewalls D-Link. Los Firewalls D-Link con interfaces Ethernet de gigabit
pueden fcilmente ser expandidas con 16 nuevas interfaces utilizando un switch Ethernet
de puerto-16 con puerto uplink gigabit y soporte de LAN Virtual.
El proceso trazado a continuacin describe los pasos requeridos para ejecutar una
expansin de interfaz. Note que la configuracin especfica del switch y firewall es un
modelo altamente dependiente y fuera del alcance de esta documentacin.
Conectar el puerto gigabit uplink del switch a una de las interfaces gigabit del
firewall.
60
Crear 16 LANs Virtuales en el firewall, nombrado, por ejemplo, de vlan01 a
vlan16, cada uno con una ID VLAN nica

En el switch, mapee cada ID VLAN a un puerto switch, y asegrese de que el
puerto uplink est configurado como un puerto trunk para todos los IDs VLAN.
Cada puerto del switch sera visto ahora como una interfaz lgica en el firewall.
De este modo, el trfico ingresando a travs del switch, por ejemplo, puerto 12
sera recibido por la interfaz vlan 12 en el firewall.
En el ejemplo anterior, fue utilizado un puerto gigabit uplink en el switch y una interfaz
gigabit en el firewall. Las interfaces gigabit no son un requisito desde una perspectiva
de la funcionalidad;.
Sin embargo, desde una perspectiva de rendimiento, las interfaces gigabit son
recomendadas. Recuerde que un slo link Ethernet es utilizado para llevar todo el
trfico desde los puertos 16 switch, cada uno con una velocidad de link de interfaz de
100 Mbps.
9.3
DHCP
Es la abreviacin para Dynamic Host Configuration Protocol, DHCP es el

protocolo de configuracin de anfitrin de tercera generacin para TCP/IP, el cual est
basado directamente en el BOOTP (Boot Protocol). ste es utilizado para una asignacin
automtico de las direcciones de red y configuraciones para anfitriones recientemente
includos.
El propsito de utilizar DHCP es reducir el trabajo necesario para administrar una amplia
red IP. Existe un mecanismo software para mantener un seguimiento de las direcciones
IP ms que la necesidad de que un administrador maneje las tareas. Esto significa que
un nuevo computador puede ser adherido a una red sin el problema de asignarle
manualmente una direccin IP nica. El dispositivo Firewall D-Link puede actuar tanto
como un cliente DHCP, un servidor, o un transmisor a travs de las interfaces.
Las funciones de servidor DHCP y de transmisin son cubiertas en 26, Servidor DHCP &
Transmisor.
9.3.1
Cliente DHCP
El cliente DHCP reenva el mensaje a un servidor DHCP local(o servidores)

y recibe una direccin IP dinmicamente desde un servidor DHCP para su interfaz
fsica. Un cliente DHCP puede recibir ofertas desde mltiples servidores DHCP
9.4. PPPoE
61
Y usualmente acepta la primera oferta que recibe. Los clientes pueden renovar o liberar
su direccin IP asignada durante el perodo de contrato.
Ejemplo: Configurando el firewall como un cliente DHCP

Para permitir que el firewall acte como un cliente DHCP y localiza un servidor (es)
DHCP externo y reciba informacin de direccin dinmicamente, siga los pasos a
continuacin:
WebUI
Interfaces Ethernet:
Haga click en la interfaz que es conectada a la red externa y ser utilizada como
cliente DHCP.
General:
Ajuste el nombre y direcciones de la interfaz.
(Vea el ejemplo en 9.1 Ethernet)
Marque la caja de verificacin Enable DHCP Client.
Y luego haga Click en OK.
9.4
PPPoE
Point-to-Point Protocol sobre Ethernet (PPPoE) depende de los dos estndares

extensamente aceptados: Point-to-Point protocol (PPP) y Ethernet. Este es utilizado
para conectar mltiples usuarios en una red Ethernet al Internet a travs de una
interfaz comn en serie, tal como una sola lnea DSL, dispositivo inalmbrico o
cable Modem. Todos los usuarios sobre el Ethernet comparten una conexin comn,
entre tanto, el control de acceso y servicio pueden ser realizados en base a cada
usuario.
Hoy en da, muchos proveedores de un gran servidor Internet (ISPs) requieren clientes
para conectarse a travs de PPPoE a su servicio Banda ancha. Utilizando PPPoE, el
proveedor puede fcilmente ejecutar las siguientes funciones por cada usuario:
Soporte de seguridad y control de acceso se requiere autentificacin
nombre de usuario/contrasea. El proveedor puede seguir la direccin IP a un

usuario especfico.
Asignacin automtico de direccin IP para usuarios PC (similar a DHCP 9.3).
62
Captulo 9. Interfaces
Las direcciones IP pueden ser suministradas por grupos de usuario.

IP addresses provisioning can be per user groups.
9.4.1
PPP
Point-to-Point Protocol (PPP), es un protocolo de comunicacin entre dos computadores

utilizando una interfaz en serie, por ejemplo, una conexin por red telefnica donde
un computador personal es conectado va telefnica a un servidor.
El ISP suministra al usuario con una conexin PPP de modo que el servidor del
proveedor pueda responder las solicitudes del usuario, pasndolas por el Internet, y
reenva las respuestas Internet solicitadas de vuelta al usuario. En comparacin al
modelo de referencia OSI, PPP entrega un servicio de Capa 2 (capa de datalink).
Como Capa 2, PPP define un mecanismo de encapsulacin para soportar que
paquetes de multi-protocolos se displacen a travs de redes IP. Comienza con un Link
Control Protocol (LCP) para el establecimiento de vnculo, configuracin y pruebas.
Una vez que el LCP es inicializado, uno o varios Network Control Protocols
(NCPs) pueden ser utilizados para transportar el trfico para un protocolo particular,
de modo que multiples protocolos puedan interoperar en el mismo enlace, por ejemplo,
ambos trficos IP e IPX pueden compartir un enlace PPP.
La Autentificacin est disponible como una opcin para comunicaciones PPP. Los
protocolos de autentificacin que comnmente soporta PPP incluyen:
Password Authentication Protocol (PAP)
Challenge Handshake Authentication Protocol (CHAP)
Microsoft CHAP version 1
Microsoft CHAP version 2
Si es utilizada la autentificacin, al menos uno de los pares debe autentificarse a s mismo

antes de que los parmetros de protocolo de capa de red puedan ser negociados utilizando
NCP. Durante la negociacin LCP y NCP, pueden ser negociados parmetros
opcionales, tales como Encriptacin. Cuando se ha realizado una negociacin LCP y NCP,
pueden ser enviados datagramas IP sobre el vnculo. Ms informacin sobre aplicacin y
seguridad de PPP puede ser encontrada en la seccin 22.2 PPTP/L2TP.
9.4.2
Configuracin de Cliente PPPoE
Los firewalls D-Link permiten a los usuarios una conexin segura y de fcil manejo al
ISP.
9.4. PPPoE
63
Interfaz PPPoE
Puesto que el protocolo PPPoE corre PPP sobre Ethernet, el firewall necesita utilizar
una de las interfaces normales Ethernet para correr sobre el tunel PPPoE.
Cada Tnel PPPoE es interpretado como una interfaz lgica por el firewall, con la
Misma]/o filtro/filtracin, la capacidades de formacin y configuracin de trfico como
interfaces regulares.
El trfico de red proveniente del tunel PPPoE ser transferido a la regla de ajustes del
Firewall para evaluacin. La interfaz de fuente del trfico de red es remitido al
nombre del Tunel PPPoE asociado en el firewall. El mismo es confiable para el trfico
proveniente de la direccin opuesta, eso es, yendo a un tnel PPPoE.
Adems una Ruta debe ser definida, de modo que el firewall conozca qu direcciones IP
deben ser aceptadas y enviadas a travs del tnel PPPoE. El PPPoE puede
utilizar un nombre de servicio para distinguir entre diferentes servidores en la misma
red Ethernet.
Informacin de direccin IP
PPPoE utiliza una asignacin de direccin IP automatica la cual es similar a DHCP.
Cuando el firewall recibe esta informacin de direccin IP desde el ISP, ste necesita
almacenarla en una red objectiva con un nombre simblico de anfitrin/red, con el fin de
establecer la conexin PPP.
Autentificacin del Usuario
Si es requerida una autentificacin de usuario por el ISP, se puede ajustar en el firewall
el nombre de usuario y contrasea para ingresar en el servidor PPPoE.
Conectar en demanda
Si se permite el conectar en demanda, la conexin PPPoE se realizar slo cuando haya
trfico en la interfaz PPPoE. Es posible configurar cmo el firewall debe detectar
actividad en la interfaz, tanto en trfico saliente, trfico entrante o ambos. Adems es
configurable el tiempo de espera de inactividad antes de que el tnel sea
desconectado.
64
Ejemplo: Una configuracin de Cliente PPPoE
Este ejemplo describe cmo configurar un cliente PPPoE. El cliente PPPoE

es configurado en la interfaz WAN y todo el trfico debe ser dirigido sobre el tnel
PPPoE.
WebUI
Cliente PPPoE
Se configurar el cliente PPPoE en la interfaz WAN.
Interfaces PPPoE Tunnels Add PPPoE Tunnel:
Name: PPPoEClient
Physical Interface: WAN
Remote Network: 0.0.0.0/0 (todas las nets, como ser dirigido todo el trfico en el
tunel)
Service Name: Si su proveedor de servicio le ha entregado un nombre de servicio,
Ingrese aqu el nombre de servicio.
Username: El nombre de usuario entregado por su proveedor de servicio.
Password: La contrasea estregada por su proveedor de servicio.
Confirm Password: Re-digite la contrasea.
Autentificacin
Es posible especificar exactamente qu protocolos debe utilizar el cliente PPPoE
para autentificarse. Se mantienen los ajustes predeterminados para la
autentificacinn.
Dial-on-demand
Enable Dial-on-demand: Disable
Advanced
Si est habilitado Add route for remote network, una nueva ruta ser adherida parar
Esta interfaz.
9.5. Grupos de Interfaz
9.5
65
Grupos de Interfaz
Similar al grupo objetivo lgico, las interfaces mltiples pueden ser agrupadas juntas en
el firewall para aplicar una poltica comn. Un grupo de interfaz puede consistir en
interfaces Ethernet regulares, interfaces VLAN, o Tneles VPN (vea 22).
Todos los miembros de un grupo de interfaz no necesitan ser interfaces del mismo tipo.
esto significa que un grupo de interfaz puede ser construido, por ejemplo, por dos
interfaces Ethernet y cuatro interfaces VLAN.
Ejemplo: Ejemplo de un Grupo de Interfaz
Este ejemplo describe cmo configurar un grupo objetivo de interfaz.

WebUI
Crear un Grupo de Interfaz
Interfaces Interface Groups Add Interface Group:

Name: testifgroup
Security/Transport Equivalent: Si est habilitado, el grupo de interfaz puede ser
Utilizado como una interfaz de destino en reglas donde las conexiones pueden
Necesitar ser desplazadas entre las interfaces. Ejemplos de tal uso pueden ser
Route Fail-Over y OSPF (ver 10.3.3) escenarios.
Interfaces: Seleccione las interfaces que deben formar parte del grupo.
Utilice el Grupo de Interfaz
Un grupo de interfaz puede ser utilizado en varias configuraciones objetivas.

Por ejemplo, las reglas IP y reglas de autentificacin del usuario pueden utilizar
grupos de interfaz.
66
9.6
ARP
Address Resolution Protocol (ARP) es un protocolo de red, el cual mapea una direccin
de protocol de capa de red a una direccin hardware de capa de datos vinculados. Por
ejemplo, ARP es utilizado para determinar la direccin IP de la direccin Ethernet
correspondiente. Este trabaja en la OSI Data Link Layer (Capa 2) y es encapsulado por
headers Ethernet para transmission.
Un anfitrin en una red Ethernet puede comunicarse con otro anfitrin, slo si ste
conoce la direccin Ethernet (direccin MAC) de ese anfitrin. Los protocolos de
mayor nivel tal como IP utilizan direcciones IP. Estos son diferentes del plan de
direccionamiento de un hardware de ms bajo nivel tal como direccin MAC. El ARP
es utilizado para conseguir la direccin Ethernet de un anfitrin desde su direccin
IP.
Cuando un anfitrin necesita determinar una direccin IP para una direccin
Ethernet, ste transmite un paquete de solicitud ARP. El paquete de solicitud ARP
contiene la fuente de direccin MAC, la fuente de direccin IP y la direccin IP de
destino. Cada anfitrin en la red local recibe este paquete. El anfitrin con la direccin
IP de destino especfico, enva un paquete de respuesta ARP al anfitrin de origen
con su direccin MAC.
9.6.1
Tabla ARP
La Tabla ARP es utilizada para definir entradas estticas ARP

o publicar direcciones IP con una direccin de hardware especfica.
Los items estticos ARP pueden ayudar en situaciones donde un dispositivo est
reportando una direccin de hardware incorrecto en respuesta a las solicitudes. Algunos
puentes de terminal de trabajo, tales como mdems radio, tienen tales problemas. Estos
pueden tambin ser utilizados para cerrar una direccin IP a un hardware especfico
para incrementar la seguridad o evitar efectos de denial-of-service si hay usuarios
en una red. Notese sin embargo que tal proteccin slo se aplica a paquetes que son
enviados a esa direccin IP, no se aplica a los paquetes que son enviados desde
esa direccin IP.
El publicar una direccin IP utilizando ARP puede server para dos propsitos:
Asistir a los equipos cercanos de red respondiendo a ARP de una manera incorrecta.
Esta rea de uso es la menos comn.

Entregar la impresin de que una interfaz del firewall tiene ms de una direccin
IP.
9.6. ARP
67
Para cumplir lo anterior, el firewall entrega respuestas a solicitudes ARP

con respecto a las direcciones IP en los items ARP publicados. Este propsito es til
si hay varios espacios separados IP en un solo LAN. Los computadores en cada
espacio IP pueden luego utilizar una puerta de enlace en su propio espacio span cuando
estas direcciones de puerta de enlace son publicadas en la interfaz del firewall.
Otra rea de uso es publicar mltiples direcciones en una interfaz externa, habilitando
al firewall para que una direccin estticamente traduzca la comunicacin a estas
direcciones y las enve a servidores internos con direcciones IP privadas.
La diferencia entre XPublish y Publish es que XPublish miente acerca de la direccin

hardware del remitente en el Ethernet header; este es ajustado para ser la misma que
la direccin hardware publicada en preferencia a la direccin hardware actual del
adaptador de red.
Si una direccin de hardware publicada es la misma que la direccin hardware del
adaptador de red, no har diferencia si usted selecciona Publish o XPublish;
el resultado de red ser el mismo.
Nota
En la seleccin ARP, las direcciones pueden solo ser publicadas una a la vez. La
seccin de Ruta por el otro lado, puede manejar redes publicadas por completo
utilizando 10.8 Proxy ARP.
Nota
Para que las direcciones IP publicadas trabajen correctamente podra ser necesario
agregar una nueva ruta. (Vase 10 Routing) Si es agregada una direccin adicional
para una interfaz, la interfaz central deber probablemente ser especificada como la
interfaz cuando se configure la ruta.
68
Ejemplo: Ejemplo ARP
Este ejemplo describe cmo agregar una direccin IP extra a una interfaz Ethernet o
VLAN utilizando una ARP pblica.
WebUI
Crear una Tabla de entrada ARP
Interfaces ARP Table Add ARP Entry:

Mode: Publish
Interface: Seleccione la interfaz que debe tener la direccin IP extra
IP Address: Especifique la direccin IP que se agregar a la interfaz anterior.
MAC: Determine como 00-00-00-00-00-00 para utilizar la direccin MAC de la
interfaz.
Guia de Usuario de los Firewalls D-Link
CAPITULO
10
Routing
10.1
Vista General
Routing es un rol mayor en la capa de red (capa 3 OSI), el cual determina

cmo transportar paquetes desde el anfitrin inicial al receptor deseado.
Los dispositivos que funcionan en la capa de red, tal como routers o firewalls,
ejecutan el ruteo para conseguir dos tareas ante todo, la
Determinacin de Trayectoria y el Packet Switching.
Determinacin de Trayectoria
Antes de que cualquier paquete pueda ser enviado desde el remitente al receptor
se necesita determinar una trayectoria por la cual el paquete deba pasar.
Localizada en el corazn de cualquier dispositivo capaz de routing, como un
Firewall o un router es la tabla de routing, un mapa que entrega toda las
selecciones de ruta. Cada entrada en esta tabla de mapeo describe una ruta
disponible.
La definicin de una ruta aqu es la conexin que vincula dos extremos de
comunicacin y asimismo todos los dispositivos intermediarios de routing.
La descripcin de ruta dentro de la tabla de routing indica la direccin del
receptor, y donde se encuentra la siguiente detencin a la que el paquete se
debe dirigir para estar un paso ms cerca de su destino, ya que en la circunstancia
de la red, es comn tener ms de un dispositivo situado a lo largo del camino.
Estos contenidos estn almacenados en la tabla como campos diferentes, tal
como Interfaz, Red, Puerta de enlace, Destino, etc.
69
70
Capitulo 10. Routing
Cuando un paquete llega al router, ste consulta a la tabla de routing para

hacer una determinacin de trayectoria. El router compara la direccin de
destino del paquete con las entradas que tiene en la tabla de routing, y
averigua la interfaz asociada y el salto siguiente desde la ruta coincidente
para reenviar el paquete. Las trayectorias almacenadas en la tabla son
calculadas por ciertos algoritmos de routing definidos por el router, el cual
siempre tratar de hacer la mejor decisin. La mejor significa una seleccin
de trayectoria que tenga el menor costo de transporte. En la prctica, lo
concerniente a costo es normalmente la banda ancha, longitud de
trayectoria (salto), el promedio de retraso, y etc., lo cual es introducido en
10.3.2 metricas de Routing.
El algoritmo de Routing es tambin responsable de mantener la tabla routing a la
fecha, de modo que el router pueda obtener informacin de trayectoria correcta
para cada decisin. Las dos clases ms frecuentes de algoritmos routing son
cubiertos en la siguiente seccin.
Packet switching
Luego de que es elegida una trayectoria, las funciones de packet switching toman
control sobre cmo el paquete es realmente movido. De acuerdo a la
informacin de la ruta seleccionada, el firewall/router reescribe la direccin
fsica del paquete a la direccin del siguiente hop, y reenva el paquete al
siguiente hop con la direccin IP de destino sin modificar. En un escenario de la
vida real, muchos firewalls/routers pueden entrar a jugar durante el
proceso de reenvo del paquete, cada uno de estos reparte el paquete a su
vecino ms cercano hasta que el paquete finalmente llegue al anfitrin receptor.
10.2
Jerarqua de Routing
En un ambiente complejo de red, cuando el nmero de routers se vuelve extenso,

el dominio de routing es a menudo dividido en diferentes reas para proveer una mejor
escalabilidad. Los routers que residen bajo el mismo control administrativo son
agregados en una regin denominada como autonomous system (AS).
Un AS puede ser, por ejemplo, todas las redes computacionales pertenecientes a una
universidad a la red privada de una compaa. La organizacin est capacitada
para correr y administrar sus redes con sus propias polticas y algoritmo de routing
preferible, mientras an es capaz de conectarse al mundo exterior
10.3. Algoritmos de Routing
71
Los routers dentro de un AS corren el mismo algoritmo routing y slo necesitan conocer
la topologa del rea. Hay routers con puerta de enlace especial en el ASs que son
responsables de routing paquetes desde el rea interna a varios ASs externos.
Los routers de puerta de enlace corren entre- el algoritmo de routing AS para determinar
las trayectorias hacia los destinos localizados en otros ASs. Los routers Intra-AS
mantienen todos relaciones con el router de puerta de enlace para dirigir los paquetes
hacia afuera. El algoritmo de routing intra-AS(Gateway interior) ms frecuente es
es cubierto en la siguiente seccin.
10.3
Algoritmos de Routing
Un algoritmo de routing es un operador de la tabla routing. En el ambiente de trabajo

Internet, hay usualmente varias trayectorias entre dos entidades de comunicacin. La
tarea de los algoritmos de routing es que, dado un grupo de dispositivos de routing
Intermediarios con diferentes vnculos de conexin, el algoritmo calcula la mejor
trayectoria para que dos extremos se comuniquen y aadan la trayectoria en la
tabla.
En caso de que un dispositivo falle (un vnculo cado) en una trayectoria seleccionada u
otro problema puede hacer a la trayectoria inalcanzable, el algoritmo selecciona la
mejor ruta siguiente y actualiza la tabla de routing para mantener correcto el contenido de
la tabla.
Muchos algoritmos de routing han sido propuestos y cada uno muestra diferentes
diseos para diferentes metas. Los algoritmos ms generalmente implementados pueden
ser clasificados en dos tipos:Ruteo Estatico y Ruteo dinamico
10.3.1
Routing Esttico
Stactic Routing (Routing Esttico) es un trmino utilizado para referir a la configuracin manual de la
tabla routing. El administrador de red necesita planificar la tabla routing, y agregar
manualmente cada ruta necesaria e informacin relacionada en la tabla para un
reenvo exitoso del paquete. Cualquier modificacin en una trayectoria podra
requerir que el administrador actualice la informacin en cada router afectado.
Como resultado, el trabajo administrativo en un ambiente de red a gran escala

puede ser engorroso y propenso a errores. En el caso en que el router no se encuentre
apropiadamente configurado en la tabla de routing, el router buscar en la tabla la
determinacin de una trayectoria y al no encontrar una ruta adecuada, ste
72
simplemente desecha el paquete. Por lo tanto, el routing esttico es a menudo utilizado

para realizar ajustes mnimos de rutas para alcanzar slo redes conectadas
directamente.
10.3.2
Routing Dinmico
Complementando el algoritmo de routing esttico, el Dinamic Routing (Routing Dinmico)

se adapta a las modificaciones de la topologa de red cargas de trfico automticamente.
ste se entera primero de todas las redes conectadas, y obtiene mayor informacin de
rutas desde otros routers que corren por el mismo algoritmo. El algoritmo luego organiza
las rutas que recolecta, selecciona la ruta ms apropiada para el destino del que se ha
enterado, aade la ruta a su tabla de routing, y distribuye esta informacin a los otros
routers.
El routing Dinmico responde a las actualizaciones de routing en el recorrido y es
ms susceptible a problemas como loops de routing. En el internet, se utilizan usualmente
dos tipos de algoritmos routing dinmicos: un Distance Vector(DV)
algoritmo & un Link State(LS) algoritmo. El cmo se decide la mejor ruta y el compartir
la informacin actualizada con otros routers depende del tipo de algoritmo aplicado.
Distance vector algorithm

El algoritmo de Distance vector (DV) es un algoritmo de routing descentralizado,
que calcula la mejor trayectoria en la forma de distribucin. Cada router calcula los
costos de sus propios vnculos adjuntos, y comparte la informacin de ruta slo con
sus routers vecinos. El router gradualmente aprende la trayectoria de menor costo
por un calculo iterativo e intercambio de conocimientos con sus vecinos.
El protocolo de informacin de Ruteo(RIP) es un algoritmo DV bien conocido.
El RIP enva mensajes de actualizacin regularmente, y refleja las modificaciones de
Routing en la tabla routing. Su determinacin de trayectoria est basada en la longitud
del nmero de routers intermediarios en la trayectoria, o tambin llamados hops. Luego
de la actualizacin de su propia tabla routing, el router comienza inmediatamente a
transmitir su tabla de routing completa a sus routers vecinos para informar las
modificaciones.
Link state algorithm
De modo diferente a los algoritmos DV, el algoritmo Link state (LS) habilita a los routers
para mantener tablas de routing que reflejen la topologa de la red completa,
una visin global de la informacin de routing. Como es definido en este algoritmo,
cada router transmite sus vnculos adjuntos y costos de vnculo a todos los dems
Routers en la red. Un router, una vez que recepciona las transmisiones del resto,
73
corre el algoritmo LS y puede calcular un grupo igual de trayectorias a bajo costo

como todos los dems routers. Cualquier modificacin al estado del vnculo ser enviado
donde sea en la red, de modo que todos los routers mantengan la misma informacin de
tabla routing.
Open Shortest Path First(OSPF) es un algoritmo LS comnmente utilizado. Un router
habilitado OSPF identifica los routers y subnets que estn conectados directamente a
a este primero. Luego, se transmite la informacin a todos los dems routers. Cada
Router utiliza la informacin que recibe para construir una tabla sobre como se ve la red completa.
Con una tabla de routing completa a mano, cada router puede identificar las subredes
y routers que conducen a cualquier destinacin especfica.
Los routers OSPF slo transmiten informacin actualizada cuando hay cualquier
modificacin en vez de la tabla completa.
OSPF depende de varias mtricas para la determinacin de trayectoria, incluyendo
Hops, banda ancha, carga, retraso, y etc. La adaptacin de criterio segn el usuario es adems
permitido para definirse en el algoritmo, lo cual entrega a los administradores de la red
un mejor control sobre el proceso de routing. Ms detalles acerca del algoritmo OSPF
es cubierto en 10.3.3 OSPF.
Comparacin
Link state algorithm, debido a su estado de los enlaces globales de informacin mantenida en todos
Lados de la red, como un alto nivel de control de configuracin y escalabilidad.
Este responde a modificaciones transmitiendo slo la informacin actualizada
a todos los dems, y por lo tanto entrega una convergencia ms rpida y una menor
posibilidad de loops de ruteo. OSPF puede adems operar dentro de una
jerarqua, aunque RIP no tenga conocimiento del direccionamiento sub-red. Por otro
lado, OSPF exige un alto costo relativo, ej. un mayor poder CPU y memoria,
que un RIP, por consiguiente, puede ser ms costoso de implementar.
Los firewalls D-Link utilizan OSPF como el algoritmo de routing dinmico.
Routing metrics
Routing metrics(los costos) son los criterios que un algoritmo de routing utiliza para
calcular la mejor ruta. Las principales consideraciones para un reenvo exitoso de
los paquetes incluyen lo siguiente:
Longitud de la trayectoria
La longitud de trayectoria es la suma de los costos asociados a cada vnculo.

Un valor comnmente utilizado para esta mtrica es denominada hop count, el
nmero de dispositivos routing, e.j. routers/firewalls, a travs de los cuales
el paquete debe pasar en su trayectoria desde la fuente a su destino.
74
Captulo 10. Routing
Bandwidth
Bandwidth es la capacidad de trfico de una trayectoria, indicado por

Mbps.
Load
Load se refiere al uso de un router. El uso puede ser evaluado por la utilizacin
CPU y el rendimiento.
Delay
Delay es lo que se refiere al tiempo que toma mover un paquete desde la

fuente al destino. El tiempo depende de muchos factores, tales como la
amplitud de banda, carga, y la longitud de la trayectoria.
Diferentes protocolos de routing dependen de uno o varias mtricas para examinar y
evaluar los vnculos en la red. Respecto a las metas del diseo, el algoritmo utiliza
sus mtricas para decidir las trayectorias ptimas.
10.3.3
OSPF
OSPF es el algoritmo de routing dinmico includo en los firewalls D-Link.

Desde la seccin previa, se pueden observar las principales caractersticas del OSPF
como un Link state routing algorithm. A continuacin observaremos la actual
operacin de este algoritmo.
Areas & Routers
OSPF ofrece un routing jerrquico para entregar un mejor soporte a ambientes
complejos de red. En la actualidad las redes se han vuelto ms y ms sofisticadas,
el tamao de la completa tabla de routing, el tiempo requerido para el clculo de routing,
y el trfico para el intercambio de informacin para una gran red se vuelve excesivo. El
OSPF habilita al administrador para dividir el AS (autonomous system) en varias
reas ms pequeas, de modo que la carga del calculo de routing y mantencin de
rutas en cada router sea reducido.
Un rea OSPF es un grupo de anfitriones computacionales y routers dentro de un
AS, identificado por una rea nica de ID, y cada router OSPF posee un router
nico ID con el formato de una direccin IP.
En la parte superior de la jerarqua OSPF se encuentra un rea central denominada
backbone area a la cual debe conectarse todas la dems reas en el AS. El backbone
area es responsable de la distribucin de informacin routing entre todas las reas
conectadas y posee el ID de rea ID 0.0.0.0. En algunos casos en donde no es posible
conectarse fsicamente al backbone area, un Virtual Link (VLink) puede ser
75
configurado para conectarse al backbone a travs de una no-backbone area. VLink

pueden tambin ser utilizados para vincularse a travs de reas backbone
divididas.
Una rea normal OSPF acta como una red privada conectada al rea
backbone a travs de algn router denominado Area Border Router(ABR).
ABRs posee interfaces en ms de un rea, y mantiene por separado la base de
datos de informacin de routing para cada rea a la cual se encuentran conectados
por una interfaz. Los routers que residen en la misma rea OSPF slo necesitan
aprender y sincronizar la informacin link-state con el ABR.
Algunos Routers que intercambian informacin de routing con routers en otros ASs
son llamados Autonomous System Boundary Routers(ASBRs).
ASBRs introducen rutas externamente aprendidas al AS y llena el routing externo
notificando por completo a todas las reas normales OSPF.
Para reducir el trfico excedente de notificaciones de rutas externas, se puede
configurar un rea especial denominado stub area. Cuando es configurado
el stub area, el ABR anunciar una ruta predeterminada automticamente de modo
que los routers en el stub area puedan alcanzar los destinos fuera del rea. La
ruta predeterminada se vuelve el nico punto de salida del stub area, y el rea no
aceptar transmisiones de rutas externas.
Proceso Operativo
Establishment Hello
En la fase de inicializacin, cada router dentro de un rea detecta sus redes
conectadas directamente, y enva paquetes de Hello a todas sus interfaces
habilitadas OSPF para determinar quines son sus routers vecinos.
Los routers que poseen interfaces directamente conectadas y residen en la misma
rea OSPF se vuelven vecinos.
Cuando un router enva y recibe paquetes Hello y detecta mltiples
routers en un AS, ste seleccionar un Designated Router(DR) y adems un
Backup Designated Router(BDR) para un intercambio de informacin
link-state adicional.
DR y BDR son elegidos automticamente por el protocolo Hello en cada red
transmitida OSPF. La Router Priority que es configurable en base a cada
interfaz, es el parmetro que controla la eleccin. El router con el mayor numero
de prioridad se vuelve DR y el siguiente ms alto se vuelve BDR. Si el nmero
76
Captulo 10. Routing
de prioridad 0 es especificado a un router, ste no ser apto para la eleccin

DR/BDR.
Una vez que es seleccionado el DR y el BDR, todos los otros routers dentro de
la misma rea OSPF establecen una relacin con stos para intercambios
de informacin routing adicionales. Ningn router encendido despus
aceptar el DR/BDR existente en la red a pesar de su propia prioridad
router. Desde que existe una alta demanda en el control de informacin del estado
de vnculo central del DR, la Router Priority debe ser configurada para elegir el
router ms confiable en una red como DR. BDR es elegido al mismo tiempo
que DR, y establece la misma relacin con los dems routers en el rea, con
el fin de de hacer la transicin a un nuevo DR smoother si hubiese alguna
falla del DR primario.
En adicin al establecimiento de relacin, los paquetes Hello actan adems
como mensajes Keepalive para mantener el trayecto de la reactividad de los
enlaces. Los paquetes Hello son enviados peridicamente con un intervalo
predefinido para permitir a los routers conocer que los dems routers aun se
encuentran en funcionamiento.
Update LSA
Cada router mantiene informacin para routing state y link. Un link es
una interfaz en el router y el state del vnculo es la informacin que incluye la
direccin de interfaz, red, routers vecinos, y etc. Esta informacin link-state
es almacenada en una estructura de datos de router denominada
link-state database.
Cuando un router determina el DR por el paquete Hello, generar una
link-state advertisement (LSA) y la enviar a DR. El DR controla
y actualiza su base de datos de estado-link central y distribuye la informacin
de base de datos a todos los dems routers en la misma rea OSPF.
Luego del intercambio inicial y la construccin de la base de datos, cada
Router dentro de la misma rea OSPF contendr una base de datos idntica, la
cual es un mapa topolgico completo del rea incluyendo el costo de los
vnculos. Debido a cualquier cambio en la informacin routing, un router guardar
una nueva copia del estado de vnculo en su base de datos y enviar LSA a DR.
El DR luego exceder la actualizacin a todos los routers participantes en el
rea para sincronizar la base de datos del link-state.
Path determination SPF
10.4. Failover de Ruta
77
Luego de que la base de datos de cada router es intercambiado y sincronizado por

completo, el router calcular un rbol de Shortest Path First(SPF) para todos los
destinos conocidos basados en la base de datos. Al correr el algoritmo SPF, cada
router estar capacitado para determinar la mejor (menor costo) trayectoria
para el reenvo de datos a cualquier destino en el rea. El destino, costo
asociado, y el siguiente hop para alcanzar el destino ser aadido a la tabla de
routing IP de cada router.
Sobre cualquier actualizacin al link-state database, un router recalcular el rbol
de trayectoria ms corta y actualizar la tabla routing.
Autentificacin OSPF
La autentificacin est disponible como un mtodo de seguridad opcional para
el ambiente OSPF. Un router puede validar la identidad de otro router durante
el intercambio de informacin de link-state. La autentificacin OSPF puede ser
tanto ninguna, simple, o MD5. Con la autentificacin simple, la frase de paso
se vuelve en blanco sobre el link, mientras que con el algoritmo
mensaje resumen MD5, la clave no pasar sobre el vnculo de
forma directa. De este modo, MD5 debe ser considerado como un medio ms seguro
de autentificacin. Mas informacin sobre encriptacin, mensaje resumen,
y autentificacin se puede encontrar en 20.2 Introduccin a la
Criptografa.
10.4
Route Failover
La caracterstica de Failover de ruta puede ser utilizada cuando hay dos

o ms rutas a un destino. Por ejemplo en un escenario donde dos ISP se encuentran
disponibles para conectarse a Internet. Un ISP, el primario, es utilizado en un caso
normal, y un ISP de respaldo es utilizado cuando el ISP primario no funciona.
Las rutas pueden ser monitoreadas de dos formas. Una ruta monitoreada puede ser
considerada como caida si el estado de vnculo en la interfaz se encuentra
caida o si la puerta de enlace predeterminada no responde a las solicitudes ARP.
Es posible utilizar ambos mtodos de monitoreo al mismo tiempo.
Gua de usuario de los Firewalls D-Link
78
10.4.1
Escenario: Configuracin de Failover de Ruta
Ejemplo: Dos ISPs
Figura 10.1: Escenario de Failover de Ruta
En este escenario mostrado en la figura 10.1, dos ISP:s (ISP A e ISP B) son utilizados
para conectar al Internet. ISP A es conectado a la interfaz WAN1 del firewall e ISP B
es conectado a la interfaz WAN2. Con el fin de configurar el firewall D-Link para
utilizar ISP A como ISP primario, e ISP B como ISP de respaldo, las rutas
monitoreadas debern ser configuradas.
Se necesitar de dos rutas, una ruta predeterminada (0.0.0.0/0) con mtrica 1, sta
utiliza la puerta de enlace predeterminada de ISP A y una ruta predeterminada con
mtrica 2 que utiliza la puerta de enlace predeterminada de ISP B.
WebUI
1. Apagar la auto configuracin de rutas.

Primero que todo se necesita asegurar que no se agregan rutas automticamente por
La interfaz WAN1 Y WAN2.
Interfaces Ethernet Edit (WAN1):
En la etiqueta de Advanced, ingrese lo siguiente:
Agregar la ruta predeterminada si la puerta de enlace predeterminada es
especificada: Disable
Luego haga click OK
Interfaces Ethernet Edit (WAN2):
En la etiqueta Advanced, ingrese lo siguiente:
Agregar la ruta predeterminada si la puerta de enlace predeterminada es
especificada: Disable
10.4. Failover de Ruta
79
2. Agregar una ruta predeterminada sobre la interfaz WAN1.

El siguiente paso es agregar una ruta predeterminada para la interfaz WAN1.
Routes Main Routing Table Add Route:
General
Interface: WAN1
Network: 0.0.0.0/0
Gateway: Default gateway of ISP A.
Local IP Address: (None)
Metric: 1
Monitor
Monitor This Route: Enable
Monitor Interface Link Status: Enable
Monitor Gateway Using ARP Lookup: Enable
Nota
Es posible configurar manualmente el intervalo de bsqueda ARP a utilizar. El valor
elegido debe ser al menos 100 ms. Si rutas mltiples son monitoreadas en la misma
Interfaz, se deber elegir el valor ms alto para asegurar que la red no est excedida
con solicitudes ARP.
3. Agregar la ruta predeterminada sobre la interfaz WAN2.
El siguiente paso es agregar la ruta predeterminada para la interfaz WAN2.
Routes Main Routing Table Add Route:
General
Interface: WAN2
Network: 0.0.0.0/0
Gateway: Default gateway of ISP B.
Metric: 2
80
4. Crear un grupo de interfaz y agregar reglas.

Para ser capaz de escribir reglas con interfaz de destino que puedan utilizar ambas
rutas, se debe crear un grupo de interfaz que utilice la caracterstica de
seguridad/transporte Equivalente. Esto hace a las dos interfaces iguales en el sentido de
seguridad.
Creando el grupo de interfaz.
Name: Digite un nombre para el grupo de interfaz.
Security/Transport Equivalent: Enable
Interfaces: Seleccione la interfaz WAN1 y WAN2.
Agregar reglas.
Se agregan reglas utilizando el grupo de interfaz recientemente creado como interfaz
de destino.
Va 14.3 IP Configuracin de Reglas para detalles sobre cmo configurar las reglas.
Nota
La ruta predeterminada para la interfaz WAN2 no ser monitoreada. La razn para esto
es que no se posee una ruta de respaldo para la ruta sobre la interfaz WAN2.
10.5. Implementacin de Routing Dinmico
10.5
81
Implementacin de Routing Dinmico
En los firewalls D-Link, la implementacin de routing dinmico involucra dos tareas

primarias de configuracin: OSPF process & dynamic routing policy.
10.5.1
Proceso OSPF
Los procesos OSPF configurados en el firewall agrupan firewalls OSPF participantes

y routers en areas OSPF. A Cada proceso habilitado en un router tiene una ID Router
nica en un formato de direccin IP y se elige un mtodo de autentificacin.
Las reas son definidas en base a las interfaces del firewall. Una interfaz que pertenece
a un area posee una Routing Priority a utilizar para la eleccin DR del rea.
La interfaz puede ser utilizada tanto para transmitir, point-to-point, o comunicacin
point-to-multipoint. La interfaz de transmisin se entera de los routers vecinos
automticamente a travs de la flooding de paquetes Hello, mientras que para la
interfaz point-to-point o point-to-multipoint, se necesitan configurar por la interfaz
manualmente uno o ms vecinos especficos. Las mtricas de Routing utilizadas por
OSPF pueden tambin ser ajustadas o modificadas en una interfaz para interferir en
la determinacin de trayectoria OSPF.
Una vez que el proceso OSPF es apropiadamente configurado por el firewall, ste puede
comenzar a dialogar con otros firewalls/routers utilizando algoritmo OSPF, enterndose
de la informacin link-state de la red.
10.5.2
Poltica de Routing Dinmico
Basado en la informacin de routing aprendida por el proceso OSPF, las polticas

de routing dinmico forman un filtro para la informacin y le indica al firewall qu hacer
con aquel conocimiento a travs de acciones definidas.
Una regla de Polticas de Routing Dinmico filtra estticamente configurada o las
rutas aprendidas OSPF de acuerdo a parmetros como el origen de las rutas,
destino, mtrica, y etc. Las rutas coincidentes pueden ser controladas por las
acciones para ser tanto exportada a procesos OSPF o ser agregada a una o ms tablas
routing.
Los usos ms comunes para las Polticas de Routing Dinmico se encuentran
enlistados a continuacin, ejemplos son entregados de manera consecutiva.
Importacin de rutas OSPF desde procesos OSPF a la tabla routing.
82
Exportacin de rutas desde la tabla routing a procesos OSPF.

Exportacin de rutas desde un proceso OSPF a otro proceso OSPF.
10.5.3
Escenarios: Configuracin de Routing Dinmico
En esta seccin, se ilustran escenarios bsicos para la utilizacin de Procesos OSPF

y Polticas de Routing Dinmico.
Ejemplo: Ajustando procesos OSPF
Figura 10.2: Escenario de Proceso OSPF
Como se muestra en la Figura 10.2 , el firewall es adoptado para tener una interfaz
lan3 conectada a una pareja de redes locales, en donde el firewall controlar el
nico trayecto entre estas; y 2 interfaces, lan1 y lan2 adheridas a la red local ms
larga. Algunas de las redes sern accesibles a travs de ambas interfaces, de modo
que alguna redundancy puede ser lograda si una trayectoria se vuelve inalcanzable.
Esto se realiza localizando las dos interfaces lan1 y lan2 en un grupo de interfaz
de seguridad equivalente.
Se crea un proceso OSPF denominado como ospf-proc1, y slo un rea OSPF,
el rea central area0 (0.0.0.0), es utilizado en este ejemplo. Las 3 interfaces
involucradas son agregadas al rea para hacer al firewall participante del proceso
OSPF. Sin embargo, esto no agregar ninguna ruta ya enterada a la tabla routing, ni
informar a sus vecinos acerca de rutas estticas en su tabla(s) routing (a excepcin
de las rutas para las 3 interfaces participantes en este proceso OSPF). Para controlar
este intercambio de informacin, se necesita que las polticas de routing dinmico
83
entren a actuar (Vea los siguientes 2 escenarios para polticas de routing dinmico).
WebUI
1. Proceso OSPF:
aadiendo un proceso OSPF denominado ospf-proc1.
Routing OSPF Processes Add OSPF Process: General:
Name: ospf-proc1
Autentificacin:
Seleccione uno de los tipos de autentificacin que ser utilizado en el proceso

,(ninguno, contrasea, MD5).
2. Area:
especificando un rea para el proceso ospf-proc1.
En la pgina de configuracin ospf-proc1:
Add Area:
General:
Name: area0
Area ID: 0.0.0.0
Luego haga click en OK.
84
3. Interfaces:
aadiendo las interfaces participantes en el proceso.
En la pgina de configuracin area0:
Interfaces Add Interface:
General:
Interfaz: seleccione lan1 desde la lista desplegable.
(lan1 es adoptado para ser definido en las interfaces Ethernet)
Interface Type: select Auto
Metric/Bandwidth:
Ajuste un valor mtrico especifique una amplitud de banda, ej. 100Mbit.
Advanced:
Asegrese de que los valores de configuracin enlistados correspondan con los

valores utilizados por los otros vecinos OSPF en la red.
Repita este paso para aadir las interfaces lan2 y lan3.
4. Grupo de Interfaz:
localice el lan1 y lan2 en un grupo de interfaz con seguridad equivalente.
General:
Name: seleccione un nombre para el grupo, ej. ifgrp-ospf1.
Marque el recuadro de Security/Transport Equivalent
Interfaces:
Seleccione lan1 y lan2 desde la lista Disponible y colquelos en la lista
Seleccionada.
Nota
Asegrese de que las reglas IP del firewall, las cuales permiten que el trfico
pase a travs de estas interfaces, utilicen este grupo de interfaz como
fuente de interfaz.
Gua de Usuario de los Firewall D-Link
85
Ejemplo: Importando rutas desde un AS OSPF a la table routing principal
Se asume que ya ha sido creado el previamente configurado proceso OSPF

denominado como ospf-proc1.
En este escenario, todas las rutas recepcionadas desde ospf-proc1 sern aadidas en
la tabla routing principal, en la medida en que esto no es realizado automticamente en el
firewall D-Link.
WebUI
:
1. Regla de Routing Dinmico:
Routing Dynamic Routing Policy Add Dynamic Routing
Regla:
General
Name: e.j. importOSPFRoutes.
Check From OSPF Process:
Seleccione ospf-proc1 desde la lista Disponible y colquelo en la lista
Seleccionada.
Destination Network
...Or is within: all-nets
2. Routing Action:
En la pgina de configuracin importOSPFRoutes:
Routing Action Add Add Route:
General
Destination:
Seleccione la tabla routing principal desde la lista Available y colquela en la lista
Selected.
El resultado de esta configuracin es que toda la informacin routing aprendida ser
aadida a la tabla routing principal en la medida que estas no invaliden ninguna ruta
esttica rutas predeterminadas previamente insertadas.
86
Ejemplo: Exportando la ruta predeterminada dentro de un AS OSPF

Se asume que ya ha sido creado el previamente configurado proceso OSPF
denominado como ospf-proc1.
En este escenario la ruta predeterminada (solamente) desde la tabla routing principal ser
exportada dentro del proceso OSPF ospf-proc1.
WebUI
1. Regla de Routing Dinmico:

Routing Dynamic Routing Policy Add Dynamic Routing
Rule:
General
Name: e.j. exportDefRoute
Check From Routing Table:
Seleccione la tabla routing principal desde la lista Available y colquela en la lista
Selected.
Destination Network
Exactly Matches: all-nets
2. OSPF Actions:
En la pgina de configuracin exportDefRoute:
OSPF Actions Add Export OSPF:
General
Export to process: Seleccionar ospf-proc1 desde la lista desplegable.
10.6. Escenario: Configuracin de Routing Esttico
10.6
Escenario: Configuracin de Routing

Esttico
Ejemplo: Creando una Ruta Esttica
Figura 10.3: Escenario de Routing Esttico
En este ejemplo una red 192.168.2.0/24 ha sido ajustada para ser ruteada
a travs de un router(192.168.1.10) en la red local, como se muestra en la
Figura 10.3. Para permitir que el firewall se comunique con esa red
(a travs de la interfaz lan), se debe configurar una ruta esttica.
WebUI
Routing Main Routing Table Add Route:

General:
Interface: Seleccione lan.
Network: Seleccione la direccin de red objetiva (192.168.2.0/24).
Gateway: Seleccione la direccin de router objetivva (192.168.1.10).
Esto permitir al firewall dirigir el trfico destinado para la red 192.168.2.0/24
a travs del router en 192.168.1.10.
87
88
Nota
Como un resultado a este ajuste el trfico en retorno desde el router ser dirigido
directamente sobre la red local con una regla de ajuste estndar Allow. Para que
este escenario trabaje la regla de ajuste IP debe establecer que el trfico para esta
Red sera NATed o que ser reenviada sin estado de rastreo
10.7
Politica basada en Routing(PBR)
10.7.1
Vista General
Policy Based Routing(PBR) es una extensin al ruteo normal descrito previamente,

la cual ofrece al administrador de red una flexibilidad significante para implementar
sus propias polticas definidas en realizar decisiones de ruteo. Por PBR, los paquetes
pueden ir a travs una ruta de usuario deseada aparte de la decidida por los
Algoritmos de ruteo.
Los routing normales reenvan paquetes de acuerdo a las direcciones de destino
IP derivadas de rutas estticas protocolo de routing dinmico. Por ejemplo,
por OSPF, el router slo tomar la trayectoria de menor-costo( la ms corta) que
es obtenida desde un calculo OSPF para transportar paquetes. Complementando
a este destino direccion-, PBR entrega un mayor control sobre
routing habilitando al router para utilizar especficamente una trayectoria para cierto
flujo de trfico basado en varios criterios, tales como las direcciones de fuente y
tipos de servicio.
Adems, los firewalls D-Link extienden los beneficios de futuros PBR no slo buscando
los paquetes uno por uno, sino tambin en informacin de estado, de modo que la poltica
pueda entregar control tanto en la direccin de reenvo como en la de retorno.
PBR puede ser aplicado en aplicaciones incluyendo:
Fuente de routing sensible
Cuando ms de un IP es utilizado para proveer servicios Internet, PBR puede

dirigir el trfico originado desde diferentes grupos de usuarios por diferentes
trayectorias a travs del firewall.
Servicio basado en routing
PBR puede dirigir ciertos protocolos a travs de proxies transparentes, tales

como Web caches y scanner anti-virus.
10.7. Policy Based Routing(PBR)
89
Creacin de reas de red metropolitanas proveedor-independiente
Todos los usuarios comparten un eje central activo comn, pero pueden
utilizar diferentes ISPs, suscribindose a diferentes flujos de proveedores de
medios de comunicacin.
La implementacin PBR en los firewalls D-Link consiste en dos elementos:
Una o ms denominadas tablas PBR en adicin a la tabla de routing normal.
Una regla de ajuste PBR separada, la cual determina cual tabla routing nombrada
se debe utilizar.
10.7.2
Tablas routing basadas en polticas
La tablas routing basadas en polticas son tablas alternativas adicionales a la tabla de

Routing principal. Estas tablas contienen lo mismos campos para la descripcin de
rutas como la tabla de routing principal, excepto que exista un parmetro de Ordenamiento
definido en cada uno de ellos. Este parmetro define cundo la tabla PBR comienza a
actuar en las bsquedas de ruta del firewall, tanto antes o despus que la tabla
principal.
10.7.3
Politica basada en Routing Policy
Las reglas definidas en las polticas PBR son selectores de diferentes tablas routing.
Cada regla PBR es provocada por los campos/recuadros de tipo de servicio e interfaz de
fuente & destino y red. Durante la bsqueda del firewall, la primera regla coincidente
es llevada a cabo, y las rutas pueden ser elegidas y priorizadas por el parmetro de orden
en base a cada estado aparte de la bsqueda paquete por paquete, lo cual significa
que las reglas PBR pueden especificar cul tabla routing se utilizar tanto en direccin
de reenvo y retorno.
10.7.4
Ejecucin PBR
La secuencia de ejecucin PBR cooperadora con la tabla routing principal y los ajustes
de reglas del firewall pueden ser resumidas a continuacin:
1. Verificador de tabla routing principal busca la interfaz por las direcciones de
destino de los paquetes.
2. Consultador de reglas busca en la lista de Reglas del firewall para determinar
La accin de los paquetes.
3. Consultador de polticas PBR Si la bsqueda en el paso 2 resulta en la posibilidad
De que los paquetes pasen a travs, el firewall desplegar una bsqueda en las
90
reglas PBR. La primera regla coincidente ser la utilizada. De acuerdo a la

especificacin en la regla, es seleccionada una tabla routing para utilizar. Si no
hay regla coincidente, las tablas PBR no sern utilizadas y ningn PBR ser
ejecutado. El firewall reenviar los paquetes de acuerdo a la tabla routing
principal solamente.
4. Traduccin de direccin Si la regla SAT fue encontrada en la regla
consultada en el paso 2, la direccin de traduccin ser ejecutada.
5. Bsqueda de ruta final y reenvo de paquete el firewall hace la bsqueda de
ruta final en la tabla routing decidida en el paso 3, y reenve el paquete.
La decisin de cul tabla routing utilizar es realizada antes de llevar a cabo la
traduccin de direccin. Sin embargo, la bsqueda actual de ruta es ejecutada en la
direccin modificada.
Ejemplo: Creando una tabla Ruteo Basada en polticas

En este ejemplo se crear una tabla routing basada en polticas denominada
TestPBRTable.
WebUI
Crear Tabla PBR

Routing Policy-based Routing Tables Add
Policy-based Routing Table:
Name: TestPBRTable
Orden:
First significa que la table routing nombrada es consultada primero que todas. Si esta
Bsqueda falla, la bsqueda continuar en la tabla routing principal.
Default significa que la tabla routing principal ser consultada primero. Si la nica
Coincidencia es la ruta predeterminada (0.0.0.0/0), la tabla routing nombrada ser
consultada. Si la bsqueda en la tabla routing nombrada falla, la bsqueda por completo
es considerada como fallida.
Only significa que la table routing nombrada es la nica consultada. Si esta bsqueda
fracaza, la bsqueda no continuar en la tabla routing principal.
Remove Interface IP Routes: Si est habilitado, las rutas de interfaz predeterminada
Son removidas, ej. rutas a la interfaz central, las cuales son rutas al mismo firewall.
91
Ejemplo: Creando una Policy-Based Route

Luego de definir la tabla PBR TestPBRTable, se adhieren rutas en la tabla de este
ejemplo.
WebUI
Create PBR Route

Routing Policy-based Routing Tables TestPBRTable Add
Route:
Interface: La interfaz sobre la cual dirigir.
Network: La red para dirigir.
Gateway: La puerta de enlace hacia donde enviar los paquetes dirigidos.
Local IP Address: La direccin IP especificada aqu ser automticamente publicada
en la interfaz correspondiente. Esta direccin ser adems utilizada como la
direccin remitente en las consultas ARP. Si no es especificada ninguna direccin,
la direccin IP de la interfaz del firewall ser utilizada.
Metric: Especifica la mtrica para esta ruta. (Mayormente utilizada en escenarios de
Failover de ruta.
10.7.5
Escenario: Configuracin PBR
El siguiente ejemplo ilustra un escenario ISP mltiple el cual es utilizado

comnmente por policy based routing.
Ejemplo: Mltiples ISP

Este escenario asume lo siguiente:
Cada ISP le entregar una red IP desde su alcance de red. Se asumir un
escenario 2-ISP, con la red 1.2.3.0/24 perteneciente a ISP A y 2.3.4.0/24

perteneciente a ISP B. Las puertas de enlace ISP son 1.2.3.1 y 2.3.4.1,
respectivamente.
Todas las direcciones en este escenario son direcciones pblicas, para un facil entendimiento
92
Este es un diseo drop-in, donde no hay subnets de routing explcitas entre
la puerta de enlace ISP y el firewall.

En una red de rea metropolitana proveedor-independiente, los clientes probablemente
tendrn una sola direccin IP, perteneciente tanto a uno u otro ISP. En un escenario
de una sola organizacin, sern configurados servidores accesibles pblicamente con
dos direcciones IP separadas: una desde cada ISP. Sin embargo, esta diferencia no
importar para los ajustes de poltica de routing mismo.
Ntese que, para una slo organizacin, la conectividad Internet a travs de mltiples
ISP es normalmente mejor lograda a travs de BGP, en donde no necesita preocuparse
en diferentes espacios IP polticas de routing. Desafortunadamente, esto no es siempre
posible, y aqu es donde la poltica basada en routing se vuelve una necesidad.
Se ajustar la tabla routing principal para utilizar ISP A, y adherir la tabla routing
nombrada, r2 que utiliza la puerta de enlace predeterminada de ISP.
Contenidos de la tabla routing:
Interface
LAN1
LAN1
WAN1
WAN2
WAN1
Network
1.2.3.0/24
2.3.4.0/24
1.2.3.1/32
2.3.4.1/32
0.0.0.0/0
Gateway
ProxyARP
WAN1
WAN1
LAN1
LAN1
1.2.3.1
Contenidos de la named policy routing table r2:

Interface
WAN2
Network
0.0.0.0/0
Gateway
2.3.4.1
La tabla r2 tiene sus parmetros de Orden ajustados a Predeterminados, lo cual significa

que slo sera consultado si la bsqueda de la tabla routing principal coincide la ruta
predeterminada(0.0.0.0/0)
.
Contenidos de Policy-based Routing Policy:
Source
Interface
LAN1
WAN2
Source
Range
2.3.4.0/24
0.0.0.0/0
Dest.
Interface
WAN2
LAN1
Dest.
Range
0.0.0.0/0
2.3.4.0/24
Service
ALL
ALL
Forward
PBR
r2
<main>
Return
PBR
<main>
r2
93
Nota
Se aaden rutas para conexiones entrantes as como salientes.
Completar los siguientes pasos para configurar este escenario ejemplo en el
firewall.
1. Aadir rutas a la tabla routing principal.
Aadir las rutas encontradas en la lista de rutas en la tabla routing principal, como se
ha mostrado anteriormente.
Ver seccin 10.6 Creating a Static Route para mayor informacin sobre cmo aadir
rutas.
2. Crear una tabla PBR.

Ver seccin 10.7.4 Creating a Policy-Based Routing Table para mayor informacin
sobre cmo crear una tabla PBR. Nombre la tabla r2 y asegrese de que el orden
es ajustado a Default.
3. Aadir la ruta predeterminada a la tabla PBR.

Aadir la ruta encontrada en la lista de rutas de la tabla de polticas routing nombrada
r2, como se mostr anteriormente.
Ver seccin 10.7.4 Creating a Policy-Based Route para mayor informacin sobre
cmo aadir reglas a la tabla PBR.
4. Aadir polticas PBR.

Se necesita aadir dos polticas PBR de acuerdo a la lista de polticas mostradas
anteriormente.
Routing Policy-based Routing Policy Add Policy-based
Routing Rule:
Ingrese la informacin encontrada en la lista de polticas desplegada con
anterioridad.
Repita este paso para aadir la segunda regla.
94
10.8
Proxy ARP
Proxy ARP es el proceso en el cual un sistema responde a las solicitudes ARP

de otro sistema. Por ejemplo, un anfitrin A enva una solicitud ARP para determinar
la direccin IP de un anfitrin B. En lugar del Anfitrin B, el firewall responde a esta
solicitud ARP.
En esencia, Proxy ARP tiene la misma funcionalidad que un ARP pblico (Ver 9.6
ARP)
La gran diferencia aqu es que usted puede, de manera simple, publicar redes
completas en una o ms interfaces al mismo tiempo. Otra diferencia
de ligeramente menor significancia es que el firewall siempre publica las direcciones
como pertenecientes al firewall mismo; no es posible por lo tanto publicar direcciones
pertenecientes a otras direcciones de hardware.
Nota
Slo es posible el Proxy ARP en interfaces Ethernet y VLAN.
CAPITULO
11
Fecha & Tiempo
El ajuste correcto de la fecha y hora es de gran importancia para que el producto

opere apropiadamente. Por ejemplo, las polticas de programacin de tiempo y
auto-actualizacin de firmas IDS son dos caractersticas que requieren de una hora
correctamente ajustada. En adicin, los mensajes de registro son etiquetados con
sellos de tiempo con el fin de sealar exactamente cundo ocurre un evento especfico.
El realizar sto, no slo asume un trabajo de reloj, sino que adems el reloj es
sincronizado con otros dispositivos en la red.
Para mantener vigente la fecha y hora, el producto hace uso de un reloj construido a
tiempo real. El reloj es adems equipado con una bacteria de respaldo para asegurar
la operacin incluso si el producto pudiese perder la energa. En adicin, el producto
soporta protocolos de sincronizacin de tiempo con el fin de ajustar automticamente
el reloj basado en informacin de otros dispositivos.
95
96
Capitulo 11. Fecha & Tiempo
11.1
Ajustando la Fecha y Hora
11.1.1
Fecha y Tiempo en curso
Ejemplo:
Para ajustar la fecha y hora en curso, siga los pasos esbozados a continuacin:
WebUI
System Date and Time:

General
Haga click en el boton de Set Date and Time
En la ventana emergente,
Date: seleccione el ao en curso, mes y da en las listas desplegables.
Time: Ingrese las horas en curso, minutes y segundos en el recuadro de editar.
Nota
La nueva fecha y hora en curso sern aplicadas
instantneamente.
11.1.2
Zona Horaria
El ajuste de Zona Horaria debe ser determinada para reflejar la zona horaria donde
el producto se encuentra localizado fsicamente.
Ejemplo:
Para modificar la zona horaria, siga los pasos esbozados a continuacin:
WebUI

Time zone and daylight saving time settings
Time zone: seleccione la zona horaria apropiada en la lista desplegable.
11.1. Ajustando la Fecha y Tiempo
11.1.3
97
Daylight Saving Time(DST)
Muchas regiones cuentan con Daylight Saving Time (DST) (o tiempo de verano como es
denominado en muchos pases). El horario de verano trabaja adelantando la hora
durante el verano para obtener mucho ms de los das de verano. Desafortunadamente
los principios regulatorios del horario de verano varan segn el pas, y en algunos casos
hay incluso variantes dentro del mismo pas. Por esta razn, el producto no conoce
automticamente cundo ajustar el DST. En cambio, esta informacin debe ser
manualmente entregada si el horario de verano es utilizado.
Hay bsicamente dos parmetros determinantes del horario de verano; el

perodo DST y el oset DST. El perodo DST especifica entre qu fechas el horario
de verano debe comenzar y terminar, respectivamente. El DST oset indica el nmero
de minutos que se debe avanzar el reloj durante el perodo de horario de
Verano.
Ejemplo:
Para habilitar DST, siga los pasos esbozados a continuacin:
WebUI

Time zone and daylight saving time settings
Marque Enable daylight saving time
Oset: ingrese el nmero de minutos que el reloj debe ser adelantado durante el
DST.
Start Date: seleccione la fecha de inicio del perodo DST en la lista desplegable.
End Date: seleccione la fecha de trmino.
98
Captulo 11. Fecha & Hora
11.2
Sincronizacin de Tiempo
El reloj en el producto probablemente se vuelve ms rpido o lento luego de un

perodo de operacin. Esta es una conducta normal en la mayora de las redes y
equipos computacionales y es comnmente resuelto mediante la utilizacin de
un mecanismo de Sincronizacin de tiempo.
El producto es capaz de ajustar el reloj automticamente basado en informacin
recibida desde uno o ms servidores de tiempo en la red. La utilizacin de tiempo
de sincronizacin es altamente recomendada, ya que esto asegura que el producto
tendr su fecha y hora alineada con otros productos en la red, o incluso con los
servidores de tiempo pblicos entregando informacin de tiempo altamente certera
basada en relojes atmicos.
11.2.1
Protocolos de Sincronizacin de Tiempo
El producto soporta dos tipos de protocolos para ser utilizados en la

sincronizacin de tiempo:
SNTP
Definido por RFC 2030, The Simple Network Time Protocol (SNTP)
es una implementacin ligera del Protocolo de Tiempo de Red (NTP)
descrito en RFC 1305.
UDP/TIME
El Protocolo de Tiempo (UDP/TIME) es un antiguo mtodo para proveer un

servicio de sincronizacin de tiempo sobre el Internet. El protocolo entrega
un sitio independiente, fecha y tiempo legible por mquina. El servicio de tiempo
enva de vuelta a la fuente original el tiempo en segundos desde la
media noche del primero de enero de 1900.
Los servidores de tiempo ms actuales utilizan en protocolo NTP.
11.2.2
Servidores de Tiempo
Se pueden configurar por sobre tres servidores de tiempo para preguntar por
informacin de tiempo. El utilizar ms de un servidor, puede prevenir que situaciones
en donde un servidor inalcanzable cause que el proceso de sincronizacin de tiempo
fracase. Ntese que el producto siempre cuestiona todos los servidores de tiempo
configurados con el fin de calcular un promedio basado en respuestas de todos los
servidores. Motores de bsqueda en el internet pueden ser utilizados para encontrar listas
actualizadas de servidores de tiempo pblicos disponibles.
11.2. Sincronizacin de Tiempo
11.2.3
99
Modificacin Mxima
Para evitar situaciones donde un servidor de tiempo defectuoso causa que el producto
actualice su reloj con datos altamente errneos de tiempo, se puede especificar un valor
de modificacin mxima (en Segundos). Si la diferencia entre el tiempo vigente en el
producto y el tiempo recibido desde un servidor de tiempo es mayor que el valor de
modificacin mxima, esa respuesta del servidor de tiempo ser desechada.
Por ejemplo, se asume que el valor de modificacin mxima es ajustado a 60
segundos, y que el tiempo vigente en el producto es 16:42:35. Si un servidor de
tiempo responde con el tiempo de 16:43:38, la diferencia es de 63 segundos,
lo cual no es aceptable de acuerdo a la modificacin mxima. De este modo, no
se realizar ninguna actualizacin con esa respuesta. El valor predeterminado de
modificacin mxima es 36,000 segundos.
11.2.4
Intervalo de Sincronizacin
El intervalo entre cada intento de sincronizacin puede ser ajustado si es necesario.

Por defecto, este valor es de 86,400 segundos (1 da), significando que el tiempo de
proceso de sincronizacin es ejecutado una vez al da.
Ejemplo: Habilitando el Tiempo de Sincronizacin utilizando SNTP

En este ejemplo, el tiempo de sincronizacin es ajustado utilizando el protocolo
SNTP y utilizando servidores NTP instalados en el laboratorio Sueco nacional
por tiempo y frecuencia.
WebUI

Automatic time synchronization
Marque Enable time synchronization.
Seleccione lo siguiente de las listas desplegables:
Time Server Type: SNTP
Primary Time Server: dns:ntp1.sp.se
Secondary Time Server: dns:ntp2.sp.se
Tertiary Time Server: (None)
100
Captulo 11. Fecha & Tiempo
Nota
Este ejemplo utiliza nombre de dominio en vez de direcciones IP. Por lo tanto,
asegrese de que los ajustes de cliente DNS del sistema se encuentran apropiadamente
configurados como se describe en 12 DNS.
CAPITULO
12
DNS
Domain Name System (DNS) puede ser considerado como una gran base de datos
distribuida que es utilizada para traducir desde nombres computacionales a sus
direcciones IP.
DNS es utilizado dentro del firewall siempre que sea necesario traducir un
nombre de dominio a una direccin IP. Adems, el servidor DHCP dentro del firewall
puede distribuir los servidores DNS configurados en el firewall a todos los clientes que
soliciten un contrato IP. El ejemplo a continuacin describe cmo configurar servidores
DNS en los firewalls D-Link. Los servidores configurados son utilizados por los clientes
DNS internos as como otros subsistemas tales como el servidor DHCP.
Ejemplo: Configurando servidor(es) DNS

WebUI
System DNS:
Primary Server: Ingrese la direccin IP del servidor DNS primario o seleccione
la direccin objetiva desde la lista desplegable (si la direccin del servidor ha sido
definida en el Libro de Direcciones).
Secondary Server: (Optional)
Tertiary Server: (Optional)
101
CAPITULO
13
Ajustes de Registro
En la parte de Administracin, se han introducido los conceptos generales del

registro y diseo de los firewalls D-Link para poder con los eventos significativos
(refirase a 5, Registro).En este captulo, se presentarn algunos ejemplos de
configuracin para habilitar las funciones de registro.
A excepcin de algunos eventos de registro predeterminados que sern generados
automticamente, por ejemplo, el arranque del firewall y cierre, el registro necesita
ser habilitado manualmente en secciones especficas de la configuracin del
firewall.
Para ajustar el registro en los firewalls D-Link, se requieren de los siguientes dos pasos:
1. Definir uno o varios destinatarios de registro.
2. Habilitar las funciones de registro en ciertas secciones.
13.1
Implementacin
13.1.1
Definiendo Receptor Syslog
Como se ha explicado en la seccin 5.2.1, Los receptores Syslog son administradores

externos de registro utilizados para recibir y almacenar datos de registro generados por
el firewall. Los datos de registro son enviados al receptor(es) Syslog a travs de mensajes,
que son definidos por Facility and Severity.
Facility define cmo son enviados los mensajes a un receptor Syslog especificando
identificadores de fuente en los mensajes. El receptor puede tpicamente clasificar
mensajes
103
104
Captulo 13. Ajustes de Registro
desde diferentes fuentes basadas en el identificador. El alcance vlido es 0 a 7,

representando facilidades Syslog de local0 a local7.
Severity es el grado de emergencia adjunto al mensaje de evento registrado por
eliminacin de fallos. Los firewalls D-Link pueden ser ajustados para enviar mensajes
a diferentes niveles de intensidad. Clasificados desde una mayor importancia a una
menor; estos niveles son: Emergency, Alert, Critical, Error, Warning, Notice, Info,
and Debug.
Ejemplo: Definiendo un receptor de Syslog

Para definir un receptor Syslog en el firewall, siga los pasos a continuacin:
WebUI
System Log and Event Receivers Add Syslog Receiver:

General
Name: Ingrese un nombre para el receptor.
IP Address: Seleccione la direccin objetiva desde la lista desplegable (si la direccin
del receptor ha sido definido en el Libro de Direcciones), o ingrese la direccin IP
directamente en el recuadro de editar.
Facility: Elija una de las facilidades desde la lista desplegable.
Port: 514 (por defecto)
13.1.2
Habilitando Registro
Luego de ajustar uno o ms receptores, el registro necesita ser habilitado para

funcionar. En WebUI, todos los tems de configuracin que pueden generar eventos
de registro poseen una pgina llamada Log Settings en su ventana de propiedades.
Esta pgina contiene opciones para habilitar registro, y para especificar ciertos receptores
de registro e intensidad para el evento.
Ejemplo: Habilitando Syslog

En este ejemplo, se asume que una regla IP ha sido definida previamente, y ha
sido habilitado el registro en esta regla para monitorear esta accin al
trfico.
13.1. Implementacin
WebUI
105
Rules IP Rules: Click the IP rule item Log Settings:

General
Marque Enable logging
Severity: Elija uno de los niveles de intensidad desde la lista desplegable.
Log Receivers
Log to: Marque tanto All receivers o Specific receiver(s)
(Si es marcado Specific receiver(s), seleccione el receptor Syslog que ha sido definido
previamente desde Available list a Selected list.)
Ejemplo: Habilitando Memoria de Registro

El receptor de registro construdo en memoria del firewall puede ser habilitado de una
manera similar a la explicada en el Ejemplo: Habilitando Syslog.
Para marcar los contenidos de archivo de registro almacenados por la memoria del
receptor de registro, siga los pasos a continuacin:
WebUI
Menu Bar: Status Logging:

Pueden ser desplegados 100 tems de eventos nuevamente generados por pgina.
Para ver eventos previos, presione next.
Parte VI
Polticas de Seguridad
Las polticas de seguridad regulan las formas en que las aplicaciones

de red protegen del abuso y uso inapropiado. Los firewalls D-Link
ofrecen varios mecanismos para ayudar a los administradores
en la construccin de polticas de seguridad para la prevencin
de ataques, proteccin de privacidad, identificacin, y control de
acceso.
Reglas IP
Acceso (Anti-spoofing)
DMZ & Port Forwarding
Autentificacin de Usuario
CAPITULO
14
Reglas IP
14.1
Vista General
La lista de reglas definidas en base a redes objetivas direcciones,

protocolos, servicios es el corazn de cualquier firewall. Las reglas determinan las
funciones de filtro bsico del firewall, lo cual es esencial. Seguido a las reglas de
configuracin, el firewall regula qu es permitido o rechazado para pasar a travs,
y cmo la traduccin de direccin, administracin de amplitud de banda, y determinacin
de trfico, es aplicada al flujo de trfico. Cualquier regla ambigua o defectuosa puede
perder el control de seguridad o hacer intil al firewall.
Bsicamente, hay dos posturas del firewall que describen una filosofa fundamental
de seguridad:
The default deny stance:
Todo es denegado a menos que sea especficamente permitido.

The default permit stance:
Todo es permitido a menos que sea especficamente denegado.
Con el fin de entregar el mayor nivel de seguridad posible, default deny es la poltica
predeterminada en los firewalls D-Link. El default deny es logrado sin una regla
visible en la lista. Sin embargo, para propsitos de registro, la lista de regla
comnmente tiene una regla DropAll al pie con el registro habilitado.
Cuando una nueva conexin es establecida a travs del firewall, la lista de reglas son
evaluadas, de arriba a abajo, hasta que se encuentre una regla que coincide con la
nueva conexin. La accin de la regla es entonces llevada a cabo. Si la accin es
109
110
Capitulo14. Reglas IP
Allow, la conexin ser establecida y un estado representante de la conexin es

aadido a la tabla de estado interna del firewall. Si la accin es Drop, la nueva
conexin ser rechazada.
Primer principio de coincidencia Si hay varias reglas coincidentes, la primera
coincidente decide qu pasar con la conexin. (A excepcin de las reglas SAT,
mostradas en el Ejemplo.)
Los paquetes consecutivos pertenecientes a una conexin existente no necesitan ser
evaluados nuevamente. En cambio, un algoritmo de bsqueda de estado altamente
optimizada buscar la tabla de estado interno para un estado ya existente
Representante de la conexin. Esta metodologa es aplicada no slo en las conexiones
TCP, sino tambin en UDP y trfico ICMP. De este modo, el tamao del ajuste de reglas
del firewall no afectar el rendimiento del firewall.
Una regla es expresada en una forma definitiva, consistente en dos partes lgicas: los
campos y la accin. Las sub-secciones a continuacin explican los parmetros de una
regla que est disponibles en los firewalls D-Link.
14.1.1
Campos
Los campos son algunos objetos de red predefinidos y reutilizables, tales como
direcciones y servicios, los cuales son utilizados en cada regla con propsitos de
coincidencia. Los siguientes campos en la lista de regla son utilizados por el firewall para
verificar un paquete en el flujo de trfico. Todos estos campos de filtro deben coincidir
los contenidos de un paquete para que cualquier regla se desencadene.
Servicio: el tipo de protocolo que el paquete debe coincidir.
(Los Servicios son definidos como objetos lgicos antes de configurar las reglas,
vea 8.2 Servicios )
Interfaz de Fuente: uno o un grupo de interfaces donde un paquete es recibido en
el firewall.
Red de Fuente: la red a la que coincide la direccin IP de fuente del paquete.
Interfaz de Destino: uno o un grupo de interfaces hacia donde el paquete es
dirigido.
Red de Destino: la red a la que coincide la direccin IP de destino de los
paquetes.
14.1. Vista General
14.1.2
111
Tipos de Accin
Cuando todos los campos enlistados en la seccin anterior son coincididos por un
paquete, una regla es desencadenada, una cierta accin especificada por la regla
coincidente ser llevada a cabo. Los tipos de accin incluyen:
Allow:
Deja a los paquetes pasar a travs del firewall. El firewall ajustar adems un
state para recordar la conexin, y pasar el resto de los paquetes en esta conexin
a travs de su motor de inspeccin dinmica.
NAT:
Trabaja como las reglas Allow, pero con una traduccin de direccin dinmica
habilitada. (Ver 14.2.2 NAT)
FwdFast:
Deja al paquete pasar a travs del firewall sin ajustar un estado para ste.
Generalmente hablando, es ms rpido para un paquete individual, pero es
menos seguro que una regla Allow o NAT, y adems ms lento que reglas Allow
para la completa conexin establecida, como cada paquete subsecuente tambin
necesita ser verificado contra la seccin de regla.
SAT:
Le indica al firewall que ejecute la traduccin de direccin esttica. (Ver 14.2.3

Traduccin de Direccin Esttica) Esta regla requiere adems una regla coincidente
Allow,NAT o FwdFast ms abajo. (Ver Ejemplo)
Drop:
Le indica al firewall que deseche inmediatamente el paquete.

Reject:
Acta como Drop, pero devuelve un mensaje TCPRST o ICMPUnreachable,

indicndole al remitente que el paquete ha sido deshabilitado.
112
14.2
Traduccin de Direccin
14.2.1
Vista General
Por consideraciones de funcionalidad y seguridad, la traduccin de Direcciones

de red(NAT) es generalmente aplicada para el actual uso en oficina y hogar. Los
firewalls D-Link entregan soporte tanto para NAT Dinmico como para Esttico. Estos
dos tipos son representados por las reglas de ajuste NAT y SAT respectivamente.
Esta seccin explica cmo trabaja NAT y qu es lo que puede y no puede hacer.
14.2.2
NAT
Qu es NAT?
Cuando se comunica con el Internet, cada nodo necesita registrar una direccin de
Red nica para ser alcanzable. Pero las nicas direcciones disponibles del
Rango de IPv4 son muy limitadas mientras actualmente las redes se vuelven ms y ms
grandes. La traduccin de direccin de Red (NAT) habilita a los computadores en
redes privadas para utilizar un grupo de direcciones no registradas internamente, y
comparte uno o un grupo de direcciones pblicas IP para conexiones externas a
recursos Internet. Normalmente un router o un firewall localizado donde el LAN
encuentra el Internet hace todo lo necesario para las traducciones de
direcciones IP.
Para cada red NATed, los espacios de direccin IP privada (10.0.0.0/8,
172.16.0.0/12, 192.168.0.0/16) son reutilizadas. Esto significa que interfaces
mltiples conectadas a diferentes redes pueden tener la misma direccin, mitigando
la presin de tener que utilizar direcciones pblicas IPv4 para cada nodo.
Por qu NAT es generalmente utilizado?
En adicin a la resolucin del problema de escasez IP, NAT es desarrollado para
atender muchos otros propsitos:
Funcionalidad Utilizando NAT, no hay necesidad de registrar una direccin IP para
cada computador en una red local. Una compaa puede utilizar muchas
direcciones IP internas y una IP pblica registrada para entregar servicios
internet. Ya que esta direccin es utilizada solo de manera interna, no hay
posibilidad de colisin de direcciones con otras compaas. Esto permite a una
compaa combinar conexiones de acceso mltiple a una sola conexin Internet.
Seguridad Los computadores localizados en la red local y que utilizan un rango
de direcciones privadas no son directamente accesibles desde el Internet. Para

14.2. Traduccin de Direccin
113
el mundo externo, toda la red privada es como un nodo que utiliza una direccin
IP pblica, y la estructura interior y direcciones de la red se encuentran ocultas.
NAT depende de una mquina en la red local para iniciar cualquier conexin a
anfitriones del otro lado del firewall del router, esto previene actividades
malintencionadas iniciadas por anfitriones externos para alcanzar a estos
anfitriones locales. NAT-habilita firewalls, por ejemplo, los firewalls D-Link,
manejan todo el trabajo de traduccin y redireccionamiento para pasar el trfico
y pueden entregar caminos para restringir acceso a Internet al mismo tiempo.
Flexibilidad de administracin NAT puede ser utilizado para dividir una gran
Red en varias ms pequeas. Las partes ms pequeas exponen slo una

direccin IP al exterior, lo cual significa que los computadores pueden ser aadidos
o removidos sin causar impacto en las redes externas. Los firewalls D-Link
contienen servidor DHCP, el cual permite a los clientes ser configurados
automticamente. El administrador no necesita aplicar ningn cambio a cada
computador en la red interna, por ejemplo, si la direccin de servidor DNS es
modificada, todos los clientes comenzarn automticamente a utilizar la nueva
direccin la siguiente vez que se contacte con el servidor DHCP.
Cmo trabaja NAT
En la red de comunicacin TCP/IP, cada paquete IP contiene un encabezado con las
direcciones de fuente y destino y los nmeros prot (Direccin de fuente: puerto de
fuente Direccin de Destino: puerto de destino). Esta combinacin definir por
completo una sola conexin. Las direcciones especifican los dos computadores finales
del vnculo, y los dos nmeros de puerto garantizando que cada conexin
perteneciente a ciertos servicios es nicamente identificado. Cada conexin
es originada desde un nmero nico de puerto de fuente en un extremo, y todos los
paquetes respondidos desde el otro extremo contienen el mismo nmero que su
puerto de destino, de modo que el iniciador puede referirlos de vuelta a su conexin
correcta.
Un firewall NAT-habilitado debe modificar la direccin de fuente en cada paquete saliente
para que sea su direccin pblica. Este por lo tanto re-enumera adems el puerto de
nmero de fuente para ser nico, de modo que este pueda mantener el rastro de cada conexin.
El firewall utiliza una tabla de mapeo para relacionar la direccin local real y puerto de
fuente ms su nmero de puerto de fuente traducida a una direccin de destino y
puerto. Cuando ste recibe cualquier paquete de retorno, este puede por lo tanto
revertir la traduccin para dirigirlos de vuelta a los clientes correctos.
Porque las tablas de mapeo relatan una completa informacin de conexin Gua de Usuario de los Firewalls D-Link
114
Captulo 14. Reglas IP
Direccin de fuente y destino y nmeros de puerto es posible validar

alguna o toda esta informacin antes de pasar el trfico. Estas verificaciones ayudan
al firewall a proteger un LAN privado contra ataques desde el exterior.
El mecanismo NAT se deshace de todo el trafico que no coincide en el entry de tabla
De mapeo, por lo tanto es considerado adems como un dispositivo de seguridad. Sin
embargo NAT no es un sustituto para las reglas firewall. Hay puertos abiertos TCP y
UDP correspondientes a las aplicaciones y servicios que corren en el NAT. Si el dispositivo
NAT es un computador, ms que un firewall dedicado, el computador se vuelve entonces
vulnerable a ataque. Por lo tanto, la recomendacin es utilizar un firewall habilitado-NAT
con reglas de ajuste especificadas para el trfico.
14.2.3
Traduccin de direccin en los Firewalls D-Link
Los firewalls D-Link soportan dos tipos de traduccin de direccin: dinmico (NAT
oculto), y esttico (SAT).
Traduccin de Direccin de Red Dinmica
El proceso de traduccin de direccin dinmica involucra la traduccin de direcciones
de remitente mltiples en una o ms direcciones de remitente, tal como direcciones IP
privadas son mapeadas para un grupo de direcciones IP pblicas.
Ejemplo: NAT Dinmico
FW tran
reply
FW rest
Sender
192.168.1.5 : 1038
195.11.22.33: 32789
195.11.22.33: 32789
192.168.1.5 : 1038
Server
195.55.66.77
195.55.66.77
195.55.66.77
195.55.66.77
:
:
:
:
80
80
80
80
Tabla 14.1: NAT Dinmico.
La Tabla 14.1 muestra un ejemplo de NAT dinmico, El remitente, ej. 192.168.1.5,

enva paquetes desde un puerto dinmicamente asignado, por ejemplo, puerto 1038, a
un servidor, ej. 195.55.66.77 puerto 80.
Usualmente, el firewall traduce la direccin del remitente a la direccin de interfaz ms
cercana a la direccin de destino. En este ejemplo, utilizamos 195.11.22.33 como la
Direccin pblica. En adicin, el firewall modifica el puerto de fuente a un puerto libre,
14.2. Traduccin de Direccin
115
usualmente es utilizado uno sobre 32768, 32789. El paquete es luego enviado a su

destino.
El servidor del destinatario considera la direccin NATed del firewall como el origen
del paquete, procesa el paquete y enva su respuesta de vuelta a la direccin
NATed.
El firewall recibe el paquete y lo compara con su lista de conexiones abiertas. Una vez
que encuentra la conexin en cuestin, ste restaura la direccin original y
reenva el paquete al remitente real.
Traduccin de Direccin Esttica (SAT)
SAT es un tipo de traduccin de direccin en la cual una direccin IP pblica es
mapeada estticamente para una direccin IP privada. El NAT Dinmico es normalmente
utilizado para el trfico saliente, mientras SAT es utilizado para el trfico entrante. Por
ejemplo, el utilizar SAT permite un anfitrin interno, tal como un servidor Web, para tener
una direccin IP (privada) no registrada y an as ser alcanzable sobre el Internet.
La direccin IP privada del servidor es mapeada a una direccin IP esttica pblica, la
cual puede ser vista desde el Internet.
En los firewalls D-Link, SAT es implementado para entregar muchas funciones importantes,
Por ejemplo:
- DMZ & Port Forwarding: SAT soporta el uso de red DMZ para entregar servicios
pblicos al Internet, mientras tanto protegiendo la red privada de una
revelacin innecesaria para el mundo externo.
(ver 16, DMZ & Reenvo de Puerto)
- Server Load Balancing: SAT puede re-direccionar las conexiones sealadas como
algn servidor para alternar servidores seleccionados. (ver 24, Balance de Carga
de Servidor)
116
14.3
Escenarios: Configuracin de Reglas IP
Esta seccin le muestra ejemplos de configuracin de reglas IP, incluyendo:

Regla NAT
Regla SAT
Publica un Servidor accesible con una Direccin Privada en un DMZ

Otras caractersticas de ajuste cooperadoras con NAT pueden ser encontradas en
16, DMZ & Port Forwarding, y 24, Server Load Balancing.
Ejemplo: Habilitando Ping en la direccin IP externa del firewall
En este ejemplo, se configura una regla IP para permitir paquetes ICMP (Ping) para ser
recibidos por la interfaz externa del firewall.
1. Define un servicio ICMP objetivo y lo denomina ping-inbound. (Note
que el Firewall D-Link es repartido con un servicio ping-inbound configurado
como predeterminado el cual puede ser utilizado)
2. Crea una Regla nueva con nombre Ping to Ext, y permite el servicio desde
cualquier interfaz en todas las nets para la interfaz central del firewall en la red
ip ext .
WebUI
1. Crear un Servicio Ping-Entrante

Si no es definido un servicio ping-entrante, necesitamos crear un nuevo servicio.
Objects Services Add ICMP Service:
Name: ping-inbound
ICMP Parameters
ICMP Message Types: Echo Request (Codes 0-255)
14.3. Escenarios: Configuracin de Reglas IP.
117
2. Crear Regla
El paso final es crear la regla que permitir paquetes ICMP(Ping) ser recibidos
por la interfaz externa del firewall.
Rules IP Rules Add IP Rule:
Name: Ping to Ext
Action: Allow
Service: ping-inbound
Source Interface: any
Source Network: all-nets
Destination Interface: core
Destination Network: ip ext
Ejemplo: Regla NAT
En este caso, se ajusta una regla NAT en el firewall que permitir buscar el Internet
desde direcciones IP privadas detrs del firewall. Las direcciones IP privadas sern
traducidas a la direccin IP externa del firewall.
1. Agregar un servicio objetivo HTTP que utiliza puerto 80 TCP.
2. Agregar un servicio objetivo DNS que utilizar puerto 53 TCP/UDP para habilitar
el nombre de servicio determinado.
3. Crear dos reglas que apliquen NAT a los servicios anteriores desde la interfaz interna en
La red interna para cualquier interfaz de destino en cualquier red.
WebUI
1. Crear Servicio HTTP

Si ningn servicio http es definido, se necesita crear un nuevo servicio.
Objects Services Add TCP/UDP Service:
Name: http
Type: TCP
Source: 0-65535
Destination: 80
118
Capitulo 14. Reglas IP
2. Crear un DNS Todo Servicio

Si no hay un dns-todo servicio definido, se necesita crear un nuevo servicio.
Name: dns-all
Type: TCPUDP
Source: 0-65535
Destination: 53
3. Crear una Regla HTTP
El siguiente paso es crear la regla que llevar el trfico NAT HTTP desde interfaces
Internas por sobre interfaces externas.
Name: HTTP from LAN
Action: NAT
Service: http
Source Interface: LAN
Source Network: lan-net
Destination Interface: any
Destination Network: all-nets
4. Crear una Regla DNS
El paso final es crear la regla que NAT(ear) trfico DNS desde interfaces internas
por sobre interfaces externas.
Name: DNS from LAN
Action: NAT
Service: dns-all
14.3. Escenarios: Configuracin de Reglas IP.
119
Nota
Para reglas NAT es posible especificar la direccin IP que deben traducir las
direcciones IP internas. Esto puede ser realizado en la etiqueta NAT cuando se
configure la regla. Por defecto, la direccin de la interfaz de destino es utilizada.
Ejemplo: Regla SAT
Servidor Pblicamente Accesible con una Direccin Privada en un DMZ.
Figura 14.1: Ejemplo SAT.
Este ejemplo ofrece un servidor web con una direccin privada localizada en un
DMZ, y mquinas internas localizadas en una red local que desean buscar el
Internet. Con el fin de habilitar usuarios externos para acceder al servidor web, el
servidor debe ser alcanzable desde una direccin pblica. De este modo, se traslada el
puerto 80 en la direccin externa del firewall al puerto 80 en el servidor web:
1. Aadir un servicio HTTP objetivo que utilice el puerto 80 TCP.
120
2. Regla 1: Crear una nueva regla que SAT el trfico HTTP direccionado a la
direccin pblica IP externa ip ext, a la direccin IP privada del servidor web.
Regla 2: Crear una regla NAT que permita el trfico SAT:ed por la regla
anterior.
Regla 3: Crear una regla NAT que permita a las mquinas internas en la red local
acceder el Internet va HTTP.
WebUI
1. Crear un Servicio HTTP

Si no hay un servicio http definido, se necesita crear un nuevo servicio.
Name: http
Type: TCP
Source: 0-65535
Destination: 80
2. Crear una Regla SAT HTTP
El siguiente paso es crear la regla que SAT(ear) el trfico HTTP direccionado a la
IP pblica externa ip ext, a la direccin IP privada del servidor web.
Name: SAT to WebServer
Action: SAT
Service: http
SAT
Translate the: Destination IP Address
To New IP Address: ip webserver
14.3. Escenarios: Configuracin de Reglas IP
121
3. Crear una Regla SAT/NAT HTTP

El siguiente paso es crear una regla NAT que permita el trfico SAT:ed por la regla
anterior.
Name: SATNAT to WebServer
Action: NAT
Service: http
4. Crear una Regla NAT HTTP
El paso final es crear una regla NAT que permita a las mquinas internas en la red
local para acceder al Internet va HTTP.
Name: HTTP from LAN
Action: NAT
Service: http
Nota
SAT necesita una segunda regla

La regla SAT necesita una segunda regla alineada para pasar el trfico a travs
(mostrado como la regla Allow anterior). La segunda regla puede ser un Allow,
FwdFast, o NAT, y esta segunda regla alineada debe ser ubicada bajo la regla
SAT iniciada.
La regla SAT iniciada no le hace nada a los datos actuales. Si hay una coincidencia
con el paquete recibido y una regla SAT, el firewall continuar pasando los paquetes
122
a travs de la lista de regla hasta que una segunda regla coincida. Cuando
los paquetes abandonan la lista de regla, esta regla las redirecciona al
destino.
Problemas con la regla de ajuste vigente
Esta regla de ajuste hace las direcciones internas visible a los aparatos en el
DMZ (ver 16, DMZ & Por Forwarding). Cuando los aparatos internos se
conectan a la interfaz externa del firewall ip ext, estarn habilitados para
proceder por la Regla 2 sin NAT (el primer principio coincidente).
Desde la perspectiva de la seguridad, todos los aparatos en el DMZ que
entregan servicios pblicos deben ser considerados como cualquier otro
Servidore Internet conectado a redes no confiables.
Soluciones Alternativas
1. Mantener la Regla 1 y revertir la secuencia de la Regla 2 y 3, de modo que
la regla NAT sea llevada a cabo para el trfico interno antes de que la
regla Allow coincida.
2. Mantener la Regla 1 y 3, modificar la Regla 2 de modo que slo se aplique al
trfico externo (el trfico ms probable desde la interfaz WAN) una regla
Allow para permitir la Regla 1 desde conexiones externas (la interfaz WAN
ms probable) en todas las nets para la direccin pblica externa del firewall
ip ext.
Dato
La determinacin del mejor curso de accin y el orden secuencial de las reglas
debe ser realizada en base a caso a caso, tomando todas las circunstancias en cuenta.
CAPITULO
15
Acceso (Anti-spoofing)
15.1
Vista General
La funcin primaria de cualquier firewall es controlar el acceso a recursos de datos

protegidos, de modo que la nica conexin autorizada sea permitida. El control de
acceso es bsicamente direccionado en las reglas IP del firewall (introducidas en 14. Reglas
IP). De acuerdo a las reglas, el firewall considera un rango de direcciones LAN
protegidas como anfitriones confiables, y restringe el trfico que fluye desde el
Internet no confiable en direccin al rea confiable, y adems el otro camino
cercano.
Un error esencial de este control basado en confianza es que, tiende a descuidar el
potencial peligro causado por la mascarada. Un atacante inteligente realiza trucos
para engaar al firewall pretendiendo la identidad de un anfitrin confiable, lo cual es
la llamada tcnica Spoofing.
15.1.1
IP Spoofing
El spoofing IP es uno de los ataques enmascarados ms comunes, en donde el

atacante utiliza direcciones IP de confianza del firewall para evitar el filtro de
trfico. En el proceso de spoofing, el encabezado de un IP indicador de la direccin de
fuente de un paquete entregado puede ser fcilmente modificado a una direccin de
anfitrin local, de modo que el firewall confiar en la solicitud proveniente de una
fuente confiable. Aunque el paquete no pueda ser respondido por la fuente inicial,
hay una posibilidad de congestin de red innecesaria y ataques de negacin de
123
124
Captulo 15. Acceso (Anti-spoofing)
Servicios (DoS). Incluso si el firewall est capacitado para detectar los ataques DoS, es
difcil localizarlos o detenerlos debido al spoofing.
15.1.2
Anti-spoofing
Para equipar el firewall con la habilidad Anti-spoofing, se necesita un filtro extra contra
la verificacin de direccin de fuente. Los firewalls D-Link entregan al administrador
de red elecciones a para hacer el filtrado basado en IP por Reglas de Acceso.
Otra caracterstica entregada por los firewalls D-Link, tal como Autentificacin de Usuario
y Encriptacin, aseguran que exista una apropiada medida de autentificacin
y la comunicacin sea llevada a cabo sobre canales seguros, los cuales pueden adems
reducir la amenaza de spoofing.(Ver 17 Autentificacin del Usuario, VIII VPN)
15.2
Reglas de Acceso
15.2.1
Funcin
La regla de Acceso es capaz de monitorear el trfico para verificar que los paquetes
que llegan a una interfaz del firewall no tienen una direccin de fuente que pueda ser
asociada con la red de otra interfaz. En otras palabras, el principio de las reglas
puede ser descrito de la siguiente manera:
Cualquier trfico entrante con una direccin de fuente IP perteneciente a un
anfitrin local confiable NO es permitido.

Cualquier trfico saliente con una direccin de fuente IP perteneciente a una
red exterior no confiable NO es permitido.

El primero previene que un intruso utilice la direccin de anfitrin local como direccin
de fuente, y el segundo previene que cualquier anfitrin local lance el spoofing.
El ajuste de regla de Acceso acta como un filtro complementario a la lista de reglas
del firewall, y asegura que las direcciones de fuente de paquetes recibidos en una
Interfaz especfica estn siempre dentro de la red correcta, procurando que la regla
de Acceso sea correctamente configurada. Si la seccin de bsqueda de Acceso no
tiene xito, el firewall ejecutar una bsqueda inversa en su tabla routing.
15.2.2
Ajustes
La configuracin de una regla de acceso es similar a las reglas normales,

contenedoras de los Campos de Filtro y la Accin a tomar. Si el trfico coincide todos
15.2. Regla de Acceso
125
Los campos, la regla es desencadenada, y la accin especificada ser llevada a cabo

por el firewall.
Campos de Filtro
Interfaz:
La interfaz a la cual llega el paquete.

Red:
El span IP al cual debe pertenecer la direccin del remitente.

Accin
Drop:
Descarta los paquetes que coinciden con los campos definidos.

Aceptar:
Acepta los paquetes que coinciden con los campos definidos para una
mayor inspeccin en los ajustes de Regla.
Expect:
Si la direccin del remitente del paquete coincide la Red especificada por esta
regla, la interfaz receptora es comparada con la interfaz especfica.
Si la interfaz coincide, el paquete es aceptado de la misma manera que por la accin
de Accept. Si la interfaz no coincide, el paquete es desechado de la misma
manera que la accin de Drop.
El Registro puede ser habilitado en demanda para estas Acciones.
(Refirase a 5 Registro)
126
Captulo 15. Acceso (Anti-spoofing)
15.3
Escenario: Ajustando la Regla de Acceso

Ejemplo: Permitiendo el Trfico desde una Red Especfica
Este ejemplo mostrar cmo asegurar que el trfico recibido en la interfaz LAN siempre
posea la direccin de fuente correcta, dentro de la red lan-net.
WebUI
1. Crear Regla de Acceso

La siguiente regla asegurar que ningn trfico con una direccin de fuente que no
est dentro de la red lan-net ser recibida en la interfaz LAN.
Rules Access Add Access Rule:
Name: LAN Access
Action: Expect
Interface: LAN
Network: lan-net
CAPITULO
16
DMZ & Port Forwarding
16.1
General
16.1.1
Conceptos
DMZ Demilitarized Zone Se mantiene para un rea que no es parte de una red
Interna confiable ni es parte directa de Internet pblico.
Tpicamente, DMZ es una subred distinta entre el firewall protegido, el LAN privado y
la red pblica. Contiene uno o ms computadores que son accesibles al trfico
Internet y actan como servidores proxy para servicios pblicos, tal como
Web (HTTP), FTP, SMTP(Email), y servidores DNS.
En una configuracin DMZ, los computadores (servidores) asentados fuera del LAN
Privado, responden a reenvan las solicitudes de servicio. El firewall es configurado
para prevenir a los computadores en el DMZ de solicitudes entrantes iniciales, y
reenva el trfico desde el Internet a computadores DMZ sin contacto directo con el
LAN interno. Obviamente, esta propuesta aade una capa extra de proteccin a la
infraestructura IntranetfirewallInternet.
Los firewalls D-Link ofrecen soporte al planeamiento DMZ y proteccin a travs de la
Interfaz de red objetiva y configuracin de Reglas.
127
128
Capitulo16. DMZ & Port Forwarding
Ejemplo: Servidor Web de una corporacin

Se observar un simple ejemplo, mostrando una utilizacin de DMZ con un
Firewall D-Link.
El servicio disponible pblicamente ms comn que toda corporacin necesita tener
es el buscador de Web(HTTP). Sin embargo, es inseguro ubicar un servidor Web
dentro de la red interna junto con otros computadores privados, debido a que tal
servidor puede fcilmente ser explotado de manera perjudicial por intrusos. Cuando
el servidor cae bajo control de manos errneas, otros computadores privados se
volvern vulnerables a ataques. Por lo tanto, tal servicio debe ser localizado en un
rea de red distinta DMZ.
Figura 16.1: Un Servidor Web en DMZ
En este ejemplo, se observa un firewall D-Link conectando un LAN privado, una

subred DMZ, y el Internet, mostrado en la Figura 16.1. El firewall se encarga de:
a) Todas las conexiones desde el Internet al DMZ;
b) Conexiones necesarias desde el DMZ al LAN privado. El servidor Web es ubicado
en el DMZ. Las solicitudes al servicio de buscador Web van a travs del firewall,
y son reenviadas al servidor Web.
Se pueden definir Reglas que permitan al servidor en el DMZ aceptar slo cierto tipo
de Solicitudes de servicio, las solicitudes basadas en HTTP en este caso, para proteger
16.1. General
129
el servidor. Por ejemplo, suponiendo que nuestro servidor web est corriendo en NT eso
podra ser vulnerable a un nmero de ataques de negacin-de-servicio contra servicios
tales como RPC, NetBIOS y SMB. Estos servicios no son requeridos para la
operacin de HTTP. De modo que se pueden ajustar reglas para bloquear conexiones
TCP relevantes para puertos 135, 137, 138, y 139 en ese servidor para reducir la
exposicin a ataques de negacin-de-servicio.
Resumen:
Esta solucin significa que, con un despliegue DMZ, no hay acceso directo desde el
Internet a la red interna, y nadie tratando de acceder a recursos en DMZ desde el
Internet podr pasar las reglas del firewall.
Los ajustes de las reglas del firewall siguen un principio importante de seguridad,
esto es, limitar las conexiones a un nmero mnimo necesario para soportar los
servicios.
16.1.2
Planificacin DMZ
La utilizacin de DMZ es un trabajo a gran escala, involucrando la segmentacin de la

estructura de red y las configuraciones de regla del firewall. Por lo tanto, este requiere
un planeamiento cuidadoso para conseguir los propsitos de proteccin y
escalabilidad.
Se utiliza un pequeo grupo de componentes para ilustrar las diferentes propuestas del
planeamiento DMZ:
Un firewall D-Link con 3 interfaces: Int net, DMZ net, y Ext net
Un computador privado: Cliente A
Un Archivo de Servidor contenedor de los datos de LAN privado
Un Servidor de Base de datos conteniendo recursos para servicios pblicos de
web.
Un Servidor Web para conexiones pblicas.
Propuesta 1 Archivo de Servidor, Servidor de Base de datos, un Cliente A en Int net;
Servidor Web en DMZ net.
Desventaja: El servidor Web en net DMZ necesita abrir algunos puertos en
Int net para acceder al servidor de Base de datos. Si el Servidor Web asume el
cargo por intrusin, el Servidor de Base de datos y otros componentes en Int
Net pueden exponerse a ataques.
130
Capitulo16. DMZ & Port Forwarding
Propuesta 2 Mover el Servidor de Base de datos fuera de la red DMZ.

Desventaja: Aunque todos los datos pblicos accesibles estn ahora en la red
DMZ, la proteccin al Servidor de Base de datos es debilitada. Si un hacker
toma control sobre el Servidor Web, l o ella puede ir directo a la Base de datos.
Propuesta 3 Dividir DMZ en diferentes zonas.

Solucin: La mejor propuesta para este escenario es dividir la net DMZ
en diferentes subredes de acuerdo a diferentes servicios y niveles de
seguridad de los componentes. Se coloca el Servidor de Base de datos y el
Servidor Web en interfaces separadas del firewall, y se configura las reglas de
acceso para cada interfaz. Si el hacker toma el control del Servidor Web,
l o ella an tendrn acceso muy limitado al Servidor de Base de datos.
16.1.3
Beneficios
Como se ha ilustrado en la seccin previa, el hacer buen uso de una red DMZ entrega
varias ventajas tanto en seguridad de red como en perspectivas de administracin:
Repartir servicios no slo por anfitriones, sino que con los limites de red en
Nivel de confianza entre componentes de red. Esta propuesta puede reducir mucho
la probabilidad de penetracin en un componente utilizado para interrumpir en los
otros.
Dividir DMZ en diferentes zonas ayuda a restringir polticas de seguridad sobre
componentes que tienen diferentes funciones y niveles de seguridad.

La escalabilidad de la arquitectura de red es incrementada ubicando
components en diferentes subredes.
CAPITULO
17
Autentificacin del Usuario
17.1
Vista General de Autentificacin
Antes de que cualquier solicitud de servicio de usuario sea autorizada de acuerdo a

las polticas de seguridad del firewall, ste necesita verificar la identidad del usuario,
para asegurar que el usuario corresponda es quien dice ser.
Autentificacin es el proceso para direccionar tal asunto. Este forma un filtro al frente
del control de acceso del firewall, filtro de paquete, y tnel de seguridad.
En este captulo, importa la validad del usuario, en trminos de persona; los mismos
principios aplicados a los dispositivos en la red adems.
17.1.1
Mtodos de Autentificacin
Generalmente, los procesos de autentificacin provocan que el usuario muestre

su credencial con gran cuidado ya que este secreto no debe ser posedo por nadie ms.
las soluciones y tecnologas de habilitacin pueden ser categorizadas sobre las bases
de:
a) Algo que el usuario es
El nico atributo del usuario es que son diferentes en cada persona
caractersticas fisiolgicas tal como la huella digital, retina, o voz.
b) Algo que el usuario tiene

La clave tool que un usuario posee, tal como un Certificado Digital, una
tarjeta, o Claves Pblicas & Privadas.
131
132
Captulo 17. Autentificacin del Usuario
c) Algo que el usuario conoce

La informacin secreta que slo el usuario involucrado conoce y mantiene,
tal como la Contrasea ms comnmente utilizada una Frase secreta Compartida.
La dificultad de utilizar mtodo a) es que requiere algunos dispositivos especiales para
escanear y leer la caracterstica presentada, lo cual es relativamente caro.
Otro riesgo que puede causar que esto falle es que las caractersticas son casi imposible
de sustituir; en caso de que el usuario pierda la caracterstica por accidente,
nada puede ser utilizado para reemplazarlo.
Por lo tanto, los mtodos ms comnmente utilizados para servicios de red son (b)
y (c). Hay adems riesgos potenciales utilizando cualquiera de estos dos mtodos, por
ejemplo, las claves pueden ser interceptadas, la tarjeta puede ser robada, las personas
tienden a utilizar contraseas dbiles que son fciles de adivinar, y pueden ser malos
para guardar cualquier secreto, etc. Por lo tanto, estas dos propuestas son a
menudo combinadas para tener aadidas unos niveles de seguridad y factores. Por
ejemplo una tarjeta es a menudo otorgada a una persona con una contrasea.
La autentificacin de Usuario es frecuentemente utilizada en servicios, tales como HTTP,
y VPN. Los firewalls D-Link utilizan Nombre de Usuario/Contrasea como el mtodo
primario de autentificacin, fortalecido por algoritmos de encriptacin. El
concepto bsico de Encriptacin es cubierto por 20.2 Introduccin a Criptografa. Medios
ms avanzados de seguridad y autentificacin, tales como el Sistema de Clave PblicaPrivada, Certificado X.509, IPsec& IKE, IKE XAuth, y Lista ID es introducida en:
20.2.2 Autentificacin & Integridad, and 22 Protocolos VPN & Tneles.
17.1.2
Criterio de Contrasea
En el acoplamiento Nombre de Usuario/Contrasea, el nombre de usuario(nombre

de cuenta), como un identificador indica de quien se trata, y los servidores de contrasea
como un autentificador para probar que esto es verdad. Para penetrar ciertos sistemas y
obtener los privilegios de usuario y administrador, la contrasea es a menudo
sujeta a ataques.
Ataques
Hay principalmente tres formas diferentes de atacar una contrasea:
Adivinar:
Intente casos posibles. Las contraseas que son elegidas desde un diccionario,
informacin personal del usuario, tal como nombre, nmero telefnico, y
fecha de cumpleaos son vulnerables a estos ataques.
Descubrir:
17.1. Vista General de Autentificacin
133
Encontrar las notas que recuerdan la contrasea, o preguntar al usuario

directamente. Mucha gente tiende a escribir las contraseas en papeles, y
le pueden decir la contrasea a alguien de confianza, lo cual es
potencialmente un escape.
Crack:
Bsqueda exhaustiva por algunos crackers de software. Contraseas de corta

longitud o menos caracteres aleatorios son fcilmente fracturados.
Contramedidas
Para prevenir los ataques Guess y Crack, una BUENA contrasea debera ser:
contener ms de 8 caracteres sin repeticin
alternar caracteres las cuales no son frases comnmente utilizadas
contener caracteres pequeos y capitales
contener nmeros y caracteres especiales
Para el mantenimiento de contrasea, algunas pautas estn disponibles como un

listado a continuacin:
la contrasea no debe ser documentada en ningn lado en papel o en un
archivo de computacin.
jams revele su contrasea a nadie
las contraseas deben ser regularmente modificadas para contrarrestar
cualquier compromiso no detectado.

elegir las contraseas que pueden ser digitadas rpidamente para prevenir que
alguien cercano observe.

Aunque las condiciones anteriores pueden parecer estrictas e inconvenientes, estas tienen
la intensin de asegurar tanto los derechos del usuario y propiedades, como el
sistema de red protegida. Una nueva seleccin de contrasea adems ayuda en
proteger los tneles de Capa 2, los cuales aplican Encriptacin en base a contraseas
introducidas por usuario (Ver 22.2 PPTP/L2TP).
17.1.3
Tipos de Usuario
Los firewalls D-Link y proyectos de autentificacin entregan soporte a diversos usuarios.

los tipos de usuario pueden ser:
administradores
134
Captulo 17. Autentificacin del Usuario.
usuarios normales accediendo a la red

usuarios PPPoE/PPTP/L2TP
utilizando mtodos de autentificacin PPP

usuarios IPsec & IKE
las entidades de autentificacin durante las fases de negociacin IKE

(Implementadas por Claves Pre-Compartidas o Certificados. Refirase a 22.1.4
IKE integridad & Autentificacin.)
usuarios IKE XAuth
extensin a la autentificacin IKE, ocurrida entre la fase 1 y fase 2 de

negociacin
grupos de usuario
grupo de usuarios que estn sujetos al mismo criterio de regulacin
17.2
Componentes de Autentificacin
Los firewalls D-Link pueden ser utilizados tanto como una base de datos almacenada
localmente, o una base de datos en un servidor externo para entregar autentificacin
de usuario.
17.2.1
Base de Datos de Usuario Local (UserDB)
La Base de Datos de Usuario Local es un registro construido dentro de los

Firewalls D-Link, contenedora de los perfiles de usuarios legales y grupos de usuario.
Los nombres de Usuario y contraseas pueden ser configurados dentro de esta base de
datos, y los usuarios que poseen los mismos privilegios pueden ser agrupados para
facilitar la administracin.
Un usuario puede ser almacenado como miembro de ms de un grupo, cualquier
modificacin a cada grupo se propagar a cada miembro del grupo. Las contraseas son
almacenadas en la configuracin usando criptografa reversible. Esto es con el fin de
ser compatible con varios mtodos de autentificacin cuestionamiento-respuesta tales
como CHAP, y as sucesivamente.
Cuando la base de datos local es habilitada, el firewall consulta sus perfiles de usuario
interno para autentificar al usuario antes de aprobar cualquier solicitud de usuario.
17.2.2
Servidor de Autentificacin Externo
En una gran topologa de red, es preferible tener una base de datos central dentro
de un servidor dedicado o un cluster de servidores para manejar toda la
17.2. Componentes de Autentificacin
135
Informacin de autentificacin. Cuando hay ms de un firewall en la red y miles de

usuarios aadidos o removidos constantemente, el administrador no tendr que
configurar y mantener base de datos separadas de perfiles de usuario autorizados en
cada firewall. En lugar de eso, el servidor externo puede validar el nombre de usuario/
Contrasea contra su base de datos central, lo cual es fcilmente administrado. Los
Firewalls D-Link soportan el uso de Servidor RADIUS (Remote Authentication
Dial-in User Service) para ofrecer el rasgo de autentificacin externa.
RADIUS es actualmente el estndar ms frecuente para autentificacin remota.

Como el protocolo define, este utiliza PPP para transferir el mensaje nombre de
Usuario/contrasea entre clientes RADIUS y el servidor, y por lo tanto, aplica los mismos
planes de autentificacin que PPP, tal como PAP y CHAP. Originalmente
desarrollado para acceso remoto dial-up, RADIUS es ahora soportado por VPN,
puntos de acceso inalmbrico, y otros tipos de acceso de red.
Un cliente RADIUS, ej. firewall D-Link, enva credenciales de usuario e
informacin de parmetro de conexin en la forma de mensaje RADIUS a un servidor
RADIUS. El servidor RADIUS mantiene todos los perfiles de usuarios y grupo de
usuario. Este autentifica y autoriza las solicitudes de clientes RADIUS, y enva de vuelta
un mensaje RADIUS de respuesta. Los mensajes de autentificacin RADIUS son
enviados como mensajes UDP va puerto 1812. Pueden ser definidos uno o
ms servidores externos en el firewall para perfeccionar la disponibilidad del
sistema RADIUS.
Para entregar seguridad a los mensajes RADIUS, una comn confidencialidad
compartida es Configurada tanto en el cliente Radius como en el servidor. La
confidencialidad compartida habilita la Encriptacin bsica de la contrasea del usuario
cuando es transmitido el mensaje RADIUS desde el cliente RADIUS al servidor, y es
comnmente configurado como una sucesin de texto relativamente larga. Este
puede contener por sobre 100 caracteres y es sensible a minscula y mayscula.
17.2.3
Agentes de Autentificacin
Pueden ser utilizados cuatro agentes construidos en el firewall para ejecutar

la autentificacin nombre de usuario/contrasea. Estas son:
HTTP
Autentificacin va buscador web. Usuarios navegan en el firewall y se

registran tanto en forma HTML un dilogo de Autentificacin Requerida 401.
136
HTTPS
Autentificacin va buscador web seguro. Similar al agente HTTP a excepcin

de que los Certificados Host & Root son utilizados para establecer conexin SSL
con el firewall.
(refirase a 22.3 SSL/TLS (HTTPS))
XAUTH
Autentificacin durante negociacin IKE en VPN IPsec (si el tnel IPSec

ha sido configurado para requerir autentificacin XAUTH).
(refirase a 22.1.4 IKE XAuth)
PPP
Autentificacin cuando los tneles PPTP/L2TP son ajustados (si el tnel

PPTP/L2TP ha sido configurado para requerir autentificacin del
usuario).
(refirase a 9.4.1 PPP, y 22.2 PPTP/ L2TP)
17.2.4
Reglas de Autentificacin
Una regla de autentificacin de usuario especifica:

Desde dnde (ej. interfaz receptora, fuente de red) los usuarios estn habilitados
para autentificar al firewall;

Cul agente ser utilizado por el firewall para provocar a los usuarios a
solicitar autentificacin.
Cul es la localizacin de la base de datos a la que el firewall consulta para
desplegar la autentificacin, tanto en un registro local como desde el

servidor externo;
Diferentes restricciones de tiempo de desconexin para desconectar
automticamente a los usuarios autentificados.
Nota
Cuando se utiliza un agente XAUTH, no hay necesidad de especificar la
Interfaz receptora, o fuente de red, como esta informacin no est disponible en la
fase XAUTH. Por la misma razn, slo una regla de autentificacin de usuario XAUTH
puede ser definido. XAUTH es slo utilizado para ajustar tneles VPN IPsec.
17.3. Proceso de Autentificacin
17.3
137
Proceso de Autentificacin
Un firewall D-Link contina con la autentificacin del usuario de acuerdo a lo siguiente:

Un usuario se conecta al firewall para iniciar la autentificacin.
El firewall recibe las solicitudes del usuario desde su interfaz, y registra en la regla de
ajuste IP que este trfico es permitido para alcanzar su agente central de

autentificacin.
De acuerdo al agente de autentificacin especificado en la regla de autentificacin,
el firewall impulsa al usuario con la solicitud de autentificacin.

El usuario responde ingresando su informacin de autentificacin
Nombre de usuario/contrasea.
El firewall valida la informacin w.r.t la fuente de autentificacin especificada en la
regla de autentificacin, sern tomadas tanto la base de datos local una base
de datos externa en un servidor RADIUS.
Si es encontrada una entrada coincidente en la base de datos, el firewall responde
al usuario con un mensaje de aprobacin, por otro lado de rechazo.

Luego el firewall reenva las futuras solicitudes de servicio del usuario aprobadas
a los destinos deseados, si el servicio es permitido por una regla IP explcitamente,

y el usuario es un miembro de el(los) grupo(s) de usuario(s) definidos en la
direccin objetiva de esa regla. Las solicitudes de aquellas fallas en los pasos
de autentificacin son desechados.
Luego de cierto periodo de tiempo, el usuario autentificado ser automticamente
desconectado de acuerdo a las restricciones de tiempo de conexin definidas en

la regla de autentificacin.
17.4
Escenarios: Configuracin de Autentificacin

del Usuario
En esta seccin, son cubiertas pauta y ejemplos para autentificacin a travs de agente
HTTP/HTTPS. Para ms ejemplos sobre PPP y XAuth,
Por favor refirase a 9.4.2, el Cliente de Configuracin PPPoE, y 22, Protocolos VPN
& y Tneles, respectivamente.
138
Ejemplo: Configurando la base de datos de usuario local

En el ejemplo de direccin objetiva de autentificacin en 8.1 Libro de Direccin,un grupo
de usuario users es utilizado para habilitar la autentificacin de usuario en lannet.
Este ejemplo muestra cmo configurar un grupo de usuario en la base de datos
construda en el firewall.
WebUI
1. User Authentication Local User Databases Add LocalUserDatabase:

General
Ingrese un nombre para el nuevo archivo de grupo de usuario lannet:
Name: lannet auth users
Comments: folder for lannet authentication user group users
2. lannet auth users Add User:
General
Username: Ingrese el nombre de cuenta de usuario aqu, e.j. user1.
Password: Ingrese la contrasea del usuario.
Confirm Password: Repita la contrasea encima para evitar cualquier
equivocacin de tipeo.
Groups: Un usuario puede ser especificado en ms de un grupo. Ingrese los
nombres de grupo separados por coma, ej. users para este ejemplo.
3. Repita el paso 2 para aadir todos los usuarios lannet teniendo la membresa
del grupo users en el archivo de usuario lannet auth.
Nota
Hay dos grupos predeterminados de usuario, el grupo administrador y el grupo
auditor. Los usuarios que son miembros del grupo administrador son permitidos para
cambiar la configuracin del firewall, mientras los usuarios que pertenecen al grupo
auditores estn slo autorizados para ver la configuracin del firewall. Presione los
botones bajo el recuadro de editar de los Grupos para garantizar la membresa de estos
grupos a un usuario.
17.4. Escenarios: Configuracin de Autentificacin del Usuario
139
Ejemplo: Configurando un servidor RADIUS

Un servidor de autentificacin de usuario externo puede ser configurado siguiendo los
pasos a continuacin:
WebUI
User Authentication External User Databases Add External

User Database:
General
Name: Ingrese un nombre para el servidor aqu.
Type: El nico tipo soportado es comnmente Radius.
IP Address: Ingrese la direccin IP del servidor, o ingrese el nombre simblico si la
direccin del servidor ha sido previamente definida en el Libro de Direcciones.
Port: 1812 (el servicio RADIUS utiliza puerto registrado UDP 1812 por defecto.)
Retry Timeout: 2 (El firewall re-enviar solicitudes de autentificacin al servidor si no
hay respuesta luego del tiempo de descanso, ej. cada 2 segundos. El firewall lo
reintentar tres veces como mximo.)
Shared Secret: Ingrese una serie de textos para la Encriptacin bsica de los
mensajes RADIUS.
Confirm Secret: Redigite la secuencia para confirmar lo tipeado anteriormente.
Y luego haga click en OK
Ejemplo: Habilitando autentificacin HTTP va base de datos de usuario

local.
Para habilitar la autentificacin de usuario va pgina Web, primero, necesitamos
aadir una regla Allow en las reglas IP del firewall para dejar que el firewall acepte el
buscador de Web del usuario a su agente HTTP(TCP puerto 80): segundo, se
especifica una regla de autentificacin del usuario para decirle al firewall cmo ejecutar
la autentificacin, tal como cul base de datos elegir para la bsqueda de perfil del
usuario, y adems las restricciones de tiempo de espera; Tercero, otra regla IP para
tratar las solicitudes de servicio de usuarios autentificados debe ser aadida bajo la
regla Allow de este primer paso. Como es explicado en 14 Reglas IP, todos lo otros
trficos que no son explcitamente permitidos por la regla IP, por ejemplo, el
trfico no autentificado proveniente desde la interfaz donde la autentificacin es
140
definida, ser desechada por el firewall.

Las configuraciones siguientes mostrarn cmo habilitar la autentificacin de usuario
HTTP para el grupo de usuario users en lannet. Slo los usuarios que pertenecen al
grupo users pueden tener el servicio de buscador Web luego de la autentificacin, como
es definido en la regla IP.
Se asume que lannet, users, lan ip, archivo de base de datos local
lannet auth users, y una direccin objetiva de autentificacin lannet users
es especificada (Refirase a 8.1 Ejemplo: Habilitando Autentificacin de Usuario para
una IP Objetiva).
WebUI
1. Rules IP Rules Add IP rule:

General
Name: http2fw
Action: Allow
Service: HTTP
(Ver 8.2.1 Ejemplo: Especificando un servicio TCP HTTP)
Filtro de Direccin
Elija lo siguiente desde las listas desplegables:
Source
Destination
Interface: lan
core
Network: lannet
lan ip
Comentarios:
Permitir las conexiones HTTP al agente de autentificacin del firewall.
Haga click en OK.
141
2. User Authentication User Authentication Rules Add

User Authentication Rule
General
Name: HTTPLogin
Agent: HTTP
Authentication Source: Local
Interface: lan
Originator IP: lannet
Comments: autentificacin HTTP para lannet va base de datos de usuario local.
Authentication Options
General
Local User DB: lannet auth users
HTTP(s) Agent Options
General
Login Type: HTMLForm.
Haga click en OK.
3. Rules IP Rules Add IP rule:
General
Name: Allow http auth
Action: NAT
Service: HTTP
Filtro de Direccin
Source
Destination
Interface: lan
any
Network: lannet users
all-nets
(Note que la fuente de red es aqu una direccin objetiva contenedora de informacin
de autentificacin de usuario.)
Comments: Permitir users autentificados desde lannet al buscador Web en
Internet.
Haga click en OK.
142
Nota
1. La autentificacin HTTP colisionar con el servicio de administracin remota WebUI

el cual tambin utiliza puerto 80 TCP. Para evitar esto, por favor modifique el
puerto WebUI en Ajustes Avanzados para la Administracin Remota antes de
proceder con la configuracin de autentificacin, por ejemplo, utilizando puerto 81
en su lugar.
2. En las Opciones de Agente HTTP, hay dos tipos de registro disponibles,
HTMLForm y BasicAuth. El problema con BasicAUTH es que los buscadores
Web cache el nombre de usuario y contrasea ingresados en el dilogo de
Autentificacin Requerida - 401. Esto normalmente no es un problema si el
buscador se encuentra cerrado, como es luego limpiado el cache; pero para
sistemas con el buscador incrustado en el sistema operativo, el cache es
difcil de limpiar. Por lo tanto, se recomienda HTMLForm. Un Realm String
puede ser definido para ser mostrado en el dilogo de Autentificacin Requerida 401 para opcin BasicAUTH.
3. El tiempo de inactividad puede ser ajustado en User Authentication User
Authentication Rules Restrictions. Las opciones son Idle
Timeout and Session Timeout.
Idle Timeout: Si un usuario ha sido exitosamente autentificado, y no se ha
visto trfico desde su direccin IP por este nmero de segundos, el/ella

ser automticamente desconectado. El valor es por defecto 1800.
Session Timeout: Si un usuario ha sido autentificado exitosamente,
el/ella sern automticamente desconectados luego de esta cantidad de segundos,

a pesar de si el firewall ha visto actividad del usuario o no.
Utilice Tiempos de inactividad recibidos desde el recuadro de verificacin del
servidor de autentificacin: Algunos servidores RADIUS pueden ser configurados

para retornar los valores de idle-timeout y session. Si este recuadro de
verificacin es seleccionado, el firewall tratar de usar estos tiempos de
inactividad, antes de los valores de Tiempo de inactividad especificados
anteriormente. Si no se ha recibido tiempos de inactividad desde el servidor de
autenticacin, sern utilizados los valores de inactividad especificados
anteriormente.
4. Otras restricciones de configuracin son los Registros Mltiples de Nombre de
Usuario. Son disponibles tres opciones como se explico anteriormente:
143
Permitir registros mltiples por nombre de usuario Si es seleccionado sto,
el firewall permitir usuarios desde diferentes direcciones de fuente IP,

pero con el mismo nombre de usuario, para ser registrados simultneamente.
Permitir un registro por nombre de usuario, rechaza el resto Si esto es
seleccionado, el firewall slo permitir un nombre de usuario simultneo para

ser registrado. Esto es, si un usuario desde otra direccin IP trata de
autentificar con el mismo nombre de usuario que el de un usuario ya
autentificado, el firewall desechar este registro.
Permitir un registro por nombre de usuario Si este es seleccionado, el firewall
slo permitir un nombre de usuario simultneo ser registrado. Si un usuario

desde otra direccin IP trata de autentificar con el mismo nombre de usuario
que un usuario ya autentificado, el firewall verificar si el usuario
autentificado ha sido ocupada por un perodo de tiempo. Si es as, el antiguo
ser removido, y este nuevo usuario ser registrado. Sino, la nueva solicitud
de registro sera rechazada. El periodo de tiempo para esta opcin puede ser
definido en el recuadro de editar.
Parte VII
Inspeccin de Contenido
En adicin a la inspeccin de paquetes en la capa de red (OSI

capa 3), los firewalls D-Link son capaces de examinar el contenido de
cada paquete para entregar una proteccin ms poderosa y flexible
en capas superiores.
Los Tpicos de esta parte incluyen:
Intrusion Detection System (IDS)
CAPITULO
18
18.1
Vista General
Para complementar las limitaciones de filtrado de paquete, el cual slo inspecciona en

los paquetes headers, tales como IP, TCP, UDP, y ICMP headers, los firewalls D-Link
incrustan una Application Layer Gateway (ALG) para soportar protocolos de alto
nivel que tienen informacin de direccin dentro de la carga explosiva.
El ALG acta como el representante del usuario para obtener las aplicaciones Internet
ms comnmente utilizadas fuera de la red protegida, ej. acceso Web, transferencia de
archivo, y multimedia. Tales agentes conscientes de aplicacin entregan una mayor
seguridad que los firewalls que slo filtran paquetes, ya que son capaces de
inspeccionar todo el trfico para que los protocolos especficos de servicio entreguen
proteccin en el nivel superior de la pila TCP/IP.
En este captulo, se describen las siguientes aplicaciones estndar soportadas por
ALG D-Link.
FTP
HTTP
H.323
147
148
18.2
Capitulo 18. Application Layer Gateway (ALG)
FTP
El File Transfer Protocol (FTP) es un protocolo basado en TCP/IP para el intercambio de

archivos entre cliente y servidor. El cliente inicia la conexin al conectarse al servidor
FTP. Normalmente el cliente necesita autentificarse a s mismo entregando un
registro y contrasea predefinidos. Luego de ganar acceso, el servidor proveer al
cliente con un listado de archivo/directorio desde el cual puede descargar/cargar
archivos (dependiendo de los derechos de acceso). El FTP ALG es utilizado para
administrar conexiones FTP a travs del firewall.
18.2.1
Conexiones FTP
FTP utiliza dos canales de comunicacin, uno para comandos de control y uno para
que los archivos actuales sean transferidos.
Cuando una sesin FTP es abierta, el cliente FTP establece una conexin TCP
(el canal de control) al puerto 21( por defecto) en el servidor FTP.
Lo que sucede luego de este punto depende del modo en que es utilizado el FTP.
Modos
Existen dos modos, activo y pasivo, describiendo el rol del servidor con respecto a los
canales de datos abiertos
En el modo activo, el cliente FTP enva un comando al servidor FTP indicando a qu
direccin IP y puerto el servidor debe conectarse. El servidor FTP establece el canal
de datos de vuelta al cliente FTP utilizando la informacin de direccin recibida.
En el modo pasivo, el canal de datos es abierto por el cliente FTP del servidor FTP,
tal como el canal comando. Este es el modo recomendado por defecto para
Clientes FTP, de acuerdo a el firewall-friendly FTP
RFC.
Asuntos de Seguridad
Ambos modos de operacin FTP presentan problemas para firewalls. Considere un
escenario donde un cliente FTP en la red interna se conecta a travs del firewall a un
Servidor FTP en el Internet. La regla IP en el firewall es entonces configurada para permitir
trfico de red desde el cliente FTP al puerto 21 en el servidor FTP.
18.2. FTP
149
Cuando el modo activo es utilizado, el firewall no es consciente de que el servidor

FTP establecer una nueva conexin de vuelta al cliente FTP. Por lo tanto, la
conexin para el canal de datos ser desechada por el firewall. Como el nmero de
puerto utilizado para el canal de datos es dinmico, el nico camino para resolver esto es
permitir el trfico desde todos los puertos en el servidor FTP a todos los puertos en el
Cliente FTP. Obviamente, esta no es una buena decisin.
Cuando el modo pasivo es utilizado, el firewall no necesita permitir desde el servidor
FTP. Por otro lado, el firewall an no conoce qu puerto tratar de utilizar el cliente
FTP para el canal de datos. Esto significa que el firewall deber permitir el trfico desde
Todos los puertos en el cliente FTP a todos los puertos en el servidor FTP.
Aunque esto no es tan inseguro como en el caso de modo activo,
an presenta una potencial amenaza de seguridad. Adems, no todos los clientes FTP
son capaces de utilizar el modo pasivo.
Solucin
El ALG FTP soluciona este problema reuniendo completamente la corriente TCP
del canal de comando y examinando sus contenidos. De este modo, el firewall
conoce qu puerto se abre para el canal de datos. Adems, el ALG FTP tambin
entrega funcionalidad para filtrar ciertos comandos de control y entrega una
proteccin bsica a invasin buffer.
La caracterstica ms importante del ALG FTP es la capacidad nica de ejecutar una
conversin en el camino entre el modo activo y pasivo. La conversin puede ser
descrita como:
El cliente FTP puede ser configurado para utilizar el modo pasivo, el cual es el modo
recomendado para los clientes.

El servidor FTP puede ser configurado para utilizar el modo activo, el cual es el
modo ms seguro para los servidores.

Cuando es establecida una sesin FTP, el firewall automtica y transparentemente
recibir el canal pasivo de datos desde el cliente FTP y el canal activo de datos
desde el servidor, y los atar juntos.
Esta implementacin resulta en que tanto, el cliente FTP y el servidor FTP trabajan
en su modo ms seguro. Naturalmente, la conversin tambin trabaja el otro camino,
este es, con el cliente FTP utilizando modo activo y el servidor
FTP utilizando modo pasivo.
Gua de Usuario del Firewall D-Link
150
Captulo 18. Application Layer Gateway (ALG)
18.2.2
Escenarios: Configuracin ALG FTP
Ejemplo: Protegiendo un Servidor FTP
Figura 18.1: ALG FTP Escenario 1
En este ejemplo, un Servidor FTP es conectado al firewall D-Link en un DMZ con

direcciones IP privadas, mostrado en Figura 18.1. Para hacer posible el conectarse
a este servidor desde el Internet utilizando el ALG FTP, el ALG FTP y las reglas del
firewall deben ser configuradas como lo siguiente:
WebUI
1. ALG
Objects Application Layer Gateways Add FTP ALG:
General:
Name: ftp-inbound
Marque cliente Allow para utilizar el modo activo (inseguro para cliente).
Desmarque Allow servidor para utilizar el modo pasivo (inseguro para el servidor)
18.2. FTP
151
2. Services
General:
Name: ftp-inbound
Type: seleccione TCP desde la lista desplegable.
Destination: 21 (el puerto donde reside el servidor FTP).
Application Layer Gateway:
ALG: seleccione ftp-inbound que debe ser creado.
3. Rules
Permita conexiones al IP pblico en el puerto 21 y reenvelo al servidor
FTP interno.
General:
Name: SAT-ftp-inbound
Action: SAT
Service: ftp-inbound
Address Filter:
Source
Destination
Interface: any
core
Network: all-nets
ip-ext
(se asume que la interfaz externa ha sido definida como ip-ext)
SAT:
Marque Translate the Destination IP Address
A:
New IP Address: ftp-internal.
(Se asume que esta direccin IP interna del servidor FTP ha sido definida en el
Libro de Direccion objetiva.)
New Port: 21.
152
El trfico desde la interfaz interna necesita ser NATed:

General:
Name: NAT-ftp
Action: NAT
Address Filter:
Source
Destination
Interface: dmz
core
Network: dmz-net ip-ext
NAT:
Marque Use Interface Address
Permitir las conexiones entrantes (SAT necesita una segunda regla Allow):
General:
Name: Allow-ftp
Action: Allow
Address Filter:
Source
Destination
Interface: any
core
Network: all-nets ip-ext
18.2. FTP
153
Ejemplo: Protegiendo Clientes FTP
Figura 18.2: FTP ALG Escenario 2
En este escenario, mostrado en la Figura 18.2, un firewall D-Link est protegiendo

una estacin de trabajo que conectar servidores FTP en el Internet. Para hacer
posible la conexin a estos servidores desde la red interna utilizando el ALG FTP,
ste y las reglas de firewall debern ser configuradas como sigue:
WebUI
1. ALG
Objects Application Layer Gateways Add FTP ALG:
General:
Ingrese un nombre descriptivo para el ALG.
Name: ftp-outbound
Desmarque Allow client para utilizar el modo activo (inseguro para el cliente).
Marque Allow server para utilizar el modo pasivo (inseguro para el servidor)
154
2. Services
General:
Name: ftp-outbound
Type: seleccione TCP desde la lista desplegable.
Destination: 21 (el puerto donde reside el servidor FTP).
Application Layer Gateway
ALG: select ftp-outbound that has been created.
3. Rules (Using Public IPs)
La siguiente regla necesita ser aadida a las reglas IP en el firewall si ste est
utilizando IP pblico; asegrese de que no hay reglas rechazando o permitiendo
el mismo tipo de puertos/trficos antes de estas reglas. El servicio en uso es el
ftp-outbound, el cual debe estar utilizando la definicin ALG
ftp-outbound como se describe previamente.
Permita las conexiones a servidores-FTP en el exterior:
General:
Name: Allow-ftp-outbound
Action: Allow
Service: ftp-outbound
Address Filter:
Source
Destination
Interface: lan
wan
Network: lannet
all-nets
18.3. HTTP
155
4. Rules (Using Private IPs)

Si el firewall est utilizando un IP privado, debe ser en cambio aadida la siguiente
regla NAT.
General:
Name: NAT-ftp-outbound
Action: NAT
Service: ftp-outbound
Address Filter:
Source
Interface: lan
Network: lannet
Destination
wan
all-nets
NAT:
Check Use Interface Address
18.3
HTTP
Hyper Text Transfer Protocol (HTTP), es el protocolo primario utilizado para

acceder al World Wide Web (WWW). Es un protocolo de capa de aplicacin dinmica
(OSI layer 7), orientado a conexin, el cual est basado en la
arquitectura de solicitud/respuesta. El cliente, tal como un buscador Web, tpicamente
enva una solicitud estableciendo una conexin TCP/IP a un puerto particular
(usualmente puerto 80) en un servidor remoto. El servidor contesta con una sucesin
de respuesta, seguido por un mensaje de su propiedad, por ejemplo, un archivo HTML
para ser mostrado en el buscador Web, un componente activo-x para ser ejecutado en
el cliente, o un mensaje de error.
18.3.1
Componentes & Asuntos de Seguridad
Para habilitar funciones ms avanzadas y extensiones a los servicios HTTP, algunos

componentes aadidos, conocidos como active contents, son usualmente acompaados
con la respuesta HTTP al computador del cliente.
Gua de Usuario del Firewall D-Link
156
Complementos ActiveX
Un complemento ActiveX es un componente HTTP, el cual es ejecutado en el
computador del cliente. Debido a que es ejecutado en el cliente, existen
ciertas tareas de seguridad, lo cual puede causar dao al sistema del computador
local.
JavaScript/VBScript
Con el fin de visualizar pginas HTML ms avanzadas y dinmicas, los scripts pueden
ser utilizados. Un script es ejecutado por el buscador web, y puede ser utilizado
para controlar la funcionalidad del buscador, validar la entrada del usuario, un
nmero de otras caractersticas. Puede ser potencialmente utilizado por un agresor en
un intento de causar un dao al sistema computacional, o causar varias molestias, tales
como pop-up windows.
Java Applets
Un java applet es escrito en lenguaje de programacin JAVA, y un buscador java-habilitado
puede descargar y ejecutar este cdigo en el computador del cliente. Un applet puede
contener cdigos maliciosos, los cuales conducen a problemas de seguridad.
Cookies
Un cookie es un archive de texto pequeo, almacenado localmente en el computador
del cliente. Su objetivo es hacer que un servidor web recuerde cierta informacin sobre
un usuario, el cual ha sido ingresado previamente. Esto puede adems contener
informacin confidencial.
18.3.2
Solucion
El firewall D-Link direcciona las ultimas areas de seguridad mostradas en la seccin previa
por Stripping Contents and URL Filtering.
Stripping Contents
En la configuracin D-Link HTTP ALG, algunos o todos los contenidos activos
Mencionados previamente pueden ser apartados desde el trfico HTTP sobre
Solicitudes del administrador.
18.3. HTTP
157
Filtro URL
Un Uniform Resource Locator (URL) es una direccin a un recurso en el WWW. Este
puede por ejemplo ser una pgina HTML, un recurso de archivo. Como una parte de
una poltica de seguridad, puede ser til restringir el acceso a ciertos sitios, o incluso
bloquear que ciertos tipos de archives sean descargados. El requisito opuesto puede
adems ser verdad puede ser favorable permitir el acceso completo (ej. No remover
los objetos anteriormente mencionados) a ciertas Fuentes confiables.
Un URL puede quedar en lista negra (blacklist) con el fin de prevenir el acceso a ste,
mientras un URL, whitelisted permite acceso complete a la fuente especfica.
Ejemplo: Configurando HTTP ALG

En este ejemplo, un HTTP ALG en un firewall D-Link es creado. Este es configurado para
deshacer complementos ActiveX, lo cual bloquear visualizaciones tales como
Macromedia flash y shockwave. Una direccin no deseada es aadida a la blacklist.
Las restricciones a otros contenidos actives, whitelists por direcciones confiables
pueden ser configuradas en un modo similar. Se asume que el servicio objetivo HTTP
y una regla IP que permitan el trfico HTTP hayan sido definidas en el firewall.
WebUI
1. ALG
Objects Application Layer Gateways Add
HTTP ALG:
General:
Ingrese un nombre descriptive para el ALG.
Name: http-activex
Active Content Handling
Marque Strip ActiveX objects (incluyendo Flash)
158
Luego de hacer click en ok, la pgina de configuracin va hacia URL Filtering list.
Add HTTP URL:
General
Action: seleccione Blacklist desde la lista desplegable.
URL: Ingrese una direccin no deseada en el recuadro de edit.
2. Service
Adding the HTTP ALG into the corresponding service object.
Objects Services HTTP:
Application Layer Gateway
ALG: seleccione http-activex que ha sido creado.
18.4
H.323
18.4.1
Vista General Estndar H.323
H.323 es un estndar que es utilizado para audio a tiempo-real, video y comunicacin

de datos sobre redes basadas en paquetes (ej. IP). ste especifica los componentes,
protocolos y procedimientos entregando comunicacin multimedia.
H.323 es un estndar aprobado por la Unin Internacional de Telecomunicacin

para promover compatibilidad en las transmisiones de video conferencia sobre redes
IP.
H.323 es considerado para ser el estndar de interoperabilidad en audio, video
y transmisiones de datos as como un telfono Internet y voice-over-IP (VoIP).
18.4.2
Componentes H.323
El H.323 estndar consiste en estos cuatro componentes principales:

Terminals
Gateways
Gatekeepers
18.4. H.323
159
MCUs (Multipoint Control Units)
Terminals
Una terminal H.323 es un dispositivo que es utilizado para audio y video como opcin
comunicacin de datos. Por ejemplo telfonos, unidades de conferencia, telfonos
software (por ejemploe: NetMeeting) corriendo en PCs estndar.
Gateways
Un gateway conecta dos redes similares y traduce el trfico entre ellos. Un H.323
gateway entrega conectividad entre redes H.323 y redes no-H.323 tales como
public switched telephone networks (PSTN). El gateway se preocupa de traducir
protocolos y convertir media entre redes diferentes. Un Gateway no es requerido
para la comunicacin entre dos terminales H.323.
Gatekeepers
El Gatekeeper es un componente en el sistema H.323 el cual es utilizado para
direccionar, autorizar y autentificar de terminales y gateways. Este puede adems
preocuparse de tales cosas como administracin de amplitud de banda pago de cuenta
y cargos. El gatekeeper puede permitir llamadas directamente entre puntos
de trmino, puede dirigir la seal de llamado a travs de s mismo para ejecutar
funciones tales como sigame-encuentreme, direccionar si esta ocupado, etc.
Un gatekeeper es
necesitado cuando hay ms de una terminal H.323 detrs de un firewall
NAT con slo una IP pblica.
MCUs (Multipoint Control Units)
MCUs entrega soporte para conferencias de tres ms terminals H.323. Todas las
terminales H.323 participantes en la llamada de conferencia deben establecer una
conexin con el MCU. El MCU luego administra los llamados, recursos, codecs de
video y audio utilizados en la llamada.
18.4.3
Protocolos H.323
Los diferentes protocolos utilizados en H.323 son descritos en resumen a

continuacin:
H.225 RAS Signaling and Call Control (Setup) Signaling
El protocolo H.225 es utilizado para la seal de llamado, esto significa que es utilizado
Para establecer una conexin entre dos puntos de trmino(terminales) H.323. Este
160
canal de seal de llamada es abierto entre dos puntos de trmino H.323 entre un
punto de trmino H.323 y gatekeeper. Para la comunicacin entre dos puntos de
trmino H.323, es utilizado TCP 1720. Cuando se conecta al gatekeeper, es utilizado el
puerto UDP 1719 (H.225 RAS mensajes).
H.245 Media Control and Transport
El protocolo H.245 entrega control a sesiones multimedia establecidas entre dos
puntos de trmino H.323. La tarea ms importante para este protocolo es negociar la
apertura y cierre de canales lgicos. Un canal lgico es, por ejemplo, un canal de audio
utilizado para comunicacin de voz. Los canales de video y T.120 son adems
llamados canales lgicos durante la negociacin.
T.120
El T.120 estndar es construido de un juego de comunicacin y protocolos de
aplicacin. Dependiendo del tipo de producto H.323, el protocolo T.120 puede ser
utilizado para el intercambio de aplicacin, transferencia de archivo y caractersticas
de conferencia tales como whiteboards.
18.4.4
Vista General H.323 ALG
El H.323 ALG es una application layer gateway flexible que permite dispositivos H.323
tales como telfonos H.323 y aplicaciones para realizar y recibir llamadas entre ellos
mismos mientras estn conectados a redes privadas aseguradas por los Firewalls
D-Link.
La especificacin H.323 no fue designada para manejar NAT, cuando direcciones IP
y puertos son enviados en el servidor de mensajes H.323. El H.323 ALG
modifica y traduce mensaje H.323 para asegurar de que el mensaje H.323 ser
dirigido al destino correcto y permitido a travs del firewall.
El H.323 ALG tiene las siguientes caractersticas:
H.323 version 5 (H.225.0 v5, H.245 v10)
Application sharing (T.120)
Gatekeeper support
NAT, SAT
18.4. H.323
161
El H.323 ALG soporta versin 5 de la especificacin H.323. Esta especificacin

es construda sobre H.225.0 v5 y H.245 v10. En adicin a soportar llamadas de
voz y video, el H.323 ALG soporta el intercambio de aplicacin sobre el protocolo
T.120. T.120 utiliza TCP para transportar datos mientras la voz y video es transportado
sobre UDP.
Para soportar gatekeepers, el ALG se asegura de monitorear trfico RAS entre
puntos de trmino H.323 y el gatekeeper, con el fin de configurar al firewall para
dejar llamadas pasar.
Son soportadas reglas NAT y SAT, permitiendo a los clientes y gatekeepers utilizar
direcciones IP privadas en una red detrs del firewall.
18.4.5
Escenario: Configuracin H.323 ALG
El H.323 ALG puede ser configurado para seguir diferentes escenarios de uso.
Es posible configurar si los canales de datos TCP deben ser permitidos para
atravesar el firewall o no. Los canales de datos TCP son utilizados por el protocolo
T.120 (ver 18.4.3), por ejemplo. Adems, el nmero mximo de canales de datos TCP
pueden ser limitados a un valor fijo.
El registro de tiempo de vida del gatekeeper puede ser controlado por el firewall con
el fin de forzar el re-registro de clientes dentro de un marco de tiempo especificado por
el administrador.
Presentados aqu hay algunos escenarios de red, visualizados en diagramas de red.
Los escenarios son ejemplos de ajustes de red en donde el H.323 ALG es apropiado para
utilizar. Para cada escenario es presentada un ejemplo de configuracin de tanto el ALG
como de las reglas.
Las tres definiciones de servicio utilizadas en estos escenarios son:
Gatekeeper (UDP ALL 1719)
H323 (H.323 ALG, TCP ALL 1720)
H323-Gatekeeper (H.323 ALG, UDP 1719)
162
Ejemplo: Protegiendo un Telfono detrs de un Firewall D-Link
Figura 18.3: H.323 Escenario 1.
Utilizando Direcciones IP pblicas

En el primer escenario un telfono H.323 es conectado a un Firewall D-Link en una red
(lan-net) con direcciones IP pblicas. Para hacer posible ubicar una llamada desde este
telfono a otro telfono H.323 en el Internet, y para permitir telfonos H.323 en el internet
para llamar a este telfono, se necesita configurar las reglas del firewall.
Las siguientes reglas necesitan ser aadidas al listado de regla en el firewall, asegrese
de que no hay reglas rechazando permitiendo el mismo tipo de puertos/trfico ante
estas reglas.
18.4. H.323
WebUI
163
1. Outgoing Rule
Name: H323AllowOut
Action: Allow
Service: H323
Destination Network: 0.0.0.0/0 (all-nets)
Comment: Allow outgoing calls.
2. Incoming Rule
Name: H323AllowIn
Action: Allow
Service: H323
Destination Interface: LAN
Source Network: 0.0.0.0/0 (all-nets)
Destination Network: lan-net
Comment: Allow incoming calls.
Utilizando direcciones Privadas IP

En este telfono un telfono H.323 es conectado a un Firewall D-Link en una red
con direcciones IP privadas. Para hacer posible ubicar una llamada desde este telfono
a otro telfono H.323 en el internet, y permitir telfonos H.323 en el Internet para llamar
a este telfono, se necesita configurar reglas firewall.
164
Captulo18. Application Layer Gateway (ALG)
Las siguientes reglas necesitan ser aadidas al listado de reglas en el firewall,

asegrese de que no hay reglas rechazando permitiendo el mismo tipo de
puertos/trfico ante estas reglas. Cuando se utiliza IPs privadas en el telfono, el
trfico entrante necesita ser SATed como en el ejemplo a continuacin. El ip-phone
objetivo a continuacin debe ser el IP interno del telfono H.323.
WebUI
1. Outgoing Rule
Name: H323Out
Action: NAT
Service: H323
Comment: Permitir llamadas salientes.
18.4. H.323
165
2. Incoming Rules
Name: H323In
Action: SAT
Service: H323
Destination Network: ip-wan (IP externo del firewall)
Comment:Permitir llamadas entrantes al telfono H.323 en ip-phone.
SAT
Translate Destination IP Address: To New IP Address: ip-phone (direccin IP
del telfono)
Name: H323In
Action: Allow
Service: H323
Destination Network: ip-wan (external IP of the firewall)
Comment: Permitir llamadas entrantes a telfono H.323 en ip-phone.
Para ubicar una llamada al telfono detrs del Firewall D-Link, haga una llamada a la
direccin IP externa en el firewall. Si telfonos H.323 mltiples son ubicados detrs del
firewall, una regla SAT debe ser configurada para cada telfono. Esto significa que
direcciones externas mltiples deben ser utilizadas. Sin embargo, es preferible
utilizar un gatekeeper H.323 gatekeeper como en el escenario H.323 con Gatekeeper
(ver 18.4.5), como esto slo requiere una direccin externa.
166
Ejemplo: Dos Telfonos Detrs de Diferentes Firewalls D-Link
Utilizando Direcciones IP Pblicas

Este escenario consiste en dos telfonos H.323, cada uno conectado detrs de un
Firewall D-Link en una red con direcciones IP pblicas. Con el fin de hacer llamadas
en estos telfonos sobre el Internet, las siguientes reglas necesitan ser aadidas al
listado de regla en ambos firewalls. Asegrese de que no hay reglas rechazando
permitiendo el mismo tipo de puertos/trfico ante estas reglas.
18.4. H.323
WebUI
167
1. Outgoing Rule
Name: H323AllowOut
Action: Allow
Service: H323
2. Incoming Rule
Name: H323AllowIn
Action: Allow
Service: H323
Comment: Permitir llamadas entrantes.
Utilizar Direcciones IP Privadas

Este escenario consiste en dos telfonos H.323, cada uno conectado detrs de un
Firewall D-Link en una red con direcciones IP privadas. Con el fin de hacer llamadas
en estos telfonos sobre el Internet, las siguientes reglas necesitan ser aadidas al
listado de reglas en el firewall, asegrese de que no hay reglas rechazando
o permitiendo el mismo tipo de puertos/trfico ante estas reglas. Como se est
168
Capitulo18. Application Layer Gateway (ALG)
Utilizando IPs privado en los telfonos, el trfico entrante necesita ser SATed como en
el ejemplo a continuacin. El ip-phone objetivo a continuacin debe ser el IP interno del
telfono H.323 detrs de cada firewall.
WebUI
1. Outgoing Rule
Name: H323Out
Action: NAT
Service: H323
2. Incoming Rules
Name: H323In
Action: SAT
Service: H323
Comment: Permitir llamadas entrantes a telfonos H.323 en ip-phone.
SAT
Translate Destination IP Address: To New IP Address: ip-phone (direccin IP
del telfono)
18.4. H.323
169

Name: H323In
Action: Allow
Service: H323
Destination Network: ip-wan (external IP of the firewall)
Comment: Permitir llamadas entrantes al telfono H.323 en ip-phone.
Then click OK
Para hacer llamadas al telfono detrs del Firewall D-Link, haga una llamada a la
direccin IP externa en el firewall. Si mltiples telfonos H.323 son ubicados detrs del
firewall, una regla SAT debe ser configurada para cada telfono. Esto significa que
direcciones mltiples externas deben ser utilizadas. Sin embargo, es preferible
utilizar un gatekeeper H.323 como en el escenario H.323 con Gatekeeper
(ver 18.4.5), cuando esto slo requiere una direccin externa.
Ejemplo: H.323 con Gatekeeper
En este escenario, un gatekeeper H.323 es ubicado en el DMZ del Firewall D-Link.

Una regla es configurada en el firewall para permitir el trfico entre la red privada
170
Donde estn conectados los telfonos H.323 en la red interna y al Gatekeeper en el

DMZ. El Gatekeeper en el DMZ es configurado con una direccin privada.
Se necesitan aadir las siguientes reglas al listado de reglas en ambos firewalls,

asegrese de que no hay reglas rechazando o permitiendo el mismo tipo de
puertos/trfico ante estas reglas.
WebUI
1. Incoming Gatekeeper Rules

Name: H323In
Action: SAT
Service: H323-Gatekeeper
Comment: una regla SAT para comunicacin entrante con el Gatekeeper localizado
en ip-gatekeeper.
SAT
Translate Destination IP Address: To New IP Address: ip-gatekeeper
(direccin IP del gatekeeper)
18.4. H.323
171

Name: H323In
Action: Allow
Destination Network: ip-wan (IP externa del Firewall)
Comment: Permitir comunicacin con el Gatekeeper.

Name: H323In
Action: Allow
Service: Gatekeeper
Destination Interface: DMZ
Destination Network: ip-gatekeeper (IP address of gatekeeper)
Comment: Permitir comunicacin entrante con el Gatekeeper.
Nota
No hay necesidad de especificar una regla especfica para llamadas salientes. El
Firewall D-Link monitorea la comunicacin entre telfonos external y el Gatekeeper
para asegurar que es posible para los telfonos internos llamar a los telfonos externos
que son registrados con el gatekeeper.
172
Ejemplo: H.323 con Gatekeeper y dos Firewalls D-Link
Este escenario es muy similar al escenario 3, con la diferencia de un Firewall D-Link

protegiendo los telfonos external. El Firewall D-Link con el Gatekeeper conectado
al DMZ debe ser configurado exactamente como en el escenario 3
(ver 18.4.5). El otro Firewall D-Link debe ser configurado como a continuacin.
Las siguientes reglas necesitan ser aadidas al listado de reglas en el firewall,

asegrese de que no hay reglas rechazando permitiendo el mismo tipo de
puertos/trfico ante estas reglas.
18.4. H.323
WebUI
173
1. Outgoing Gatekeeper Rule

Name: H323Out
Action: NAT
Comment: Permitir comunicacin saliente con un gatekeeper.
Nota
para asegurar que es posible para telfonos internos llamar a los telfonos
externos que son registrados con el gatekeeper.
Ejemplo: Utilizando el H.323 ALG en un Ambiente Corporativo
Este escenario es un ejemplo de una red ms compleja que muestra cmo el

H.323 ALG puede ser desplegado en un ambiente corporativo. En la oficina central
DMZ un H.323 Gatekeeper es ubicado de modo que pueda manejar todos los clientes
H.323 en la central-, sucursal- y oficinas remotas. Esto puede permitir a la corporacin
completa utilizar la red para ambas comunicaciones de voz e intercambio de aplicacin. Es
asumido que los tneles VPN son correctamente configurados y que todas las oficinas
utilizan rangos IP privados en sus redes locales. Todas las llamadas salientes son realizadas
174
Sobre la red telefnica existente utilizando el gateway (ip-gateway)

conectado a la red telefnica ordinaria.
Configuracin del Firewall de la Oficina Central
La oficina central ha ubicado el Gatekeeper H.323 en el DMZ del Firewall D-Link
corporativo. Este Firewall D-Link debe ser configurado como a continuacin.
18.4. H.323
WebUI
175
1. Rules IP Rules Add IP Rule:

Name: LanToGK
Action: Allow
Service: Gatekeeper
Destination Network: ip-gatekeeper
Comment: Permitir entidades H.323 en lan-net conectarse al Gatekeeper.

Name: LanToGK
Action: Allow
Service: H323
Destination Network: ip-gateway
Comment: Permitir entidades H.323 en lan-net llamar a los telfonos conectados al
Gateway H.323 en el DMZ. Recuerde utilizar el servicio correcto.
176

Name: GWToLan
Action: Allow
Service: H323
Source Interface: DMZ
Source Network: ip-gateway
Comment: Permitir comunicacin desde la Gateway a telfonos H.323 en int-net.
Recuerde utilizar el servicio correcto.

Name: BranchToGW
Action: Allow
Source Interface: vpn-branch
Source Network: branch-net
Destination Network: ip-gatekeeper, ip-gateway
Comment: Permitir comunicacin con el Gatekeeper en DMZ desde la red
Sucursal
18.4. H.323
177

Name: BranchToGW
Action: Allow
Source Interface: vpn-remote
Source Network: remote-net
Destination Network: ip-gatekeeper
Comment: Permitir comunicacin con el Gatekeeper en DMZ desde la red
Remota
Firewall de Sucursal y Oficina Remota

Los telfonos de sucursal y oficina remota H.323 y aplicaciones sern configuradas
para utilizar el Gatekeeper H.323 en la oficina central. Los Firewalls D-Link en las
oficinas remotas y sucursales deben ser configuradas como a continuacin.
La siguiente regla debe estar en ambos Firewalls, el de la Oficina Central y la
Remota.
178
WebUI

Name: ToGK
Action: Allow
Destination Interface: vpn-hq
Destination Network: hq-net
Comment: Permitir comunicacin con el Gatekeeper conectado al DMZ de la
Oficina Central.
La sucursal del Firewall D-Link tiene un Gateway H.323 conectado a su DMZ. Con el
fin de permitir al Gateway registrarse dentro del H.323 Gatekeeper en la Oficina Central,
la siguiente regla debe ser configurada.
18.4. H.323
WebUI
179

Name: GWToGK
Action: Allow
Source Interface: DMZ
Destination Interface: vpn-hq
Source Network: ip-branchgw
Destination Network: hq-net
Comment: Permitir al Gateway comunicarse con el Gatekeeper conectado a
la Oficina Central.
Nota
para asegurarse de que es posible para los telfonos internos llamar a los telfonos
externos que estn registrados con el gatekeeper.
CAPITULO
19
Sistema de Deteccin de Intrusos

(IDS)
19.1
Vista General
La Deteccin de Intrusos es una tecnologa que monitorea el trfico de red, buscando

indicios de violaciones de seguridad, o intrusiones. Una Intrusin puede ser definida como
un intento de comprometer ciertas partes de un sistema computacional, evitar sus
mecanismos de seguridad. Como estas formas de ataques son un acontecimiento
comn en el Internet, y pueden a menudo ser fcilmente automatizados por un
agresor, la Deteccin de Intrusos es una tecnologa importante para identificar y
prevenir estas amenazas.
Con el fin de hacer un IDS efectivo y confiable, el IDS D-Link va a travs de tres niveles
de procesamiento y dirige las siguientes preguntas:
Qu trfico analizar
Qu buscar (ej. qu es un ataque)
Qu accin llevar a cabo
Como un ejemplo, imagine un sistema que est monitoreando FTP. Podra slo
preocuparse del trfico relacionado a FTP, mientras que el trfico relacionado con, por ejemplo
POP3, no tendra inters en cualquiera. Adems, slo los ataques que aluden al
protocolo FTP seran de inters.
181
182
Captulo 19. Sistema de Deteccin de Intrusos (IDS)
El IDS D-Link utiliza una combinacin de Reglas de Deteccin de Intrusos, Patrn de

Coincidencias, y Acciones, con el fin de responder las tres interrogantes mencionadas
con anterioridad.
19.1.1
Reglas de Deteccin de Intrusos
Una Regla de Deteccin de Intrusos define el tipo de trfico-servicio que debe ser
analizado. Adems es definido aqu el filtro de campos con respecto a fuente y
destino, interfaces, redes, puertos y protocolos. Slo el trfico coincidente con esta
regla es pasado al siguiente nivel de procesamiento de IDS, donde el anlisis actual
toma lugar.
19.1.2
Patrn de Coincidencia
Con el fin de que el IDS identifique correctamente un ataque, este debe saber qu es un
Ataque. Para conseguir esto, patrones pre-definidos, denominados signatures, son
creados para describir ciertos ataques. El trfico de red es luego analizado por el IDS,
buscando por estas coincidencias. Esto es conocido adems como misuse
detection o signature detection.
Considere el siguiente ejemplo. Un usuario intenta recuperar el archive de contrasea
passwd desde un sistema, utilizando FTP:
RETR passwd
Una signature buscando por el texto ASCII RETR y passwd puede causar una
coincidencia en este caso, sealando que se ha encontrado un ataque.
Con el fin de hacer este ejemplo fcil de seguir, se utilizarn patrones contenedores de
Texto ASCII. Esto no es necesario; los patrones pueden de todas formas contener
datos binarios.
Si es encontrado un ataque, se llevar a cabo el siguiente nivel de procesamiento del
IDS- causa de accin.
19.1.3
Accin
Luego de que ha sido detectada una intromisin, una accin respuesta debe ser tomada.
Dependiendo de la gravedad del ataque, el trfico puede tanto ser desechado,
Registrado, ambos, o simplemente ignorado.
19.2. Cadena de Eventos
19.2
183
Cadena de Eventos
Lo siguiente es una imagen simplificada de la cadena de eventos cuando un paquete

llega al firewall, con enfoque en el IDS (note que no es considerado otro
Sub-sistema) son posibles dos escenarios, uno donde la regla de ajuste del firewall debe
aceptar el paquete antes de pasarlo en el IDS, y otro donde el IDS puede procesar el
trfico incluso si la regla de ajuste decide que el paquete debe serdesechada.
19.2.1
Escenario 1
El trfico es solamente pasado en el IDS si la regla de ajuste IP del firewall decide

que es vlido, mostrado en la Figura 19.1.
Figura 19.1: Cadena de Eventos IDS Escenario 1
184
1. Un paquete llega al firewall y son ejecutadas verificaciones iniciales con

respecto a las direcciones IP de fuente/destino y puertos de fuente/destino.
Si este paquete es aceptado por las reglas de ajuste del firewall IP, ser
establecida una conexin entre la fuente y el destino, antes de pasar el
paquete al sub-sistema IDS. Si el paquete es parte de una conexin ya existente,
es adems pasado en el sub-sistema IDS. Si el paquete es denegado por la regla
de ajuste IP, este sera desechada
2. La informacin de fuente y destino del paquete es comparada con la Regla de
Deteccin de Intrusos. Si es encontrada una coincidencia, esta es pasada al
siguiente nivel de procesamiento IDS- patrn de coincidencia. Si no, ser
aceptado, con acciones futuras posibles, como es definido por la regla de ajuste
(por ejemplo traduccin de direccin, registro, etc).
3. La ingeniera de patrn de coincidencia registra el payload
del paquete por signatures pre-definidas. Si es encontrada alguna coincidencia
el nivel final de procesamiento IDS es llevado a cabo la accin. Si no, el
paquete es aceptado, con posibles acciones futuras, como lo define la regla de
ajuste (por ejemplo traduccin de direccin, registro, etc).
4. Dependiendo de las acciones definidas en la Regla de Deteccin de Intrusos, el
paquete puede ser desechado, registrado, ambos, o ignorado.
19.2.2
Escenario 2
ste es similar al primer escenario, pero con una gran diferencia. El trfico sera siempre
pasado en el IDS a pesar de la accin elegida por la regla de ajuste del firewall IP.
Esto significa que el trfico que el firewall deseche ser tambin analizado.
La Figura 19.2 muestra la secuencia de eventos cuando la regla de ajuste IP del firewall
decide que el trfico no es vlido y deber ser desechado y el trfico es pasado al IDS
para futuros anlisis.
1. Un paquete llega al firewall y son desplegadas verificaciones concernientes a
la fuente/destino de direcciones IP y puertos de fuente/destino. La regla de
ajuste del firewall IP decide que este paquete deber ser desechado, pero antes
de eso, el trfico es pasado por el sub-sistema IDS para futuros
anlisis.
2. La informacin de fuente y destino del nuevo paquete es comparado con la Regla
de Deteccin de Intrusos. Si es encontrada una coincidencia, esta ser pasada al
siguiente nivel del procesamiento IDS patrn de coincidencia. Si no, el paquete
es desechado.
19.2. Cadena de Eventos
185
Figura 19.2: Cadena de Eventos IDS Escenario 2
186
3. La ingeniera de patrn de coincidencia registra el payload de el paquete por

firmas pre-definidas. Si es encontrada alguna coincidencia, se lleva a
cabo el nivel final de procesamiento IDS la accin. Si no, el paquete es
desechado
4. Como este paquete no ser aceptado por el firewall, la nica accin
de inters es registrar el intento de intrusin.
19.3
Grupos de Firmas
Usualmente, existen varios ataques para un protocolo especfico, y puede ser ms

favorable buscar por todos ellos al mismo tiempo cuando se analiza el trfico de red.
Para realizar esto, las firmas que refieren al mismo protocolo son agrupadas juntas.
Por ejemplo, todas las firmas que refieren al protocolo FTP son localizadas en un
Grupo, mientras que las firmas que refieren al POP3 son localizadas en otro
grupo. En adicin a esto, las firmas que se originan desde la misma fuente
son tambin agrupadas juntas. Esto significa que las firmas que son slo vlidas
cuando se originan desde la red externa son agrupadas juntas, mientras que las
firmas que son vlidas cuando se originan desde la red interna son localizadas
en otro grupo. Esto es realizado con el fin de permitir un procesamiento ms efectivo
para el IDS.
19.4
Actualizacin Automtica de Base de Datos

de Firmas
El descubrimiento de nuevos ataques es un proceso en curso. Los nuevos ataques son

algunas veces descubiertos diariamente, de modo que es importante tener una base de
datos de firma actualizada con el fin de proteger la red desde la ltima
amenaza. La base de datos de la firma contiene todas las firmas y grupos de
firmas comnmente reconocido por el IDS.
Una nueva, base de datos de firma actualizada puede ser descargada automticamente
por el firewall, a un intervalo configurable. Esto es realizado a travs de una
conexin HTTP a un servidor D-Link, albergando el ultimo archivo de base de datos de
firma. Si este archivo de base de datos de firma tiene una versin ms nueva que la
actual la nueva base de datos de firma ser descargada, de este modo reemplazando la
antigua version. Esto asegurar que la base de datos de la firma estar siempre
actualizada.
Figura 19.3 es una imagen simplificada que describe el flujo de comunicacin cuando
un nuevo archivo de base de datos de firma es descargado:
19.5. Receptor de Registro para Eventos IDS
187
Figura 19.3: Actualizacin de Base de datos de signature
19.5
Recepcin de Registro SMTP para Eventos IDS
Con el fin de recibir notificaciones va e-mail de eventos IDS, un receptor de registro

SMTP puede ser configurado. Este e-mail contiene una suma de eventos IDS
que han ocurrido en un periodo de tiempo usuario-configurable.
Cuando se ha producido un evento IDS, el firewall D-Link esperar por segundos de
Tiempo en espera antes de enviar el e-mail de notificacin. Sin embargo, el e-mail slo
ser enviado si el nmero de eventos ocurridos en este perodo de tiempo es igual a,
o mayor, que el Log Threshold . Cuando este e-mail ha sido enviado, el firewall esperar
por un Tiempo Mnimo de Repeticin antes de enviar un nuevo e-mail.
Ejemplo: Configurando un Receptor de Registro SMTP

En este ejemplo, una Regla de Deteccin de Intrusos es configurada con un Receptor
de Registro SMTP y los siguientes valores:
Minimum Repeat Time: 600 seconds
Hold Time: 120 seconds
Log Threshold: 2 events
188
Una vez que un evento IDS ocurre, la Regla de Deteccin de Intrusos es gatillada. Al
menos un nuevo evento ha ocurrido dentro del Hold Time, 120 segundos, de este
modo alcanzando el nivel de log threshold (al menos 2 eventos han ocurrido). Esto
resulta en un e-mail a ser enviado, conteniendo una suma de eventos IDS.
Varios eventos IDS pueden ocurrir despus de esto, pero para prevenir un exceso de
servidores mail, el firewall esperar por 600 segundos (10 minutos) antes de enviar
un nuevo e-mail, conteniendo informacin sobre los nuevos eventos. Un servidor
SMTP es asumido para ser configurado en el libro de direccin, con un nombre de
direccin IP objetiva smtp-server.
WebUI
1. SMTP log receiver:

adding a SMTP log receiver
System Log and Event Receivers Add
SMTP Event Receiver:
General
Name: smtp4IDS
SMTP Server: smtp-server
Server Port: 25 (estndar para Internet)
Llene en las direcciones e-mail alternativas en los recuadros de editar ( se pueden
configurar por sobre 3 direcciones).
Sender: hostmaster
Subject: Log event from D-Link Firewall
Minimum Repeat Delay: 600
Hold Time: 120
Log Threshold: 2
2. Reglas IDS.
Habilitar el registro en la pgina de configuracin Log Settings para una regla
especfica IDS y utilizando Todos los receptores receptor especfico smtp4IDS
configurado antes como receptor de registro.
19.6. Escenario: Ajustando IDS
19.6
189
Escenario: Configurando IDS
El siguiente ejemplo ilustra los pasos necesarios para ajustar IDS para un simple
escenario donde un servidor mail es expuesto al Internet en la red DMZ, con una
direccin IP pblica, y debe ser protegida por el IDS, como se muestra en la Figura
19.4. El Internet puede ser alcanzado a travs del firewall en la interfaz WAN.
Figura 19.4: Un Escenario IDS
WebUI
1. Configurando Objetos y Servicios:

Se asume que un objeto definiendo el servidor mail ha sido creado y que la interfaz y
red objetiva existen para la red interna y externa.
En caso de que el servicio para SMTP no exista realmente, este debe ser creado, lo
Cual es realizado en Objects Services. El tipo es TCP, y puerto de destino es 25.
2. Crear Regla IDS:
Esta regla IDS ser llamada IDSMailSrvRule, y el servicio a utilizar es el previamente
creado servicio SMTP. La interfaz de Fuente y Red de Fuente define desde donde
proviene el trfico, en este ejemplo la red externa.
La Interfaz de Destino y Red de Destino definen dnde es direccionado el trfico,
en este caso el servidor mail. La Red de Destino debe por lo tanto ser ajustada al
Objeto definiendo el servidor mail.
190
IDS/IDP IDS Rules Add IDS/IDP Rule:

Name: IDSMailSrvRule
Service: smtp
Also inspect dropped packets: En caso de que todo el trfico coincide esta regla
debe ser escaneado (esto tambin significa que el trfico que la regla-ajuste principal
podra desechar),el Also inspect dropped packets recuadro de verificacin debe ser
marcado lo cual es el caso en este ejemplo.
Source Interface: WAN
Source Network: wan-net
Destination Network: ip mailserver
Si es deseado un registro de intentos de intrusin, esto puede ser configurado en la
etiqueta de Registro, donde un receptor de registro puede ser elegido.
3. Crear Accin IDS
Cuando esta Regla IDS ha sido creada, una accin debe ser creada adems,
especificando qu firma debe utilizar el IDS cuando datos escaneados coinciden
la Regla IDS, y qu debe hacer el firewall en caso de que una intrusin sea descubierta.
Los intentos de intromisin deben causar que la conexin sea desechada, de modo que
Action es ajustado para Proteger. La intensidad es ajustada a All, con el fin de
hacer coincidir todas las firmas posibles. Signatures es ajustado a FROM EXT MAIL
SMTP con el fin de utilizar las firmas que describen ataques desde la red externa
tratando con el protocolo SMTP.
IDS/IDP IDS Rules IDSMailSrvRule Add IDS Rule
Action:
Action: Protect
Severity: All
Signatures: FROM EXT MAIL SMTP
Para resumir, debe ocurrir lo siguiente: Si es descubierto el trfico desde la red externa,
al servidor mail, el IDS ser activado. En caso de que el trfico coincida con cualquiera
de las firmas en el FROM EXT MAIL SMTP grupo de firma, la conexin
ser desechada, de este modo se protege el servidor mail. Si un receptor de registro
ha sido configurado, el intento de intrusin ser adems registrado.
Parte
VIII
Red Privada Virtual

(VPN)
VPNs, Redes Virtuales Privadas, entregan medios para establecer

Links seguros a grupos. Es extendido sobre redes pblicas va la
Aplicacin de Encriptacin y Autentificacin, ofreciendo buena
flexibilidad, proteccin efectiva, y eficiencia de costo en las
conexiones sobre el Internet.
Tpicos en esta parte incluyen:
Introduccin a VPN
Introduccin a Criptografa
VPN en Firewalls
Protocolos & Tneles VPN
Planeamiento VPN
CAPITULO
20
VPN Bsico
20.1
Introduccin a VPN
Hace un tiempo las redes corporativas eran islas separadas de conectividad

local. Hoy en da la mayora de las redes son conectadas entre s por el Internet.
Temas de proteccin de redes locales desde crimen basado en Internet e intrusin
son resueltos por firewalls, sistemas de deteccin de intrusos, software anti-virus y
otras inversiones de seguridad. Sin embargo, los negocios estn incrementando a
menudo su utilizacin de Internet como un medio de comunicacin
eficiente y econmica.
Como se ha aprendido de una manera difcil, no todas las partes del Internet pueden
ser confiadas en nuestro tiempo. Intereses privados as como requisitos de comunicacin
corporativa necesita un medio para que los datos sean capaces de viajar a travs de
Internet a su receptor previsto sin permitir que nadie ms lo lea o altere. Esto es
tan importante como que el receptor pueda verificar que nadie est falsificando
Informacin, ej. pretendiendo ser alguien ms.
VPNs, Virtual Private Networks, entregan un significado apropiado de costo-eficiencia
para el establecimiento de links seguros a grupos que desean intercambiar informacin
en un medio digno de confianza.
20.1.1
VPNs vs Conexiones Fijas
El utilizar lneas arrendadas u otros canales no pblicos para intercambiar datos entre
organizaciones no es un nuevo concepto. Se ha realizado desde que los
193
194
Captulo 20. VPN Bsico
primeros computadores comenzaron a comunicarse entre s. En un comienzo, la

comunicacin estaba limitada a enlaces de comunicacin de rea local, pero con
el tiempo, las personas encontraron razones para tener que intercambiar informacin
con sus computadores a travs de grandes distancias.
Las conexiones fijas son usualmente muy confiables en la medida que el tiempo de
funcionamiento y amplitud de banda disponible sea afectado. Estos son
bastante seguros, mientras que nadie ataque la infraestructura telefnica o arranque
sus fibras pticas del suelo y adhiera su propio equipo en stas. Conexiones fijas
de larga distancia, que entregan las apropiadas medidas de seguridad que sern tomadas,
pueden considerarse Private Networks.
Sin embargo, los canales fijos de comunicacin son slo eso: fijos. Si usted contrata una
conexin fija entre compaa A y B, usted slo permitir la comunicacin entre esas
compaas. Si varias organizaciones desearan comunicarse entre ellas en todas
direcciones, se necesitaran conexiones fijas por separado entre todas las
organizaciones. Tales situaciones rpidamente escalan ms all de todo
manejo y costo-eficiencia:
- Dos organizaciones requieren slo 1 conexin.
- Tres organizaciones requieren 3 conexiones.
- Cinco organizaciones requieren 10 conexiones.
- Siete organizaciones requieren 21 conexiones.
- Diez organizaciones requieren 45 conexiones.
- 100 organizaciones requieren 4950 conexiones.
Se puede argumentar que tal vez alguna comunicacin se puede realizar por medio
de intermediarios. Si se desea hablar con la compaa B, Se pueden enviar mis datos tal
vez a la compaa C que tiene un enlace con la compaa B? De esta manera No se
tendra un vnculo a la compaa B de mi propiedad ?
En algunos casos, en pequea escala, esto puede resultar. Por otro lado, esto no puede
resultar en todos incluso si est en una escala manejable. Considere una compaa que
vende un producto a diez clientes que compiten entre ellos.
- Podra alguno de ellos aceptar que sus confirmaciones de pedidos y
entregas viajen a travs de las manos de uno de sus competidores?
- Difcilmente.
20.2. Introduccin a la Criptografa
195
Se requiere de otra solucin.

Desde la perspectiva de conectividad y seguridad, Virtual Private Networks
pueden an ser vistas como fixed connections ya que estas entregan
conectividad entre dos o ms organizaciones. Este es un hecho que no cambia
aunque la Criptografa es desplegada para implementar el lado Virtual de la
Private Network.
20.2
Introduccin a la Criptografa
Criptografa entrega un medio para crear Virtual Private Networks a travs de

internet con una inversin no adicional en cables, lneas arrendadas, u otra conectividad.
Es una expresin umbrella cubriendo tres tcnicas bsicas y beneficios:
Confidenciabilidad
Nadie salvo los receptores previstos son capaces de interceptar y comprender la
comunicacin. La Confidenciabilidad es lograda por encriptacin.
Autentificacin & Integridad
Una prueba para el receptor de que la comunicacin fue en realidad enviada por
el remitente esperado, y que los datos no han sido modificados en el trnsito.
Esto es logrado por la autentificacin, a menudo por el uso de
Claves Criptograficas(cryptographic
keyed hashes)
No-rechazo
Una prueba de que el remitente en realidad ha enviado los datos; el remitente no
puede negarlo despus de haberlo enviado. No-rechazo es usualmente un efecto
secundario benigno de autentificacin.
20.2.1
Encriptacin
Encriptacin es un proceso de codificacin de informacin sensible desde un texto sin

formato de texto cifrado ilegible a travs de algn algoritmo matemtico. La operacin
de los algoritmos es variada y usualmente parametrizada por un gran nmero aleatorio,
conocido como clave. El texto cifrado es encriptado por la clave y necesita la misma
clave o una clave relacionada para ejecutar el procedimiento contrario decriptacin,
para volver a el texto sin formato original.
Los algoritmos de Encriptacin pueden ser clasificados en tres tipos
simtrico, asimtrico, Encriptacin hbrida.
196
Encriptacin Simtrica
En la Encriptacin Simtrica, la misma clave es utilizada para tanto la encriptacin
como la decriptacin. Por lo tanto la clave es compartida por el remitente y los
recipientes, y debe ser mantenida en secreto. El utilizar la misma clave secreta es un
mtodo rpido y de simple clculo, pero la clave de distribucin entre usuarios en
primer lugar es un problema mayor, el cual debe ser llevado a cabo muy cuidadosamente
para prevenir que la clave pase a manos errneas.
Para asegurar el compartir la clave secreta, claves de sesin o claves pblicas son a
menudo involucrados en la operacin actual.
Una clave de sesin, como su nombre describe, es slo vlido para una sesin. Incluso
si la clave es comprometida en una sesin, esta no puede ser utilizada para una
decriptacin futura. Otra solucin es el uso de clave pblica manejada por la
Encriptacin Asimtrica presentada a continuacin.
Actualmente, el algoritmo de Encriptacin Asimtrica ms comnmente usado
incluye:
DES y Triple DES
DES utiliza una clave de 56-bit y es considerada igual en resistencia a la
mayora de los otros algoritmos que utilizan claves de 40-bit keys. Esta es
relativamente una clave de corta longitud por estndar moderno implicando que
es actualmente considerado vulnerable a ataques de fuerza bruta.
Triple-pass DES utiliza tres claves diferentes en tres pasos DES, formando
una clave terica de longitud de 168 bits.
Blowfish
Una cifra bloqueada de 64-bit con longitud de clave variable entre 32 y 448
bits.
Twofish
Una cifra bloqueada de 128-bit con longitud de clave de 128, 192, o 256
bits.
CAST-128
Una cifra bloqueada de 64-bit con una clave de 128-bit, menos frecuentemente
empleado que Blowfish.
AES
Una medida bloqueada de 128-bit con longitudes de clave de 128-256 bits, una
sonido alternativo al perodo DES.
La implementacin del VPN de firewall D-Link soporta todos los algoritmos anteriores.
197
Encriptacin Asimtrica
Un par de claves es utilizada en la Encriptacin asimtrica, uno denominado clave pblica,
la cual puede estar disponible para cualquiera que desee utilizar encriptacin, y la otra,
denominada clave privada, que debe permanecer confidencialmente y es conocida
slo por el dueo.
Las dos claves son nmeros primarios muy largos y matemticamente relacionados,
pero una no podra ser utilizada para resolver la otra. Nadie puede enviar una informacin
privada a un receptor, supongamos A, encriptando la informacin utilizando la clave pblica
A s . Pero no slo A estar capacitado para recobrar la informacin por la decriptacin
del texto cifrado utilizando la clave privada relacionada. Adems, si alguna informacin
conocida puede ser recuperada correctamente decriptando con la clave pblica de A, sta
debe haber sido encriptada por la clave privada de A, y por lo tanto por A. Esto significa
que el algoritmo asimtrico entrega pruebas de origen. RSA y DSA son los algoritmos
asimtricos mejor conocidos y ms comnmente utilizados.
Comparado con la Encriptacin simtrica, las claves ms largas causan una baja
velocidad y recurso de intensidad que el utilizado por encriptacin asimtrica, y por
lo tanto es inconveniente para la Encriptacin de grandes cantidades de datos. Esto es
generalmente utilizado para asesorar la distribucin de clave simtrica y tareas de
Autentificacin. La combinacin de algoritmos simtricos y asimtricos es denominada
Hybrid Encryption.
Hybrid Encryption
La Encriptacin Hbrida combina lo mejor de los dos mundos: algoritmos simtricos y
asimtricos. La clave Simtrica entrega una Encriptacin y Decriptacin ms rpida, y
los proyectos asimtricos entregan un camino conveniente para compartir la clave
secreta.
Protocolo de intercambio de clave Diffe-Hellman:
El protocolo Diffe-Hellman permite a los usuarios intercambiar una clave secreta sobre
un medio inseguro sin secretos previos, lo cual es uno de los mtodos de intercambio de
clave ms generalmente utilizados soportando varios protocolos seguros de Internet
ej. SSL, SSH, e IPsec.
En el protocolo, cada lado de la conexin genera un par de claves privada-pblica
relacionadas, y publica la parte pblica. Luego del intercambio de clave pblica, se es
capaz de calcular una nueva clave secreta utilizando la clave privada de uno y la clave
pblica de otro. La clave resultante es comn para ambos lados, y puede ser utilizada
como una clave secreta compartida para la encriptacin simtrica. De tal modo,
198
la informacin de clave crtica no es transmitida a travs de una conexin

insegura.
20.2.2
Autentificacin e Integridad
En adicin a la Encriptacin, los mtodos de Autentificacin son necesarios para

asegurar la integridad y autenticidad de datos encriptados.
Se puede pensar fcilmente que la Encriptacin entrega una proteccin suficientemente
buena; sta despus de todo asegura que la informacin sea transferida en un
texto cifrado ilegible. No obstante, la Encriptacin no entrega ningn tipo de proteccin
contra la alteracin de datos encriptados y nada acerca de identidad del usuario.
Si alguien puede interceptar el flujo de datos encriptados y modificarlos, el

resultado en el receptor final, luego de la decriptacin, podra ser alterado. El
resultado final de las modificaciones podra seguramente ser impredecible para la
persona que intercepta el flujo de datos, pero si su meta es daar de manera sutil,
una modificacin en los datos encriptados podra ser suficiente. Qu sucede si, por
ejemplo, un documento es enviado a imprimir en cientos de miles de copias, y el texto
es distorsionado en cada diez pginas?
Otro caso no deseado es el denominado ataque man-in-the-middle, en donde un
tercer personaje intercepta la clave pblica desde el intercambio entre dos lados y
responde con claves falsas. De este modo, el hombre en el medio establece 2 conexiones
seguras a ambos lados, y puede decriptar sus conversaciones libremente.
Estos casos son donde el mecanismo de autentificacin entra en juego. La
autentificacin sirve para probar al receptor que los datos son realmente
enviados por la persona que reclama haberlo hecho. Y ms importante, esta
prueba que los datos no han sido alterados luego de dejar al remitente. El
mecanismo es logrado por la utilizacin de Firma Digital y Certificado
Firma Digital
Una firma digital es un sello utilizado para probar la identidad de una persona, y
asegurar la integridad del mensaje original. La firma es creada utilizando el plan de
Encriptacin Asimtrica; esta no puede ser imitada por nadie ms, y el remitente no
puede rechazar fcilmente el mensaje que ha sido firmado.
El procedimiento de producir una firma digital trabaja como a continuacin:

199
Por el lado del remitente:

- El remitente prepara un par de claves pblica-privada, y publica la pblica.
- Un tipo de funcin, conocido como funcin hash, es operado en un mensaje, y

se obtiene un mensaje resumen de longitud fija. (La funcin matemtica
es solo en un sentido; el mensaje original no puede ser recalculado desde el
resumen y cualquier cambio al mensaje original har al resumen
totalmente diferente.)
- El remitente encripta el mensaje de resumen utilizando la clave privada.
- El mensaje resumen encriptado se vuelve la firma digital del remitente del mensaje,
y es nico para ese mensaje.
- La firma digital es enviada al receptor junto con el mensaje de texto sin formato
original.
Por el otro lado:
- El receptor utiliza la funcin hash para hacer un mensaje resumen del mensaje
sin formato recibido.
- Utilizando la clave pblica del remitente, el receptor decripta la firma digital
para obtener el mensaje resumen calculado por el remitente.
- Los dos resmenes son comparados.
- Si los dos resmenes son idnticos, el mensaje recibido es vlido.
Certificado
Como es introducido en 8.4 X.509 Certificados, el firewall D-Link soporta adems el
certificado digital para ser utilizado para ms adelante autentificar que la clave pblica
realmente pertenezca a la presunta persona.
Un certificado es emitido por una autoridad de certificacin (CA) contenedora de una copia
de la clave pblica del poseedor del certificado e informacin correspondiente, un
nmero de serie, tiempo de expiracin, y la firma digital del CA, para que un receptor
pueda verificar que el certificado es real. El certificado digital es soportado por los
Firewalls D-Link conforme al X.509 estndar.
200
El CA crea el certificado firmando la clave pblica de autentificacin y la informacin de

identidad del poseedor de la clave con su propia clave privada. El receptor tiene copias
de la clave pblica del CA para ser capaces de validar la firma certificada y
confiar en el CA y la clave pblica firmada.
El CA es adems responsable de manejar el CRL para reportar el certificado que
ya no es vlido debido a, por ejemplo, que la clave privada correspondiente est
comprometida o que la informacin de identidad ha cambiado.
20.3
Por qu VPN en Firewalls
Virtual Private Network (VPN) puede ser implementada de muchas maneras distintas.
Las grandes diferencias estn en si utilizar o no las puertas de enlace de seguridad:
Dispositivos de red cuyo propsito es ejecutar el trabajo de encriptacin y
autentificacin. Hay tanto beneficios como inconvenientes en cada despliegue
diferente de puerta de enlace de seguridad.
La puerta de enlace de seguridad, puede ser ubicada en varias localidades
diferentes con relacin a su router y su firewall:
Fuera del firewall, en lnea
Fuera del firewall, en la red externa
Entre el firewall y la red interna
En la red interna
En un DMZ separado
Incorporado en el firewall mismo
Cada escenario anterior tiene sus distintos beneficios e inconvenientes. Los asuntos
que necesitan ser consideradas incluyen:
Puede el firewall proteger la puerta de enlace de seguridad e intentos de
registro de los ataques en ellos?

Soporta la configuracin a clientes roaming?
Puede el firewall inspeccionar y registrar el trfico que pasa dentro y fuera del VPN?
Puede la configuracin aadir puntos de fallo a la conexin Internet?
20.3. Por qu VPN en Firewalls
201
En casos donde la puerta de enlace VPN es localizada fuera del firewall, puede
el firewall reconocer el trfico VPN protegido desde el trfico Internet de texto sin
formato, de modo que este conoce qu pasa a travs de la red interna?
Requiere esto una configuracin adicional al firewall o anfitriones participantes
en el VPN?
En los firewalls D-Link, la Puerta de enlace de Seguridad VPN es integrada en el firewall
mismo. La razn de este diseo puede ser encontrada en el anlisis de escenario
presentado a continuacin.
20.3.1
Despliegue VPN
Fuera del Firewall, En lnea

(Figura 20.1)
Figura 20.1: Despliegue VPN Escenario 1
Beneficios
Soporta clientes roaming, aunque sea dificultoso
No se necesita informacin especial de routing en el firewall
El firewall puede ser inspeccionar y registrar texto sin formato desde el VPN
Inconvenientes
La Puerta de enlace de Seguridad no es protegida por el firewall
El firewall no puede fcilmente determinar qu trfico viene a travs de un VPN
Autentificado y cual proviene desde el Internet, especialmente en el caso de

clientes roaming
La conectividad Internet depende de la Puerta de enlace de Seguridad
202
Fuera del Firewall, en la Red Externa

(Figura 20.2)
Beneficios
La conectividad Internet no depende de la Puerta de enlace de Seguridad
El firewall puede inspeccionar y registrar el texto sin formato desde el VPN
Inconvenientes
La Puerta de Enlace de Seguridad no es protegida por el firewall
El firewall no puede fcilmente determinar qu trfico viene a travs de un VPN
Autentificado y cul proviene desde el Internet, a menos que el router

pueda ser confiable para hacer un filtro extensivo.
Se necesita informacin especial de routing en el firewall
El soporte de clientes roaming es casi imposible
Entre el Firewall y la Red Interna

(Figura 20.3)
Beneficios
Soporta clientes roaming
No se necesita informacin especial de routing en el firewall
El firewall puede proteger la Puerta de Enlace de Seguridad
Inconvenientes
203
La conectividad Internet depende de la Puerta de Enlace de Seguridad

El firewall no puede inspeccionar ni registrar el texto sin formato desde el VPN
El trfico VPN no debe normalmente ser considerado para ser una parte incorporada de
la red interna.
En la Red Interna
(Figura 20.4)
Beneficios
La conectividad Internet no depende de la Puerta de Enlace de Seguridad
Inconvenientes
El firewall no puede inspeccionar o registrar el texto sin formato desde el VPN
Se necesitan aadir rutas especiales al firewall o a todos los clientes internos
participantes en el VPN
El soporte para clientes roaming es muy difcil de conseguir
204
En un DMZ separado
(Figura 20.5)
Beneficios
La conectividad Internet no depende de la Puerta de Enlace de Seguridad
Inconvenientes
Se necesitan aadir rutas especiales al firewall
El soporte a clientes roaming es muy difcil de conseguir, ya que el firewall no
sabe dirigir a travs de la Puerta de Enlace de Seguridad con el fin de

alcanzar los clientes VPN con IPs mviles
Incorporado en el Firewall
(Figura 20.6)
Beneficios
El firewall puede proteger el subsistema de Puerta de Enlace de Seguridad
Soporta clientes roaming
205
No se necesitan aadir rutas especiales para anfitriones participantes en el VPN

Puede integrar a la perfeccin VPN y polticas firewall
Inconvenientes
La Puerta de Enlace de Seguridad integrada puede hacer al firewall menos estable.
Sin embargo, este no aade otras piezas de hardware a la cadena de puntos

que pueden fallar.
Esta solucin entrega el mas alto nivel de funcionalidad & seguridad y es elegida por
los diseos D-Link. Todos los modos normales de operacin son soportados y todo el
trfico debe ser inspeccionado y registrado por el firewall.
CAPITULO
21
Planificacin VPN
21.1
Consideraciones de Diseo VPN
Una cadena no es nunca ms fuerte que su eslabn ms dbil.

Un agresor que desea hacer uso de una conexin VPN no intentar romper la
Encriptacin VPN, ya que esto requiere grandes cantidades de clculos y tiempo.
mas bien, l/ella ver el trfico VPN como una indicacin de que hay algo realmente
liviano en el otro extremo de la conexin. Usualmente, los clientes mviles y
sucursales son blancos ms atractivos que las redes corporativas principales. Una vez
dentro de stos, ingresar a una red corporativa se vuelve una tarea mucho ms fcil.
Al disear un VPN, hay muchos asuntos no-obvios que necesitan ser tratados.
Estos incluyen:
La proteccin de computadores mviles y de hogar.
La restriccin de acceso a travs de VPN a slo servicios necesitados, ya que
los computadores mviles son vulnerables.

La creacin de DMZ para servicios que necesitan ser compartidos con otras
compaas a travs de VPN.

La adaptacin de polticas de acceso VPN para diferentes grupos de usuarios.
La creacin de polticas de distribucin de claves.
207
208
Captulo 21. Planificacin VPN
Una idea equivocada comn es que las conexiones VPN son equivalentes a la
red interna desde el punto de vista de la seguridad y que se pueden conectar
directamente sin mayores precauciones.
Es importante recordar que aunque la conexin VPN misma puede ser segura,
el nivel total de seguridad es slo tan alto como la seguridad de los puntos finales
del tnel.
Se vuelve cada vez ms comn para los usuarios en movimiento conectarse
directamente la red de sus compaas va VPN desde sus laptops. Sin embargo,
el laptop mismo no es a menudo protegido. En otras palabras, un intruso puede ganar
acceso a la red protegida a travs de un laptop no protegido y conexiones VPN
ya abiertas.
En conclusin, una conexin VPN no debe ser considerada como parte integral de una
red protegida. La puerta de enlace VPN debe en cambio ser localizada en un DMZ
especial o fuera del firewall dedicado a esta tarea. Haciendo esto, se puede restringir
cul servicio puede ser accedido va VPN y mdem y asegurar que estos servicios
estn bien protegidos contra intrusos.
En casos donde el firewall ofrece una puerta de enlace VPN integrada, es
usualmente posible dictar los tipos de comunicacin permitidos. El mdulo VPN
D-Link ofrece tal facilidad.
21.1.1
Seguridad en Punto de Trmino
Una precaucin bsica a tomar en la proteccin de su red contra ataques a mdem y

conexin VPN es asegurar que los usuarios roaming jams se comunican directamente
con el Internet. En cambio, ellos siempre son dirigidos a travs de la conexin VPN o
mdem y la red de la compaa, independiente de con quin se desean comunicar. De
este modo disfrutan mas o menos el mismo nivel de proteccin que el resto de la red.
Para las conexiones VPN, un cliente VPN competente que puede bloquear todo
el trfico Internet entrante, aparte de aquel que pasa a travs de la conexin VPN, debe
ser instalado en cada computador porttil o de hogar.
Es tambin importante recordar que las mismas restricciones colocadas en los

computadores de hogar deben ser colocadas tambin el los computadores
porttiles y de hogar que acceden a la red corporativa. Actualmente, las restricciones
ms altas deben ser colocadas en los clientes roaming.
21.1. Consideraciones de Diseo VPN
209
Puntos finales de Seguridad para computadores pertenecientes a la Compaa.

Los puntos importantes que son a menudo incluidos en las polticas de acceso remoto
incluyen:
Un software anti-virus es necesario de instalar y actualizar a travs de la conexin
remota.
Se debe elegir un sistema operativo multi-usuario donde las capacidades
finales del usuario pueden ser restringidas.

NO ajuste el cliente VPN/dialup para recordar automticamente secretos
compartidos, contrasea de acceso discado, o certificados, a menos que tales

datos sean protegidos por contrasea utilizando una encriptacin fuerte.
Cualquier vendedor que diga ser capaz de asegurar tales datos sin que el usuario
ingrese una contrasea, utilizando una tarjeta electrnica o suministrando cualquier
tipo de informacin, no est diciendo la verdad.
Si el cliente VPN ofrece un mtodo para recordar todas las contraseas sin
tener que suministrar el usuario cualquier informacin, deshabilite tal caracterstica.

Si no, tarde o temprano, alguien marcar ese recuadro, y si/cuando el computador
porttil es robado, el ladrn tundra una ruta de acceso directo a la red
corporativa.
Aplique y refuerce las mismas polticas que en los computadores de hogar. Tales
polticas usualmente incluyen:

- La no descarga de software desde el Internet
- No juegos
- No prestar el computador a amigos u otros
Inspecciones de programas de todos computadores porttiles/de hogar para
verificar la conformidad con todo lo anterior. Este proceso puede usualmente

ser automatizado en buena medida e incluso llevado a cabo a lo largo de
la conexin remota. Unos pocos archivos de escritura vern usualmente que no
hay software adicional instalado y que las claves de registro que contienen
valores para recordar contraseas etc. no han sido cambiados.
Mantiene los datos almacenados localmente en computadores porttiles a
un mnimo para reducir el impacto del hurto. Esto incluye carpetas de e-mail cache.
Actualmente, puede ser lo mejor si el mail es ledo a travs la web gateway, ya que
sto deja la minima cantidad de archivos en almacenaje local.
210
Captulo 21. Planificacin VPN
Si los requisitos anteriores no pueden ser logrados, por ejemplo, en casos donde
el computador de hogar pertenece al empleado, no se garantiza el acceso VPN.
Seguridad de Punto de trmino para Compaeros y otras Compaas

Este tema es usualmente ms sensible que el asegurar computadores que son
actualmente pertenecientes a la compaa. En casos donde la administracin ha dictado
que VPN debe ser establecido con un compaero, subsidiario, subcontratista
que tiene polticas de seguridad mucho ms relajadas, se vuelve una real pesadilla para
el staff IT.
Es lejos de ser poco comn para intrusos motivados investigar compaas
como si tuvieran conexin con sus objetivos, virtuales entre otros. Debera el objetivo
de seguridad ser muy alto, este puede probar ser ms fructfero para descubrir otras
localizaciones pueden ser alcanzadas para lanzar un ataque sobre los permetros
de defensa.
En casos donde la seguridad de la red remota no puede ser garantizada,
tcnica y/o fsicamente, puede ser una buena idea mover recursos compartidos
a servidores en un DMZ separado y ganar acceso remoto a solo a estos servidores.
21.1.2
Distribucin de Clave
Planifique sus tareas de distribucin hacia delante del tiempo. Asuntos que necesitan
ser dirigidos incluyen:
Por qu medios distribuir las claves? Email no es una buena idea.
Conversaciones telefnicas pueden ser suficientemente seguras. Esto depende

de sus polticas de seguridad local.
Cmo pueden ser utilizadas las diferentes claves? Una clave por usuario?Una
clave por grupo de usuario? Una clave por conexin LAN-to-LAN?Una clave
para todos los usuarios y una clave para todas las conexiones LAN-to-LAN? Usted
estar probablemente mejor utilizando ms claves de las que usted considera
necesarias hoy en da, ya que sto se vuelve fcil para ajustar el acceso por usuario
(grupo) en el futuro.
Deben las claves ser modificadas? Si es as, qu tan a menudo? En casos
donde las claves son compartidas con mltiples usuarios, usted puede desear
considerar proyectos superpuestos, de modo que las claves antiguas trabajen por
un pequeo perodo de tiempo cuando las claves nuevas han sido establecidas.
21.1. Consideraciones de Diseo VPN
211
Qu sucede cuando un empleado en posesin de una clave deja la
compaa? Si varios usuarios estn utilizando la misma clave, sta debe

ser modificada por supuesto.
En casos donde la clave no est directamente programada a una unidad de red
tal como un VPN gateway, Cmo debe ser almacenada la clave? Debe estar en
un floppy? Cmo una frase de paso a memorizar? En una tarjeta electrnica?
Si es fsicamente tomada, cmo debe ser administrada?
CAPITULO
22
Protocolos & Tuneles VPN
22.1
IPsec
IPsec, Internet Protocol Security, es un grupo de protocolos definidos por el

IETF(Internet Engineering Task Force) para entregar seguridad IP a la capa de red.
Es el estndar ms generalmente utilizado para implementar.
IPsec es diseado para trabajar para todos los trficos, independiente de la aplicacin.
Esta propuesta resulta en la ventaja de que ninguna aplicacin ni usuarios necesitan
conocer ningn detalle acerca de la encriptacin.
IPsec utiliza el protocolo de intercambio de clave Diffie-Hellman y encriptacin asimtrica
para establecer identidades, algoritmos preferidos, y una clave asimtrica. Luego, el
algoritmo utiliza el plan de encriptacin simtrica para encriptar datos cuando son
transferidos.
Antes de que IPsec pueda comenzar con la encriptacin y transferencia del flujo de datos,
se necesita una negociacin preliminar. Esto es logrado con el Internet Internet
Key Exchange Protocol (IKE).
En resumen, un VPN basado en IPsec, tal como D-Link VPN, es realizado en dos partes:
Internet Key Exchange protocol (IKE)

Protocolos IPsec (AH/ESP/both)
213
214
Captulo 22. Protocolos & Tneles VPN
La primera parte, IKE, es la fase de negociacin inicial, donde los dos puntos finales
VPN concuerdan en cules mtodos sern utilizados para entregar seguridad para el
trfico IP subyascente. Adems, IKE es utilizado para administrar conexiones
definiendo un grupo de Asociaciones de Seguridad, SAs, para cada conexin. SAs es
unidireccional, de modo que habrn al menos dos SAs por conexin.
La segunda parte es la actual transferencia de datos IP, utilizando los mtodos de
Encriptacin y autentificacin acordados en la negociacin IKE. Esto puede ser
logrado por varios caminos; utilizando protocolos IPsec ESP, AH, o una combinacin
de ambos.
El flujo de operacin puede ser brevemente descrita como lo siguiente:
IKE negocia cmo IKE debe ser protegido
IKE negocia cmo IPsec debe ser protegido
IPsec mueve datos en VPN
22.1.1
Protocolos IPsec
Existen dos tipos primarios de protocolo IPsec: el protocolo de Encapsulating Security

Payload (ESP) y el protocolo de Authentication Header (AH).
ESP
ESP entrega tanto autentificacin y encriptacin a los paquetes de datos.
AH
AH entrega solo autentificacin pero no encriptacin a los paquetes de datos.
AH no entrega confidenciabilidad a la transferencia de datos y es raramente utilizado;
ste NO es soportado por los Firewalls D-Link.
Dnde o no modifica el protocolo IPsec al header IP original depende de los modos
IPsec.
22.1.2
Modos de Encapsulacin IPsec
IPsec soporta dos modos diferentes: Modos de Transporte y Tnel.

Modo de Transporte encapsula los datos del paquete y deja el header IP sin
modificacin, lo cual es tpicamente utilizado en un escenario cliente-a-puerta de enlace.
22.1. IPsec
215
Modo Tnel encapsula el header IP y payload en un nuevo paquete IPsec

para transferencia, lo cual es comnmente utilizado en el escenario IPsec puerta de
enlace-a-puerta de enlace.
En el modo de transporte, el protocolo ESP inserta un header ESP luego del header
IP original, y en el modo tnel, el header ESP es insertado luego de un nuevo
header IP externo, pero antes del header IP original, interior. Todos los datos luego
del header ESP son encriptados y/ autentificados.
22.1.3
IKE
La encriptacin y Autentificacin de datos es bastante sencillo. Las nicas cosas

necesarias son los algoritmos de encriptacin y autentificacin, y las claves utilizadas
con stos. El protocolo de Intercambio de Clave Internet, IKE, es utilizado como un
mtodo de distribucin de estas claves de sesin, as como para proveer un camino
para que los puntos de trmino VPN acuerden cmo los datos deben ser
protegidos.
IKE tiene tres tareas principales:
Entrega un medio para que los puntos de trmino se autentifiquen entre s
mismos.
Establece nuevas conexiones IPsec (0c1rea pares SA)
Administra conexiones existentes
IKE mantiene el rastro de conexiones asignando un paquete de Asociaciones de

Seguridad, SAs, a cada conexin. Un SA describe todos los parmetros asociados
a una conexin particular, incluyendo cosas como el protocolo IPsec utilizado
(ESP/AH/ambos), las claves de sesin utilizadas para encriptar/decriptar
y/ autentificar los datos transmitidos. Un SA es, por naturaleza, unidireccional,
por lo tanto necesita de ms de un SA por conexin. En la mayora de los casos, en
donde solo un ESP HA es utilizado, sern creados dos SAs para cada conexin,
uno para el trfico entrante, y el otro el saliente. En casos donde el ESP y HA son utilizados
en conjunto, sern creados cuatro SAs.
Negociacin IKE
El proceso de parmetros de negociacin de conexin consiste principalmente en dos
fases:
IKE Fase-1
Negocia cmo debe ser protegido IKE para futuras negociaciones.
216
Autentifica los grupos de comunicacin, tanto con claves pre-compartidas
(PSK) o certificado.
Intercambia los materiales de enclave con mtodo Diffie-Hellman.
Son creados SAs IKE.
IKE Fase-2
Negocia cmo debe ser protegido IPsec.
Crea un par de SAs IPsec utilizando el SAs IKE desde la fase-1,
detallando los parmetros para la conexin IPsec.

Extrae el Nuevo material de enclave desde el intercambio de clave
Diffie-Helman en fase-1, para que la clave de sesin lo utilice en el flujo

protegido de datos VPN.
Tanto el SAs IKE SAs y el SAs IPsec tiene tiempos de vida limitados, descritos como
tiempo (segundos), y datos (kilobytes). Estos tiempos de vida previenen que una conexin
sea utilizada mucho, lo cual es conveniente desde una perspectiva del
criptanlisis.
La fase-1 IKE involucra un clculo muy grande, ya que sus tiempos de vida son
generalmente ms largos que los tiempos de vida de la fase-2 IPsec. Esto permite que la
conexin IPsec sea re-codificada simplemente ejecutan otra negociacin de
fase-2. No hay necesidad de hacer otra fase-1 de negociacin hasta que el tiempo de
vida SAs IKE haya expirado.
Modos de Negociacin
La negociacin IKE tiene dos modos de operacin, modo principal y modo
agresivo.
La diferencia este estos dos es que el modo agresivo pasar ms informacin en
menos paquetes, con el beneficio de un establecimiento de conexin ligeramente mas
rpido, al costo de transmitir las identidades de las puertas de enlace de seguridad
fuera de peligro.
Cuando se utiliza el modo agresivo, algunos parmetros de configuracin, tales como,
Grupos Diffie-Hellman, no pueden ser negociados, resultando de mayor importancia
el tener configuraciones compatibles en ambos extremos de comunicacin.
22.1. IPsec
217
Algoritmos IKE & IPsec

Hay un nmero de algoritmos utilizados en los procesos de negociacin.
El comprender qu hacen estos algoritmos es esencial antes de intentar
configurar los puntos de trmino VPN, ya que es de gran importancia que ambos
extremos sean capaces de acordar en todas estas configuraciones.
Encriptacin IKE & IPsec
El flujo de datos transferido en las conexiones VPN es encriptando utilizando
un plan de encriptacin simtrica.
Como es descrito en 20.2.1 Encriptacin Simtrica, los firewalls D-Link soportan los algoritmos
enlistados a continuacin:
DES
3DES
Blowfish
Twofish
CAST-128
AES
DES es solo incluido para ser interoperable con algunas antiguas implementaciones
VPN. La utilizacin de DES debe ser evitada siempre que sea posible, ya que este es un
algoritmo antiguo que ya no es considerado como seguro.
Perfect Forward Secrecy (PFS)
Perfect Forward Secrecy (PFS) es una propiedad opcional de las negociaciones IKE.
Cuando es configurado PFS, las claves que protegen la transmisin de datos no son
utilizadas para obtener claves adicionales, y el material de enclave utilizado para crear
las claves de transmisin de datos no son reutilizadas.
PFS puede ser utilizado de dos modos, el primero es PFS en claves, donde un nuevo
intercambio de clave ser ejecutado en cada fase-2 de negociacin, esto es, un
intercambio Diffie-Hellman para cada negociacin SA IPsec. El otro tipo es PFS en
identidades, donde las identidades son adems protegidas, borrando la fase-1 SA
cada vez que la fase-2 de negociacin ha finalizado, asegurando que no ms de una
fase-2 de negociacin sea encriptada utilizando la misma clave.
IKE crea una nueva SA para cada SA IPsec necesitada.
218
PFS es con gran consumidor de recursos y tiempo y es generalmente deshabilitado, ya

que no se desea que ninguna clave de encriptacin o autentificacin sea
comprometida.
Intercambio de clave
IKE intercambia la clave de encriptacin simtrica utilizando el protocolo Diffie-Hellman
de intercambio de clave. El nivel de seguridad que ste ofrece es configurable
especificando el grupo Diffie-Hellman(DH).
Los grupos Diffie-Hellman soportados por el VPN D-Link son:
DH grupo 1 (768-bit)
La seguridad del intercambio de clave aumenta en la medida que los grupos DH

crecen, as como lo hace el tiempo de los intercambios
NAT Transversal
Un gran problema encontrado por los protocolos IKE e IPsec es la utilizacin de NAT,
Ya que los protocolos IKE e IPsec no estn diseados para trabajar a travs de redes
NATed. Debido a sto, se ha desarrollado algo denominado como NAT transversal .
NAT transversal es un complemento a los protocolos IKE e IPsec que los hace trabajar
cuando son NATed.
En resumen, NAT transversal es dividido en dos partes:
Adicin a IKE que deja a los pares IPsec coordinar entre ellos que soportan
NAT transversal, y las versiones especficas del proyecto que stas soportan.
Modificaciones a la encapsulacin ESP. Si es utilizado NAT transversal, ESP es
encapsulado en UDP, lo cual permite un NATing ms flexible.

NAT transversal es solo utilizado si ambos extremos tienen soporte para ste.
con este propsito, NAT transversal espera que VPNs enve un vendedor ID especial,
que diga al otro extremo que s comprende NAT transversal, y cules versiones
especficas del proyecto soporta.
Para detectar la necesidad de utilizar NAT transversal, ambos pares IPsec envan
hashes de sus propias direcciones IP junto con la fuente de puerto UDP utilizado en las
negociaciones IKE. Esta informacin es utilizada para ver si la direccin IP
22.1. IPsec
219
y puerto de fuente de cada par que utiliza es la misma que el otro par ve.
Si la direccin de fuente y puerto no se ha modificado, el trfico no ha sido NaTed en el
camino, y NAT transversal no es necesario. Si la direccin de fuente y/o puerto ha cambiado,
el trfico ha sido NATed, y el NAT transversal es utilizado.
Una vez que el par IPsec ha decidido que NAT transversal es necesario, la negociacin IKE
es movida fuera del Puerto UDP 500 a Puerto 4500. Esto es necesario ya que ciertos
dispositivos NAT tratan paquetes UDP al Puerto 500 de manera diferente desde otros paquetes
UDP en un esfuerzo por trabajar alrededor de los problemas NAT con IKE. El problema
es que este manejo especial de paquetes IKE puede en efecto romper las negociaciones
IKE, lo cual es el por qu el Puerto UDP utilizado por IKE ha sido modificado.
Otro problema que resuelve NAT transversal es con respecto al protocolo ESP.
El protocolo ESP es un protocolo IP y no hay informacin de puerto como en TCP y
UDP, lo cual hace imposible tener ms de un cliente NATed conectado a la misma
puerta de enlace remota al mismo tiempo. Para resolver este problema, los paquetes ESP
son encapsulados en UDP. El trfico ESP-UDP es enviado al puerto 4500, el mismo puerto
que IKE cuando es utilizado NAT transversal. Una vez que el puerto ha sido modificado,
todas las comunicaciones IKE siguientes son realizadas sobre el Puerto 4500. Los paquetes
mantenidos con vida son adems enviados peridicamente para mantener el mapeo NAT
con vida.
22.1.4
Integridad & Autentificacin IKE
En la fase de negociacin IKE, la Autentificacin a los extremos comunicativos es

llevada a cabo antes de cualquier transferencia actual de datos, y la integridad del mensaje
negociado debe ser asegurada por algoritmos matemticos. Los VPNs D-Link incluyen
varios mtodos para lograr estas tareas crticas, ej., funciones hash para integridad de
mensaje, claves pre-compartidas y certificados X.509 basado en algoritmos de
encriptacin asimtrica (ej. RSA, DSA ) para verificar identidades.
220
Hashing para Integridad

Para asegurar el mensaje de integridad durante la negociacin IKE, algunas
funciones hash son utilizadas por los firewalls D-Link para entregar resmenes de
mensajes para diferentes mtodos de autentificacin. El mecanismo de hashing
asegura que los mensajes no modificados llegar al otro extreme de la
transmisin.
Los firewalls D-Link ofrecen las dos funciones hash siguientes:
SHA-1 160-bit mensaje resumen.
MD5 128-bit mensaje resumen, ms rpido que SHA-1 pero menos seguro.
Clave pre-compartida (PSK)

La clave pre-compartida es uno de los dos mtodos de autentificacin primarios
soportados por los VPN D-Link. Con la autentificacin de la clave pre-compartida,
una clave simtrica idntica debe ser manualmente configurada en ambos sistemas. La
clave pre-compartida es una frase de paso secreta, normalmente una serie de caracteres
ASCII o un set de nmeros Hexadecimales aleatorios. En los VPN D-Link, el usuario
puede tanto ingresar una contrasea ASCII como utilizar generacin de clave aleatoria
automtica. Ambos extremos necesitan tener la misma clave definida y la clave
debe ser mantenida en secreto.
La clave pre-compartida es utilizada solo para la autentificacin primaria; las dos
entidades negociantes luego generan claves de sesin dinmica compartida para el
SAs IKE y SAs IPsec.
Las ventajas de utilizar PSK son: primero, las claves pre-compartidas no requieren una
Autoridad de Certificacin(CA) central CAs para tareas de autentificacin; segundo sta
entrega un medio de Autentificacin de puntos de trmino primario, basado en qu, pueden
implementar las futuras negociaciones IKE para claves de sesin dinmica. Las claves de
sesin sern utilizadas por un perodo de tiempo limitado, donde luego un conjunto nuevo
de claves de sesin son utilizados.
Sin embargo, una cosa que debe ser considerada cuando se utiliza PSK es la
distribucin de clave. Cmo son distribuidas las claves pre-compartidas para clientes
VPN remotos y puertas de enlace? Este es un asunto mayor, ya que la seguridad del
sistema PSK est basado en que los PSK se mantengan en secreto. Un PSK debe ser
comprometido de alguna manera, la configuracin necesitar ser modificada para utilizar
un nuevo PSK.
22.1. IPsec
221
Certificado X.509
La otra opcin para Autentificacin primaria es utilizar Certificado X.509 dentro de cada
puerta de enlace VPN. Para probar la identidad, cada puerta de enlace tiene un
certificado propio firmado por un CA confiable. El certificado prueba que la clave
pblica aadida a ste realmente pertenece a la puerta de enlace del titular, y cada
puerta de enlace adems tiene una copia de la clave pblica del CA para ser capaz de
confiar en el CA y validar los certificados de otras puertas de enlace establecidas para
se CA.
Comparado al uso de PSK, los certificados son ms flexibles. Muchos clientes VPN,
por ejemplo, pueden ser administrados sin tener la misma clave pre-compartida
configurada en todos ellos, lo cual es a menudo el caso cuando se utilizan claves precompartidas y clientes roaming. A cambio, un cliente debe ser comprometido, el
certificado del cliente puede simplemente ser revocado. No se necesita re-configurar
cada cliente. Pero a este mtodo se le aade complejidad. Un certificado basado en
Autentificacin puede ser utilizado como parte de una gran infraestructura, haciendo a
todos los clientes VPN y puertas de enlace dependientes de terceros. En otras palabras,
hay ms cosas que deben ser configuradas, y hay ms cosas que pueden salir mal.
Listas de Identificacin (Listas ID)

Cuando un certificado X.509 es utilizado como mtodo de autentificacin, el firewall
aceptar todas las puertas de enlace remoto clientes VPN que son capaces de presentar un
certificado firmado por cualquiera de las Autoridades de Certificacin(CAs) confiables. sto
puede ser un problema potencial, especialmente cuando se utilizan clientes roaming.
Considere un escenario donde los empleados en curso deben tener acceso a las redes
internas corporativas utilizando clientes VPN. La organizacin administra su propio
CA, y los certificados son establecidos para los empleados. Diferentes grupos de empleados
tienen probablemente acceso a diferentes partes de las redes internas. Por ejemplo,
miembros de fuerzas de venta necesitan acceso a servidores corriendo el orden de sistema,
mientras ingenieros tcnicos necesitan acceso a base de datos tcnicas.
Cuando las direcciones IP de empleados viajeros clientes VPN no pueden ser

previstos, las conexiones entrantes VPN de los clientes no pueden ser diferenciados.
Esto significa que el firewall es incapaz de controlar el acceso a varias partes de las
redes internas.
El concepto de Listas de Identificacin (Listas ID) presenta una solucin a este
problema. Una lista de identificacin contiene una o ms identidades (IDs) configurables,
222
donde cada identidad corresponde al campo de tema en un certificado

X.509. Las listas de Identificacin pueden por lo tanto ser utilizadas para regular qu
Certificado X.509 tiene acceso ganado a cul conexin IPsec.
LDAP
LDAP, abreviacin para Lightweight Directory Access Protocol, es un set de protocolos
para el acceso y descarga de directorios de informacin. LDAP soporta TCP/IP,
lo cual es necesario para cualquier tipo de acceso Internet. ste es utilizado para
varias aplicaciones corriendo en diferentes plataformas computacionales para
obtener informacin desde un servidor LDAP, tal como la descarga de certificado y
registro CRL. El servidor LDAP mantiene el certificado de Autoridad de Certificacin,
el Certificado de Revocacin de Lista(CRL), y el certificado de usuario final. La
direccin del servidor LDAP puede ser configurada en cada punto de trmino VPN.
IKE XAuth
IKE Extended Authentication (XAuth), es una caracterstica extendida para mejorar la
autentificacin IKE estndar.
XAuth no reemplaza IKE; esto ocurre luego de la fase-1 de negociacin IKE, pero
antes de la fase-2 de negociacin SA IPsec IKE. Antes de XAuth, IKE slo
soporta la Autentificacin del dispositivo, no la autentificacin del usuario que utiliza
el dispositivo. Con XAuth, IKE puede ahora autentificar los usuarios luego de que el
dispositivo ha sido autentificado durante la fase-1 de negociacin. Si es habilitado una
combinacin de nombres de usuario & contrasea ser solicitada para aadir la
autentificacin del usuario.
22.1. IPsec
22.1.5
223
Escenarios: Configuracin IPsec
Ejemplo: Configurando un Tnel IPsec LAN-a-LAN
Figura 22.1: Escenario ejemplo LAN-a-LAN.
Este ejemplo describe cmo configurar un tnel IPsec LAN-a-LAN, utilizado para
conectar una sucursal a la red de la oficina central.
La red de la oficina central utiliza el span de red 10.0.1.0/24 con un IP de firewall
externo ip head wan. La sucursal utiliza el span de red 10.0.2.0/24 con el IP de firewall
externo ip branch wan.
Se debe realizar la siguiente configuracin tanto en el firewall de la oficina central
como en el de la sucursal.
224
WebUI
1. Clave pre-compartida
Antes que todo se necesita crear una clave pre-compartida para utilizar con la
autentificacin IPsec.
Objects VPN Objects Pre-Shared Keys Add Pre-Shared
Key:
Ingrese lo siguiente
Name: Ingrese un nombre para la clave pre-compartida, TestKey por ejemplo.
Passphrase/Shared Secret: Ingrese una frase de paso secreta.
Passphrase/Confirm Secret: Ingrese la frase de paso nuevamente.
2. Tnel IPsec
El siguiente paso es configurar el tnel IPsec.
Interfaces IPsec Tunnels Add IPsec Tunnel:
General
Name: IPsecTunnel
Local Network: Esta es la red local a la que los usuarios remotos se conectarn.
De modo que en el firewall de la oficina central se utilizar 10.0.1.0/24 y en el
firewall de la sucursal se utilizar 10.0.2.0/24.
Remote Network: Esta es la red desde la que los usuarios remotos se conectarn.
De modo que en el firewall de la oficina central se utilizar 10.0.2.0/24 y en el
Firewall de la sucursal se utilizar 10.0.1.0/24.
Remote Endpoint: Esta es la IP pblica de cada firewall, donde el tnel ser
terminado. Esto significa que el firewall de la oficina central utilizar
ip branch wan y el firewall de la sucursal utilizar ip head wan.
Encapsulation Mode: Tunnel
Algoritmos
IKE Algorithms: Medium or High
IPsec Algorithms: Medium or High
Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, TestKey en

este caso.
22.1. IPsec
225
3. Configurar Ruta
El siguiente paso es configurar la ruta al tnel IPsec.
Interface: IPsecTunnel
Network: En el firewall de la oficina central 10.0.2.0/24 y en el firewall de la sucursal
10.0.1.0/24.
4. Configurar Reglas
Finalmente se necesita configurar las reglas para permitir el trfico dentro del tnel.
Ver 14.3 Configuracin de Reglas IP para detalles de cmo configurar las reglas.
Ejemplo: Configurando un Tnel IPsec para Clientes Roaming
Figura 22.2: Escenario Ejemplo para Clientes Roaming IPsec.
Este ejemplo describe cmo configurar un tnel IPsec, utilizado por clientes roaming
(usuarios mviles) que se conectan a la oficina central para ganar acceso remoto.
La red de la oficina central utiliza el span de red 10.0.1.0/24 con firewall IP externo
ip wan.
226
Se necesita realizar la siguiente configuracin en el firewall de la oficina central.

WebUI
Antes que todo se necesita crear una clave pre-compartida a utilizar para la
Key:
Name: Ingrese un nombre para la clave pre-compartida, SecretKey por ejemplo.
Passphrase/Shared Secret: Ingrese una frase de paso secreta.
Passphrase/Confirm Secret: Ingrese la frase secreta nuevamente.
22.1. IPsec
227
2. Tnel IPsec
El siguiente paso es configurar el tunnel IPsec.
General
Name: RoamingIPsecTunnel
Local Network: 10.0.1.0/24 (Esta es la red local a la que se conectarn los usuarios
roaming)
Remote Network: El firewall ve este campo y lo compara con la direccin de fuente
IP del usuario roaming con el fin de permitir las conexiones solo desde la net local
configurada a la net remota. Sin embargo, en este escenario, los clientes deben ser
capaces para roam desde cualquier lado. De este modo, este campo es ajustado a
todas las nets (0.0.0.0/0). Este significa que virtualmente todas las direcciones IPv4
existentes son capaces de conectarse.
Remote Endpoint: (None)
Encapsulation Mode: Tunnel
Algoritmos
IKE Algorithms: Medium or High
IPsec Algorithms: Medium or High
Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, SecretKey

en este caso.
Routing
Automatic Routing
El tnel IPsec necesita ser configurado para aadir dinmicamente rutas a la
red remota cuando el tnel es establecido. Esto es realizado bajo la etiqueta de
Routing. Aadir Dinmicamente ruta a la red remota cuando un tnel es
establecido: Enable
3. Configurar Reglas
Finalmente se necesita configurar las reglas para permitir el trfico dentro del tnel.
Ver 14.3 Configuracin de Reglas IP para detalles sobre cmo configurar las reglas.
228
22.2
PPTP/ L2TP
Como fue introducido en las secciones previas, IPsec entrega mtodos para que dos
puntos de trmino transporten paquetes de datos cuando stos estn conectados por
un canal privado. Tal tcnica es a menudo llamada Tunneling. Como las funciones de
IPsec que se han discutido, los protocolos de tunneling ofrecen el estndar para
encapsulacin, transmisin, y decapsulacin del proceso de transferencia de datos.
Los puntos de trmino del tnel deben acordar en el mismo protocolo de tunneling para
ser capaces de comunicarse.
IPsec ofrece la encapsulacin ESP de modo Tnel con encriptacin y autentificacin y
se vuelve extensamente utilizado para implementaciones VPN muy seguras.
Sin embargo hay algunas limitaciones en utilizar tunneling IPsec, por ejemplo, no
es soportado por todos los sistemas y puede ser difcil de configurar.
En contraste, los protocolos de tunneling PPTP y L2TP son generalmente soportados y

de una configuracin ms fcil que IPsec.
22.2.1
PPTP
Point-to-Point Tunneling Protocol(PPTP) es construdo en el protocolo Point-to-Point

(PPP), Generic Routing Encapsulation (GRE), y TCP/IP.
Formato de tunneling PPTP
PPTP cuenta con el protocolo PPP para encapsular datagramas (ver 9.4.1
PPP). La estructura PPP es luego encapsulada en paquetes GRE con informacin de
routing includa, lo cual es sucesivamente empaquetado con un header IP de acuerdo
a la convencin de direccionamiento Internet, mostrado en la Tabla 22.1. La
estructura de Capa 2 es la unidad bsica de transporte. El trailer y header de capa Data-link
son puestos en el paquete encapsulados PPTP para formar el tunneling de datos.
PPTP utiliza puerto TCP 1723 para su control de conexin y GRE ( protocolo 47
IP) para los datos PPP.
IP Header
GRE Header
PPP
Payload
PPP Frame
Tabla 22.1: Encapsulacin PPTP

22.2. PPTP/ L2TP
229
Autentificacin PPTP
La Autentificacin como una opcin en PPTP es derivado directamente desde PPP, tal
como:
Password Authentication Protocol (PAP)
Challenge Handshake Authentication Protocol (CHAP)
Microsoft CHAP version 1 y version 2
PAP es un proyecto de Autentificacin sin formato que solicita y enva nombre de

usuario y contrasea en texto sin formato. Por lo tanto no es resistente al
ataque Man-in-the-middle y ataque diccionario cuando la contrasea del cliente
de acceso remoto puede ser fcilmente interceptado y determinado. Adems, PAP
NO ofrece proteccin contra repeticin de ataques y spoofing.
CHAP utiliza algoritmo MD5 para hash un desafo y proteger contra repeticin de ataques
utilizando una serie de cuestionamientos arbitrarios por intento de autentificacin.
Esto es mejor que PAP ya que la contrasea jams es enviada sobre el link.
En cambio, la contrasea es utilizada para crear el hash de un camino MD5. Esto
significa que CHAP requiere de contraseas que sean almacenadas en una forma
encriptada reversible.
MS-CHAP v1 es similar a CHAP, la diferencia principal es que con
MS-CHAP v1 la contrasea slo necesita ser almacenada como un hash MD4 en vez de
una forma encriptada reversible.
MS-CHAP v2 es similar a MS-CHAP v1 con la diferencia de que el servidor adems
se autentifica a s mismo con el cliente.
Encriptacin PPTP
Inicialmente, la conexin PPP no utiliza encriptacin. Para entregar confidenciabilidad
al tunneling, el Microsoft Point-to-Point Encryption
(MPPE) puede ser utilizado con PPTP para soportar un tnel de datos encriptados.
MPPE utiliza el algoritmo RC4 RSA para la encriptacin y soporta claves de sesin de
40-bit, 56-bit y 128-bit, lo cual es modificado frecuentemente para asegurar la
seguridad. Sin embargo, la clave de encriptacin inicial es derivada basado en la
contrasea del usuario, y por lo tanto puede ser vulnerable a ataques.
Desde que la seguridad PPTP es basada en contrasea, la eleccin de una buena
contrasea es de importante consideracin. A pesar de la longitud de clave elegida (40,
56 o 128-bit), la verdadera intensidad de la clave es gobernada por lo aleatorio de la
contrasea.
230
Ejemplo: Configurando Servidor PPTP

Este ejemplo describe cmo ajustar un servidor PPTP. La red LAN es una red
192.68.1.0/24, y 10.0.0.0/24 es la red de la interfaz WAN. Los clientes PPTP se
conectarn al servidor PPTP en 10.0.0.1 en la interfaz WAN, con el fin de acceder a
los recursos en la interfaz LAN.
WebUI
1. Base de Datos de Usuario Local

Se necesita crear una base de datos de usuario local para almacenar la informacin del
usuario en ella. Para mayor informacin, ver 17.2.1 seccin de Base de Datos del
Usuario Local.
User Authentication Local User Databases Add Local User
Database:
Ingrese un nombre para la base de datos del usuario, UserDB ser utilizado en este
ejemplo:
Name: UserDB
2. Aadir un Usuario a la Base de Datos de Usuario Local
Se necesita aadir un usuario a la base de datos de usuario local creado anteriormente.
User Authentication Local User Databases UserDB Add
User:
Username: testuser
Password: testpassword
Confirm Password: testpassword
Es posible configurar una IP esttica para este usuario en la seccin de configuracin
Por-usuario PPTP/L2TP. Luego haga click en OK
22.2. PPTP/ L2TP
231
3. Servidor PPTP
El siguiente paso es configurar el servidor PPTP.
Interfaces L2TP/PPTP Servers Add L2TP/PPTP Server:
General
Name: PPTPServer
Inner IP Address: Esta es la direccin IP del servidor PPTP dentro del tnel. En este
caso 192.168.1.1
Tunnel Protocol: PPTP
Outer Interface Filter: WAN
Server IP: Esta es la IP a la que los usuarios remotos se conectarn, en este caso
10.0.0.1
PPP Parameters
Use User Authentication Rules: Enable (Especifique que la autentificacin debe ser
ejecutada)
Microsoft Point-to-Point Encryption (MPPE): Seleccione la intensidad de encriptacin
a permitir.
IP Pool: 192.168.1.10-192.168.1.20 (La fuente de direcciones IP para asignar IP:s
desde usuarios conectados)
DNS (Primary/Secondary): Especifique cualquier servidor DNS eventual para distribuir
a clientes conectados.
NBNS (Primary/Secondary): Especifique cualquier servidor NBNS (WINS) eventual
para distribuir a clientes conectados.
Add Routes
Proxy ARP: Dejar como predeterminado, o seleccionar especficamente la interfaz

LAN si los IP:s en la fuente IP son parte de la red en la interfaz LAN.
232
4. Regla de Autentificacin del Usuario

El siguiente paso es configurar la regla de autentificacin del usuario para utilizar
en la autentificacin.
User Authentication User Authentication Rules Add User
Authentication Rule:
Name: PPTPUARule
Agent: PPP
Interface: PPTPServer
Originator IP: 0.0.0.0/0 (todas las nets)
Terminator IP: 10.0.0.1 (La IP que el servidor PPTP est percibiendo)
Authentication Options/Local User DB: UserDB (La base de datos creada
anteriormente)
PPP Agent Options: Seleccione los protocolos de autentificacin a soportar.
(El ajuste predeterminado es soportar todos los protocolos de autentificacin)
5. Reglas IP
El paso final es ajustar una regla para permitir el trfico desde clientes PPTP a
la red LAN.
Name: FromPPTPClients
Action: Allow
Service: Any
Source Interface: PPTPServer
Source Network: 192.168.1.10-192.168.1.20
Destination Network: 192.168.1.0/24 (Red en la interfaz LAN)
Si los clientes PPTP deben ser capaces de accede a los recursos externos (tales
como el Internet por ejemplo) una regla NAT debe ser configurada tambin.
Cuando la configuracin es guardada y activada, debe ser posible para los clientes
PPTP conectarse al servidor PPTP en 10.0.0.1 en la interfaz WAN.
22.2. PPTP/ L2TP
233
Ejemplo: Configurando Cliente PPTP

Este ejemplo describe cmo ajustar un cliente PPTP. El servidor PPTP es localizado en
10.0.0.1 y todo el trfico debe ser dirigido sobre el tnel PPTP.
WebUI
1. Cliente PPTP
El primer paso es configurar el cliente PPTP.
Interfaces L2TP/PPTP Clients Add L2TP/PPTP Client:
Name: PPTPClient
Tunnel Protocol: PPTP
Remote Endpoint: 10.0.0.1 (La IP del servidor PPTP)
Remote Network: 0.0.0.0/0 (todas las nets, como se ha dirigido todo el trfico en el
tnel)
Password: La contrasea entregada por su proveedor de servicio.
Confirm Password: Redigite la contrasea.
Se mantienen los ajustes predeterminados para la autentificacin y encriptacin. Si
es habilitado dial-on-demand, el tnel slo ser capaz cuando haya trfico en la
interfaz del cliente PPTP. Es posible configurar cmo el firewall debe sentir actividad
en la interfaz, y cunto tiempo esperar sin actividad antes de que el tnel sea
desconectado. Luego haga click en OK
234
2. Rutas
El paso final es configurar una ruta de un slo titular al servidor PPTP sobre la
interfaz WAN.
Interface: WAN
Network: 10.0.0.1 (IP del servidor PPTP)
Gateway: La puerta de enlace en la red WAN. Ninguna si no se utiliza puerta de enlace.
Metric: 0
Cuando la configuracin es guardada y activada, el cliente PPTP debe ser conectado
al servidor PPTP, y todo el trfico (excepto el trfico a 10.0.0.1) debe ser dirigido sobre
la interfaz PPTP.
22.2.2
L2TP
El Layer Two Tunneling Protocol (L2TP) es una extensin basada en PPP, lo cual es
ms flexible que PPTP e IPsec en que stos utilizan el protocolo UDP para comunicacin,
lo cual facilita el atravesar rutas con NAT. En adicin, L2TP soporta llamadas
mltiples para cada tnel mientras slo una conexin por tnel es permitida por PPTP
tunneling.
Formato de Tunneling L2TP
L2TP cuenta con el protocolo para encapsular datagramas (ver 9.4.1
PPP). La estructura PPP es luego encapsulada en un header L2TP, lo cual es en
cambio empaquetado con un header UDP e IP para cumplir con la convencin
de direccionamiento internet, mostrado en la Tabla 22.2. El header de capa de datos-link
y trailer son puestos en el paquete encapsulado L2TP para formar el tunneling de datos.
L2TP utiliza puerto 1701 UDP para su control y conexiones de datos.
Autentificacin L2TP
Los Tneles PPTP y L2TP utilizan los mismos mecanismos de autentificacin que las
conexiones PPP tales como, PAP, CHAP, MS-CHAP v1 y v2.
22.2. PPTP/ L2TP
235
IP Header UDP Header
L2TP Header
PPP
Payload
PPP Frame
Tabla 22.2: Encapsulacin L2TP.
Encriptacin L2TP
L2TP llama a MPPE para encriptacin.
L2TP/IPsec
Los mtodos de autentificacin direccionados por PPTP y L2TP principalmente cuentan
con la contrasea del usuario, y la encriptacin al tunneling de datos no es inicialmente
diseado por estos protocolos. De este modo, PPTP y L2TP NO son resistentes a
muchos ataques comunes, ej. Ataques Man-in-the-middle, Repeticin,
Spoofing, Diccionario, y Dos.
L2TP e IPsec pueden trabajar juntos para beneficiarse de tanto flexibilidad como
una seguridad ms fuerte. Encapsulando L2TP como payload en un paquete IPsec,
conexiones pueden ser protegidas activando Encriptacin y autentificacin. Esta
combinacin es denominada L2TP/IPsec.
Ejemplo: Configurando Servidor L2TP/IPsec (PSK)

Este ejemplo describe cmo ajustar un servidor L2TP con IPsec, utilizando claves
pre-compartidas. La red LAN es una red 192.68.1.0/24, y 10.0.0.0/24 es la red
en la interfaz WAN. Los clientes L2TP se conectarn al servidor L2TP/IPsec en
10.0.0.1 en la interfaz WAN, con el fin de accede a recursos en la interfaz
LAN.
236
WebUI
Primero que todo se necesita crear una clave pre-compartida para utilizar con la
Autentificacin IPsec.
Key:
Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo
Passphrase/Shared Secret: Ingrese una frase secreta.
2. Base de Datos del Usuario Local
Se necesita crear una base de datos de usuario local para almacenar informacin del
usuario.
Para mayor informacin, ver 17.2.1 seccin de Base de Datos de Usuario Local.
User Authentication Local User Databases Add Local User
Database:
Ingrese un nombre para la base de datos de usuario, UserDB se utilizar en este
ejemplo:
Name: UserDB
3. Aadir Usuario a la Base de datos Local
Se necesita aadir un usuario a a la base de datos de usuario local creado antes.
User Authentication Local User Databases UserDB Add
User:
Username: testuser
Password: testpassword
Confirm Password: testpassword
Es posible configurar una IP esttica para este usuario en la seccin de
configuracin IP por usuario PPTP/L2TP. Luego
haga click en OK
22.2. PPTP/ L2TP
237
4. Tnel IPsec
General
Name: L2TPIPsecTunnel
Local Network: Esta es la red local a la que los usuarios remotes se conectarn.
Como vamos a utilizar L2TP esta es la IP a la que se conectarn loc clientes L2TP.
En este caso 10.0.0.1
Remote Network: El firewall mira en este campo y lo compara con la direccin IP
de la fuente del usuario roaming con el fin de permitir conexiones slo desde
la net local configurada a la net remota. Sin embargo, en este escenario, los clientes
deben ser capaces de roam desde cualquier lugar. De este modo, este campo es
ajustado a todas las nets (0.0.0.0/0). Eso significa que virtualmente todas las
direcciones IPv4- existentes son capaces de conectarse.
Encapsulation Mode: Transport
Algoritmos
IKE Algorithms: Medium
IPsec Algorithms: Medium
Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, L2TPKey

en este caso.
Routing
Automatic Routing
El tnel IPsec necesita ser configurado para aadir dinmicamente rutas a la red
remota cuando el tnel es establecido. Esto es realizado bajo la etiqueta de
Routing. Aada dinmicamente una ruta a la red remota cuando un tnel es
establecido: Enable
238
Captulo. Protocolos & Tneles VPN
5. Servidor L2TP
El siguiente paso es configurar el servidor L2TP.
Interfaces L2TP/PPTP Servers Add L2TP/PPTP Server:
General
Name: L2TPServer
Inner IP Address: Esta es la direccin IP del servidor L2TP dentro del tnel. En este
caso 192.168.1.1
Tunnel Protocol: L2TP
Outer Interface Filter: L2TPIPsecTunnel
Server IP: Esta es la IP a la que se conectarn los usuarios remotos, en este caso
10.0.0.1
PPP Parameters
Use User Authentication Rules: Enable (Especifica que la autentificacin debe ser
ejecutada)
Microsoft Point-to-Point Encryption (MPPE): Seleccione la intensidad de encriptacin
a permitir.
IP Pool: 192.168.1.10-192.168.1.20 (La fuente de direcciones IP para asignar IP:s
a usuarios conectados)
DNS (Primary/Secondary): Especifica cualquier servidor DNS eventual para distribuir
a clientes conectados.
NBNS (Primary/Secondary): Especifica cualquier servidor NBNS (WINS) eventual
para distribuir a clientes conectados.
Add Route
Proxy ARP: Dejar como predeterminado, seleccione especficamente la interfaz LAN

si la IP:s en la fuente es parte de la red en la interfaz LAN.
22.2. PPTP/ L2TP
239
6. Regla de Autentificacin del Usuario

El siguiente paso es configurar la regla de autentificacin del usuario para utilizar en
la autentificacin.
User Authentication User Authentication Rules Add User
Authentication Rule:
Name: L2TPUARule
Agent: PPP
Interface: L2TPServer
Originator IP: 0.0.0.0/0 (todas las nets)
Terminator IP: 10.0.0.1 (La IP que est escuchando el servidor L2TP)
Authentication Options/Local User DB: UserDB (La base de datos de usuario creada
anteriormente)
PPP Agent Options: Seleccionar los protocolos de autentificacin a soportar.
(El ajuste predeterminado es soportar todos los protocolos de autentificacin)
7. Reglas IP
El paso final es ajustar una regla para permitir el trfico desde clientes L2TP en la
red LAN.
Name: FromL2TPClients
Action: Allow
Service: Any
Source Interface: L2TPServer
Source Network: 192.168.1.10-192.168.1.20
Destination Network: 192.168.1.0/24 (Red en la interfaz LAN)
Si los clientes L2TP deben ser capaces de accede a los recursos externos (tales como
el Internet por ejemplo) una regla NAT debe ser adems configurada.
Cuando la configuracin es guardada y activada, debe ser posible para los clientes
L2TP/IPsec el conectarse al servidor L2TP/IPsec en 10.0.0.1 de la interfaz WAN.
240
Chapter 22. VPN Protocols & Tunnels
Ejemplo: Configurando Cliente L2TP/IPsec

Este ejemplo describe cmo ajustar un cliente L2TP con IPsec, utilizando claves
pre-compartidas. El servidor L2TP est localizado en 10.0.0.1 y todo el trfico debe
ser dirigido sobre el tnel L2TP.
WebUI
1. Clave Pre-Compartida
Primero que todo se necesita crear una clave pre-compartida para utilizar en la
Key:
Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo.
Passphrase/Shared Secret: Ingrese la frase secreta. (Debe ser la misma
configurada en el servidor L2TP/IPsec)
22.2. PPTP/ L2TP
241
2. Tnel IPsec
General
Name: L2TPIPsecTunnel
Local Network: IP de la interfaz a conectar.
Remote Network: 10.0.0.1 (Cuando sta es donde es localizado el servidor
L2TP/IPsec)
Encapsulation Mode: Transport
Algoritmos
IKE Algorithms: Medium
IPsec Algorithms: Medium
Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, L2TPKey

en este caso.
Routing
Automatic Routing
El tnel IPsec necesita ser configurado para aadir rutas no-dinmicamente a la red
remota cuando el tnel es establecido. Esto es realizado bajo la etiqueta de
Routing. Aadir rutas dinmicamente a la red remota cuando un tnel es establecido:
Disable
242
3. Cliente L2TP
El siguiente paso es configurar el cliente L2TP.
Interfaces L2TP/PPTP Clients Add L2TP/PPTP Client:
Name: L2TPClient
Tunnel Protocol: L2TP
Remote Endpoint: 10.0.0.1 (La IP del servidor L2TP/IPsec)
Remote Network: 0.0.0.0/0 (todas las nets, cuando se dirige todo el trfico en el
tnel)
Autentificacin
Password: La contrasea entregada por su proveedor de servicio.
Confirm Password: Re-digite la contrasea.
Se mantienen los ajustes predeterminados para la autentificacin y la encriptacin
dial-on-demand es habilitado, el tnel es slo capaz cuando hay trfico en la
interfaz del cliente L2TP. Es posible configurar cmo el firewall debe sentir actividad
en la interfaz, y cunto tiempo esperar sin actividad antes de que el tnel sea
desconectado. Luego haga click en OK
4. Rutas
El paso final es configurar una ruta de un slo titular al servidor L2TP/IPsec sobre la
interfaz IPsec.
Interface: L2TPIPsecTunnel
Network: 10.0.0.1 (IP del servidor L2TP/IPsec)
Gateway: (None)
Metric: 0
Cuando la configuracin es guardada y activada, el cliente L2TP/IPsec
debe conectarse al servidor L2TP/IPsec, y todo el trfico (a excepcin del trfico a
10.0.0.1) debe ser dirigido sobre la interfaz.
22.3. SSL/TLS (HTTPS)
22.3
243
SSL/TLS (HTTPS)
El protocolo de Secure Sockets Layer (SSL)es un buscador basado en seguridad.

Una alternativa a estndar IPsec basado en VPNs.
Requiere de un poco o ningn software o hardware en PCs remoto, y la conexin segura
es principalmente operada por el buscador web y el servidor web, lo cual es
fcilmente implementado y mayor recurso costo-eficiencia en comparacin a la
estructura IPsec. Adems, puede fcilmente entregar autentificacin
usuario-por usuario.
Construido sobre encriptacin de clave privada y autentificacin de clave pblica, el
SSL entrega privacidad e integridad de datos entre dos aplicaciones comunicantes
sobre TCP/IP. En el mdulo OSI, la capa de protocolo SSL es ubicada entre el
protocolo TCP/IP de protocolo de capa de red conexin-orientada y la capa de aplicacin.
(ej. HTTP). Este cuenta con certificados de autentificacin de identidad y la clave
pblica de identidad es utilizada para negociar la clave simtrica para la
encriptacin de trfico.
El Transport Layer Security (TLS), es el sucesor a SSL y entrega mucho de la misma
funcionalidad pero con una estandarizacin ms firme y punto de apoyo en el
IETF.
El HTTP que corre en la parte superior del SSL/TLS es a menudo llamado HTTPS, lo cual
es un uso comn de SSL/TLS para asegurar el servicio de buscador en web entre un
buscador y un servidor web. Cuando usted visita web sites seguros, usted puede ser
notificado de que el URL comienza con las letras https:// en vez de http://.
Este HTTP es conseguido dentro del SSL/TLS. Los buscadores web ms comnmente
utilizados soportan HTTPS, y ms y ms web sites utilizan el protocolo para obtener
informacin del usuario confidencial, tal como nmeros de tarjeta de crdito.
Hay un nmero de versiones del protocolo SSL/TLS. Los firewalls D-Link soportan por
completo SSLv3 y TLSv1.
Parte IX
Administracin de Trfico
La Administracin de Trfico se preocupa del control y localizacin

de la banda ancha de la red y minimizacin de posibles retrasos y
congestiones en la red. Esta abarca la medida de la capacidad de red
y modelos de trfico para administrar recursos de red eficientemente
y entregar los servicios de banda ancha que se necesitan.
Los tpicos incluidos en esta parte incluyen:
Traffic Shaping
Server Load Balancing (SLB)
CAPITULO
23
Traffic Shaping
23.1
Vista General
Las redes TCP/IP son llamadas para llevar el trfico perteneciente a una variedad
creciente de usuarios con diversas necesidades de servicio, por ejemplo, transferencia
masiva de datos, telefona IP, VPNs, y aplicaciones multimedia. Pero uno de los mayores
inconvenientes de TCP/IP es la falta de una verdadera funcionalidad de Quality of Service
(QoS), la cual es la habilidad de garantizar y limitar la banda ancha para ciertos servicios
y usuarios. Aunque, existen protocolos como Diff-Serv (Differentiated Services) y otras
soluciones que intentan ofrecer QoS en redes grandes y complejas, ninguna de las
soluciones ha alcanzado un alto estndar suficiente para el uso a gran escala.
Otro hecho es que la mayora de las soluciones QoS actuales son basadas en aplicaciones,
esto es, que trabajan teniendo aplicaciones que suministran a la red con informacin
QoS. Desde el punto de vista de la seguridad, es por supuesto inaceptable que las
aplicaciones (esto es, los usuarios) decidan la prioridad de su propio trfico dentro de una
red. En escenarios sensible a la seguridad, donde el usuario no puede ser confiable, el
equipo de la red deber ser el arbitro exclusivo de prioridades y localidades de
banda ancha.
Para tratar los problemas anteriores, los firewall D-Link entregan funcionalidad QoS
y aplica lmites y garantas al mismo trfico de red, ms que confiar en las
aplicaciones/ usuarios para hacer elecciones. Es por lo tanto bien adecuado
administrar la banda ancha por un pequeo LAN as como en uno o ms puntos de
obstruccin en grandes WANs.
247
248
Captulo 23. Traffic Shaping
23.1.1
Funciones
El medio ms simple para obtener QoS en una red, visto desde la perspectiva de
seguridad as como de la funcionalidad, es tener componentes en la red, conocidos
como Traffic Shaping, responsables del control de trfico de red en puntos de
obstruccin bien definidos. Un firewall D-Link tiene un traffic shaper extensible
integrado.
El traffic shaper trabaja midiendo y enfilando paquetes IP, en trnsito, con
respecto a un nmero de parmetros configurables. Pueden ser creados ndices de
limites diferenciados y garantas de trfico basados en fuentes, destino, y parmetros de
protocolo, del mismo modo muchas reglas firewall son implementadas. Las funciones
principales pueden ser resumidas a continuacin:
Aplicacin de lmites de banda ancha ordenando paquetes que podran exceder
los lmites configurados en el paquete buffers, y los enva despus, cuando la

demanda de banda ancha disminuye momentneamente.
Dropping paquetes si los buffers de paquete estn llenos. El paquete que ser
desechado debe ser elegido de aquellos que son responsables de la

congestin.
Priorizacin del trfico de acuerdo con la eleccin del administrador; si el trfico
de alta prioridad crece mientras la lnea de comunicacin est llena, el

trfico de menor prioridad ser temporalmente limitado para hacer espacio
para el trfico de alta-prioridad.
Provee garantas de banda. Esto es comnmente cumplido al tratar cierta
cantidad de trfico (la cantidad garantizada) como de alta prioridad, y al

trfico que excede la garanta como de la misma prioridad que
cualquier otro trfico, lo cual luego comienza a competir con el trfico no
priorizado.
Los traffic shapers bien construidos no trabajan normalmente ordenando enormes
cantidades de datos y luego separando el trfico priorizado para enviarlo antes del
trfico no priorizado. Mas bien, stos intentan medir la cantidad de trfico priorizado y
luego limitar el no priorizado dinmicamente, de modo que este no interfiera con el
rendimiento del trfico priorizado.
23.2. Conductos
23.1.2
249
Caractersticas
El traffic shaper en los firewalls D-Link tienen las siguientes caractersticas claves:
Basado en Conductos
El Traffic shaping en los firewalls D-Link es manejados por un concepto basado en

conductos, donde cada conducto tiene varias posibilidades de priorizacin,
limitacin y agrupamiento. Los conductos individuales pueden ser encadenados
de diferentes maneras para construir unidades de administracin de banda ancha
que exceden por mucho las capacidades de un solo conducto.
Priorizacin de trfico y limitacin de banda ancha
Cada conducto contiene un nmero de niveles de prioridad, cada uno con su propio
lmite de banda ancha, especificado en kilobits por segundo. Los lmites pueden
adems ser especificados por el total del conducto.
Agrupamiento
El trfico a travs del conducto puede ser agrupado automticamente en pipe

users, donde cada usuario de conducto puede ser configurado a la misma
extensin que el conducto principal. Un grupo es especificado con respecto al
nmero de parmetros, por ejemplo, fuente o destino de red IP , direccin IP o
nmero de puerto.
Balance Dinmico de Banda Ancha
El traffic shaper puede ser utilizado para balancear dinmicamente la asignacin de

banda ancha de diferentes grupos de conductos si los conductos como total han
excedido sus lmites. Esto significa que la banda ancha disponible es regularmente
balanceada con respecto al agrupamiento del conducto.
Encadenamiento de Conducto
Cuando los conductos son asignados a reglas de conducto, pueden ser concadenados
por sobre ocho conductos para formar una cadena. Esto permite filtrar y limitar para
ser manejados de manera muy sofisticada.
Garantas de trfico
Con la configuracin de conducto apropiado, el traffic shaping puede ser utilizado para
garantizar la banda ancha (y de este modo calidad) para el trfico a travs del
firewall.
Una vista cercana a estas caractersticas es entregada en las secciones a continuacin.
23.2
Pipes
Un conducto es un concepto central en la funcionalidad de traffic shaping de los Firewalls

D-Link y es la base de todo control de banda ancha. Los conductos son bastante
250
simples, ya que estos no conocen mucho acerca de los tipos de trfico que pasan a
travs de estos, y no saben nada sobre la direccin tampoco. Un conducto
simplemente mide la cantidad de trfico que pasa a travs de l y aplica los
lmites configurados en cada preferencia y/ grupo de usuario. La tarea del filtro de
trfico, categorizacin, y priorizacin es realizada por las Reglas de Conducto
cubiertas en la siguiente seccin.
Los firewalls D-Link son capaces de manejar cientos de conductos simultneamente
pero en realidad, slo unos cuantos conductos son requeridos para la mayora de las
instalaciones. La nica ocasin que utiliza docenas de conductos es el escenario donde
un conducto individual es creado para cada servicio (protocolo, o cliente en
casos ISP).
23.2.1
Preferencias y Garantas
Dependiendo de aplicaciones particulares o configuraciones manuales, el trfico puede ser

tratado como si tuviera diferentes niveles de importancia.
En una versin IP de 4 paquetes, hay un campo de 1-byte denominado Type-ofService(ToS) en el header (mostrado en la Tabla 23.1). Este recuadro ToS es utilizado en
Diff-Serv, el enfoque para entregar QoS diferenciando clases de servicio en diferentes
prioridades para soportar varias aplicaciones de red. Los 6 bits restantes
de este recuadro es llamado Differentiated Services Code Point(DSCP) y los ltimos
dos bits no son definidos dentro del modelo Diff-Serv. El Diff-Serv estndar utiliza
los higher 3 bits de DSCP para ajustes de prioridad de aplicacin, el cual es organizado
en 8 niveles de preferencia desde 0 a 7; and los lower 3 bits son utilizados para ofrecer
una mejor granulacin para prioridades de preferencia. La prioridad de una aplicacin
aumenta con 0 el ms bajo y 7 el ms alto. El valor 6 y 7 es reservado para paquetes de
control de red, de modo que los valores entre 0-5 pueden ser ajustados para prioridad
basada en redes IP o aplicaciones.
Correspondiente a estos 8 niveles, un conducto en un firewall D-Link contiene 4
preferencias Low, Medium, High, and Highest para clarificar la importancia
relativa del trfico. Cada una de estas preferencias mapea a 2 niveles en la
definicin DSCP, por ejemplo, Low se mantiene para nivel 0 y 1.
El trfico en preferencia Medium ser pasado ente el trfico en preferencia
Low, el trfico en preferencia High antes de Medium y Low, y etc.
La asignacin de preferencia es controlada por las Reglas de Conducto. Con el
fin de determinar a qu preferencia pertenece el trfico, cada buffer de paquete
tiene asignada un nmero de preferencia antes de ser enviado a un conducto.
El lmite actual de banda ancha es desplegado dentro de cada preferencia;
23.2. Conductos
251
los lmites separados de banda ancha pueden ser especificados para cada una de las
4 preferencias con una unidad de kilobits por segundo. El trfico que excede el lmite
de una alta preferencia ser automticamente transferido al nivel Low para un mejor
esfuerzo de distribucin, tanto como haya espacio en esta preferencia.
1 byte
1 byte
Version IP Header Length Type-of-Service

Identification
Time-to-Live
Protocol
Source Address
Destination Address
Options(padding)
Data
2 bytes
Total Length
Flags Fragment Oset
Header Checksum
Tabla 23.1: Formato de Paquete IPv4
En adicin al lmite por preferencia, puede ser especificado un lmite por el conducto como
total. Cuando la utilizacin de banda ancha a travs del conducto alcanza el lmite total,
el trfico es priorizado dependiendo de a qu preferencia este pertenezca. Una
Higher preferencia tiene una mayor oportunidad de lograrlo a travs del conducto sin
ordenarlo.
Nota
1. Ajuste un lmite total

Con el fin de conocer cunto limitar el trfico de baja-preferencia, el conducto
necesita conocer la capacidad total.
2. Los lmites no pueden ser mayores que la conexin de banda ancha
disponible
Si los lmites de conducto son ajustados ms arriba que la banda ancha actual
disponible, el conducto jams sabr que la conexin est completa, y por lo
tanto es incapaz de acelerar el trfico de menor-preferencia.
3. La Banda ancha no puede ser garantizada si la banda ancha disponible no es
conocida en todo momento.
252
Para que cualquier traffic shaper trabaje, ste necesita conocer la banda
ancha pasando a travs del punto de obstruccin que est tratando de protect.
Si la conexin es compartida con otros usuarios o servidores que no estn bajo
el control del firewall, es casi imposible garantizar la banda ancha,
simplemente porque el firewall no conocer cunta banda ancha est
disponible para la conexin. Los lmites simples trabajarn por supuesto, pero
las garantas, las prioridades y el balance dinmico no lo hacen.
4. Buscar filtraciones
Asegrese de que todos los trficos que son deseados por el control de banda ancha
pasen a travs de los conductos.
23.2.2
Agrupamiento de Usuarios en un conducto
Si los conductos son restringidos a la funcionalidad descritas hasta el momento, el

trfico ser limitado sin relacin a la fuente o destino. Este modo de operacin es
probablemente suficiente para manejar los limites simples de trfico y garantas.
Sin embargo, los firewalls D-Link tienen la habilidad de agrupar el trfico dentro de cada
conducto. Esto significa que el trfico ser clasificado y agrupado con respecto a la
fuente o destino de cada paquete que pasa a travs del conducto.
El agrupamiento puede ser ejecutado en la fuente/destino de red, direccin IP,
puerto, interfaz. En los casos de agrupamiento de red, el tamao de red puede ser
especificado. Los casos de agrupamiento de puerto incluyen la direccin IP, significando
que el puerto 1024 del computador A no es del mismo grupo que el puerto 1024 del
computador B.
El beneficio de utilizar agrupamiento es que el control de banda ancha adicional puede ser
aplicado a cada grupo. Esto significa que si el agrupamiento es ejecutado en, por ejemplo,
agrupamiento de direcciones IP, el firewall puede limitar y garantizar la banda ancha
por direccin IP comunicada a travs del conducto.
Los lmites pueden ser ajustados tanto especificando la mxima banda ancha por grupo
manualmente utilizando el balanceo dinamico. El control primero ocurre por grupo
de usuario y luego continua con el conducto como total.
23.3. Reglas de Conducto
23.2.3
253
Balanceo de Carga Dinmico
Como fue previamente indicado, la banda ancha por usuario puede ser limitada
habilitando el agrupamiento dentro de un conducto. Esto puede ser utilizado para
asegurar que un grupo no puede consumir toda la banda ancha disponible. Pero qu pasa
si la banda ancha para un conducto como total tiene un lmite, y ese lmite es excedido?
Tal problema es tratado por una caracterstica en los firewalls D-Link denominada Balance
Dinmico. Este algoritmo asegura que el lmite de banda ancha de cada grupo es
disminudo dinmicamente (o aumentado) con el fin de balancear regularmente la
banda ancha disponible entre los grupos del conducto. La restriccin temporal ser
removida cuando los lmites configurados sean satisfechos.
Los ajustes dinmicos se realizan 20 veces por segundo, y se adaptarn rpidamente a
las distribuciones modificadas de banda ancha.
Las funciones de Balance Dinmico dentro de cada preferencia de un conducto individualmente
esto significa que si los grupos son asignados una pequea cantidad de trafico de
Alta prioridad, y una gran parte de trfico de mejor esfuerzo, todos los grupos tendrn
su parte de trfico de high-preferencia as como un a justa reparticin de trfico de
mejor esfuerzo.
23.3
Reglas de Conducto
Las reglas de Conducto son polticas que toman decisiones sobre qu trfico debe ser
pasado a travs de cules conductos. Las reglas de conducto filtran el trfico por tipo
de servicio y direcciones de interfaz & red IP, muchas del mismo modo que las reglas
normales IP. Luego, la regla elige el reenvo apropiado y regresa los conductos al trfico,
y determina la preferencia (prioridad) en estos. Cuando el firewall recibe el trfico, estar
capacitado para encontrar esta informacin de conductos y preferencias en reglas
coincidentes, y controla la utilizacin de banda ancha de acuerdo a los lmites y/o
agrupamiento definido en conductos especficos. Recuerde que slo el trfico
coincidente con una regla de conducto ser trffic shaped, y la primera regla coincidente
es la utilizada.
23.4
Escenarios: Configurando Traffic Shaping
Como se ha visto en secciones previas, en los firewalls D-Link, todas las mediciones,
limitaciones, garantizaciones y balance es llevado a cabo en conductos. Sin
embargo un conducto por s mismo no tiene sentido a menos que sea puesto en uso
254
en la seccin de Reglas de Conducto. Cada regla puede pasar trfico a travs de

uno o ms conductos, en una preferencia (prioridad) de eleccin del
administrador.
El trfico de red es primero filtrado dentro e la regla de ajuste normal del firewall IP; si
es permitida, es luego comparada con la seccin de Reglas de Conducto y pasada
al conducto(s) especificado en la regla de conducto coincidente. En el conducto, el
trfico es limitado con respecto a la configuracin y es luego reenviado a su destino,
al siguiente conducto en cadena.
Para resumir, son necesarios los siguientes pasos para ajustar el traffic shapping:
1. Plan de requerimiento del traffic shaping:

Si los requisitos a la red actual, tales como de qu manera el trfico debe ser
limitado, priorizado, garantizado, o distribudo no son claros, el trabajo de
configuracin ser ms confuso que til.
2. Ajustes de Conductos
Ajusta los conductos que describen lmites para diferentes preferencias, y define
los criterios de agrupamiento.
3. Ajuste de Reglas de Conducto
Asigna, el las Reglas de Conducto, tipos especficos de servicio, filtro de
direccin, preferencias, y diferentes cadenas/conductos para utilizar para tanto direcciones
de reenvo & retorno.
4. Verificacin
Verifica que el traffic shaping configurado trabaje en estas maneras deseadas.
Ejemplo: Aplicando dos medios bsicos de lmites de banda ancha

En este ejemplo, son creados dos conductos para el control tanto de trfico entrante
y saliente, denominado std-in y std-out respectivamente, y un lmite de conducto
total de 1000 kilobits es ajustado a cada uno de ellos. Este par de conductos limita
simplemente todo el trfico que pasa a travs de cada direccin a 1000kbps, sin
importar de qu trfico sea.
Luego de ajustar los lmites totales en los dos conductos, dos reglas de conducto
necesitan ser especificadas para asignar conductos en direcciones apropiadas,
interfaces y redes. Desde que estas dos reglas primarias son aplicadas a todos los
servicios posibles, la preferencia fija Low es definida en estos.
23.4. Escenarios: Ajustando Traffic Shaping
WebUI
255
1. Conductos
Conducto std-in por trfico entrante:
Ingrese lo siguiente y luego haga click en OK.
Traffic Shaping Pipes Add Pipe:
General
Name: std-in
Pipe Limits
Total: 1000
Pipe std-out for outbound traffic:
Crear el otro conducto utilizando los mismos pasos anteriores con el nombre
cambiado a std-out
2. Reglas de Conducto
Regla ToInternet asignando conductos al trfico que va a travs del firewall
desde LAN a WAN para todos los servicios(definidos por los Servicios objetivos
all-services):
Traffic Shaping Pipe Rules Add Pipe Rule:
General
Name: ToInternet
Service: all-services
Address Filter
Source
Destination
Interface: lan
wan
Network: lannet wannet
256
Traffic Shaping
Cadenas de Conducto
Forward Chain: Seleccione std-out desde la lista Available y colquela en la lista
Selected.
Return Chain: Seleccione std-in desde la lista Available y colquela en la lista
Selected.
Preferencia
Marque Use Fixed Precedence
Seleccione Low desde la lista desplegable
Regla FromInternet asignando conductos al trfico que va a travs del firewall
desde WAN a LAN para all-services:
General
Name: FromInternet
Service: all-services
Address Filter
Source
Destination
Interface: wan
lan
Network: wannet lannet
Traffic Shaping
Cadenas de Conducto
Forward Chain: Seleccione std-in desde la lista Available y colquela en la lista
Selected.
Return Chain: Seleccione std-out desde la lista Available y colquela en la lista
Selected.
Preferencia
Seleccione Low desde la lista desplegable
257
Ejemplo: Aplique preferencia en los lmites de conducto

Este ejemplo muestra cmo definir preferencias especficas en conductos. Se aade
una regla ms en la parte superior de ToInternet y FromInternet, los cuales utilizan
dos conductos estndar creados en el ultimo ejemplo y habilita el buscador web al
internet para tener una prioridad superior Medium ms que todos los dems trficos
que tienen la preferencia.
Con el fin de prevenir la respuesta de servicio desde el Internet consumiendo toda la
banda ancha por su mayor prioridad, un lmite de 500 kbps es ajustado a preferencia
Medium en el conducto std-in.
WebUI
1. Regla de conducto adicional HTTP con preferencia fija Medium:

General
Name: HTTP
Service: HTTP
Address Filter
Source
Destination
Interface: lan
wan
Network: lannet wannet
Traffic Shaping
Cadenas de Conducto
Forward Chain: Seleccione std-out desde la lista Available y colquela en la lista
Selected.
Return Chain: Seleccione std-in desde la lista Available y coplquela en la lista
Selected.
Preferencia
Seleccione Medium desde la lista desplegable
y luego haga click en OK.
Click derecho en el item de regla HTTP y haga click en Move to Top.
258
2. Revisar conducto std-in para tener lmite 500kbps en la preferencia

Medium
Traffic Shaping Pipes std-in:
Lmites de Conducto
Preferencias:
Aada los siguientes valores en el recuadro de editar y luego haga click en OK.
Medium: 500
Ejemplo: Utilizando el agrupamiento en un conducto.

Un conducto puede ser de manera futura dividido en varios grupos con respecto a redes
particulares, IP, puerto, interfaz; y el lmite total de banda ancha del conducto puede
ser distribuido equitativamente en cada grupo habilitando Balance Dinmico de
Banda Ancha. Las preferencias aplicadas en el conducto pueden adems ser utilizadas en
todos los grupos. En este ejemplo, se revisarn dos conductos estndar std-in y
std-out para tener caractersticas de agrupamiento basadas en Destino IP y Fuente IP
respectivamente.
WebUI
1. Editar conducto std-in

Traffic Shaping Pipes std-in:
Agrupamiento
Grouping: Seleccione DestinationIP desde la lista desplegable.
Marque Enable dynamic balancing of groups
2. Editar conductos std-out
Traffic Shaping Pipes std-out:
Agrupamiento
Grouping: Seleccione SourceIP desde la lista desplegable.
Marque Enable dynamic balancing of groups
259
Ejemplo: Utilizando cadenas para crear diferentes lmites

Puede ser conectado ms de un conducto en una cadena de conductos para hacer los lmites
de banda ancha ms restrictivos. En el ejemplo anterior Aplicar preferencias en los lmites de
Conducto, un lmite de 500kbps en la preferencia Medium es definida en el conductostd-in.
La regla HTTP dice que la respuesta HTTP desde el Internet puede utilizar por sobre
500kbps como alta prioridad de trfico, y el trfico que excede este lmite caer en la
prioridad Low especificada por la regla estndar FromInternet. Tal trfico
comparar los 500kbps restantes con todos los otros trficos
(Los lmites totales definidos para std-in son 1000kbps).
Si se desea garantizar que los otros trficos siempre tienen al menos 500kbps sin
competir con el trfico HTTP excedente, se puede aadir un conducto adicional
http-in que limite el consumo total de banda ancha a 500kbps, y revise la regla de
conducto HTTP para tener una cadena de conducto en la direccin contraria. En
esta cadena, es puesto http-in en frente de std-in. El trfico perteneciente a HTTP
necesitar pasar primero los lmites totales en http-in antes de que pueda ir a
std-in. El trfico HTTP excedente ser ordenado en http-in.
WebUI
1. Aadir un conducto ms http-in con lmites totales 500kbps

Ingrese lo siguiente y luego haga click en OK.
Traffic Shaping Pipes Add Pipe:
General
Name: http-in
Lmites de Conducto
Total: 500
2. Revisar la regla de conducto HTTP para crear una cadena de conducto de
retorno
Traffic Shaping Pipe Rules HTTP
Traffic Shaping:
Cadenas de Conducto
Cadena de retorno
Seleccione http-in desde la lista Available y colquela en la lista Selected en la parte TOP
de std-in
y luego haga click en OK.
CAPITULO
24
Servidor de Balanceo de Carga (SLB)
24.1
Vista General
Server Load Balancing (SLB) es un mecanismo que trata con la distribucin de carga de
trfico a travs de mltiples servidores para escalar ms all de la capacidad de un slo
servidor, y para tolerar una falla de servidor. Esta tecnologa es integrada en los firewalls
D-Link para habilitar una alta ejecucin y rendimiento de la red.
24.1.1
El mdulo SLB
En el mdulo SLB, un dispositivo de red acta como un Server load balancer,

conectando la red donde el trfico solicitante llega desde un cluster o servidores
denominados Server farm.
Vista lgica SLB

La Figura 24.1 ilustra una vista lgica de un mdulo SLB. En este mdulo, 3
servidores construyen un banco de servidores, y un firewall D-Link acta como un server load
balancer.
Server farm
Una coleccin de servidores computacionales usualmente mantenidos por una
empresa para lograr las necesidades de servicio por sobre la capacidad de un solo
aparato.
261
262
Captulo 24. Server Load Balancing (SLB)
Figura 24.1: Una vista lgica SLB.
Server load balancer

Es un aparato para ejecutar las funciones de SLB, que presta atencin a las solicitudes
entrantes, decide el modo de distribucin de trfico y algoritmo, re-dirige el
trfico a ciertos servidores dentro del banco de servidores, y monitorea la
disponibilidad de los servidores.
Los firewalls D-Link son balanceadores de carga, los cuales pueden ser configurados
para ejecutar la distribucin de carga y monitoreo de funciones.
24.1.2
Caractersticas SLB
Las caractersticas claves que el SLB puede entregar son resumidas a

continuacin:
Distribucin de Carga
La caracterstica de la distribucin de Carga es responsable de la distribucin de
trfico a los servidores de destino de acuerdo a algunas polticas predefinidas, ej.
Modo de distribucin & algoritmo. Este determina hacia donde se dirige el trfico y
cmo es compartida la carga de trfico entre los servidores disponibles.
Monitoreo de Servidor
Monitoreo de Servidor es utilizado para la ejecucin de varias inspecciones para evaluar
la salud de los servidores. Este trabaja a diferentes capas del modulo OSI, rastrea
24.1. Vista General
263
a tiempo real del estado de los servidores, y notifica la distribucin de trfico para
redireccionar el trfico si falla algn servidor.
24.1.3
Beneficios
La solucin SLB entrega una administracin de trfico ms avanzada y flexible, un mayor

poder de procesamiento, en comparacin a la implementacin de un solo servidor.
Las ventajas significativas son:
Escalabilidad
El SLB mejora drsticamente la escalabilidad de una aplicacin banco de
servidores distribuyendo la carga a travs de servidores mltiples. La adicin de
nuevos servidores, y la eliminacin fallas de servidores existentes, pueden
ocurrir a cualquier momento, sin experimentar perodo de inactividad.
Habilidad Optimizada
El SLB ayuda a reducir la cantidad de trabajo de cada servidor, y por lo tanto,
entrega una respuesta ms rpida a solicitudes de usuario. Cualquier servidor en el
banco de servidores no ser inundado por trfico inusualmente pesado que no es capaz
de manejar. La carga adicional puede ser tomada sobre otros servidores activos
automticamente.
Disponibilidad
La distribucin de carga y monitoreo de servidor cooperan para conseguir
recuperacin de fallos automtico. Con estas dos caractersticas, el SLB es capaz de
direccionar el trfico a servidores alternativos si un servidor falla.
Seguridad
En un modulo SLB, una direccin de servidor pblico es presentado a los clientes,
representando la server farm. La direccin real de los servidores se encuentra
escondida detrs de tal direccin publica y jams es revelada a la red externa
(cubierta por 24.2 Implementaciones SLB). Esta puede filtrar trfico no deseado
basado tanto en direccin IP y TCP nmeros de puerto UDP, y ayuda a
proteger contra formas mltiples de ataques de denial-of-service(DoS.)
Fcil Mantenimiento
La Administracin de aplicaciones de servidor es fcil. El banco de servidores es
visto como un solo servidor virtual por los Clientes con una direccin pblica; no se
necesita de una administracin para los cambios reales de servidor, los cuales son
transparentes a la red externa.
264
24.2
Implementacin SLB
Para implementar el mtodo SLB, el administrador define un banco de servidores

contenedor de servidores reales mltiples, y amarra el banco de servidores como un slo
servidor virtual al firewall D-Link ( load balancer), utilizando una direccin
pblica IP. En este ambiente, los clientes estn configurados para conectarse a la direccin
pblica del banco de servidores. Cuando un cliente inicia una conexin al banco de servidores
el firewall utiliza la regla SAT para traducir la direccin de destino. Cul servidor real
ser elegido por el firewall como el ms apropiado es determinado por el modo
pre-definido y algoritmo. Cooperando con la tarea de distribucin, el firewall monitorea
la salud de los servidores por alguna verificacin de conexin capa 3/ capa 4.
24.2.1
Modo de Distribucin
Los firewalls D-Link pueden ser configurados para trabajar para SLB con los siguientes
modos:
1. Distribucin por estado:
El estado de cada distribucin es grabado por el firewall. Una sesin completa
podra ser transferida al mismo servidor para garantizar una confiable transmisin
de datos.
2. Stickiness de direccin IP:
Los modos sticky rastrean las conexiones de cliente para entregar integridad de
transmisin. En el modo stickness de direccin IP, nuevas conexiones desde
direcciones de cliente IP son asignadas al mismo servidor real como si fueran
conexiones previas de esa direccin.
3. Stickiness de red:
Este modo trabaja como el mismo stickiness de direccin IP, slo aplique a las
direcciones subred.
24.2.2
Algoritmos de Distribucin
Como server load balancers, los firewalls D-Link utilizan algoritmos

configurables como criterio de seleccin para controlar la distribucin de trfico. El
Firewall elige de manera inteligente el servidor ms apropiado y apunta a maximizar
la utilizacin total del banco de servidores.
Los firewalls D-Link ofrecen los siguientes algoritmos para lograr las tareas de
distribucin de carga:
24.2. Implementacin SLB
265
1. Algoritmo Round-Robin trata todos los servidores reales como si tuvieran

capacidades iguales, a pesar de los otros hechos, tal como el nmero de conexiones
existentes o tiempo de respuesta.
2. Algoritmo de Rango de Conexin redirecciona una conexin a el servidor con el
menor nmero de nuevas conexiones en un tiempo predefinido de span.
Una seleccin dentro del firewall guarda el nmero de nuevas conexiones por
segundo para cada servidor. ste actualiza a cada segundo para remover
los viejos valores de conexin.
El algoritmo Round-Robin es apropiado cuando los servidores reales dentro del
banco de servidores tienen iguales poderes de procesamiento, mientras que el utilizar Algoritmo
de Rango de Conexin puede optimizar el tiempo de respuesta.
Sin importar qu algoritmo es elegido, si un servidor se cae, el trfico ser enviado a
otro servidor. Y cuando el servidor vuelva a estar en lnea, este puede
automticamente ser ubicado de nuevo en el banco de servidores y comenzar a tener solicitudes
nuevamente.
24.2.3
Verificacin del estado del Servidor
El ejecutar varias verificaciones para determinar la condicin de salud de los servidores

es uno de los beneficios ms importantes del SLB. En las diferentes capas OSI, los
firewalls D-Link pueden llevar a cabo ciertas verificaciones de nivel de
red.
Cuando un servidor falla, el firewall lo remueve de la lista de servidor activo, y no
dirigir ningn paquete a este servidor hasta que ste vuelva. Un mensaje ICMP
Destination Host Unreachable ser enviado por el firewall una vez que la lista de
servidor activo est vaca.
ICMP Ping
En la capa OSI 3, la verificacin involucra un Ping a la direccin IP de servidor real para
ver dnde est corriendo el servidor.
Conexin TCP
En la capa 4 OSI, el firewall intenta conectarse al Puerto configurado del servidor
donde una aplicacin est corriendo. Por ejemplo, si el servidor est corriendo una
aplicacin web (HTTP) en el Puerto 80, el firewall tratar de establecer una
conexin para envolver ese puerto. sta enva una solicitud SYN TCP al puerto 80 en
ese servidor y esperar por un SYN/ACK TCP en retorno; si falla, marcar el puerto
80 para bajarlo de ese servidor.
266
24.2.4
Paquetes que fluyen por SAT
En los firewalls D-Link, la regla SAT habilitada de balance de carga es utilizada

para traducir intercambio de paquetes entre un cliente y los servidores reales.
Cuando una nueva conexin es abierta, la regla SAT es gatillada; sta traduce la
direccin IP del banco de servidores pblico a la direccin real de servidor. Una modificacin
necesaria a los paquetes es ejecutada por el sistema subyacente determinado
por la regla NAT o Allow.
24.3
Escenario: Habilitando SLB
Los pasos de configuracin principales necesarios para habilitar la funcin SLB en

los firewalls D-Link son alineados a continuacin:
Especificar un Banco de Servidores Definir un grupo de servidores como banco de
servidores seleccionando los objetos con IP correcta.

Especificar la regla SAT habilitada de balance de carga Configurar una
regla SAT con campos de filtro para que el firewall coincide con el flujo de trfico
y gatille el SLB .
Especificar el Modo de Distribucin & Algoritmo Entrega las polticas de
distribucin que el firewall debe utilizar.
Ejemplo: Configuracin SLB
Figura 24.2: Un Escenario SLB
24.3. Escenario: Habilitando SLB
267
Este ejemplo describe cmo puede ser utilizado SLB para load balance
conexiones SSH a dos servidores SSH detrs de un Firewall D-Link conectado a Internet
con direccin IP ip ext, como muestra la Figura 24.2. Los dos servidores SSH
tienen las direcciones IP privadas 192.168.1.10 y 192.168.1.11.
WebUI
1. Crear Objetivos
Primero que todo se necesita crear objetivos locales que mantengan la direccin IP
para cada servidor.
Objects Address Book Add IP4 Host/Network:
Name: SSH Server1
IP Address: 192.168.1.10
Objects Address Book Add IP4 Host/Network:
Name: SSH Server2
IP Address: 192.168.1.11
2. Crear Regla SLB SAT
El siguiente paso es ajustar la regla SLB SAT.
Name: SSH SLB
Action: SLB SAT
Service: ssh
SAT Server Load Balancing
Server Addresses: Seleccione Servidor1 SSH y Servidor2 SSH.
268
3. Crear Regla NAT

El siguiente paso es ajustar la regla NAT para permitir el trfico SAT:ed por la regla
Anterior.
Name: SSH SLB NAT
Action: NAT
Service: ssh
Nota
Es posible configurar ajustes para monitoreo, mtodo de distribucin
y stickiness. Pero en este ejemplo es utilizado el valor por defecto.
Parte X
Caractersticas Miscelneas.
Adems de una proteccin segura a la red, los firewalls D-Link pueden

actuar como agentes intermediarios para servicios variados de Internet
y as facilitar el uso de varios protocolos en nombre de los clientes.
Clientes Miscelaneos
DHCP Server & Relayer
CAPITULO
25
Clientes Miscelneos
25.1
Vista General
Los firewalls D-Link ofrecen soporte a clientes de red miscelneos para DNS
Dinmico y servicios similares. Actualmente, los proveedores de servicio que son
soportados por el firewall incluyen:
Dyndns.org
Dyns.cx
Cjb.net
Oray.net Peanut Hull DynDNS
Telia
BigPond
25.2
DNS Dinmico
Dynamic Domain Name System (DynDNS), es un mtodo para mantener un

nombre de dominio vinculado a una direccin IP cambiante. Cuando un usuario se
conecta al Internet a travs de medios entregados por el ISP, una direccin IP sin utilizar
para una piscina de direcciones IP es asignada al aparato del usuario, y esta direccin
es utilizada slo para la duracin de sa conexin especfica. Un proveedor de servicio
DNS dinmico utiliza un programa especial que corre en la mquina del usuario,
271
272
Captulo 25. Clientes Miscelneos
contactando el servicio DNS cada vez que la direccin IP entregada por el ISP
cambia y actualiza posteriormente la base de datos DNS para reflejar el cambio en la
direccin IP. Este mtodo permite que la mquina del usuario tenga un nombre de
dominio que siempre apunte a ste, a pesar de que la direccin IP cambie a menudo.
Otros usuarios no tienen cmo conocer la direccin IP modificada con el fin de conectarse
a la mquina.
Con el fin de utilizar esta funcin como un cliente DynDNS, uno debe tener una cuenta con
uno de los proveedores de servicio soportados.
Dyndns.org
Dyndns.org es un servicio gratuito DynDNS que permite los registros bajo docenas
de dominios, ej. MYDNS.dyndns.org,
MYDNS.dnsalias.net, etc.
Dyns.cx
Dyns.cx es un servicio gratuito DynDNS que permite los registros bajo un
nmero de dominios: dyns.cx, dyns.net, ma.cx, metadns.cx,
etc.
Cjb.net
Cjb.net entrega servicio gratuito DynDNS (y ms) que permite los
registros bajo cjb.net.
Oray.net
Oray.net Peanut Hull DynDNS ofrece servicios gratuitos DynDNS bajo varios
nombres de dominio.
Luego de un registro exitoso en uno de los proveedores de servicio DynDNS, un
cliente DynDNS puede configurar la informacin de cuenta en el firewall para ser capaz de
ingresar automticamente al servicio.
25.3
Registro Automtico de Cliente
Algunos proveedores de servicio Internet necesitan que los usuarios se registren va URL
cada vez antes de que cualquier servicio sea repartido.
Actualmente, los firewalls D-Link ofrecen un registro automtico de cliente a los siguientes
proveedores:
Telia Una mejor compaa de servicio de telecomunicacin en la regin Nrdica
y Bltica.
25.4. Poster HTTP
273
BigPond Utilizado por Telstra, un proveedor de servicio banda ancha y
multimedia. Autentifica utilizando la interfaz (la cual debe ser permitida por DHCP)
asociada con la ruta predeterminada.
25.4
Poster HTTP
Poster HTTP es una funcin que habilita el registro automtico de cliente, nombres
de dominio y direcciones IP sin fecha para DynDNS. Cuando el firewall ha parcelado su
configuracin, el Poster HTTP expone todos los URLs configurados sucesivamente, y
esperar un tiempo de retraso configurable para re-post los URLs.
Nota
El actualizar muy a menudo puede causar que el proveedor de servicio cancele el
servicio. De este modo, dependiendo de los requerimientos por proveedores particulares,
el valor del retraso no debe ser muy pequeo.
25.4.1
Formato URL
El formato URL utilizado en el Poster HTTP Poster varan dependiendo del proveedor
de servicio especfico. Bsicamente, un URL contiene Nombre de Usuario/Contrasea,
nombre de dominio del proveedor, y otros parmetros. Por ejemplo, el formato URL para
servicio DynDNS entregado por Dyndns.org es:
http://MYUID:MYPWD@members.dyndns.org/nic/update?hostname=
MYDNS.dyndns.org
CAPITULO
26
Servidor DHCP & Relayer
26.1
Servidor DHCP
El servidor DHCP implementa la tarea de asignar y manejar direcciones IP desde

piscinas de direccin especificadas para clientes DHCP. Cuando un servidor DHCP
recibe una solicitud desde un cliente DHCP, este vuelve los parmetros de
configuracin (tal como una direccin IP, una direccin MAC, un nombre de Dominio y un
contrato para la direccin IP) al cliente en un mensaje unicast. Debido a que el servidor
DHCP mantiene configuraciones para varias subnets, un administrador slo necesita
actualizar uno solo, el servidor central cuando los parmetros de configuracin
cambia.
Comparado con la asignacin esttica en donde el cliente tiene la direccin,
el direccionamiento dinmico por el servidor DHCP contrata la direccin a cada cliente
por un periodo de tiempo pre-definido. Durante el ciclo de vida del contrato, el cliente tiene
permiso para mantener la direccin asignada y es garanta para no tener colisin de
direccin con otros clientes. Antes de la expiracin del contrato, el cliente necesita renovar
el contrato desde el servidor, as este puede seguir utilizando su direccin IP. El cliente
puede adems decidir en cualquier momento que no desea utilizar ms la direccin IP
que fue asignada, y puede terminar el contrato soltando la direccin IP. El tiempo
de arriendo puede ser configurado en el servidor DHCP por el administrador.
275
276
Captulo 26. Servidor DHCP & Relayer
Ejemplo: Configurando el firewall como un servidor DHCP

Este ejemplo describe cmo configurar un servidor DHCP en la interfaz interna
(LAN)( Refirase a 9.1.2, Interfaces Ethernet en los Firewalls D-Link).
WebUI
Configurar Servidor DHCP
System DHCP Settings DHCP Server Add

DHCP Server:
Name: dhcpserver lan
Interface Filter: LAN (La(s) interfaz(es) que atienden por solicitudes DHCP)
IP Address Pool: 192.168.1.10-192.168.1.20 (La piscina de direcciones IP
a distribuir)
Netmask: 255.255.255.0 (Especifique la netmask a distribuir)
Opciones
Default GW: Especifique la puerta de enlace predeterminada a distribuir a clientes
DHCP. En este caso (None).
Domain: Especifique el dominio a distribuir. Este puede ser dejado vaco.
Lease Time: Configurar el tiempo que debe ser vlido el arriendo.
DNS: Configurar la informacin de servidor DNS para distribuir a clientes DHCP.
Este puede ser dejado en (None).
NBNS/WINS: Configurar la informacin de servidor NBNS/WINS para distribuir
a clientes DHCP. Este puede ser dejado en (None).
Next Server: Especifique la direccin IP del siguiente servidor en el proceso de
arranque, este es usualmente un servidor TFTP. Este puede ser dejado en
(None).
Opciones de encargo
Aqu usted puede aadir opciones de encargo al contrato DHCP. Es posible
especificar el cdigo, tipo y parmetro.
Cuando termine, haga click en OK
26.2. DHCP Relayer
26.2
277
DHCP Relayer
En la implementacin DHCP, los clientes envan solicitudes para localizar el servidor

DHCP por mensajes transmitidos. Sin embargo, las transmisiones son slo normalmente
propagados en la red local. Esto significa que el servidor DHCP y cliente podra siempre
necesitar estar en la misma rea de red fsica para ser capaz de comunicarse. En tal caso,
para un gran ambiente Internet, este necesita un servidor diferente en cada red, y el
beneficio de tener una configuracin de servidor centralizada es ampliamente reducido.
Este problema es resuelto por el uso de relayer DHCP.
Un relayer DHCP toma el lugar del servidor DHCP en la red local para actuar como el
intermedio entre el cliente y el servidor DHCP remoto. Este intercepta solicitudes
para clientes y los re-transmite al servidor. El servidor luego responde de vuelta a la retransmisin,
la cual reenva la respuesta al cliente. La retransmisin DHCP sigue la funcionalidad de agente
de relayer BOOPT y retiene el formato de mensaje BOOTP y protocolo de comunicacin, y por
lo tanto son denominados a menudo BOOTP relayer agents.
Ejemplo: Configurando el firewall como un relayer DHCP

La configuracin en este ejemplo permite a los clientes en las interfaces VLAN para
obtener direcciones IP desde un servidor DHCP.
Antes de que los siguientes pasos sean tomados, es asumido que el firewall es
configurado con interfaces VLAN que van a utilizar relaying DHCP, y la direccin IP
del servidor DHCP ha sido definido en el libro de direccin denominado como
ip-dhcp.
Para informacin sobre la configuracin VLAN, por favor refirase a 9.2.3,
Implementacin VLAN. En este caso, dos interfaces VLAN denominado como vlan1 y
vlan2 son utilizadas
El firewall puede tambin instalar una ruta para el cliente cuando ha finalizado el
proceso DHCP y obtenido una IP.
278
WebUI
Captulo 26. Servidor DHCP & Relayer
1. Grupo de Interfaz:
aadir interfaces VLAN vlan1 y vlan2 que deben retransmitir a un grupo
de interfaz denominado como ipgrp-dhcp.
Interface Interface Groups Add Interface Group:
Name: ipgrp-dhcp
Interfaces: seleccione vlan1 y vlan2 desde la lista Available y colquelas en
la lista Selected.
2. DHCP relay:
aada un DHCP relay denominado como vlan-to-dhcpserver
System DHCP Settings DHCP Relays Add DHCP
Relay:
General:
General
Name: vlan-to-dhcpserver
Action: Relay
Source Interface: ipgrp-dhcp
DHCP Server to relay to: ip-dhcp
Add Route:
Marque Add dynamic routes para este contrato relayed DHCP.

Parte XI
Modo Transparente
CAPITULO
27
Modo Transparente
La caracterstica de Modo Transparente entregado por los firewalls D-Link

apuntan a simplificar el despliegue de dispositivos firewall en la topologa de red
existente, para fortalecer la seguridad. Esto ayuda a facilitar el trabajo de administracin
en un modo en que no hay necesidad de configurar todos los ajustes para los nodos
dentro de la red en curso, cuando un firewall es introducido en el flujo de
comunicacin.
Este captulo entrega una vista general del ofrecimiento del modo transparente e
introduce cmo el modo transparente es implementado en los firewalls D-Link en
detalle. Los ejemplos de configuracin de distribuciones simples de red y escenarios
a tiempo real ms complicados pueden ser encontrados al final de este captulo.
27.1
Vista General
La transparencia refiere a la visibilidad del firewall para hosts en ambos lados de un

firewall. Un firewall es considerado transparente para los usuarios si estos no notifican
el firewall en el flujo del paquete. Cuando se aade un firewall transparente en una
estructura de red pre-existente, se consigue las siguientes ventajas para el
administrador de red:
No se necesita reconfiguracin los clientes pueden mantener la misma
configuracin de red luego de que firewall ha sido instalado.

No se aade obstculo el despliegue del firewall debe ser invisible para los usuarios
internos, cuando estos pueden an obtener los servicios permitidos.

281
282
Captulo 27. Modo transparente
Mejora la seguridad el firewall debe ser capaz de explorar el trfico
entrante/saliente por las reglas de seguridad definida.

Los firewalls D-Link pueden trabajar de dos modos: Modo Routing & Modo
Transparente. En el Modo Routing normal, el firewall acta como un router de Capa 3. Si
el firewall es ubicado en una red por primera vez, o si hay cualquier cambio topolgico
dentro de los nodos, la configuracin de routing debe ser examinada
rigurosamente para asegurar que la tabla de routing del sistema firewall es consistente
con la distribucin de red actual. La reconfiguracin de ajustes IP es adems requerida
para routers pre-existentes y servidores protegidos. Este modo trabaja bien cuando
se desea tener un control completo sobre el routing, y saber de la localizacin
especfica de dispositivos importantes, para tener la ms alta seguridad posible. Por
ejemplo, se espera que el servidor localizado en un rea protegida slo reciba
el trfico necesario.
Mientras que en el Modo Transparente, el firewall acta ms que un switch. Este
protege paquetes IP que atraviesan el firewall y los reenva transparentemente
en la interfaz correcta sin modificar cualquiera de la informacin de fuentes o destinos.
Todas las interfaces transparentes son consideradas para estar en la misma red, de
modo que si un cliente se mueve a otra interfaz este puede an obtener los
mismos servicios que antes sin reconfiguracin routing.
En el modo transparente, el firewall permite a las transacciones ARP ir a travs, y
aprende desde el trfico ARP la relacin entre la direccin IP y la direccin fsica de
la fuente y destino. Hay mecanismos que ayudan al firewall a recordar la
informacin de direccin, con el fin de transmitir paquetes IP a los receptores deseados.
Durante la transaccin, ninguno de los puntos de trmino sabrn del trabajo del
Firewall entre ellos.
27.2
Implementacin de Modo Transparente en los

Firewalls D-Link
Como se explic anteriormente, el firewall D-Link permite transacciones ARP cuando es

ajustado para ser modo transparente y en ese sentido ste trabaja casi como un
Switch de Capa 2 en la red. El firewall utiliza el trfico ARP como una fuente de
informacin cuando construye su tabla switch de ruta. Para comenzar con el modo
transparente, los siguientes pasos deben ser realizados en el firewall:
Grupos de interfaces especifique un grupo de interfaces que van a utilizar el
Modo transparente.
27.2. Implementacin del Modo Transparente en los Firewalls D-Link
283
Crear una Ruta Switch como interfaz, seleccione el grupo de interfaz
creado anteriormente. Como red, especifique el rango de direccin que debe

ser transparente entre las interfaces. Cuando todo el firewall est
trabajando en el Modo Transparente este es normalmente 0.0.0.0/0.
Cuando se inicia la comunicacin, un anfitrin localizar las otras direcciones fsicas de

anfitriones transmitiendo una solicitud ARP. Cuando el firewall intercepta una solicitud
ARP, esta ajusta una ARP Transaction State dentro del firewall y transmite la solicitud
ARP a todas las interfaces ruta-switch a excepcin de la interfaz que la solicitud ARP
ha recibido. Si el firewall recibe una respuesta ARP desde el destino dentro de
un tiempo de desconexin de tres segundos, esto transmitir la respuesta de vuelta a la
solicitud del remitente, utilizando informacin almacenada en el ARP Transaction State.
Durante la transaccin ARP, el firewalls aprender la informacin de direccin de

fuente de ambos extremos desde la solicitud y respuesta. Dentro del Firewall D-Link,
dos tablas son mantenidas utilizadas para almacenar tal informacin, llamada
Content -Addressable Memory(CAM) Table y Capa 3 Cache respectivamente.
Una tabla CAM contiene informacin de las direcciones MAC disponibles en una
interfaz fsica entregada del firewall, mientras la Capa 3 cache almacena mapeos
entre direcciones IP, direccin MAC e interfaz.
Como la Capa 3 Cache es slo utilizada por el trfico IP, las entradas de Capa 3 Cache
son almacenadas como una sola entrada de anfitrin en la tabla routing.
Para cada paquete IP que atravesar el firewall, se realizar una bsqueda de ruta
para el destino. Si la ruta del paquete coincide una ruta switch entrada de Capa 3
Cach en la tabla routing, el firewall sabe que debe manejar este paquete de manera
Transparente. Si una interfaz de destino y direccin MAC est disponible en la
ruta, el firewall tiene la informacin necesaria para reenviar el paquete al destino. Si
la ruta fue un routerswitch , no es disponible ninguna informacin especfica acerca del
destino y el firewall tendr que descubrir donde est localizado el destino en la red.
El descubrimiento es realizado enviando solicitudes ARP, actuando como el remitente
inicial del paquete original IP para el destino en las interfaces especificadas en el
RouterSwitch. Si una respuesta ARP es recibida, el firewall actualizar la tabla CAM
y la Capa 3 Cache y reenva el paquete al destino.
284
Captulo 27. Modo Transparente
Si la Tabla CAM Capa 3 Cache est completa, las tablas son parcialmente
Limpiada automticamente. Utilizando el mecanismo de descubrimiento, el firewall
redescubrir destinos que pueden ser limpiada.
27.3
Escenarios: Habilitando el Modo

Transparente
Ejemplo: Escenario 1 de Modo Transparente
Figura 27.1: Escenario 1 de Modo Transparente.
El escenario 1 muestra cmo un firewall en Modo Transparente puede ser ubicado en

una red existente entre un router de acceso Internet y la red interna, sin necesidad
de reconfigurar clientes en la red interna.
En este escenario un router es utilizado para compartir una conexin Internet con
una direccin IP pblica. La red NAT:ed interna detrs del firewall es en el espacio de
direccin 10.0.0.0/24. Los clientes en la red interna deben estar permitidos para acceder
el Internet va protocolo HTTP.
La interfaz WAN y LAN en el firewall debern ser configurados para operar en Modo
Transparente. Es preferible configurar direcciones IP en las interfaces WAN y LAN,
cuando estas pueden mejorar el rendimiento durante el descubrimiento
automtico de anfitriones.
27.3. Escenarios: Habilitando Modo Transparente
285
Todo el trfico que pasa a travs del firewall tendr que pasar a travs del ajuste de regla
IP. Para permitir el trfico HTTP, una nueva regla IP debe ser configurada. (Refirase
a 14.3 Escenario.)
WebUI
1. Interfaces
Interfaces Ethernet Edit (WAN):
IP Address: 10.0.0.2
Network: 10.0.0.0/24
Default Gateway: 10.0.0.1
Transparent Mode: Enable
Interfaces Ethernet Edit (LAN):
Network: 10.0.0.0/24
Transparent Mode: Enable
2. Reglas
Name: HTTPAllow
Action: Allow
Service: http
Source Network: 10.0.0.0/24
286
Captulo 27 . Modo Transparente
Ejemplo: Escenario 2 Modo Transparente
Figura 27.2: Escenario 2 Modo Transparente.
El escenario 2 muestra cmo un firewall en Modo Transparente puede ser

utilizado para separar recursos de servidor desde la red interna agregndolas a
una interfaz firewall separada sin necesidad de diferentes rangos de direccin.
Los servidores que contienen recursos que son accesibles desde el exterior podran
ser un riesgo de seguridad si estos estn ubicados directamente en la red interna.
Debido a esto, tales servidores son a menudo conectados a una interfaz separada en el
Firewall, como DMZ.
En este escenario todos los anfitriones conectados a LAN y DMZ comparten el
espacio de direccin 10.0.0.0/24. Cuando este es configurado utilizando el Modo
Transparente cualquier direccin IP puede ser utilizada por los servidores, y no hay
necesidad para los anfitriones en la red interna el conocer si un recurso est en la misma
red o ubicado en DMZ. Esto hace al firewall transparente en la comunicacin entre DMZ
y LAN aunque el trfico pueda ser
restringido utilizando las reglas de ajuste del Firewall IP.
Aqu se permite a los anfitriones en la red interna comunicarse con un servidor HTTP
en DMZ. Adems, se permite el servidor HTTP en DMZ para ser alcanzado desde el
Internet. Pueden ser aadidas reglas adicionales para permitir otro trfico.
27.3. Escenarios: Habilitando Modo Transparente
287
Este escenario muestra cmo configurar una Ruta Switch sobre las interfaces LAN y
DMZ para el espacio de direccin 10.0.0.0/24. Es asumido que la interfaz WAN ya ha
sido configurada correctamente.
WebUI
1. Interfaces
Network: 10.0.0.0/24
Transparent Mode: Disable
Add route for interface network: Disable
Interfaces Ethernet Edit (DMZ):
Network: 10.0.0.0/24
Transparent Mode: Disable
Add route for interface network: Disable
2. Interface Groups
Name: TransparentGroup
Security/Transport Equivalent: Disable
Interfaces: Select LAN and DMZ
3. Routing
Routing Main Routing Table Add Switch Route:
Switched Interfaces: TransparentGroup
Network: 10.0.0.0/24
Metric: 0
288
Captulo 27 . Modo Transparente
4. Reglas
Name: HTTP-LAN-to-DMZ
Action: Allow
Service: http
Source Network: 10.0.0.0/24
Destination Network: 10.1.4.10
Name: HTTP-WAN-to-DMZ
Action: SAT
Service: http
Destination Network: wan-ip
Translate: Select Destination IP
New IP Address: 10.1.4.10
Name: HTTP-WAN-to-DMZ
Action: Allow
Service: http
Destination Network: wan-ip
Parte XII
Zona de Defensa
CAPITULO
28
Zona de Defensa
28.1
Vista General
La Zona de Defensa es una caracterstica en los firewalls D-Link, la cual permite al firewall
controlar localmente los switches adjuntos. Esto puede ser utilizado como una contramedida
para evitar que un computador infectado en la red local infecte a otros computadores.
Ajustando las reglas threshold en el firewall, anfitriones redes que estn excediendo
el treshold definido pueden ser dinmicamente bloqueados. Los tresholds estn
basados en el nmero de nuevas conexiones realizadas por segundo, por tanto un slo
anfitrin todos los anfitriones dentro de un rango de red CIDR especificada (un rango
de direccin IP especificada por una combinacin de una direccin IP y su
mscara de red asociada). Cuando el firewall nota que un anfitrin o una red ha
alcanzado el lmite especfico, ste carga reglas ACL (Access Control
List) para los switches, lo cual bloquean en turno todo el trfico para ese anfitrin o
red. Los anfitriones y redes bloqueadas se mantienen bloqueadas hasta que el
sistema administrador manualmente los desbloquee utilizando la Web del firewall
la interfaz de lnea de comando.
28.2
Switches de Zona de Defensa
La informacin Switch de acuerdo a cada switch que es controlado por el firewall

debe ser manualmente especificada en la configuracin del firewall. La informacin
necesitada con el fin de controlar un switch incluye:
291
292
Captulo 28. Zona de Defensa
La informacin IP de la interfaz administrada del switch

El tipo de modelo del switch
La sucesin SNMP comunitaria (acceso escrito)
Actualmente, la caracterstica de Zona de Defensa soporta los siguientes

switches:
- D-Link DES 3226S (firmware mnimo: R4.02-B14)
- D-Link DES 3250TG (firmware mnimo: R3.00-B09)
- D-Link DES 3326S (firmware mnimo: R4.01-B39)
- D-Link DES 3350SR (firmware mnimo: R1.02.035)
- D-Link DES 3526 (firmware mnimo: R3.01-B23)
- D-Link DES 3550 (firmware mnimo: R3.01-B23)
- D-Link DGS 3324SR (firmware mnimo: R4.10-B15)
Nota
Asegrese de que los switches tienen las versiones mnimas de firmware requeridas
antes de activar la zona de defensa.
28.2.1
SNMP
Simple Network Management Protocol (SNMP) es un protocolo de capa de aplicacin

para la administracin de redes complejas. El SNMP permite a los administradores y
dispositivos administrados en una red, comunicarse enviando mensajes, con el
propsito de acceder a diferentes partes de la red.
Administrador
Un administrador tpico, como un firewall D-Link, ejecuta el protocolo SNMP
para monitorear y controlar los dispositivos de red en el ambiente administrado.
El administrador puede cuestionar estadsticas almacenadas desde los dispositivos
controlados utilizando la secuencia comunitaria SNMP, la cual es como una id
de usuario o contrasea para permitir el acceso a la base de datos de los
dispositivos. Si el tipo de sucesin comunitaria es escrito, el administrador ser
capaz de modificar propiedades en el dispositivo.
28.3. Reglas Threshold
293
Dispositivos administrados
Los dispositivos administrados son obedientes a SNMP, tal como los switches
D-Link. Estos almacenan datos administrados en sus bases de datos, conocidas como
Management Information Base (MIB), y entrega la informacin bajo cuestionamiento
al administrador.
28.3
Reglas Threshold
Como se explic previamente, una regla threshold desencadenar la Zona de Defensa

para bloquear un anfitrin especfico si el rango de conexin especificado en la regla es
excedida. Similar a las reglas IP, una regla threshold adems contiene varios campos,
especificando cual tipo de trfico debe coincidir la regla.
En total, una regla threshold es definida por:
Fuente de interfaz y de red.
Interfaz de destino e interfaz de red.
Servicio.
Tipo de threshold: Anfitrin y/o basado en red.
El trfico que coincide el criterio anterior y que causa que el anfitrin/red

threshold sea excedido gatillar la funcin de Zona de Defensa, la cual prevendr
al anfitrin/redes de acceder a los switch(es). Todos los bloqueos en respuesta a
violaciones de threshold sern prohibidos basado en direcciones IP del anfitrin
red en el/los switch(es). Cuando un threshold basado en red ha sido excedido,
la fuente de red ser bloqueada en lugar de slo ofender a los anfitriones.
28.4
Bloqueo Manual & Listas Excluyentes
Como un complemento a las reglas threshold, es tambin posible definir manualmente

a los anfitriones y redes que estn estticamente bloqueados excludos.
Los anfitriones manualmente bloqueados y redes pueden ser bloqueados por defecto
basados en un programa. Es adems posible especificar cuales protocolos y nmero de
puerto de protocolo deben ser bloqueados.
Pueden ser creadas listas excluyentes y utilizadas con el fin de excluir anfitriones de ser
bloqueados cuando un lmite de regla threshold es alcanzada. Una buena prctica incluye
294
el aadir la interfaz IP del firewall direccin MAC conectadas hacia el switch de

Zona de Defensa para la lista Excluyente. Esto previene al firewall de ser accidentalmente
bloqueado.
28.5
Limitaciones
Dependiendo del modelo del switch, hay varias limitaciones en efecto. La primera,
es la latencia entre el activar una regla de bloqueo al momento de que el switch(es)
realmente bloquee el trfico coincidente con la regla. Todos los modelos de
switch requieren al menos algn tiempo para reforzar las reglas luego de que stas
son entregadas por el firewall. Algunos modelos pueden activar las reglas dentro de
un segundo mientras otras requieres de un minuto incluso ms.
Otra limitacin es el nmero mximo de reglas soportadas por el switch. Algunos
switches soportan solo 50 reglas mientras otros soportan por sobre 800
(usualmente, con el fin de bloquear un anfitrin red, una regla por Puerto switch es
necesitada). Cuando este lmite ha sido alcanzado no sern bloqueados ms
anfitriones redes.
Nota
La Zona de Defensa utiliza un rango para la regla de ajuste ACL en el switch. Para evitar
conflictos potenciales en estas reglas y garantizar el control de acceso del firewall,
es altamente recomendable que el administrador limpie por completo el ajuste de regla
ACL en el switch antes de procesar la configuracin de la Zona de
Defensa.
28.6
Escenario: Ajustando Zona de Defensa
El siguiente ejemplo simple ilustra los pasos necesarios para ajustar la funcin de
Zona de Defensa en los firewalls D-Link. Se asume que todas las interfaces en el firewall
ya han sido propiamente configurados.
Ejemplo: Configurando Zona de Defensa

En este escenario simplificado, un threshold HTTP de 10 conexiones/Segundo es
aplicado. Si las conexiones exceden este lmite, el firewall bloquear al
anfitrin especfico (en el rango de red 192.168.2.0/24 por ejemplo) de accesar al
switch por completo.
28.6. Escenario: Ajustando Zona de Defensa
295
Figura 28.1: Un Escenario de Zona de Defensa.
Un switch D-Link de modelo DES-3226S es utilizado en este caso, con una direccin de
administracin de interfaz 192.168.1.250 conectando a la direccin de interfaz del firewall
192.168.1.1. Esta interfaz de firewall es aadida en la lista excluyente para prevenir que el
firewall sea accidentalmente bloqueado para accesar el switch.
El diseo de red simplificado para este escenario es mostrado en la Figura 28.1.
WebUI
1. Switch
aadir un nuevo switch en la seccin de Zona de Defensa.
Zone Defense Switches Switch:
General
Name: switch1
Switch model: DES-3226S
IP Address: 192.168.1.250
(o utilice el nombre objetivo si ha sido definido en la direccin objetiva)
SNMP Community:
Ingrese en el recuadro de editar la serie de comunidad escrita configurada en el switch.
Presione el botn de Check Switch para verificar que el firewall puede comunicarse
con el switch y la serie correcta de comunidad es ingresada.
296
2. Lista Excluyente
Aada la interfaz de administracin del firewall en la lista excluyente.
Zone Defense Exclude:
General
Direcciones:
Elija el nombre objetivo de la direccin de interfaz del firewall 192.168.1.1 desde la
lista Available y colquelo en la lista Selected.
3. Regla Threshold
configurando un threshold HTTP de 10 conexiones/segundo.
Zone Defense Threshold Add Threshold:
General:
General:
Name: HTTP-Threshold
Service: HTTP
Address Filter
Source
Destination
Interface: (la interfaz de administracin del firewal) any
Network: 192.168.2.0/24(o el nombre objetivo)
all-nets
Action:
Action: ZoneDefense
Host-based Threshold: 10
Parte XIII
Alta Disponibilidad
CAPITULO
29
Alta Disponibilidad
29.1
Alta Disponibilidad Bsica
Esta seccin incluye los siguientes tpicos

Qu hace la Alta Disponibilidad por usted
Qu es lo que NO hace la alta Disponibilidad por usted
Ejemplo de Configuracin de Alta Disponibilidad
La Alta Disponibilidad D-Link trabaja aadiendo un firewall de respaldo a su

Firewall existente. El firewall de respaldo tiene la misma configuracin que el firewall
primario. Este se mantendr inactivo, monitoreando el firewall primario, hasta que este
considere que el firewall primario no funcionar por ms tiempo, a qu punto ste se
activar y asumir el rol activo en el cluster. Cuando el otro firewall se vuelve respaldo,
ste asumir un rol pasivo, monitoreando el firewall actualmente activo.
A travs de este captulo, las frases master firewall y primary

firewall son utilizados de manera intercambiable, como son las frases slave firewall y
back-up firewall.
29.1.1
Qu har la Alta Disponibilidad por usted
La Alta Disponibilidad D-Link le entregar un firewall de estado sincronizado

superfluo. Esto significa que el estado del firewall activo, ej.
299
300
Captulo 29. Alta Disponibiidad
Tabla de conexin y otra informacin vital, esta copia continua del firewall
inactivo. Cuando el cluster falla sobre el firewall inactivo, Este conoce cul
conexin est activa, y la comunicacin puede continuar hacia el flujo
no interrumpido.
El tiempo del sistema de recuperacin de fallos es de alrededor de un segundo en
el alcance de una retransmisin de tiempo de inactividad TCP normal, lo cual es
normalmente por sobre de un minuto. Los clientes conectados a travs del firewall
experimentarn el procedimiento de recuperacin de fallos como un leve golpe de
paquetes perdidos, un TCP siempre re-transmite en tales situaciones los paquetes
perdidos dentro de un segundo o dos, y continua con la comunicacin.
29.1.2
Qu es lo que NO hace la Alta Disponibilidad por usted
Aadiendo la superfluidad a su configuracin de firewall eliminar uno de los puntos de

falla en su trayectoria de comunicacin. Sin embargo, esta no es una panacea para
todas las fallas posibles de comunicacin.
Usualmente, su firewall est lejos de tener un slo punto de falla.
La Superfluidad de sus routers, switches, y conexin interna son tambin temas que
necesitan ser dirigidos.
Los clusters de Alta Disponibilidad D-Link no crearn un cluster de comparticin de carga.
Un firewall ser activo, y el otro ser inactivo.
Los firewalls de respaldo mltiples no pueden ser utilizados en un cluster. Slo son soportados
dos firewalls, uno master y uno slave.
Como es el caso con todos los otros firewall que soportan el estado de recuperacin de
fallos, la Alta Disponibilidad D-Link slo trabajar entre dos Firewalls D-Link. Como
el trabajo interno de diferentes firewalls, y en efecto, mejores versiones diferentes del
mismo firewall, pueden ser radicalmente diferentes, no hay manera de comunicar el
state a algo que posee una comprensin completamente diferente de lo que
state significa.
Las interfaces rotas no sern detectadas por la implementacin actual de la Alta
Disponibilidad, a menos que sean rotas en el punto donde el firewall no pueda
continuar corriendo. Esto significa que la recuperacin de fallos no ocurrir si el firewall
activo puede comunicarse mantenindose con vida para el firewall inactivo a travs de
cualquiera de sus interfaces, incluso aunque una o ms interfaces puedan ser
inoperativas.
29.2. Cuan rpido puede ser logrado el failover
29.1.3
301
Ejemplo de configuracin de la Alta Disponibilidad
Todas las interfaces del firewall primario necesitan ser presentados en el firewall de
respaldo, y conectados a la misma red. Como fue previamente mencionado el failover
no es realizado innecesariamente, de modo que cualquier firewall puede mantener el rol
activo del cluster por un perodo de tiempo extendido. Por lo tanto, el conectar algunos
equipos a slo el master o slo el firewall slave est ligado a producir resultados
no deseados.
Figura 29.1: Ejemplo de configuracin de HA.
Como se puede ver en la figura 29.1, ambos firewalls estn conectados a la red interna
as como a la red externa. Si hay ms redes, por ejemplo una o ms zonas desmilitarizadas,
o segmentos de redes internas, ambos firewalls tendrn que ser conectadas a tales redes;
el Slo conectar el master a la red ser como guiar a perder la conectividad por
perodos de tiempo extendidos.
.
29.2
Cmo es logrado el Failover
Esta seccin incluye los siguientes tpicos:

La direccin IP compartida y el mecanismo de failover
Latidos Cluster
La interfaz de sincronizacin
302
Captulo 29. Alta Disponibilidad
Esta seccin detallar las caractersticas visible externas del mecanismo de failover,
y cmo trabajan juntos los dos firewalls para crear un cluster de alta disponibilidad
con tiempos de failover muy bajos.
Para cada cluster de interfaz, hay tres direcciones IP:
Dos direcciones IP reales; uno para cada firewall. Estas direcciones son
utilizadas para comunicarse con los mismos firewalls, ej. para el control y
monitoreo remoto. Estos no deben ser asociados de ningn modo con el trfico
que fluye por el cluster; si ningn firewall es inoperativo, la direccin IP asociada
ser simplemente inalcanzable.
Una direccin IP virtual; compartida entre los firewalls. Esta es la direccin IP a
utilizar cuando se configura las puertas de enlace predeterminadas y otros

asuntos relacionados a routing. Es tambin la direccin utilizada por la traduccin
de direccin dinmica, a menos que la configuracin especifica explcitamente
otra direccin.
No hay mucho que decir acerca de las direcciones IP reales; estos actuarn tal como
las interfaces firewall normalmente lo hacen. Usted puede aplica pingo controlar
remotamente los firewalls por stos si su configuracin lo permite. Consultas ARP para
las direcciones respectivas son respondidas por el firewall que posee la direccin IP
utilizando la direccin hardware normal, tal como las unidades normales IP lo
hacen.
29.2.1
La direccin IP compartida y mecanismo de failover.
Ambos firewalls en el cluster conocen sobre la direccin IP compartida. Las consultas

ARP por la direccin IP compartida, o cualquier otra direccin IP publicada va seccin
de configuracin ARP o por Proxy ARP, sern respondidas por el firewall activo.
La direccin hardware de la direccin IP compartida, y otras direcciones

publicadas para esos asuntos, no estn relacionadas a las direcciones hardware de
las interfaces firewall. Mas bien, est construido desde el cluster ID, en la siguiente
forma: 10-00-00-C1-4A-nn, donde nn es el Cluster ID configurado en la seccin de
ajustes.
Como la direccin IP compartida tiene siempre la misma direccin hardware, no habr
tiempo de latencia en la actualizacin de caches ARP de unidades apegadas al mismo
LAN como el cluster cuando el failover ocurre.
29.2. Cuan rpido es logrado el Failover
303
Cuando un firewall descubre que su par ya no es operacional, este transmitir un

nmero de consultas ARP para s mismo, utilizando la direccin hardware compartida
como direccin de remitente, en todas las interfaces. Esto causa switches y puentes
para volver a aprender dnde enviar paquetes destinados para la direccin hardware
compartida en materia de milisegundos.
Por lo tanto, el nico retraso real en el mecanismo de failover es detectar que un
firewall ya no es operacional.
Los mensajes de activacin (consultas ARP) descritos anteriormente son transmitidos
peridicamente para asegurar que los switches no olviden dnde enviar paquetes
destinados para la direccin hardware compartida.
29.2.2
Latidos Cluster
Un firewall detecta que su par ya no es operacional cuando ste ya no percibe los

latidos cluster de su par.
Comnmente, un firewall enviar cinco latidos cluster por segundo.
Cuando un firewall ha perdido tres latidos, ej. luego de 0.6 segundos, ste ser declarado
inoperativo.
De modo que, porqu no hacerlo an ms rpido? Tal vez enviar 100 latidos por segundo
y declarar a un firewall inoperativo luego de perder slo dos de ellos?
Esto podra despus de todo resultar en un tiempo de failover de.02-segundos.
El problema con los tiempos de deteccin de menos de un dcimo por segundo es que
tales retrasos pueden ocurrir durante la operacin normal. Slo abriendo un archivo, en
cualquier firewall, podra resultar en un gran retraso suficiente para causar que el firewall
inactivo se vuelva activo, incluso si el otro firewall se encuentra an activo; una situacin
claramente no deseada.
Los latidos cluster tienen las siguientes caractersticas:
La fuente IP es la direccin de interfaz del firewall enviado
El destino IP es la direccin IP compartida
El IP TTL es siempre 255.Si un firewall recibe un latido cluster con cualquier otro
TTL, es asumido que el paquete ha atravesado un router, y por lo tanto no puede

ser del todo confiable.
304
Captulo 29. Ala Disponibilidad
Es un paquete UDP, enviado desde puerto 999, a puerto 999.

La direccin de destino MAC es la direccin Ethernet multicast correspondiente
a la direccin hardware compartida, ej. 11-00-00-C1-4A-nn. Link-level multicasts

son elegidos sobre paquetes unicast normales por razones de seguridad:
El utilizar paquetes unicast podra significar que un agresor local puede engaar
switches para dirigir latidos a algn otro lugar, causando que el par firewall
jams perciba los latidos.
29.2.3
La interfaz de Sincronizacin
Ambos firewalls son conectados entre ellos por una conexin separada de
sincronizacin; son utilizadas tarjetas actuales de red, aunque estas estn dedicadas
exclusivamente para este propsito.
El firewall activo continuamente enva mensajes de actualizacin de estado a su par,
informando sobre las conexiones que son abiertas, conexiones que son cerradas,
cambios de estado y tiempo de vida en las conexiones, etc.
Cuando el firewall activo cesa de funcionar, por cualquier razn e incluso por un corto
tiempo, el mecanismo de latido cluster descrito anteriormente causar que el firewall
inactivo se vuelva activo. Puesto que este ya conoce todas las conexiones abiertas,
la comunicacin puede continuar fluyendo ininterrumpidamente.
29.3
Ajustando un Cluster de Alta Disponibilidad

Planificar el cluster de Alta Disponibilidad
Crear un cluster de Alta Disponibilidad
Esta seccin describe el proceso de instalar un cluster de Alta Disponibilidad.

Para una instalacin exitosa, es altamente recomendado que sean ledas las secciones
previas, Alta Disponibilidad Bsica y Qu tan rpido es logrado el failover.
Un cluster puede ser creado tanto instalando un par de nuevos firewalls, o convirtiendo
firewalls ya instalados en miembros cluster.
El firewall con la ms alta versin numrica de su configuracin asegurar siempre que la
configuracin es transferida al otro miembro cluster.
29.3. Ajustando un Cluster de Alta Disponibilidad
305
El tpico a continuacin describe la operacin requerida para ajustar completamente un

cluster de Alta Disponibilidad.
29.3.1
Planificar el cluster de Alta Disponibilidad
Como un ejemplo durante toda esta gua, dos Firewalls D-Link son utilizados como
miembros cluster. Para simplificar esta gua, slo dos de las interfaces en cada
miembro cluster son utilizadas para trfico de red. Los siguientes ajustes son utilizados:
Las interfaces LAN en el miembro cluster son ambas conectadas al mismo switch.
Este switch reside en una red interna con direcciones IP desde la red
192.168.10.0/24.
Las interfaces WAN en los miembros cluster son ambos conectados a un segundo
Switch. Este switch reside en una red externa con direcciones IP desde la red
10.4.10.0/24.
Las direcciones IP para las interfaces son designadas como es indicado por esta
tabla:
Interface
LAN
WAN
Shared IP address
192.168.10.1
10.4.10.1
Master IP address
192.168.10.2
10.4.10.2
Slave IP address
192.168.10.3
10.4.10.3
Las interfaces DMZ en los miembros cluster son utilizadas para sincronizacin
de estado, y por lo tanto conectadas entre ellos utilizando cable cruzado

Ethernet.
29.3.2
Creando un cluster de Alta Disponibilidad
Ejemplo: Configurando el Firewall como un Miembro Cluster

Cada firewall en el cluster tendr que ser configurado para actuar tanto como un HA
master slave. Esto incluye la configuracin de direcciones privadas (master y slave) y
direcciones IP compartidas en interfaces, as como seleccionando un cluster ID e
interfaz de sincronizacin.
306
WebUI
1. Configuracin HA
System High Availability:
Enable High Availability: Enable
Cluster ID: 0 (Seleccione un cluster ID apropiado)
Sync Interface: DMZ (En este ejemplo se utiliza la interfaz DMZ como interfaz sync)
Node Type: Master or Slave
2. Configuracin de Par de Direccin HA
Se necesita crear un Par de Direccin HA objetiva para almacenar las direcciones
IP master y slave.
Objects Address Book Add HA IP4 Address Pair:
Name: lan-priv-ip (Direcciones IP privadas para interfaz LAN)
Master IP Address: 192.168.10.2
Slave IP Address: 192.168.10.3
Objects Address Book Add HA IP4 Address Pair:
Name: wan-priv-ip (Direcciones IP privadas para interfaz WAN)
Master IP Address: 10.4.10.2
Slave IP Address: 10.4.10.3
3. Configuracin de Interfaz
IP Address: 192.168.10.1
Advanced/High Availability
Private IP Address: lan-priv-ip Then click OK
Interfaces Ethernet Edit (WAN):
Advanced/High Availability
Private IP Address: wan-priv-ip
Cuando la configuracin es guardada y activada, el firewall actuar como un
miembro cluster HA.
29.4. Cosas que mantener en mente
307
Nota
Todas las interfaces Ethernet y VLAN debern tener asignadas una direccin IP
privada cuando el firewall es configurado para ser miembro HA. Sin embargo, en este
ejemplo slo se mostrar cmo configurar las interfaces LAN y WAN. Note que
es posible utilizar el mismo Par de Direccin HA IP4 objetiva en interfaces mltiples.
Cuando una modificacin a la configuracin en ambos firewalls ha sido guardada y

activada, la configuracin ser automticamente transferida al otro miembro cluster.
No importa si la configuracin fue modificada en el firewall master slave, como el
miembro cluster con el nmero de versin de configuracin ms alta siempre tratar
de transferir la configuracin al otro miembro cluster.
29.4
Cosas que mantener en Mente

Asuntos de Estadisticas y Registro
Asuntos de Configuracin
Incluso a travs del cluster de Alta Disponibilidad se comportar como un solo firewall
desde muchos aspectos, hay algunas cosas que mantener en mente cuando se maneja
y configura.
29.4.1
Asuntos de Estadsticas y Registro
Estadsticas SNMP
Las estadsticas SNMP no son compartidas. Los administradores SNMP no tienen
capacidades de failover. De este modo, usted necesitar obtener ambos firewalls
en el cluster.
Los registros vienen desde dos firewalls
El registro de datos proviene desde dos firewalls. Esto significa que usted tendr que
configurar su receptor de registro para recibirlos desde ambos firewalls. Esto tambin
significa que sus consultas de registro probablemente tendrn que incluir ambas fuentes de
Firewall, lo cual entregar todos los datos de registro en una vista resultante. Normalmente
el firewall inactivo no enviar entradas de registro sobre el trfico con vida, as que la
salida se ver mucho como el camino que hizo con slo un firewall.
308
29.4.2
Asuntos de Configuracin
Cuando se configuran los clusters de Alta Disponibilidad, hay un nmero de cosas que
se deben mantener en mente con el fin de evitar riesgos innecesarios.
Modificando el cluster ID
Modificando el cluster ID, usted actualmente hace dos cosas:
Modificando la direccin hardware de los IPs compartidos. Esto podra causar
problemas para todas las unidades aadidas al LAN local, cuando estos mantendrn
la vieja direccin hardware en sus caches ARP hasta que ste times out. Tales
unidades debern tener sus caches ARP limpios
Usted puede adems romper la conexin entre los firewalls en el cluster
mientras que estos estn utilizando diferentes configuraciones. Esto podra causar
que ambos firewalls se vuelvan activos al mismo tiempo.
En resumen, no es buena idea modificar el cluster ID innecesariamente.
Luego de que la configuracin ha sido cargada en ambos firewalls, los caches ARP de
unidades vitales debern ser limpiados con el fin de restaurar la comunicacin.
Jams utilice IPs nicos para trfico activo
Las nicas direcciones IP (privadas) de los firewalls no pueden ser utilizados de manera
segura para nada salvo manejar los firewalls.
El utilizarla para algo ms: utilizarlas como Fuentes IPs en
conexiones dinmicamente NATed publicando servicios en estas, causar
problemas inevitablemente, como que los IPs nicos desaparecern cuando el firewall
al que pertenecen lo hagan.
Parte XIV
Apndice
INDEX
ABR, 75
ACL, 291
ActiveX, 156
AES, 196
AH, 214
ALG, 47
ARP, 27
ARP, 66
AS, 70
ASBRs, 75
Backbone area, 74
BDR, 75
Blowfish, 196
BOOTP, 60
Brute force attack, 196
CA, 49, 199
CAST, 196
Certificate, 49, 199, 221
CHAP, 62, 134, 135, 229
CRL, 50, 200, 222
Cryptography, 195
DES, 196
DH group, 218
DHCP, 60, 275, 277
Dictionary attack, 229
Di-Serv, 247, 250
Digital signature, 198
DMZ, 14, 119, 150, 200, 204, 207,

210
DNS, 101
DoS, 47, 123, 263
DR, 75
DSA, 197
DST, 97
DynDNS, 271
ESP, 214
Ethernet, 53
Ethernet address, 41
Firewall, 9
GRE, 27, 45, 228
H.225, 159
H.245, 160
H.323, 158
High availability, 54
Hop, 69
HTTP, 155
HTTPPoster, 273
HTTPS, 46, 136, 243
IANA, 45
ICMP, 43
ID Lists, 221
IDlist, 51
IDS, 26
311
312
INDEX
IKE, 213
IKE XAuth, 222
IP address, 39
IP spoofing, 123
IPsec, 27, 213
RSA, 197
SA, 215
SAT, 114, 115
SNMP, 28, 292
SNTP, 98
SPF, 76
Spoofing, 123
SSL, 136, 243
Stub area, 75
SYN flooding, 47
L2TP, 27, 228

LAN, 53, 56
LCP, 62
LDAP, 50, 222
LSA, 76
Man-in-the-middle attack, 198,
229
MCUs, 159
MIB, 293
MPPE, 229
NAT, 112, 218
NAT, 112
NCPs, 62
NTP, 98
OSI, 7
OSPF, 73, 74
T.120, 160
TLS, 136, 243
ToS, 250
Twofish, 196
UDP/TIME, 98
URL, 157
VLAN, 56
VLink, 74
VoIP, 158
VPN, 13, 193, 207
WWW, 155
PAP, 62, 135, 229

PBR, 88
PFS, 217
PPP, 27, 62, 135, 228
PPPoE, 27, 61
PPTP, 27, 228
Proxy ARP, 94
PSK, 216, 220
QoS, 247, 250
RADIUS, 135
Replay attack, 229
RIP, 72
Route, 69
RouteFailover, 77
Router priority, 75
Routing table, 69
APENDICE
Referencia De Comandos de Consola
Este Apndice contiene la lista de comandos que pueden ser utilizados en CLI para
Monitorear y solucionar problemas en el firewall. Para informacin sobre cmo acceder
Desde un PC terminal, refirase a 4.2, Monitoreo Via CLI.
Lista de Comandos
Al respecto
Entrega informacin referente a la versin del ncleo del firewall en uso y una notificacin
copyright.
Syntax: about
Ejemplo:
Cmd> about
D-Link DFL 2.01.00V
Copyright Clavister 1996-2005. All rights reserved
SSH IPSEC Express SSHIPM version 5.1.1 library 5.1.1
Copyright 1997-2003 SSH Communications Security Corp.
Build : Jun 3 2005
313
314
Capitulo A. Referencia de Comandos de Consola
Acceso
Despliega los contenidos de la seccin de configuracin de Acceso.
Syntax: access
Ejemplo:
Cmd> access
Source IP Address Access list (proteccin spoofing)
Rule Name
Action Iface
Source Range
----------------- ------ ----------------- ------------Si no coincide una regla de acceso, las reglas PBR sern utilizadas para seleccionar
Una tabla routing para ser utilizada en la bsqueda de ruta reversiva. Si la bsqueda
De ruta falla, la accin ser rechazada.
ARP
Despliega entradas ARP para la interfaz especificada. Publicadas, son mostrados items
tanto esttico como dinmico.
Syntax: arp [options] <interface pattern>
Opciones:
- ip <pattern> Despliega slo direcciones IP coincidentes <pattern>

- hw <pattern> Despliega slo direcciones hardware coincidentes <pattern>
- num <n> Despliega slo la primera <n> entrada por iface (default: 20)
- hashinfo Despliega informacin en la tabla de salud hash
- flush limpia el cache ARP de TODAS las interfaces
- flushif Limpia el cache ARP cache de una
interface
Ejemplo:
Cmd> arp wan
ARP cache of iface wan
Dynamic 194.2.1.1
= 0020:d216:5eec
Expire=141
315
ARPSnoop
Alternar el despliegue en pantalla de consultas ARP. Este comando puede ser de gran
Ayuda en la configuracin del hardware firewall, ya que este muestra cuales
Direcciones IP son percibidas en cada interfaz.
Syntax:
- arpsnoop <interface pattern>

Alternar rastreo en interfaces entregadas.
- arpsnoop all
rastrea todas las interfaces.
- arpsnoop none
Desactiva todo rastreo
Ejemplo:
Cmd> arpsnoop all
ARP snooping active on interfaces: lan wan dmz
ARP on wan: gw-world requesting ip ext
ARP on lan: 192.168.123.5 requesting lan ip
...
Buers
Este comando puede ser til en la solucin de problemas; ej. si un gran nmero
inesperado
de Paquetes comienzan a consultar en el firewall cuando el trfico no pareciera estar
fluyendo por alguna razn inexplicable. Al analizar los contenidos de los buffers, es
posible determinar dnde tal trfico est trabajando en el firewall completo.
Syntax:
-- buffers
Entrega una lista de los buffers ms recientemente liberados.
Ejemplo:
316
Cmd> buffers
Displaying the
RecvIf Num
------ ---wan
1224
lan
837
wan
474
wan
395
...
20 most recently freed buffers

Size Protocol Sender
---------- --------------121
UDP
192.168.3.183
131
UDP
192.168.123.137
112
UDP
192.168.3.183
91
UDP
192.168.3.183
Destination
--------------192.168.123.137
192.168.3.183
192.168.123.137
192.168.123.137
-- buffer <number>
Muestra los contenidos del buffer especificado.
Ejemplo:
Cmd> buff 1059
Decodificacin de nmero buffer 1059
lan:Enet 0050:dadf:7bbf->0003:325c:cc00, type 0x0800, len 1058
IP 192.168.123.10->193.13.79.1 IHL:20 DataLen:1024 TTL:254
Proto:ICMP
ICMP Echo reply ID:6666 Seq:0
-- buffer .
Muestra los contenidos del buffer ms recientemente utilizado.
Ejemplo:
Cmd> buff .
Decodificacin de nmero buffer 1059
lan:Enet 0050:dadf:7bbf->0003:325c:cc00, type 0x0800, len 1058
IP 192.168.123.10->193.13.79.1 IHL:20 DataLen:1024 TTL:254
Proto:ICMP
ICMP Echo reply ID:6666 Seq:0
Certcache
Despliega los contenidos del certificado cache.
Syntax: certcache
317
CfgLog
Muestra el resultado de la configuracin ms reciente reinicia el firewall. Este
texto es el mismo que se muestra en pantalla durante la reconfiguracin
reinicio.
Syntax: cfglog
Ejemplo:
Cmd> cfglog
Configuration log:
Configuration done
License file successfully loaded.
Conexiones
Muestra las ltimas 20 conexiones abiertas por el firewall. Las conexiones son creadas
cuando el trfico es permitido de pasar va reglas Allow o NAT. El trfico permitido de
pasar bajo FwdFast no es includo en esta lista.
Cada conexin tiene dos valores de Tiempo de inactividad, uno en cada direccin. Estos
son actualizados cuando el firewall recibe paquetes desde cada extremo de la conexin.
El valor mostrado en la columna de Tiempo de inactividad es el ms bajo de los dos
valores. Los valores posibles en la columna de State incluyen:
- SYN RECV TCP paquete con SYN flag recibido
- SYNACK S TCP paquete con SYN + ACK flags enviados
- ACK RECV TCP paquete con ACK flag recibido
- TCP OPEN TCP paquete con ACK flag enviado
- FIN RECV TCP paquete con FIN/RST flag recibido
- PING La conexin es una conexin ICMP ECHO
- UDP La conexin es una conexin UDP
- RAWIP La conexin utiliza un protocolo IP aparte de TCP, UDP o
ICMP
Syntax: conexiones
318
Ejemplo:
Cmd> conn
State
--------TCP OPEN
SYN RECV
UDP OPEN
Proto
----TCP
TCP
UDP
Source
-----------------wan:60.20.37.6:5432
wan:60.20.37.6:5433
lan:10.5.3.2:5433
Destination
---------------- -----dmz:wwwsrv:80
dmz:wwwsrv:80
dmz:dnssrv:53
Cpuid
Muestra informacin respecto al CPU en el hardware firewall.
Syntax: cpuid
Ejemplo:
Cmd> cpuid
Processor:
Est. frequency:
Family:
Model:
Stepping:
Vendor ID:
Type:
Logical CPUs (HTT):
Feature flags:
Intel Pentium 4
1402 MHz
15
0
10
GenuineIntel
Original OEM Processor
1
fpu vme de pse tsc msr pae mce cx8 apic
sep mtrr pge mca cmov pat pse-36 clfsh
ds acpi mmx fxsr sse sse2 ss htt tm
Cache and TLB information:

0x66: 1st-level data cache: 8-KB, 4-way set associative,
sectored cache, 64-byte line size
...
DHCP
Syntax:
dhcp [options] <interface>
Options:
- renew Fuerza a la interfaz a renovar su contrato

- release Fuerza a la interfaz a liberar su contrato
Ejemplo:
Cmd> dhcp -renew wan
Tmout
3600
30
50
319
DHCPRelay
Muestra los contenidos del la seccin de configuracin de la
retransmisin DHCP.
Syntax: dhcprelay [options]
Opciones:
- release ip Libera el IP y remueve las rutas asociadas desde el firewall.
Ejemplo:
Cmd> dhcprelay
Servidor DHCP
Muestra los contenidos de la seccin de configuracin del servidor DHCP y activa los
contratos DHCP.
Syntax: dhcpserver [options]
Opciones:
- rules Muestra reglas de servidor DHCP

- leases Muestra contraltos de servidor DHCP
- mappings Muestra servidor IP DHCPMAC mapeos
- release Libera un IP active en lista negra
Ejemplo:
Cmd> dhcpserver
DynRoute
Despliega la regla de ajuste de filtro de poltica de routing dinmico y exportaciones
actuales.
Syntax: dynroute [options]
Options:
- rules Despliega regla de ajuste de filtro de routing dinmico

- exports Despliega exportaciones actuales
320
Frags
Muestra los 20 intentos de reensamblaje de fragmentos ms recientes. Esto incluye
ambos intentos en curso y completados.
Syntax: frags
Ejemplo:
Cmd> frags
RecvIf
-----lan
wan
Num
--2
8
State
----Done
Accept
Source
Dest.
-------------10.5.3.2 26.23.5.4
23.3.8.4 10.5.3.2
Protocol
-------ICMP
ICMP
HA
Muestra informacin sobre el cluster HA.
Syntax: ha
Ejemplo:
Cmd> ha
Este dispositivo es un HA SLAVE
Este dispositivo es actualmente ACTIVE (reenviar trfico)
El par cluster HA est ALIVE
HTTPPoster
Muestra el httpposter urls configurado y estado.
Syntax: httpposter [options]
Opciones:
- repost Re-post todos los URLs ahora.
Next
---2000
1480
Tout
---58
60
321
Ejemplo:
Cmd> httpposter
HTTPPoster URL1:
Host :
""
Port :
0
Path :
""
Post :
""
User :
""
Pass :
""
Status: (no configurado)
...
Ifacegroups
Muestra los grupos de interfaz configurados.
Syntax: ifacegroups <name pattern>
Ejemplo:
Cmd> ifacegroups
Configured interface groups
-------------------------------internals lan,vlan1,vlan2,vlan3
IfStat
Syntax:
-- ifstat
Muestra una lista de las interfaces instaladas en el firewall.
Ejemplo:
Cmd> ifstat
Interfaces configuradas:
Interface name IP Address
-------------- -----------core
127.0.0.1
wan
172.16.87.252
lan
192.168.121.1
Interface type
------------Null (sink)
...
...
322
-- ifstat <interface>
Muestra las estadisticas hardware y software para el NIC especificado.
Ejemplo:
Cmd> ifstat lan
Iface lan
...
MTU :
...
IP Address : ...
Hw Address : ...
Software Statistics:
Soft received: ... Soft sent:
Dropped:
... IP Input Errs: ...
Driver information / hardware statistics:
...
... Send failures: ...
El contador Dropped en la seccin de software expone el nmero de paquetes

desechados como el resultado de test de integridad estructural reglas de ajuste drops
del firewall.
El contador IP Input Errs en la seccin de software especifica el nmero de paquetes
desechados debido a los errores checksum encabezados IP rotos mas all de
reconocimiento. El ultimo es ms como el resultado de problemas de red local ms
que ataques remotos.
Ikesnoop
Ikesnoop es utilizado para diagnosticar problemas con tneles IPsec.
Syntax:
-- ikesnoop
Despliega en actual estado ikesnoop.
-- ikesnoop off
Apaga el IKE.
-- ikesnoop on [ipaddr]
Enciende el IKE, si un IP es especificado slo el trfico ike de ese IP
ser mostrado.
-- ikesnoop verbose [ipaddr]
Habilita el verbose output, si un IP es especificado slo el trfico ike de ese
IP ser mostrado.
323
Ipseckeepalive
Muestra el estado de las conexiones configuradas Ipsec keepalive.
Syntax: ipseckeepalive
Ejemplo:
Cmd> ipseckeepalive
192.168.0.10 -> 192.168.1.10:
908, lost: 2
192.168.1.10 -> 192.168.0.10:
913, lost: 6
Consecutive lost:
0, sent:
Consecutive lost:
0, sent:
IPSectunnels
Despliega las conexiones IPSec VPN configuradas.
Syntax: ipsectunnels
Ejemplo:
Cmd> ipsectunnel
No Name
Local Net
Remote Net Remote GW
0
vpn-home 192.168.123.0/24 0.0.0.0/0
None
MAIN MODE SA PER NET DONT VERIFY PAD IKE group: 2
IKE proplist: ike-default, IPsec proplist:
esp-tn-roamingclients
IPSecstats
Despliega puertas de enlace IPSec VPN conectadas y clientes remotos.
Syntax: ipsecstats [options]
Opciones:
- ike
Despliega SAs IKE
- ipsec
Despliega SAs IPsec (predeterminado)
-u
Despliega informacin estadstica SA detallada
-v
Despliega informacin verbose

324
- num <n>
Nmero mximo de entradas a desplegar (predeterminado: 40/8)
Nota: si se ajusta a 0, TODAS las entradas sern desplegadas
Ejemplo:
Cmd> ipsecstats
--- IPsec SAs:
Despliega una lnea por SA-bundle
...
Killsa
Mata todos los IPsec y IKE SAs para la direccin IP especificada.
Syntax: killsa <ipaddr>
Ejemplo:
Cmd> killsa 192.168.0.2
Destruye todos los IPsec & IKE SAs por par remoto 192.168.0.2
Licencia
Muestra en contenido del archivo de licencia. Es adems posible remover una licencia
desde un firewall corriendo con este commando, removiendo la licencia.
Syntax: license [remove]
Ejemplo:
Cmd> lic
Contenidos del archivo de Licencia
---------------------------Registration key:
...
Bound to MAC address: ...
Model:
DFL-...
Registration date:
...
Issued date:
...
Last modified:
...
New upgrades until:
...
Ethernet Interfaces:
...
...
325
Lockdown
Ajusta el bloqueo local a encendido apagado. Durante el bloqueo local, slo el
trfico de nets admin al firewall mismo es permitido. Cualquier otra cosa es
desechada
Nota: Si el bloqueo local ha sido ajustado por el ncleo mismo debido a problemas
de
licencia o configuracin, este comando NO remover tal bloqueo
Syntax: lockdown [ on | off ]
Loghosts
Muestra la lista del destinatario de registro al que el firewall est configurado a enviar
datos de registro.
Syntax: loghosts
Ejemplo:
Cmd> loghosts
Log hosts:
SysLog 192.168.123.10
Facility: local0
Utiliza registro en intervalos de 3600.
Memoria
Despliega el consume de ncleo de memoria. Tambin despliega el uso de la memoria detallada
por algunos componentes y listas.
Syntax: memory
Netcon
Muestra una lista de usuarios actualmente conectados al firewall va protocolo de
administracin netcon.
Syntax: netcon
Ejemplo:
Cmd> netcon
Currently connected NetCon users:
Iface IP address
port
lan
192.168.123.11 39495
326
Netobjects
Despliega la lista de su red nombrada objetiva y sus contenidos. Si una net
objetiva es especificada la salida mostrar informacin de autentificacin del usuario
asociada con ese objeto.
Syntax: netobjects [options]
Options:
- num <number>
- dump
Maximo de objetos enlistados (predeterminado: 20)
hace netobject dump MUCHO ms detallado (debug cmds)
OSPF
Muestra informacin de la informacin del tiempo de ejecucin acerca de procesos de
Router OSPF y es utilizado para detener/iniciar procesos OSPF).
Syntax: ospf [<process name>] [<parameter>]
[<argument>]
Parmetros disponibles:
- iface [<iface>], Despliega informacin de interfaz

- area [<areaID>], Despliega informacin de rea
- neighbor [<if>:][<neiID>], Despliega informacin del vecino
- route, Despliega la table routing del proceso interno OSPF
- database [verbose], Despliega la base de datos LSA
- lsa <lsaID>, Despliega detalles para un LS especificado
- snoop [on | o], Despliega mensajes de troubleshooting en la consola
- ifacedown <iface>, Toma la interfaz especificada fuera de lnea
- ifaceup <iface>, Toma la interfaz especificada en lnea
- stop, Detiene el proceso OSPF
- start, Inicia el proceso OSPF
- restart, Reinicia el proceso OSPF
327
Parmetros de depuracin:
- spf, Ejecuta un clculo completo SPF

- refresh, Refresca todos los LSAs originados en el proceso
- ifacemetric <if> <metric>, Modifica la mtrica de una interfaz
Ping
Enva un nmero especfico de paquetes ICMP Echo Request a un destino entregado.
todos los paquetes son enviados en sucesin inmediata ms que uno por segundo.
Esta conducta es la ms apropiada para diagnosticar problemas de conectividad.
Syntax:
ping <IPAddr> [options] [< of packets>
[<size>]]
Opciones:
- r <recvif>, Corre a travs de la Regla de ajustes, simulando que los paquetes fueron
Recibidas por <recvif>.
- s <srcip>, Utiliza esta fuente IP.
- p <table>, Dirige utilizando la tabla PBR especificada.
- v, Verbose ping.
Ejemplo:
Cmd> ping 192.168.12.1
Al enviar 1 ping a 192.168.12.1 desde 192.168.14.19 utilizando la tabla main PBR.
Echo responde desde 192.168.12.1 seq=0 time= 10 ms
TTL=255
Conductos
Muestra la lista de conductos configurados; los contenidos de la seccin de configuracin
de conductos, junto con las figures de rendimiento bsicas de cada conducto.
Syntax: pipes [options] <name>
Opciones:
-s
Despliega estadsticas globales

328
-u
Despliega los usuarios de un conducto entregado <name>
Ejemplo:
Cmd> pipes
Configured pipes:
Name
Grouping
----------std-in Per DestIP
Current: 42.5 K 21.0
...
Bits/s
------
Pkts/s
------
Precedence
---------017
Proplists
Enlista las listas propuesta configuradas.
Syntax: proplists [vpnconn]
Ejemplo:
Cmd> propl
Desplegando todas las listas propuestas configuradas:
ike-default
...
ReConfigurar
Re-lee el archive FWCore.cfg desde el disco. Este proceso toma aproximadamente un
segundo si se realiza desde el disco floppy, y aproximadamente una dcima de segundo
desde el disco duro disco flash. Si hay un archivo FWCore N.cfg presentado en el disco,
ste ser ledo en cambio. Sin embargo, como no hay Administrador de Firewall para
intentar dos medios de comunicacin con el firewall, ste concluir que la configuracin es
incorrecta y revertir a FWCore.cfg luego de que la verificacin bi-direccional del perodo
de tiempo de inactividad ha expirado (tpicamente 30 segundos).
Syntax: reconfiure
Ejemplo:
Cmd> reconfigure
Shutdown RECONFIGURE. Activo en 1 segundo.
Shutdown reason: Reconfigurar debido a consola de comando
329
Remotos
Muestra los contenidos de la seccin de Configuracin Remota.
Syntax: remotes
Ejemplo:
Cmd> remotes
Hosts/nets con control remote del firewall:
...
WebUI HTTP (puerto 80) y acceso HTTPS (puerto 443)
Rutas
Despliega la informacin acerca de las tablas de routing, contenidos de una (nombrada)
tabla routing una lista de tablas routing, junto con una cuenta total de entradas de ruta
en cada tabla, as como cuantas de las entradas son rutas de un solo anfitrin.
Note que las rutas ncleo por direcciones de interfaz IP no son normalmente mostradas,
Utilice el switch de -all para mostrar las rutas ncleo tambin.
En el recuadro de Flags de las tablas routing, las siguientes letras son utilizadas:
O:
M:
D:
Aprendido va OSPF X: Ruta es Deshabilitada

Ruta es Monitoreada A: Publicada va Proxy ARP
Dinmico (desde e.j. transmisin DHCP, IPsec, servidores L2TP/PPP, etc.)
Syntax: rutas [opciones] <table name>
Opciones:
- all, Tambin muestra rutas para direcciones de interfaz

- num <n>, Despliegue lmite a <n> entradas (predeterminado: 20)
- nonhost, No muestra rutas de un slo anfitrin
- tables, Despliega una lista de tablas routing nombradas (PBR)
- lookup <ip>, Busca la ruta para la direccin IP entregada
- v, Verbose
330
Capitulo A. Referencias de Comandos de Consola
Reglas
Muestra los contenidos de la seccin de configuracin de Reglas.
Syntax: rules [options] <range>
El parmetro de rango especifica cules reglas incluir en la salida de este

comando.
Opciones:
- r, Muestra polticas basadas en reglas de ajuste de ruteo

- p, Muestra regla de ajuste de conductos
- i, Muestra regla de ajuste de deteccin de intrusos
- t, Muestra regla de ajustes threshold
- v, Be verbose: muestra todos los parmetros de las reglas
- s, Filtra las reglas que no son actualmente permitidas por programas seleccionados
Ejemplo:
Cmd> rules -v 1
Contenidos de la regla de ajuste; la accin predeterminada es desechada
Act.
Source
Destination
Protocol/Ports
-- ----- -------------- -------------- --------------1
Allow lan: ...
core: ...
"HTTP"
"HTTP-fw" Use: 0 FWLOG:notice SYSLOG:notice
Scrsave
Activa el salva pantallas includas con el ncleo del firewall.
Syntax: scrsave
Ejemplo:
Cmd> scr
Activating screen saver...
331
Services
Despliega la lista de servicios nombrados. Los servicios definidos implcitamente dentro
de las reglas no son desplegados.
Syntax: services [name or wildcard]
Ejemplo:
Cmd> services
Configured services:
HTTP
TCP
ALL > 80
Shutdown
Instruye al firewall para ejecutar un reinicio dentro de un nmero de segundos.
No es necesario ejecutar un reinicio antes de que el firewall sea apagado, y cuando
ste no mantiene ningn archive abierto mientras corre.
Syntax: shutdown <seconds>
-- Shutdown in <n> seconds (default:
5)
Sysmsgs
Muestra los contenidos del buffer OS sysmsg.
Syntax:
sysmsgs
Ejemplo:
Cmd> sysmsg
Contenidos del buffer OS sysmsg:
...
Ajustes
Muestra los contenidos de la seccin de configuracin de Ajustes.
Syntax:
-- settings
Shows available groups of settings.
332
Exjemplo:
Cmd> sett
Categoras disponibles en la seccin de Ajustes:
IP
- IP (Internet Protocol) Settings
TCP
- TCP (Transmission Control Protocol) Settings
ICMP
- ICMP (Internet Control Message Protocol)
ARP
- ARP (Address Resolution Protocol) Settings
State
- Stateful Inspection Settings
ConnTimeouts
- Default Connection timeouts
LengthLim
- Default Length limits on Sub-IP Protocols
Frag
- Pseudo Fragment Reassembly settings
LocalReass
- Local Fragment Reassembly Settings
VLAN
- VLAN Settings
SNMP
- SNMP Settings
DHCPClient
- DHCP (Dynamic Host Configuration Protocol)
Client Settings
DHCPRelay
- DHCP/BOOTP Relaying Settings
DHCPServer
- DHCP Server Settings
IPsec
- IPsec and IKE Settings
Log
- Log Settings
SSL
- SSL Settings
HA
- High Availability Settings
Timesync
- Time Synchronization Settings
DNSClient
- DNS Client Settings
RemoteAdmin
- Settings regarding remote administration
Transparency
- Settings related to transparent mode
HTTPPoster
- Post user-defined URLs periodically
for e.g. dyndns registration, etc
WWWSrv
- Settings regarding the builtin web server
HwPerformance - Hardware performance parameters
IfaceMon
- Interface Monitor
RouteFailOver - Route Fail Over Default values
IDS
- Intrusion Detection / Prevention Settings
PPP
- PPP (L2TP/PPTP/PPPoE) Settings
Misc
- Miscellaneous Settings
333
-- settings <group name>

Muestra los ajustes del grupo especificado.
Ejemplo:
Cmd> settings arp
ARP (Address Resolution
ARPMatchEnetSender
ARPQueryNoSenderIP
ARPSenderIP
UnsolicitedARPReplies
ARPRequests
ARPChanges
StaticARPChanges
ARPExpire
ARPMulticast
ARPBroadcast
ARPCacheSize
ARPHashSizeVLAN
Protocol) Settings
: DropLog
: DropLog
: Validate
: DropLog
: Drop
: AcceptLog
: DropLog
: 900 ARPExpireUnknown : 3
: DropLog
: DropLog
: 4096 ARPHashSize : 512
: 64
Estadisticas
Muestra varias estadsticas vitales y contadores.
Syntax: stats
Ejemplo:
Cmd> stats
Uptime
: ...
Last shutdown
: ...
CPU Load
:6
Connections
: 4919 out of 32768
Fragments
: 17 out of 1024 (17 lingering)
Buffers allocated
: 1252
Buffers memory
: 1252 x 2292 = 2802 KB
Fragbufs allocated : 16
Fragbufs memory
: 16 x 10040 = 156 KB
Out-of-buffers
:0
ARP one-shot cache : Hits : 409979144 Misses : 186865338
Interfaces: Phys:2 VLAN:5 VPN:0
Access entries:18 Rule entries:75
Usar el archivo de configuracin "FWCore.cfg", ver ...
334
Tiempo
Despliega el sistema de fecha y tiempo
Syntax: time [options]
Opciones:
- set <arg>, Ajusta el sistema de tiempo local (YYYY-MM-DD HH:MM:SS)

- sync, Sincroniza el tiempo con servidores de tiempo (especificados en ajustes)
- force, Fuerza la sincronizacin a pesar del ajuste MaxAdjust
Uarules
Despliega los contenidos de la regla de ajuste de autentificacin del
usuario.
Syntax: uarules [options] <range>
Options:
- v, (verbose)muestra todos los parmetros de las reglas de autentificacin del

usuario
Ejemplo:
Cmd> uarules -v 1-2
Contenidos de la regla de Ajuste de Autentificacin del Usuario
Source Net
Agent
Auth source Auth. Server
-- ------------------ ---------------------------1
if1:192.168.0.0/24 HTTPAuth RADIUS
FreeRadius
2
*:0.0.0.0/0
XAuth
RADIUS
IASRadius
Userauth
Despliega a los usuarios actualmente registrados y otra informacin. Adems permite
a los usuarios registrados ser desconectados por la fuerza.
Syntax: userauth [options]
Options:
- l, despliega una lista de todos los usuarios autentificados

- p, despliega una lista de todos los privilegios conocidos (nombres de usuario y
grupos)
335
- v <ip>, despliega toda la info conocida por los usuarios con esta IP
- r <ip> <interface>, desconecta a la fuerza a usuarios autentificados
- num <num>, nmero mximo de usuarios autentificados para enlistar
(predeterminado 20)
Ejemplo:
Cmd> userauth -l
Usuarios actualmente autentificados:
Login
IP Address
Source
Interface
-------- --------------- --------user1
...
...
...
Ses/Idle
Privileges
Timeouts
--------- ----------1799
members
Userdb
Enlista base de datos de usuario y sus contenidos.
Syntax: userdb <dbname> [<wildcard> or <username>]
Si es especificado <dbname> los usuarios configurados en sa base de datos

de usuario sern mostrados. Una invitacin puede ser utilizada para slo mostrar
usuarios que coinciden con ese patrn si un nombre de usuario es informacin
especificada concerniente a que ese usuario debe ser mostrado.
Opciones:
- num, Despliega el nmero especificado de usuarios (predeterminado 20)

Ejemplo:
Cmd> userdb
Configured user
Name
------------AdminUsers
databases:
users
------1
336
Ejemplo:
Cmd> userdb AdminUsers
Configured
Username
-------admin
user databases:
Groups
Static IP
-------------- ---------- ----------------administrators
Remote Networks
Ejemplo:
Cmd> userdb AdminUsers admin
Information for admin in database AdminUsers:
Username : admin
Groups
: administrators
Networks :
Vlan
Muestra informacin sobre los VLANs configurados.
Syntax:
-- vlan
List attached VLANs
jemplo:
Cmd> vlan
VLANs:
vlan1 IPAddr:
vlan2 IPAddr:
vlan3 IPAddr:
192.168.123.1 ID: 1 Iface:

192.168.123.1 ID: 2 Iface:
192.168.123.1 ID: 3 Iface:
lan
lan
lan
337
-- vlan <vlan>
Muestra informacin acerca de VLANs especificados.
Ejemplo:
Cmd> vlan vlan1
VLAN vlan1
Iface lan, VLAN ID: 1
Iface
: lan
IP Address
: 192.168.123.1
Hw Address
: 0003:474e:25f9
Software Statistics:
Soft received : 0 Soft sent: 0 Send failures:
Dropped
: 0 IP Input Errs : 0
338
APENDICE
B
Soporte al Cliente
339
340
Capitulo B. Soporte al Cliente
Oficinas Internacionales
Paises Bajos
17595 Mt. Herrmann Street

Fountain Valley, CA 92708
TEL: 1-800-326-1688
URL: www.dlink.com
Weena 290
3012 NJ, Rotterdam
Paises Bajos
Tel: +31-10-282-1445
Fax: +31-10-282-1331
URL: www.dlink.nl
Canada
Belgica
2180 Winston Park Drive

Oakville, Ontario, L6H 5W1
Canada
TEL: 1-905-8295033
FAX: 1-905-8295223
URL: www.dlink.ca
Rue des Colonies 11

B-1000 Brussels
Belgium
Tel: +32(0)2 517 7111
Fax: +32(0)2 517 6500
URL: www.dlink.be
Europa (U. K.)
Italia
4th Floor, Merit House

Edgware Road, Colindale
London NW9 5AB
U.K.
TEL: 44-20-8731-5555
FAX: 44-20-8731-5511
URL: www.dlink.co.uk
Via Nino Bonnet n. 6/b

20154 Milano
Italia
TEL: 39-02-2900-0676
FAX: 39-02-2900-1723
URL: www.dlink.it
U.S.A
Suecia
Alemania
Schwalbacher Strasse 74
D-65760 Eschborn
Alemania
TEL: 49-6196-77990
FAX: 49-6196-7799300
URL: www.dlink.de
P.O. Box 15036,

S-167 15 Bromma
Suecia
TEL: 46-(0)8564-61900
FAX: 46-(0)8564-61901
URL: www.dlink.se
Dinamarca
Francia
No.2 allee de la Fresnerie
78330 Fontenay le Fleury
Francia
TEL: 33-1-30238688
FAX: 33-1-30238689
URL: www.dlink.fr
Naverland 2,
DK-2600 Glostrup,
Copenhagen
Dinamarca
TEL: 45-43-969040
FAX: 45-43-424347
URL: www.dlink.dk
341
Noruega
Suiza
Karihaugveien 89
N-1086 Oslo
Noruega
TEL: +47 99 300 100
FAX: +47 22 30 95 80
URL: www.dlink.no
Glatt Tower, 2.OG CH-8301

Glattzentrum Postfach 2.OG
Suiza
TEL : +41 (0) 1 832 11 00
FAX: +41 (0) 1 832 11 01
URL: www.dlink.ch
Finlandia
Grecia
Latokartanontie 7A
FIN-00700 Helsinki
Finlandia
TEL: +358-10 309 8840
FAX: +358-10 309 8841
URL: www.dlink.fi
101, Panagoulis Str. 163-43

Helioupolis Athens,
Grecia
TEL : +30 210 9914 512
FAX: +30 210 9916902
URL: www.dlink.gr
Espaa
Luxemburgo
C/Sabino De Arana
56 Bajos
08028 Barcelona
Espaa
TEL: 34 93 4090770
FAX: 34 93 4910795
URL: www.dlink.es
Rue des Colonies 11,

B-1000 Brussels,
Belgica
TEL: +32 (0)2 517 7111
FAX: +32 (0)2 517 6500
URL: www.dlink.be
Polonia
Portugal
Budynek Aurum ul. Walic-w 11

PL-00-851 Warszawa
Polonia
TEL : +48 (0) 22 583 92 75
FAX: +48 (0) 22 583 92 76
URL: www.dlink.pl
Rua Fernando Pahla

50 Edificio Simol
1900 Lisbon
Portugal
TEL: +351 21 8688493
URL: www.dlink.es
Hungra
Repbica Checa
Vaclavske namesti 36, Praha 1
Repblica Checa
TEL :+420 (603) 276 589
URL: www.dlink.cz
R-k-czi-t 70-72
HU-1074 Budapest
Hungra
TEL : +36 (0) 1 461 30 00
FAX: +36 (0) 1 461 30 09
URL: www.dlink.hu
342
Singapur
Egypto
1 International Business Park

03-12The Synergy
Singapur 609917
TEL: 65-6774-6233
FAX: 65-6774-6322
URL: www.dlink-intl.com
19 El-Shahed Helmy, El Masri

Al-Maza, Heliopolis
Cairo, Egypto
TEL:+202 414 4295
FAX:+202 415 6704
URL: www.dlink-me.com
Australia
Israel
1 Ginock Avenue
North Ryde, NSW 2113
Australia
TEL: 61-2-8899-1800
FAX: 61-2-8899-1868
URL: www.dlink.com.au
11 Hamanofim Street
Ackerstein Towers,
Regus Business Center P.O.B 2148,
Hertzelia-Pituach 46120
Israel
TEL: +972-9-9715700
FAX: +972-9-9715601
URL: www.dlink.co.il
India
D-Link House, Kurla Bandra
Complex Road OCST Road,
Santacruz (East)
Mumbai - 400098
India
TEL: 91-022-26526696/56902210
FAX: 91-022-26528914
URL: www.dlink.co.in
LatinAmerica
Isidora Goyeechea 2934
Ofcina 702
Las Condes
Santiago Chile
TEL: 56-2-232-3185
FAX: 56-2-232-0923
URL: www.dlink.cl
Oriente Medio (Dubai)

P.O.Box: 500376
Oce: 103, Building:3
Dubai Internet City
Dubai, Emiratos Arabes Unidos
Tel: +971-4-3916480
Fax: +971-4-3908881
URL: www.dlink-me.com
Turqua
Brasil
Av das Nacoes Unidas
11857 14- andar - cj 141/142
Brooklin Novo
Sao Paulo - SP - Brasil
CEP 04578-000 (Zip Code)
TEL: (55 11) 21859300
FAX: (55 11) 21859322
URL: www.dlinkbrasil.com.br
Ayazaga Maslak Yolu

Erdebil Cevahir Is Merkezi
5/A Ayazaga Istanbul
Turquia
TEL: +90 212 289 56 59
FAX: +90 212 289 76 06
URL: www.dlink.com.tr
343
SudAfrica
China
Einstein Park II
Block B
102-106 Witch-Hazel Avenue
Highveld Technopark
Centurion
Gauteng Republic of South Africa
TEL: 27-12-665-2165
FAX: 27-12-665-2186
URL: www.d-link.co.za
No.202,C1 Building,
Huitong Oce Park,
No. 71, Jianguo Road,
Chaoyang District,
Beijing 100025, China
TEL +86-10-58635800
FAX: +86-10-58635799
URL: www.dlink.com.cn
Taiwan
Rusia
Grafsky per., 14, floor 6
Moscu
129626 Russia
TEL: 7-095-744-0099
FAX: 7-095-744-0099 350
URL: www.dlink.ru
2F, No. 119, Pao-Chung Rd.

Hsin-Tien, Taipei
Taiwan
TEL: 886-2-2910-2626
FAX: 886-2-2910-1515
URL: www.dlinktw.com.tw
Oficina Central
2F, No. 233-2, Pao-Chiao Rd.
Hsin-Tien, Taipei
Taiwan
TEL: 886-2-2916-1600
FAX: 886-2-2914-6299
URL: www.dlink.com.tw
344

Manual DFL-800 Espanol

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual DFL-800 Espanol

Cargado por

Copyright:

Formatos disponibles

CONTENIDOS

Vista General del Producto

3 Principios del Firewall

Gua de Usuario de los Firewalls D-Link

11 Fecha & Tiempo

Gua de Usuario de los Firewalls D-Link

16 DMZ & Port Forwarding

17 Autentificacin del Usuario

18 Application Layer Gateway (ALG)

19 Sistema de Deteccion de Intrusos (IDS)

19.2 Cadena de Eventos . . . . . . . . . . . . . . . .

19.4 Actualizacin automtica de Base de datos de Firmas

19.5 Repecion de registros SMTP para eventos IDS . ... . . . . . . . . . .

19.6 Escenario: Configurando IDS . . . . . . . . . .

19.3 Grupos de Firmas . . . . . . . . . . . . . . .

Red privada virtual (VPN)

20.1 Introduccin a VPN . . . . . . . . .

20.2.2 Autenticacion e Integridad .

20.3 Por VPN en los Firewalls? . . . . . . . .

20.3.1 Despliegue VPN. . . . . . .

20.1.1 VPNs vs Conexiones fijas

21.1 Consideracion en Diseo de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

21.1.2 Distribucion de Claves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

22.1.1 IPsec protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

22.1.2 IPsec Modos de Encapsulacion. . . . .. . . . . . . . . . . . . .

22.1.4 IKE integridad y autenticacion. . . . . . . . . . . . . . . . . . . .

22.1.5 Escenarios: Configuracion IPsec . . . . . . . . . . . . . . . . .

22.2 PPTP/ L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

22.3 SSL/TLS (HTTPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

D-Link Firewalls Users Guide

23.2.1 Procedencias y Garantas . . . . . . . . .. . . . . . . . . . . . . .

23.2.2 Agrupando usuarios en un conducto .. . .. . . . . . . . . . . . .

23.2.3 Balanceo de Carga Dinmico . . . . . . . . . . . . . . . . . . . .

23.3 Pipe Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

23.4 Escenarios: configurando Trac Shaping . . . . . . . . . . . . . . .

24 Servidor de Balanceo de Carga (SLB)

24.1.1 EL Modulo SLB . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24.1.2 caractersticas SLB. . . . . . . . . . . . . . . . . . . . . . . . . .

24.2 SLB Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24.2.1 Modos de. Distribucin . .

24.2.2 Algoritmos de Distribucion .

24.2.3 Verificacin del estado del Servidor

24.3 Escenario: Habilitando SLB . . . . . . . . . . . . . . . . . . . . . . . . .

25.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

25.2 DNS Dinamico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

25.3 Registro automatico de cliente

25.4 HTTP Poster . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . .

25.4.1 URL Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

26 Servidor y relay DHCP

26.1 DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Referencia a Comandos de Consola

D-Link Firewalls Users Guide

D-Link Firewalls Users Guide

FIGURES & TABLES

The OSI 7-Layer Model. . . . . . . . . . . . . . . . . . . . . . . .

WebUI Authentication Window. . . . . . . . . . . . . . . . . . .

10.1 Route Failover Scenario . . . . . . . . . . . . . . . . . . . . . . .

14.1 Dynamic NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

FTP ALG Scenario 1

19.1 IDS Chain of Events Scenario 1 . . . . . . . . . . . . . . . . . . 183

19.4 An IDS Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

LAN-to-LAN Example Scenario. . . . . . .

23.1 IPv4 Packet Format . . . . . . . . . . . . . . . . . . . . . . . . . . 251

D-Link Firewalls Users Guide