Está en la página 1de 122

Introduccin

Manual gateprotect
Instalacin, Administracin & Ejemplos de Instrumentos UTM de Prxima Generacin & Instrumentos Virtuales
Desde junio 2012

Claridad Perfeccin Seguridad

Introduccin

1 Introduccion ............................................................................................................................ 9
1.1 A quin est dirigido este manual? .................................................................................................... 9 1.2 Apuntes generales sobre este manual ................................................................................................. 9 1.3 Smbolos utilizados y sugerencias......................................................................................................... 9 1.4 Proteccin y seguridad de los antecedentes ...................................................................................... 10

2 Instalacion ............................................................................................................................. 11
2.1 Instalacin del Servidor de Firewall.................................................................................................... 11 2.1.1 Instalacin de dispositivos ........................................................................................................... 11 2.1.2 Instalacin del Firewall con VMware ............................................................................................ 11 2.1.3 Interfase Serial ............................................................................................................................ 13 2.2 Primera configuracin del Servidor de Firewall usando el Cliente de Administracin ................... 13 2.2.1 Iniciando el Asistente de Configuracin ....................................................................................... 13 2.2.2 Primera configuracin en modo rpido ....................................................................................... 14 2.2.3 Asistente de configuracin de Internet ........................................................................................ 14 2.2.4 Falla-cada (Conexin-de respaldo) .............................................................................................. 16 2.2.5 Continuando la Configuracin del Asistente................................................................................ 17 2.2.6 Primera configuracin en Modo Normal ...................................................................................... 17 2.3 Cambios de configuracin .................................................................................................................. 18 2.4 Licencia ................................................................................................................................................ 18

3 Uso del cliente de administracion ...................................................................................... 19


3.1 Programa interfase y controles .......................................................................................................... 19 3.2 Men del Cliente de Administracin.................................................................................................. 20 3.2.1 Menu: Archivo ............................................................................................................................ 20 3.2.2 Menu: Opciones ......................................................................................................................... 21 3.2.3 Men: Seguridad ........................................................................................................................ 22 3.2.4 Men: Funciones VPN ................................................................................................................. 22 3.2.5 Menu: Red.................................................................................................................................. 23 3.2.6 Menu: Ventana ........................................................................................................................... 23 3.2.7 Menu: Informacin ..................................................................................................................... 23 3.3 La Configuracin de Escritorio ........................................................................................................... 24 3.3.1 Zoom a la interfase de configuracin .......................................................................................... 24 3.3.2 Capa .......................................................................................................................................... 25 3.3.3 Barra de herramientas ................................................................................................................. 25 3.3.4 Servicios Activos ......................................................................................................................... 27 3.3.5 Mayor informacin ..................................................................................................................... 27 3.3.6 Bsqueda ................................................................................................................................... 27 3.3.7 Barra de estado .......................................................................................................................... 28 3.4 Reportes ............................................................................................................................................... 28 3.5 Acceso denegado ................................................................................................................................ 29 3.6 Estadsticas ........................................................................................................................................... 29 3.6.1 Posibilidades de Filtro .................................................................................................................. 30 3.6.2 Pginas de Internet - Destacadas ................................................................................................. 30 3.6.3 URL bloqueados Destacados..................................................................................................... 30 3.6.4 Destacados - servicios ................................................................................................................. 30 3.6.5 Destacados IDS/IPS ................................................................................................................... 30 3.6.6 Usuarios - Destacados ................................................................................................................. 31

Claridad Perfeccin Seguridad

Introduccin

3.6.7 Usuarios - Trfico ........................................................................................................................ 31 3.6.8 Defensa Visin general ............................................................................................................. 31 3.6.9 Defensa - defensa ....................................................................................................................... 31 3.6.10 Trfico Toda la informacin ...................................................................................................... 31 3.6.11 Trfico - Internet ......................................................................................................................... 31 3.6.12 Trfico Correos electrnicos ..................................................................................................... 31 3.7 Firewall ................................................................................................................................................ 32 3.7.1 Firewall - Seguridad .................................................................................................................... 32 3.7.2 Firewall - Fecha ........................................................................................................................... 33 3.8 Interfaces ............................................................................................................................................. 33 3.8.1 Interfases de redes ...................................................................................................................... 34 3.8.2 VLAN .......................................................................................................................................... 34 3.8.3 Bridge (Bridge) ............................................................................................................................ 35 3.8.4 Interface-VPN-SSL ....................................................................................................................... 35 3.9 Instalaciones de Internet..................................................................................................................... 36 3.9.1 Instalaciones generales de Internet .............................................................................................. 36 3.9.2 Perodo de tiempo para conexiones de Internet ........................................................................... 36 3.9.3 Instalaciones de DNS en las instalaciones de Internet ................................................................... 37 3.9.4 Cuentas DNS Dinmico ............................................................................................................... 37 3.10 Servidor DHCP ..................................................................................................................................... 38 3.10.1 Servidor DHCP ............................................................................................................................ 39 3.10.2 DHCP Rel .................................................................................................................................. 39 3.11 Respaldo automtico .......................................................................................................................... 39 3.12 Instalaciones de Routing ..................................................................................................................... 40 3.12.1 Routes Estticos .......................................................................................................................... 41 3.12.2 Protocolos-routing ...................................................................................................................... 42

4 Proxies ................................................................................................................................... 55
4.1 Introduccin ........................................................................................................................................ 55 4.2 Proxy HTTP ........................................................................................................................................... 55 4.2.1 Modo Transparente .................................................................................................................... 55 4.2.2 Modo normal sin autenticacin ................................................................................................... 55 4.2.3 Modo normal sin autenticacin ................................................................................................... 56 4.2.4 Configuracin del cach ............................................................................................................. 56 4.3 Proxy HTTPS ......................................................................................................................................... 56 4.4 Proxy FTP.............................................................................................................................................. 57 4.5 Proxy SMTP .......................................................................................................................................... 57 4.6 Proxy POP3 ........................................................................................................................................... 57 4.7 Proxy VoIP ............................................................................................................................................ 58 4.7.1 Instalaciones Generales ............................................................................................................... 58 4.7.2 Proxy SIP ..................................................................................................................................... 58

5 Autenticacin de usuario .................................................................................................... 59


5.1 Respaldo tcnico y preparacin .......................................................................................................... 59 5.1.1 Objetivo de la Autenticacin de Usuario ...................................................................................... 59 5.1.2 Respaldo tcnico y preparaciones ................................................................................................ 59

Claridad Perfeccin Seguridad

Introduccin

5.2 Inicio de sesin .................................................................................................................................... 61 5.2.1 Inicio de sesin usando un buscador de red................................................................................. 61 5.2.2 Iniciar sesin utilizando Cliente de Autenticacin de Usuario (Cliente-UA) .................................... 61 5.2.3 Inicio de sesin usando Single Sign On ........................................................................................ 62 5.3 Usuarios ............................................................................................................................................... 64 5.4 Ejemplos............................................................................................................................................... 64 5.4.1 Dominio Windows ...................................................................................................................... 64 5.4.2 Servidor terminal ........................................................................................................................ 65

6 URL Filtro de contenido ....................................................................................................... 66


6.1 Filtro URL ............................................................................................................................................. 66 6.2 Filtro de Contenido ............................................................................................................................. 67 6.2.1 Alternando el Filtro de Contenido encendido y apagado ............................................................. 67 6.3 Configure el URL y el Filtro de Contenido ......................................................................................... 67 6.3.1 Configuracin usando el URL / dialogo Filtro de Contenido ......................................................... 67 6.3.2 Agregar URLs usando el Cliente de administracin o Estadsticas de Cliente ................................. 69

7 LAN-Accounting .................................................................................................................... 70
7.1 Introduccin al LAN-Accounting ........................................................................................................ 70 7.2 Configuracin del LAN-Accounting.................................................................................................... 70 7.2.1 70 7.2.2 70 7.3 70

8 Traffic shaping & Quality of Services (QOS) ..................................................................... 71


8.1 Introduccin ........................................................................................................................................ 71 8.1.1 Objetivo...................................................................................................................................... 71 8.1.2 Respaldo tcnico ......................................................................................................................... 71 8.2 Instalando Traffic Shaping .................................................................................................................. 72 8.3 Instalaciones para Quality of Service.................................................................................................. 73

9 Nivel de aplicacion ............................................................................................................... 74 10Certificados ........................................................................................................................... 75


10.1 Introduccin ........................................................................................................................................ 75 10.2 Certificados .......................................................................................................................................... 75 10.3 Plantillas............................................................................................................................................... 78 10.4 OCSP / CRL............................................................................................................................................ 79 10.5 Reportes para certificados .................................................................................................................. 80

11Virtual Private Networks (VPN) .......................................................................................... 81


11.1 Introduccin ........................................................................................................................................ 81 11.2 Conexiones PPTP ................................................................................................................................. 82 11.2.1 Instalacin de conexin manual de PPTP Cliente-a-Servidor ......................................................... 82

Claridad Perfeccin Seguridad

Introduccin

11.3 Conexiones IPSec ................................................................................................................................. 83 11.3.1 Instalacin manual de una conexin IPSec ................................................................................... 83 11.3.2 L2TP / XAUTH ............................................................................................................................. 85 11.4 VPN sobre SSL ...................................................................................................................................... 88 11.5 VPN sobre SSL sin salida pretederminada .......................................................................................... 90 11.6 El Cliente VPN gateprotect ................................................................................................................. 91 11.6.1 La creacin automatica de una conexin de VPN usando un archivo de configuracin. ................ 91 11.6.2 Creacin manual o edicin de una conexin VPN ........................................................................ 91

12High Availability ................................................................................................................... 93


12.1 Functionamiento ................................................................................................................................. 93 12.2 Tiempos de cada durante falla .......................................................................................................... 93 12.3 Configuracin ...................................................................................................................................... 93 12.3.1 Direcciones IP de la red de interfases ........................................................................................... 94 12.3.2 Conectando los firewalls via vnculos dedicados .......................................................................... 94 12.3.3 Activar el High Availability ........................................................................................................... 94 12.4 Editar las instalaciones de High Availability ...................................................................................... 96 12.5 Desactivar High Availability ................................................................................................................ 96 12.6 Cambio de roles ................................................................................................................................... 96 12.7 Comisionar un firewall tras falla ........................................................................................................ 96 12.8 Reestablecer respaldo o Actualizacin de software .......................................................................... 96 12.9 Mensajes de Reportes ......................................................................................................................... 97

13Intrusion Detection and Prevention System (IDS/IPS) .................................................... 98


13.1 Configuracin de Perfiles IDS/IPS ....................................................................................................... 98 13.2 Configuracin de Red IDS/IPS Interna/Externa .................................................................................. 99 13.3 Configuracin de Restricciones IDS/IPS .............................................................................................. 99 13.4 Activacin del Intrusion Detection and Prevention System ............................................................ 100 13.5 Las reglas IDS e IPS pueden ser extendidas con reglas predeterminadas....................................... 100 13.6 Actualizacin de patrones IDS/IPS .................................................................................................... 100

14Reporte ................................................................................................................................ 102


14.1 General .............................................................................................................................................. 102 14.2 Particiones ......................................................................................................................................... 102 14.3 Exportacin de Syslog ....................................................................................................................... 103 14.4 SNMP .................................................................................................................................................. 103

15Monitoreo ............................................................................................................................ 105


15.1 Introduccin ...................................................................................................................................... 105 15.2 Componentes exhibidos en monitoreo ............................................................................................ 106

Claridad Perfeccin Seguridad

Introduccin

16Anti-Spam / Filtro de correo ............................................................................................. 107


16.1 Filtro de correo .................................................................................................................................. 107 16.2 Anti-Spam .......................................................................................................................................... 107 16.3 Marcar como Spam............................................................................................................................ 108

17Proteccin de Virus ............................................................................................................ 109


17.1 Introduccin ...................................................................................................................................... 109 17.2 Licencia .............................................................................................................................................. 109 17.3 Instalaciones ...................................................................................................................................... 109 17.3.1 Instalaciones de antivirus: General ............................................................................................. 109 17.3.2 Escaner ..................................................................................................................................... 110 17.3.3 Lista blanca............................................................................................................................... 110 17.3.4 Actualizaciones ......................................................................................................................... 111

18Actualizaciones ................................................................................................................... 112


18.1 Introduccin ...................................................................................................................................... 112 18.2 Actualizaciones .................................................................................................................................. 113 18.3 Descargue actualizaciones automticamente ................................................................................. 114 18.4 Actualizaciones de descarga manuales ............................................................................................ 114 18.5 Actualizacin de instalaciones .......................................................................................................... 114 18.6 Instalacin de actualizaciones desde el dispositivo de almacenamiento local .............................. 114 18.7 Interaccin de actualizacin ............................................................................................................. 114

19Ejemplos............................................................................................................................... 115
19.1 Introduccin ...................................................................................................................................... 115 19.2 Instalacin de la conexin de Internet con direccin IP fija ........................................................... 116 19.2.1 Instalacin de una linea dedicada con direccin de IP fija usando un router ............................... 116 19.2.2 Instalando una conexin DSL con direccin IP fija ...................................................................... 117 19.2.3 18.2.3 Instalacin de un cable de conexin con direccin IP DHCP ............................................ 117 19.3 Demilitarized zone (DMZ)................................................................................................................. 117 19.3.1 Puerto simple para reenvo ........................................................................................................ 117 19.3.2 Reenvo de puerto con rerouting de puerto ............................................................................... 118 19.3.3 DMZ por fuente IP .................................................................................................................... 119 19.4 Ejemplos para autenticacin de usuario .......................................................................................... 121 19.4.1 Dominio Windows .................................................................................................................... 121 19.4.2 Servidor terminal ...................................................................................................................... 121

20Estadisticas .......................................................................................................................... 122


20.1 Uso de Estadsticas de Cliente/Estadsticas ....................................................................................... 122 20.1.1 Barra de herramientas ............................................................................................................... 122 20.1.2 Posibilidades de filtro ................................................................................................................ 122 20.1.3 Estadsticas ............................................................................................................................... 122

Claridad Perfeccin Seguridad

Introduccin

2012 gateprotect Aktiengesellschaft Alemania. Todos los derechos reservados. gateprotect Aktiengesellschaft Alemania Valentinskamp 24 - 20354 Hamburgo /Alemania

Ninguna parte de este documento puede ser duplicado o compartido con terceras partes sin la expresa autorizacin escrita de gateprotect AG Alemania. Esto aplica a cualquier manera o mtodo electrnico mecnico. Los dibujos e informacin contenidas en este documento pueden ser cambiadas sin notificacin previa. No aceptamos garanta por la fidelidad del contenido de este manual. Los nombres e informacin usados como ejemplos no son reales, a menos que sea establecido de esa manera. Todos los productos, marcas y nombres son de propiedad del fabricante correspondiente.

Claridad Perfeccin Seguridad

Introduccin

PREFACIO
Gracias por escoger un producto de gateprotect. Siempre buscamos mejorar nuestros productos para nuestros clientes. Si detecta fallas o tiene sugerencias para mejorar, por favor contctese con nosotros. Si tiene mayores consultas sobre gateprotect u otros productos, por favor contacte a su distribuidor responsable / o contctenos directamente a: gateprotect Aktiengesellschaft Germany Valentinskamp 24 20354 Hamburgo Alemania

Nos puede ubicar en: Telfono Fax : 01805 428 377 (12 Cent/min) : 01805 428 332 (12 Cent/min)

Actualizaciones de seguridad y otra informacin: http://www.gateprotect.com

Ahi encontrar mygateprotect, que ofrece respuestas tiles, informacin de respaldo importante y sugerencias para uso diario.

Claridad Perfeccin Seguridad

Introduccin

INTRO D UCC IO N
Con el Firewall gateprotect se ha elegido un sistema de seguridad con los ltimos requisitos de seguridad y muy fcil de operar usando una interface grfica.

1.1 A quin est dirigido este manual?


Este manual est dirigido a administradores de sistemas que instalan y configuran el sistema de Firewall gateprotect. Conocimiento especializado es requerido en las siguientes reas para comprender las funciones, instalaciones y procesos: Conocimiento general en tecnologa de redes y protocolos de redes Administracin y configuracin del Sistema Operativo de Windows Sistema de usuario y derechos de administracin

1.2 Apuntes generales sobre este manual


Este manual est organizado de la siguiente manera: Capitulo introductorio con apuntes generales sobre el producto y usando la documentacin de producto. Requerimientos del sistema, instalacin del servidor de Firewall y de la Cliente de administracin del Firewall. Uso del Firewall con la Cliente de administracin y configuracin del Servidor de Firewall Descripcin tcnica de los componentes del Firewall y sus instalaciones (Proxy, Autenticacin de Usuario, URL & Filtro de Contenido, Trfico, Nivel de Implementacin, VPN, Alta Disponibilidad, Detector de Intrusos, Informes, Antispam y Antivirus). Descripcin de las Estadsticas del Cliente como software de informacin propia Casos tpicos

1.3 Smbolos utilizados y sugerencias


NOTA ESTE SMBOLO DESTACA INFORMACIN IMPORTANTE Y DE UTILIDAD. ATENCIN ESTE SMBOLO MUESTRA QUE SE DEBE PONER ATENCIN. EJEMPLO ESTE SMBOLO INDICA UN EJEMPLO EXPLICATORIO. VALORES Y NUMEROS (A MENOS QUE SEA EXPLICADO DE OTRA MANERA) SON USADOS COMO EJEMPLOS Y PUEDEN SER DIFERENTES RESPECTO DE LOS VALORES ACTUALES.

Smbolos adicionales son usados en el texto para destacar algunas caractersticas o para indicar elementos que estn operando. Ttulos de dilogos, opciones o botones estn destacados en rojo. Textos, teclado o instrucciones de informacin, estn indicados en el texto por un t i p o d e c o l o r d i f e r e n t e .

Claridad Perfeccin Seguridad

Introduccin

10

1.4 Proteccin y seguridad de los antecedentes


Bajo algunas circunstancias, los antecedentes personales pueden ser procesados y usados por el Firewall gateprotect. En Alemania, la Ley Federal de Proteccin de la Informacin (BDSG), entre otros, aplica al procesamiento y uso de dichos antecedentes personales. Por favor lea en detalle las leyes locales de otros pases. La proteccin de los antecedentes protege a los individuos cosa que sus derechos personales no sean afectados por la exposicin de sus antecedentes personales. Ms an, la proteccin de antecedentes blinda los antecedentes de mal uso en todas las fases del proceso.

Claridad Perfeccin Seguridad

Introduccin

11

INST AL AC IO N
El firewall consiste de dos partes. El Servidor Firewall y el Cliente para operar el mismo. En este captulo, describimos los pasos necesarios para instalar estos componentes y la instalacin asociada de los distintos componentes del sistema.

2.1 Instalacin del Servidor de Firewall


La actualizacin a la siguiente version ms avanzada o volver a guarder las fallas de fbrica son las nicas razones para reinstalar el Firewall. Un CD de instalacin es slo necesario si se compr un aparato virtual.

2.1.1

Instalacin de dispositivos

Un dispositivo gateprotect se instala con un dispositivo-instalador-firewall-USB. Para crear este dispositivo-USB, se debe bajar la correspondiente version del instalador del firewall desde el sitio web www.gateprotect.com. Se requiere un dispositivo-USB con una capacidad de ms de 1GB. La mayora de los dispositivos-USB en venta debiera funcionar. Una lista de dispositivos-USB probado puede ser encontrada en www.gateprotect.com. Conecte el dispositivo-USB a su Windows-PC y haga funcionar el instalador-USB.
ATENCIN TODA LA INFORMACIN EN EL DISPOSITIVO SE PERDER. UN ASISTENTE-DE INSTALACIN LE INDICAR CMO HACER LA CONFIGURACIN.

Especificaciones

Tambin se puede crear un dispositivo-auto-instalacin-USB. Si se selecciona un archivo de respaldo de un firewall en el asistente-USB-instalacin, este respaldo ser integrado en el dispositivo-USB-instalacin.
ATENCIN ESTE DISPOSITIVO-USB INSTALAR UN FIREWALL SI ES REINICIADO DESDE EL DISPOSITIVO. NO DEJE EL DISPOSITIVO ENCHUFADO EN NINGN OTRO PC MIENTRAS SE EST REINICIANDO. LA INSTALACIN DE FIREWALL SE INICIAR EN CUANTO LA APLICACIN SE REINICIE DESDE EL DISPOSITIVO. (EN ALGUNOS CASOS DEBE SER ACTIVADO EN BIOS.)

Mientras use el dispositivo en instalacin-USB Estndar, existir un proceso de gua que le llevar a la instalacin del CD en la consola.
Vea 2.1.2.

Usando un dispositivo-auto-instalador-USB, la instalacin se ralizar automticamente. El dispositivo emitir un sonido tipo bip, cundo el proceso haya concluido. Desenchufe el Dispositivo-USB y reinicie el aparato.

2.1.2

Instalacin del Firewall con VMware

Con VMware (Estacin de trabajo, Servidor-ESX) es possible montar la imagen ISO que se utilize para quemar el CD. Se puede proceder de manera normal con la instalacin. Requisitos del hardware para la mquina virtual: HDD: 20 GB RAM: 512 MB Estos requerimientos deben ser adaptados al objetivo que se espera lograr y al nmero de usuarios.
Paso 1

Inserte el CD-Instalacin en el CD-drive del VMware-PC e inicie la mquina virtual.


NOTA SI EL CD NO ES IDENTIFICADO CORRECTAMENTE, LA APLICACIN BIOS DEBE SER CAMBIADA ANTES DE INSTALAR.

Claridad Perfeccin Seguridad

Introduccin

12

Paso 2

Un sistema operativo UNIX es iniciado entonces por el CD. Espere hasta que el programa de instalacin abra la ventana de inicio y siga las instrucciones en la pantalla.
NOTA EL PROGRAMA DE INSTALACION DEL SERVIDOR DE FIREWALL NO RESISTE LA OPERACION DE UN MOUSE. USE LAS TECLAS CON LAS FLECHAS PARA NAVEGAR AL INTERIOR DE LOS MENU Y LA BARRA DE ESPACIO PARA NAVEGAR ENTRE LOS MENU. LAS OPCIONES SELECCIONADAS O ACTIVAS SON DESTACADAS EN ROJO O SE USA UN TEXTO EN COLOR ROJO.

Paso 3 Una vez que las condiciones de licencia son aceptada, se inicia el reconocimiento automtico del hardware.
Paso 4

Seleccione el tipo de instalacin A. Nueva instalacin B. Instalacin de un respaldo

Si desea agregar la configuracin de respaldo de un Firewall anterior en vez de una instalacin nueva, proceda como sigue:
NOTA EL RESPALDO DEBE ESTAR EN UN DISCO O MEMORIA USB, QUE PUEDA SER AUTOMTICAMENTE DETECTADO POR EL SERVIDOR. TAMBIN SE PUEDE SALTAR EL RESPALDO EN ESTE MOMENTO Y OPERARLO DESPUS DE LA INSTALACIN VA EL ADMINISTRADOR DE CLIENTE. MS INFORMACIN EN EL CAPITULO 3.2.1 MENU: ARCHIVO-CREACIN DE RESPALDO.

Paso 5 Seleccin de Disco duro En la ventana de seleccin de disco duro se podra determinar si la instalacin debe realizarse en el disco duro o en dos discos duros.
NOTA SI SE US UNA MQUINA VIRTUAL, USE SOLO UN DISCO DURO VIRTUAL.

Paso 6

Instalando los dispositivos de red Se debe asignar a cada tarjeta de red su propia direccin de IP y una mscara de subred asociada. Para cada tarjeta de red ingrese la direccin de IP en el primer campo y la correspondiente mscara de subred en el segundo campo, e.j. 1 9 2 . 1 6 8 . 1 . 1 / 2 5 5 . 2 5 5 . 2 5 5 . 0 para una red clase C. DHCP no puede ser seleccionada en la instalacin. Nota Si no se ingresa una direccin de IP, la tarjeta ser automticamente desactivada. Los campos se llenan con valores establecidos al ingresar F12.
Paso 7

Ingreso de clave Ingrese una clave vlida en los campos Clave y Confirmar.
ATENCIN
LA CLAVE DEBE TENER POR LO MENOS 6 CARACTERES Y NO PUEDE INCLUIR LETRAS, NUMEROS Y SIMBOLOS. ESTA CLAVE SE CODIFICA Y NO PUEDE SER USADA PARA CONECTARSEAUTOMATICAMENTE AL SERVIDOR DE FIREWALL SIN EL SOPORTE DE GATEPROTECT. TERMINOS GENERALES NO SE REQUIERE DEL INGRESO-DIRECTO.

SE PUEDE ACCEDER AL SERVIDOR DE FIREWALL VA EL ADMINISTRADOR DE CLIENTE Y EN

La instalacin real se inicia en el prximo paso.


Paso 8

Progeso de instalacin Si el proceso de instalacin ha sido exitoso, la notificacin Exitoso! Deber aparecer al costado de cada paso de instalacin. Despus de la exitosa instalacin, remueva el CD del equipo y oprima la tecla Retorno para terminar y reiniciar el Servidor de Firewall. Espere hasta que el computador se haya reiniciado completamente. El Servidor de Firewall est ahora listo para ser usado.

Claridad Perfeccin Seguridad

Introduccin

13

2.1.3

Interfase Serial

La interface serial hace posible instalar el Firewall sin un monitor ni teclado adicional. Necesita un cable RS232 o RJ45, para conectarse al Puerto serial de los aparatos con el Puerto serial en el PC. Se debe iniciar un ProgramaTerminal (e.j. Putty o Hyperterm) con los siguientes parmetros: Velocidad: Bits de datos: Paridad: Bits de parada: Control de flujo: 9600 8 ninguno 1 ninguno

Conecte las interfases seriales, enchufe el dispositivo-USB al aparato y reinicie el firewall. Despus de algunos segundos, el dilogo-instalacin aparecer en el dilogo del programa terminal. Entonces se puede usar el teclado para hacer las instalaciones. Instalacin del Firewall - Cliente de Administracin. La Cliente de Administracin est en el CD (Menu-Autoinicio) o en el Internet en: www.gateprotect.com. La instalacin se inicia automticamente tras iniciar el archivo.

2.2 Primera configuracin del Servidor de Firewall usando el Cliente de Administracin


Tras la instalacin del Servidor de Firewall y del Cliente de Administracin, primero realice una configuracin inicial. El Cliente de Administracin permite operar el Servidor de Firewall en modo rpido o en modo normal.

2.2.1
Paso 1

Iniciando el Asistente de Configuracin

Inicie el Cliente de Administracin pulsando dos veces en el smbolo en el escritorio o pulsando Inicio > Programas > gateprotect Cliente de Administracin > gateprotect Cliente de administracin.
Paso 2

Se exhibe la ventana inicial de la Configuracin de Asistente. Conecte el Cliente de Administracin al Servidor de Firewall. Para hacer sto, marque el cuadro Buscar Firewall y pulse Prximo>>. La Configuracin de Asistente primero busca el Servidor de Firewall en la red del computador en la que el Cliente de Administracin fue instalado, automticamente busca los primeros (xxx.xxx.xxx.254). Si la Configuracin de Asistente encuentra el Servidor de Firewall en una de las dos direcciones, se salta al siguiente punto 3 y sigue directo con la primera configuracin rpida (Cap. 2.3.2 Primera configuracin en modo rpido) o modo normal (Cap. 2.3.6 Primera configuracin en modo normal). Si la Configuracin de Asistente no encuentra el Servidor de Firewall en ninguna de las dos direcciones, se debe ingresar manualmente la direccin del Servidor de Firewall como se describe en el punto 3.
Paso 3

El dilogo de inscripcin est abierto para crear una conexin manual. Pulse Agregar. a.) El dilogo para la direccin de IP para el Servidor de Firewall est abierto. b.) Ingrese el nombre y direccin del Servidor de Firewall en los campos correspondientes. Deje el Puerto sin modificar (Puerto 3436) y pulse Aceptar. c.) El dilogo de inscripcin se exhibe nuevamente.

Claridad Perfeccin Seguridad

Introduccin

14

Ingrese los valores adecuados para acceder al Servidor de Firewall en los campos de nombre de usuario y clave. y pulse Inscribir.
NOTA PARA UNA NUEVA CONFIGURACIN DEL SERVIDOR DE FIREWALL, EL NOMBRE DE USUARIO Y LA CLAVE SIEMPRE ES ADMIN. SE DEBE CAMBIAR ESTA LO ANTES POSIBLE. SI SE HA INSTALADO EL SERVIDOR DE FIREWALL COMO RESPALDO, USE SU NOMBRE DE USUARIO Y CLAVE ASOCIADA PARA ESTE RESPALDO. .

La conexin al Servidor de Firewall est establecida y la Configuracin de Asistente contina con la seleccin en modo configuracin.

2.2.2

Primera configuracin en modo rpido

Ms ajustes a las instalaciones despus de realizar la primera configuracin usando el Cliente de Administracin.
Paso 1

Seleccione la opcin rpida.


Paso 2

Se exhibe la ventana dialogo para seleccionar las funciones deseadas. Seleccione las opciones deseadas (como se explica en la ventana dilogo) marcando las opciones relevantes. La configuracin contina con la Configuracin de Asistente de Internet en el punto 2.3.3.

2.2.3

Asistente de configuracin de Internet

La ventana del dilogo para seleccionar el tipo de conexin que se encuentra abierta. El Servidor de Firewall gateprotect apoya discando-hacia el Internet va modem o Router ISDN, DSL. Dependiendo de qu conexin de Internet se use, por favor siga los pasos de configuracin explicados en el prximo captulo.
2.2.3.1 Paso 1 Instalando una conexin ISDN

Seleccione la opcin ISDN Conexin de Discado en la ventana de dilogo abierta para seleccionar el tipo de conexin.
Paso 2

Una lista de hardware se exhibe en la ventana de dilogo siguiente. Seleccione una de las tarjetas de ISDN de la lista.
Paso 3

Ahora ingrese un nmero de discado para su acceso de Internet. El campo de prefijo solo debe activarse en caso de estar instalando el acceso a Internet va un sistema de telfono. Ingrese el nmero en el campo del prefijo que se requiere para una lnea de intercambio. Ingrese la informacin del cdigo y nmero en los campos correspondientes.
Paso 4

Ingrese la informacin de acceso de su conexin de Internet ISDN entregada por su proveedor de servicio de Internet.
Paso 5

Ingrese la informacin de discado de su conexin ISDN. Si no existe seguridad respecto de cul usar, lea la informacin que aparece en su conexin de ISDN o en su sistema de telfono.
Paso 6

Ingrese la informacin para su conexin de Internet. Si est usando un servidor DNS interno, ingrese aqu la direccin de IP del servidor o use las aplicaciones estndares.
Paso 7

Con el control de respaldo definido para tolerancia a fallas (Internet)

Claridad Perfeccin Seguridad

Introduccin

15

Si este control acta como control maestro, al mismo tiempo, es definido como un control de respaldo que puede ser cambiado de ser requerido, se necesita especificar 1-2 servidores externos. Aqu se deben especificar dos direcciones de IP, que de ser posible, deben ser alimentadas por dos proveedores diferentes. Como los ping son regularmente enviados al servidor externo para revisar la disponibilidad de la conexin de Internet, se debe revisar antes si esto permite el ping. El Servidor de Firewall entonces revisa si estos servidores an estn disponibles y si existe una conexin.
NOTA PARA LA CONEXIONES DE ISDN CON UN INTERVALO DEFINIDO, NO SE DEBE INGRESAR UN
TEST DE SERVIDOR. ESO INVALIDARA LA APLICACIN DE INTERVALO.

Seleccione las correspondientes opciones o ingrese la informacin de los campos correspondientes y pulse Siguiente>>.
Paso 8

Ingrese a la conexin de ISDN un nombre claro y con significado ISDN, e.j. "Conexin de Internet por ISDN". Ingrese el nombre en el campo adecuado y pulse "Terminado". Su conexin de Internet est instalada. Si se usa solo esta conexin de Internet va ISDN se pueden saltar los prximos pasos y continuar con el Asistente de Configuracin.
2.2.3.2 Instalando una conexin PPPoE

Se deben seguir los siguientes pasos si se se conectan las tarjetas de red directo a un modem DSL. Si est usando un router DSL para su conexin de Internet, salte este paso y contine con la siguiente accin Chap. 2.2.3.3 Conexin Router.
Paso 1

Seleccione opcin Conexin PPPoE en la ventana de dilogo.


Paso 2

Una lista de las tarjetas de red instaladas se exhibe en la siguiente ventana de dialogo. Seleccione la tarjeta de red que est conectada al modem DSL.
Paso 3

Ingrese la informacin de acceso para su conexin de Internet ADSL entregada por su proveedor de servicio de Internet.
Paso 4

Ingrese las especificaciones de discado para la conexin ADSL. Si existe incertidumbre respecto de cul usar, lea la informacin contenida en su modem ADSL o conexin de Internet ADSL. Seleccione las opciones correspondientes o ingrese la informacin en el campo correspondiente.
Paso 5

Ingrese las especificaciones para la conexin de Internet. Si usa un servidor interno DNS, ingrese aqu la direccin de IP del servidor o use las especificaciones estndar.

Con control de respaldo definido para falla-cada (Internet)

Si este control acta como control maestro y, al mismo tiempo, es definido como control de respaldo que puede ser modificado para tales efectos si fuera necesario, se requiere especificar 1-2 servidores externos. Se deben especificar dos direcciones de IP aqu, que deben ser administradas, si es posible, por dos proveedores distintos. Como los ping son regularmente enviados a servidores externos para revisar la disponibilidad de la conexin de Internet, se debe revisar de manera anticipada si stos permiten hacer ping. El Servidor de Firewall entonces confirma si estos servidores an estn disponibles y si existe conexin. Seleccione las opciones correspondientes o ingrese la informacin en los campos correspondientes.

Claridad Perfeccin Seguridad

Introduccin

16

Paso 6

Ingrese un nombre claro y con significado para la conexin ADSL, e.j. "Internet con conexin de modem ADSL". Su conexin al Internet ya est instalada. Si se usa solo esta conexin de Internet via ADSL se pueden saltar los prximos pasos y continuar con el Asistente de Configuracin.
2.2.3.3 Instalando una conexin de Router

Solo se deben seguir los prximos pasos si se conecta al Firewall externo va un router, e.j. un router ADSL al Internet. Si se usa un modem ADSL para la conexin de Internet, por favor lea la seccin anterior sobre Instalacin de una conexin de ADSL.
Paso 1

Seleccione la opcin Conexin Router en la ventana de dilogo para seleccionar un tipo de conexin.
Paso 2

Una lista de las tarjetas de red instaladas se exhibe en la prxima ventana de dialogo. Seleccione la tarjeta de red que est conectada al Router.
Paso 3

Ingrese las instalaciones extendidas para la conexin de Internet. Si usa un servidor DNS interno, ingrese aqu la direccin de IP del servidor o use las instalaciones estndar.

Con un control de respaldo definido para falla-cada (Internet)

Si este control debe actuar como control maestro y, al mismo tiempo, es definido como un control de respaldo que puede ser alternado si es necesario, se necesita especificar servidor externo 1-2. Se deben especificar aqu dos direcciones de IP, que deben ser administradas por proveedores diferentes si es posible. Como los ping son regularmente enviados a servidores externos para revisar la disponibilidad de la conexin de Internet, se debe revisar anticipadamente si esto permite hacer ping. El Servidor de Firewall entonces revisa si estos servidores an estn disponibles y si existe una conexin.
Paso 4

Ingrese un nombre claro y con significado para esta conexin de Router, e.j. "Conexin de Internet via router de la compaa". Ingrese el nombre en el campo adecuado y pulse Finalizado. Su conexin de Internet est ahora instalada.

2.2.4

Falla-cada (Conexin-de respaldo)

Si ya se configur una conexin de Internet y desea configurar otra conexin, es posible configurarla como una conexin de respaldo. La conexin de respaldo es seleccionada si la conexin principal est cancelada. En cuanto la nueva conexin se encuentre en funcionamiento, el firewall volver a esa conexin. Nota En este caso, una direccin de IP (servidor externo) debe ser ingresada en la conexin principal. (Instrucciones para configurar un servidor externo estn explicadas en las secciones de los distintos tipos de conexiones-(ISDN, ADSL, Router).

Claridad Perfeccin Seguridad

Introduccin

17

2.2.5
Paso 1

Continuando la Configuracin del Asistente

Ingrese una clave para el Cliente de Administracin en la prxima ventana de dilogo del Configurador de Asistente. La clave debe contener a lo menos 6 caracteres y puede incluir letras, nmeros y smbolos. Ingrese la clave en el campo Clave nueva. Confirme esta clave ingresndola en el campo Confirmacin de clave.
Paso 2

Ingrese las funciones para programar la fecha y tiempo del Servidor de Firewall. Seleccione la hora actual de la zona de tiempo dnde se encuentra o especifique si el tiempo del servidor ser regularmente ajustado por un servidor programado desde Internet.
Paso 3

Toda la informacin necesaria ya se encuentra ingresada y el Asistente de Configuracin puede ser cerrado.

Paso 4

Si ya se cuenta con un nmero de licencia vlido para el Servidor de Firewall gateprotect, el Filtro de Contenido de gateprotect o el antivirus gateprotect, se puede ahora activar esta licencia (s) directamente si an no se ha realizado la operacin. No obstante, tambin se puede seleccionar la opcin de activar ms tarde. Informacin adicional se puede encontrar en el captulo sobre administracin de licencia y licencia del Servidor de Firewall gateprotect Captulo 2.5 "Licencia". La configuracin se ha completado. La informacin de configuracin es ahora trasladada al Firewall y el Cliente de Administracin gateprotect para la configuracin de interfase.

2.2.6

Primera configuracin en Modo Normal

Si ya se ha realizado la primera configuracin en modo rpido, se puede saltar el prximo captulo.


Paso 1

Seleccione la opcin normal.


Paso 2

Ingrese una clave para el Cliente de Administracin en la siguiente ventana de dilogo del Configurador de Asistente. La clave debe tener a lo menos 6 caracteres y puede incluir letras, nmeros y smbolos.
Paso 3

Ingrese las funciones para la programacin de la fecha y hora del Servidor de Firewall. Seleccione la hora actual de la zona de tiempo y especifique si la hora del servidor ser programada para ser ajustada desde el servidor de Internet.
NOTA NO ES POSIBLE ACTIVAR EL SERVICIO NTP EN ESTE MOMENTO, POR CUANTO LA CONEXION DE INTERNET HA SIDO INSTALADA EN MODO NORMAL. ACTIVE ESTA OPCION EN EL CLIENTE DE ADMINISTRACIN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXION DE INTERNET, POR CUANTO NO SE HA INSTALADO NINGUNA CONEXIN EN MODO NORMAL. ACTIVE ESTA OPCIN EN EL CLIENTE DE ADMINISTRACIN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXIN DE INTERNET.

Paso 4

Toda la informacin necesaria se encuentra ingresada y el Asistente de Configuracin puede ser cerrado.
Paso 5

Si cuenta con un nmero de licencia vlido para el Servidor de Firewall gateprotect, el Filtro de Contenido de gateprotect o el Antivirus gateprotect, se puede activar ahora la licencia(s) de manera directa si esto an no se ha realizado. No obstante, tambin se puede activar en otro momento. Se encontrar informacin en la administracin de licencia y licencia en el captulo sobre Servidor de Firewall Captulo 2.5 "Licencia".

Claridad Perfeccin Seguridad

Introduccin

18

La configuracin se ha completado. Los antecedentes de configuracin son transferidos ahora al Firewall y al Cliente de Administracin gateprotect a la interfase de configuracin.

2.3 Cambios de configuracin


Si desea ajustar el Servidor de Configuracin a sus requerimientos individuales, encontrar mayor informacin en los temas relevantes y posibilidades de instalacin en los siguientes captulos.

2.4 Licencia
ATENCIN EL FIREWALL FUNCIONA DURANTE 45 DIAS COMO VERSION DE PRUEBA TRAS LA INSTALACIN DEL SERVIDOR. ESTO SE PODRA OBSERVAR CUANDO SE INSCRIBA PARA COMENZAR EL CLIENTE DE ADMINISTRACION. CUANDO ESTE PERIODO HAYA CONCLUIDO, EL FIREWALL PERMANECE ACTIVO CON LA CONFIGURACIN, PERO NO SE PUEDEN REALIZAR MODIFICACIONES Y EL PROTOCOLO HTTP ES BLOQUEADO.

La licencia es administrada por asistente para licencias, ubicado en la pestaa Info del men.

La licencia opera con un archivo .gplf de informacin formateada. Se puede cargar este archivo al firewall, todos los antecedentes sobre la licencia y licenciado son automaticmente agregados en el firewall.

Claridad Perfeccin Seguridad

Introduccin

19

U SO DEL CL IE NTE DE ADM INIST RAC IO N


Se pueden administrar todas las funciones del Servidor de Firewall gateprotect usando el Cliente de Administracin. Este captulo explica cmo usar este programa, qu posibilidades ofrece el Cliente de Administracin y cmo se pueden realizar configuraciones bsicas de instalacin.

3.1 Programa interfase y controles


Cundo el programa se inicia se encontrar el escritorio de configuracin. Esta es la interfase de administracin central, con la cual se pueden realizar todos los ajustes necesarios a las funciones de instalacin del Firewall.

Claridad Perfeccin Seguridad

Introduccin

20

3.2 Men del Cliente de Administracin

3.2.1

Menu: Archivo

En el menu Archivo se encontrarn las opciones normales del Windows para abrir, guardar, imprimir y finalizar el programa. Adicionalmente, existen funciones para crear y subir respaldos del Servidor de Firewall.

Opcin

Funcin

Nueva Abrir...

Crea una nueva configuracin de Firewall. Abre una configuracin de Firewall existente directamente conectada desde un Firewall o desde un archivo de configuracin guardado. Guarda la actual configuracin de Firewall directamente a un Firewall conectado. Guarda la configuracin del Firewall actual directo a un Firewall conectado o en un archivo de configuracin en el computador o en la red. Enva a imprimir la configuracin actual, las estadsticas o su monitoreo hacia una impresora conectada. Crea un respaldo de la configuracin de Firewall en un medio de almacenaje. Use esta funcin, por ejemplo para recargar una configuracin despus de una nueva instalacin, o para transferir una configuracin a un segundo Firewall (secundario) para una solucin de alta disponibilidad. Carga la configuracin de Firewall desde un archivo de respaldo y luego la activa. Configura automticamente la funcin de Respaldo Cap. 3.11 Respaldos
Automticos

Guardar Guardar como...

Imprimir...

Crear Respaldo

Importar Respaldo Respaldo Automatico

Reinicio de la configuracin del asistente

Inicia el Asistente de Configuracin en modo rpido o modo normal, para crear una configuracin bsica Chap. 2.3 Primera configuracin del Servidor de
Firewall usando el Cliente de Administracin

Activar

Transfiere una configuracin al Servidor de Firewall sin cerrar primero el Cliente de Administracin . Cambia el idioma del Cliente de Administracin Cierre el Cliente de Administracin de gateprotect tras exhibir varias opciones para cerrar el programa en una ventana de dilogo y confirme que se desea salir.

Idioma Salir...

Claridad Perfeccin Seguridad

Introduccin

21

3.2.2

Menu: Opciones

Se pueden configurar las funciones del Servidor y del Cliente de Administracin usando el men Opciones.

Opcin

Funcin

Firewall

Ajusta las funciones generales del servidor a sus necesidades, e.j. red o nombre de administrador, tarjetas de red, funciones de seguridad para la administracin o funciones de fecha y hora. Ajusta y crea certificados del Centro de Comando Configura las interfaces de la red, Interfases V-LANs, Bridges e Interfases VPN-SSL Administracin de protocolos de ruteo Administra a los usuarios y sus derechos especficos sobre el Firewall Administra las conexiones de Internet y cambia las instalaciones globales de DNS o funciones para un DNS dinmico Activa y configura las funciones para el HTTP y VolP Proxy para el Servidor de Firewall Cap. 4 Proxies.

Centro de Comando Interfases Routing Administracin de usuario Internet

Proxy

Trfico-Ordenamiento

Configura las funciones para el Ordenamiento del Trfico y Calidad de Servicios


Cap. 7 Ordenamiento de Trfico & Calidad de Servicios.

Alta disponibilidad

Define instalaciones para varios Servidores de Firewall que operan como solucin de alta disponibilidad Cap. 11 Alta Disponibilidad.

DHCP Reportando

Configuracin de un Servidor DHCP y Rel. Administra las funciones de reportes , e.j. las opciones de recepcin para la notificacin de correos electrnicos y las funciones para las particiones Cap. 13 Reportando

Autenticacin de usuario

Configura las opciones para la autenticacin del Usuario y registro al HTTP Proxy Cap. 5 Autenticacin del Usuario

Actualizaciones

Administracin de la actualizacin del Firewall

Claridad Perfeccin Seguridad

Introduccin

22

3.2.3

Men: Seguridad

Se puede usar este men para administrar las distintas funciones de seguridad del Servidor de Firewall.
Opcin Funcin

URL-/filtro de Contenido...

Activa y configura las funciones del URL y Filtro de Contenido


Cap. 6 URL- y Contenido-Filtro.

Anti-Spam / Filtro de Correo

Crea listas blancas y negras para los filtros de spam y ajusta el nivel de sensibilidad
Cap. 15 Anti-Spam/Filtro de correo

Anti-Virus

Activa y administra las funciones para el escaner de Antivirus


Cap. 16 Proteccin de Virus

IDS / IPS

Administra las funciones para Detectar Instrusos y para el Sistema de Prevencin


Cap. 12 Detector y Prevencin

Certificado

Abre el certificado de administracin para Autoridades Certificadas, Requerimientos y Certificados de Administracin Muestra los objetos DMZ Muestra una lista de accesos rechazados y permite emitir o rechazar estas conexiones

Lista-DMZ Acceso denegado

3.2.4

Men: Funciones VPN

Se pueden administrar las funciones de las conexiones VPN al Servidor de Firewall usando este menu.
Opcin Funcin

PPTP

Activa las funciones PPTP para el Servidor de Firewall Cap. Conexiones 10.2 PPTP. Activa las funciones IPSec y administra las conexiones IPSec
Cap. 10.3 Conexiones-IPSec.

IPSec

VPN-SSL

Activa conexiones VPN-SSL y administra las caractersticas VPN-SSL y Clien Cap.


10.4 VPN sobre SSL.

VPN Asistente

Crea una nueva conexin VPN e instala todas las confiiguraciones necesarias para dicha conexin VPN.

Claridad Perfeccin Seguridad

Introduccin

23

3.2.5

Menu: Red

Este menu contiene herramientas, que apoyan su configuracin, para pruebas de redes o en la solucin de problemas y bsqueda de errores.
Opcin Funcin

Ping

Emita un comando PING a un servidor / computador en red o en Internet. Seleccione como una opcin si el comando PING debe ser emitido desde un computador local o desde el Servidor de Firewall. Emita un comando de TRACEROUTE hacia un computador / servidor en la red o Internet. Preguntas de informacin sobre una direccin con el nombre del servidor.

Traceroute

Pregunta nombre servidor Anlisis del bloqueo de la Red

Realiza una revision de un URL o sitio web usando el URL y Filtro de Contenido
Cap. 6 URL- y Filtro-Contenido.

3.2.6

Menu: Ventana

Interacta entre las diferentes ventanas del Clientes de Administracin


Opcin Funcin

Escritorio

Cambia la Configuracin de Escritorio para la administracin de la red y funciones del Firewall. Cambia a la vista del reporte con actualizadas notificaciones de sistema y de seguridad. Las Estadsticas muestran estadsticas sobre usuarios de carcter general y de relevancia de seguridad, objetos de red y del Servidor de Firewall. Entrega informacin actualizada sobre hardware y sistemas de proceso del Servidor de Firewall.

Reportes

Estadsticas

Monitoreo

3.2.7

Menu: Informacin

Ofrece al usuario la ayuda estndar de Windows y funciones de soporte.


Opcin Funcin-

Manual de usuario Licencia gateprotect

Abre este manual Abre esta ventana de dialogo de licencia para licenciar el Firewall y los productos UTM Exhibe las condiciones de la licencia en formato de documento PDF. Provee informacin sobre el Cliente de Administracin.

Muestra trminos de licencia Sobre

Claridad Perfeccin Seguridad

Introduccin

24

3.3 La Configuracin de Escritorio


La interfase del usuario muestra la principal area de trabajo del Firewall gateprotect. Usando la configuracin escritorio; siempre se debe tener una vista completa de toda la red.

Todos los objetos conectados a la red (computadores, servidores, grupos de computacin, usuarios VPN, etc.) son exhibidos con sus conexiones asociadas. Objetos nuevos pueden ser agregados en cualquier momento con "Drag & Drop". Se pueden crear reglas para conexin pulsando simplemente en las intersecciones de las lneas de conexin. Objetos individuales pueden ser agrupados usando "drag and drop" y configurados de manera conjunta. Si se arrastra un objeto hacia otro, se consultar si se desea crear un grupo de los dos objetos individuales. Varios objetos y puntos pueden ser seleccionados simultneamente pulsando en un lugar vaco en el escritorio y definiendo el rango deseado con el mouse. Objetos individuales y puntos pueden ser agregados a / removidos de la seleccin usando Ctrl+ botn izquierdo en el mouse. Ctrl + A selecciona todos los objetos y puntos en el escritorio. Si es necesario, las lneas de conexin pueden ser resaltadas varias veces para un mayor resultado. Pulse dos veces en la lnea para crear un nuevo punto de resalto en esta posicin. La regla y los puntos resaltados pueden ser movidos libremente en el escritorio. Los puntos finales de una lnea se adhieren a los objetos respectivos, no obstante pueden ser libremente movidos hacia los costados. Pulsar dos veces en un punto resaltado (excepto los puntos finales) lo elimina.

3.3.1

Zoom a la interfase de configuracin

El escritorio tiene una function de zoom. Esto apoyado por una miniatura (ubicada en el costado inferior derecho de la ventana Ver). El escritorio puede ser reducido a un area de entre 30% y 100%. Si el escritorio completo no est visible, el rango visible se exhibe en un rectngulo azul en miniatura. La miniatura puede ser usada para navegacin (cundo partes del escritorio no estn visible).

Claridad Perfeccin Seguridad

Introduccin

25

3.3.2

Capa

El escritorio tiene varias capas definidas como estndar y varios usuarios. La capa estndar, llamada la capa base, puede ser reetiquetada pero no eliminada. Es siempre la primera en la lista. Las capas definidas para el usuario pueden ocultarse. Esto oculta los objetos en las respectivas capas y todas sus lneas asociadas. El rden de las capas definidas como usuarios puede ser modificadas en cualquier momento. Las capas definidas como usuarios pueden ser eliminadas. Sus objetos migran hacia la capa base. Los Objetos pueden ser movidos libremente en todas las capas. Las excepciones son los objetos de INternet. Ellos estn siempre en la capa base. Los Objetos en una capa inferior son desplegados al final en el escritorio y cruzados con objetos de una capa superior.

3.3.3

Barra de herramientas

Para crear un objeto en la configuracin del escritorio, pulse el objeto deseado en la barra de herramientas, mantenga el botn del mouse apretado y arrastre el objeto hacia la configuracin de escritorio. Dependiendo del tipo de objeto, una ventana se abre automticamente para ingresar la informacin para el objeto. Para eliminar un objeto de la configuracin de escritorio, pulse el objeto con el botn derecho del mouse y seleccine el item Delete en el men.

Smbolo

Funcin

Herramienta de seleccin Todas las acciones pueden ser desarrolladas en el Escritorio de Configuracin con la herramienta de seleccin. Se pueden agregar smbolos, mover objetos o seleccionar ciertas funciones. Herramienta de Conexin Se pueden conectar los smbolos entre ellos en la configuracin de escritorio usando la herramienta de conexin. Primero pulse el smbolo de la herramienta de conexin, luego el primer smbolo y luego en el segundo. Los dos smbolos son connectados entre s y el editor de reglas se abre automticamente para determinar las reglas de conexin.

Claridad Perfeccin Seguridad

Introduccin

26

Smbolo

Funcin

Internet Pulsando dos veces en el objeto se puede configurar su conexin de Internet. Equipos Arrastre una pieza (computador, servidor, impresora de red, laptop o telfono IP) hacia el Escritorio de Configuracin e ingrese caractersticas adicionales de los objetos en la ventana dilogo. Naturalmente, se puede reparar una pieza del equipo eligiendo el tpo de objeto usando uno de los botones en las caractersticas de la ventana dilogo de objeto..

Grupo El objetivo de un grupo de computadoes es una configuracin clara y simple. Varios computadores en un departamento pueden ser configurados al mismo tiempo. Cada computador recibe todos los derechos que su grupo posee. Arrastre un grupo al Escritorio de Configuracin, ingrese caractersticas adicionales para el grupo en la ventana dilogo y cree nuevos objetos al interior de este grupo. Arrastre objetos individuales que ya se encuentran en el Escritorio de Configuracin hacia el smbolo del grupo con el mouse para asignar este objeto especfico a este grupo. Un grupo de computadores contiene computadores individuales, los que son manualmente agregados o directamente aceptados en este grupo desde el Escritorio de Configuracin.

Grupo Para un grupo de red, seleccione una tarjeta de red del Servidor de Firewall y todos los computadores conectados entonces pertenecern a este grupo. El modo Rango-IP permite configurar una direccin de inicio y trmino. Si el servicio DHCP es configurado por esta interface, tambin es posible elegir este rango. Computador VPN y servidor VPN Arrastre un computador VPN hacia el escritorio, especifique funciones de instalacin para computadores VPN en la ventana de apertura de dilogo y cree una nueva conexin VPN. Ms informacin en objetos VPN y su instalacin en Cap. 10 Virtual Private Networks (VPN)

Grupo VPN Arrastre un grupo VPN al escritorio, especifique funciones generales para el grupo VPN en la ventana de dilogo y agregue el existente usuario VPN a este grupo VPN. Ms informacin en grupos VPN y su instalacin en Cap. 10 Virtual Private Networks (VPN) Usuario-VPN El usuario-VPN puede registrarse via L2TP o XAUTH.

Claridad Perfeccin Seguridad

Introduccin

27

Smbolo

Funcin

Objeto-DMZ Tras agregar un Objeto-DMZ en la configuracin de escritorio, el Asistente-DMZ se inicia automticamente y gua hacia todos los pasos necesarios para la configuracin. Usuarios Arrastre un usuario hacia el escritorio e ingrese caractersticias de usuario adicionales en la ventana dilogo. Ms informacin sobre usuarios y su instalacin en Cap. 5 Autenticacin de usuario. Grupos usuarios Arrastre un grupo usuario hacia el escritorio, ingrese mayores funciones para el grupo en la ventana de dilogo y agregue usuarios existentes a este grupo usuario. Ms informacin sobre usuarios y sus instalaciones en Cap. 5 Autenticacin de usuario. Objetos de Notas pueden ser simplemente arrastrados hacia el escritorio. El objeto Notas puede ser usado para apuntes sobre el escritorio y es guardado junto con la configuracin como cualquier otro objeto. Los objetos de Regiones es un asistente para destacar grupos y reas en color. Simplemente arrastre el objeto hacia el escritorio, seleccione el color y grado de transparencia y asignele un nombre. Ahora se puede correr el objeto hacia cualquier lugar y adaptar su tamao.

3.3.4

Servicios Activos

En la ventana de Servicios Activos en el costado izquierdo del Escritorio de Configuracin se encontrar una lista de todos los servicios predefinidos o auto-definidos ingresados previamente a la red. Si se pulsan un servicio desde la lista con el mouse, todos los objetos y lneas de conexin que incluyan este servicio, sern destacadas en color. Todos los otros objetos y lneas de conexin permanecen en gris.

3.3.5

Mayor informacin

Si se pulsa un servicio en la lista, un objeto o un usuario en el Escritorio de Configuracin, se ver informacin suplementaria en el servicio relevante, objeto o usuario en la siguiente ventana Mayor Informacin.

3.3.6

Bsqueda

En la ventana Bsqueda en el costado derecho del Escritorio de Configuracin se podrn buscar computadores individuales, usuarios, grupos o conexiones.
Bsqueda de red

Se puede usar la bsqueda de red para buscar en computadores que an no han sido incluidos como objetos independientes o como parte de un grupo de computador. Para la bsqueda de computadores que ya estn en el Escritorio de Configuracin como objeto o parte de un grupo de computadores marque Exhibir Todo.
NOTA POR FAVOR NOTE QUE UN COMPUTADOR SLO PUEDE SER ENCONTRADO SI EST EN LA RED Y ACCESIBLE.

Claridad Perfeccin Seguridad

Introduccin

28

Si arrastra un computador con un mouse hacia un grupo existente en el Escritorio de Configuracin, este computador ser automticamente asignado con los derechos de este grupo.
Lista de usuario

La lista de usuario contiene todos los usuarios ingresados (esto concierne a los usuarios ya definidos, no los del computador). Si se selecciona un usuario con el mouse, se ver en el escritorio el grupo al que este usuario ha sido asignado. Bsqueda de escritorio Se puede hacer una bsqueda de escritorio para buscar entre todos los elementos ya configurados en toda la Configuracin de Escritorio. Los resultados de la bsqueda como se exhibe en una lista expandible clasificada por grupo o tipo de objeto.

3.3.7

Barra de estado

La barra de estado al final del Cliente de Administracin muestra ms informacin: Configuracin actual Tiempo del Servidor Usuarios registrados Direccin IP del servidor de firewall Nmero de versin y descripcin de versin del Cliente de Administracin Tipo de licencia

3.4 Reportes
El sistema de despliegue del Cliente de Administracin y los reportes sobre deteccin de intrusos producido por el Servidor de Firewall. 1. Se puede acceder al reporte pulsando el smbolo reporte en la barra de herramientas o Reportes desde el menu principal. 2. La ventana Reporte Actual muestra una lista de los ltimos 30 reportes de sistema del Servidor de Firewall. Los botones de Reportes de Actualizacin cargan la informacin actual desde el Servidor de Firewall hacia el mostrario de reporte.

Claridad Perfeccin Seguridad

Introduccin

29

3. La ventana de Reporte General contiene una lista de todos los reportes del sistema del Servidor de Firewall que pueden ser filtrado a travs de distintos criterios: Por periodo con fecha y hora para inicio y trmino Por el tipo y estatus del reporte Por test-usuario definido Nmero de reportes 4. La ventana del Reporte IDS / IPS nuestra el registro actual de informacin del Sistema de Deteccin de Intrusos y Prevencin.

3.5 Acceso denegado


Abra el dilogo desde el menu principal Seguridad, luego seleccione Acceso Denegado.

1. Primero actualice la lista pulsando en el botn Actualizacin. La lista muestra todas las conexiones bloqueadas por el Servidor de Firewall. La flecha roja o verde en la columna Servicio muestra si el orgen de la conexin est en la red interna (fleche verde) o en la red externa (flecha roja) para cada conexin rechazada.

2. Si la lista se vuelve dificultosa para ser revisada por contener un alto nmero de conexiones rechazadas, se puede crear un filtro que solo exhibe algunas conexiones rechazadas. Pulse en el botn Filtro de Despliegue Filter para hacer esto.

Varias opciones de filtro son ahora desplegadas sobre la lista. Se pueden filtrar las conxiones bloqueadas por puerto y protocolo, por origen o destino, o por perodo y lmite de nmero de conexiones desplegadas. Las Entradas dobles son compaginadas y desplegado el nmero de conexiones ignoradas.

3.6 Estadsticas
Para desplegar estadsticas se puede usar el rea de estadsticas integradas en el Cliente de Administracin o el externo, Cliente de Estadstica instalado de manera separada. Ambos programas tienen el mismo rango de funciones. No obstante, se puede conectar slo una entidad a la del Cliente de Administracin con el Servidor de Firewall, en tanto que tantas entidades del Cliente de Estadsticas sean necesarias pueden ser conectadas simultneamente al Servidor de Firewall.

Claridad Perfeccin Seguridad

Introduccin

30

3.6.1

Posibilidades de Filtro

Se pueden filtrar estos resultados en la parte superior de la ventana de estadsticas dependiendo de la informacin de estadsticas preparadas: Escritorio: red completa, usuario o computador Perodo: 6, 12 o 24 horas, 7 o 14 das, 1, 3 o 12 meses Perodo auto-definido con datos de fecha y hora de inicio y trmino Ventana de hora : cualquier hora del da con entradas de inicio y trmino Acceso rechazado: ingreso o egreso

El botn de Actualizacin sube la informacin actual desde el Servidor de Firewall.

3.6.2

Pginas de Internet - Destacadas

Este diagrama muestra las pginas de Internet visitadas, ordenadas por la cantidad de informacin descargada. Si se desea bloquear un URL, pulse el boton derecho en la barra y desde el menu de contexto seleccione la correspondiente categora de lista negra para el URL Pulse dos veces en la barra para transferir las estadsticas para el dominio relevante hacia la vista de Usuarios Destacados. (vea 3.6.6. Listas de Destacados).

3.6.3

URL bloqueados Destacados

Este diagram muestra los URLs bloqueados seleccionados por nmero de intentos de acceso. Si desea desbloquear un URL, pulse el botn derecho sobre la barra correspondiente y seleccione la categora de lista blanca correspondeinte para este URL desde el menu. Pulse dos veces en la barra para transferir las estadsticas para el dominio relevante a la Vista Destacada de Usuario. (vea 3.6.6. Usuarios destacados).

3.6.4

Destacados - servicios

Este diagrama muestra el uso de servicios o protocolos seleccionados por cantidad de informacin. Pulsando dos veces en la barra transferir las estadsticas para el dominio relevante a la vista de Usuarios Destacados. (ver 3.6.6. Empleados Destacados).

3.6.5

Destacados IDS/IPS

Este diagrma muestra los eventos registrados por el Sistema de deteccin y prevencin de intrusos, seleccionado por frecuencia. Si se requiere mayor informacin sobre un evento determinado, pulse en la barra correspondiente. Se puede acceder a una fuente de informacin en la Internet desde el menu, que provee informacin adicional sobre el evento relevante.

Claridad Perfeccin Seguridad

Introduccin

31

3.6.6

Usuarios - Destacados

Este diagrama muestra cules usuarios han visitado cules sitios de la red, seleccionados por cantidad de informacin.

3.6.7

Usuarios - Trfico

Este diagrama muestra la cantidad de informacin transferida hacia y desde el Internet por los usuarios.

3.6.8

Defensa Visin general

Este cuadro muestra una cantidad de estadsticas sobre accesos bloqueados, virus encontrado, eventos de Deteccin de Intrusos y spam durante varios perodos.

3.6.9

Defensa - defensa

Este diagram muestra, dependiendo del periodo seleccionado, el nmero de potenciales ataques repelidos. Los accesos de entrada se muestran en rojo, los de salida en verde.

3.6.10 Trfico Toda la informacin Este diagram entrega informacin sobre la cantidad de informacin (trfico), que ha pasado por el Servidor de Firewall en un perodo definido en todos los protocolos.

3.6.11 Trfico - Internet Este diagrama entrega la cantidad de informacin (trfico), que ha pasado a travs del Servidor de Firewall en un perodo definido slo en los protocolos de Internet.

3.6.12 Trfico Correos electrnicos Muestra el trfico de todos los correos electrnicos que han pasado por el Firewall en un perodo definido.

Claridad Perfeccin Seguridad

Introduccin

32

3.7 Firewall
Se pueden ajustar las funciones y hacer cambios hacia o para el servidor usando este menu. Al menu de funciones se accede a travs de la opcin Funciones de Servidor.

3.7.1

Firewall - Seguridad

Usando la barra de Seguridad en las Funciones de Servidor en la ventana de dilogo, se pueden cambiar las instalaciones para acceder al Servidor de Firewall desde la red externa o el Internet y expecificar cmo el Servidor de Firewall debe reaccionar a las consultas de ICMP (e.j. para un comando de PING).
NOTA ESTAS FUNCIONES SOLAMENTE SE REFIEREN A ACCESO EXTERNO AL SERVIDOR DE FIREWALL. ACCESO DESDE LA RED INTERNA SIEMPRE ES POSIBLE.

En el rea de Acceso especifique que y cmo se puede acceder al Firewall desde una red externa.

Seleccione una de las opciones desde Denegado, slo VPN o Permitido.

Opcin

Funcin

Denegado

Slo computadores desde la red interna pueden acceder al Servidor de Firewall desde el Cliente de Administracin, acceso externo est denegado. Las mismas funciones como Denegadas, pero el acceso tambin es posible al Servidor de Firewall desde la red externa por VPN. Acceso al servidor est permitido desde la red interna y externa.

Slo VPN

Permitido

ATENCIN ! LAS OPCIONES PERMITIDAS SIGNIFICAN UN RIESGO EN LA SEGURIDAD, POR CUANTO PERMITE A LOS ATACANTES TENER ACCESO AL FIREWALL. BAJO ALGUNAS CIRCUNSTANCIAS NO DEBE SER USADO DE MANERA PERMANENTE.

Por razones de seguridad, el Servidor de Firewall puede ser instalado de esta manera, cosa que el Firewall no responda a los commandos ICMP (PING). Seleccione una de las opciones PING (ICMP) desde el rea Denegado, o Permitido.

NOTA EL BLOQUEO DE COMANDOS ICMP PUEDE INCREMENTAR LA SEGURIDAD DEL FIREWALL. PERO, AL MISMO TIEMPO, IMPIDE CUALQUIER BSQUEDA DE ERROR EN LA RED. SI SE PRODUCE CUALQUIER ERROR EN LA RED, SE DEBE INSTALAR ESTA OPCION PARA PERMITIR UN ERROR DE BSQUEDA ANTES DE EJECUTAR.

Claridad Perfeccin Seguridad

Introduccin

33

3.7.2

Firewall - Fecha

El Servidor de Firewall gateprotect trabaja con reglas tiempo-dependientes. Por esta razn se require instalaciones correctas de fecha y hora. Se pueden configurar las funciones para usar un servidor de tiempo en la barra Fecha. 1. Seleccione una de las zonas de tiempo desde la lista Zonas de Tiempo. 2. Revise el sistema de tiempo del Servidor de Firewall en los campos de Fecha y Hora. 3. Si usa un servidor NTP, marque Activo en la seccin de servidor NTP. 4. Se puede usar el tiempo del servidor o ingresar un servidor NTP propio a la lista. a.) Pulse el botn Agregar para agregar un nuevo tiempo de servidor. b.) Ingrese el nombre del tiempo de servidor en el campo de entrada. 5. Si desea que el tiempo del sistema del Servidor de Firewall este disponible en la red interna, marque Tiempo disponible a red interna. El Servidor de Firewall entonces trabaja al mismo tiempo que la hora interna del servidor.

3.8 Interfaces
El dilogo Interfaces puede ser encontrado en Opciones > Interfaces.

En el costado izquierdo hay un rbol que muestra tarjetas de red, VLANs, VPN-SSL-interfases y bridges. Tras seleccionar una rama en el sitio izquierdo los detalles aparecern en el costado derecho.

Claridad Perfeccin Seguridad

Introduccin

34

3.8.1

Interfases de redes

Aqu se pueden modificar distintas funciones. El estado de actividad de la interfase de la red puede ser modificado La forma en que la interfase recibe la direccin de IP Agregando direcciones virtuales de IP Definiendo el MTU Estableciendo el color para la configuracin de escritorio

3.8.2

VLAN

VLAN (Virtual Local Area Network) es apoyado como est definido en IEEE 802.1Q. VLAN en una interfase fsica y es tratado como una interfase-ethernet virtual con las mismas caractersticas como la fsica a la que se encuentra adherida. Para usar VLANs en el firewall gateprotect se puede seleccionar la interfase VLAN en cada menu donde se puede seleccionar una tarjeta de red de interfases o un bridge de interfaces. El nombre de una interface VLAN es creado desde el nombre de la red de interface fsica y el VLAN-ID e.j. eth3.1415.eth3 es el nombre de la interface fsica y 1415 es el VLAN-ID.
VLAN puede ser creada de dos formas.

Se selecciona VLAN en el rbol en el costado izquierdo y aparece un botn Agregar. Al pulsar en este boton un nuevo VLAN ser creado. En el sitio derecho se puede definir la instalacin de este VLAN.

Otra forma de hacerlo es arrastrando una tarjeta de Red o bridge de interface en las palabras Interfaces VLAN interfaces. En este caso, una nueva VLAN ser creada usando esta interface.

Claridad Perfeccin Seguridad

Introduccin

35

Se puede crear una VLAN en los siguientes casos:

Interfaces VLAN pueden ser creadas en interfaces VLAN. Se puede crear una VLAN en una interface de red que ya es el puerto de una interface bridge. Se puede crear una VLAN en una interface bridge que ya usa una interface VLAN como puerto. Se pueden crear interfaces de VLAN en interfaces VPN-SSL. Se puede crear un VLAN en una interface que es usado para sincronizar alta disponibilidad. La configuracin de las interfaces de VLAN es ms o menos como la configuracin de un interface de tarjeta de red. Adems, se debe instalar una ID nica. Esta ID debe estar entre 1 y 4094.
NOTA SE PUEDE USAR LA MISMA VLAN-ID EN INTERFASES FSICAS MLTIPLES PERO ESTO NO LAS CONECTAR AUTOMTICAMENTE!

Para conectar las VLAN entre s se puede usar routing o bridging. El uso de un bridge para conectar los VLAN integral a las interfaces de VLAN en un bridge como interfaces comunes de Ethernet. Para rutear una VLAN con otra se deben crear conos de escritorio de las VLAN y conectarlas entre ellas.

3.8.3

Bridge (Bridge)

Prximas a las tarjetas de red fsicas incluso las VLAN y las VPN-SSL, pueden ser puertos de un bridge. Existen mltiples formas para crear un bridge. Marque interface mltiple. En el costado derecho aparece un botn Crear Bridge. Si se han marcado interfaces que no son posibles de aadir a un bridge aparecer un mensaje de advertencia. Se pueden arrastrar y dejar caer las interfaces en la palabra Bridges en el costado izquierdo para crear un nuevo bridge. Se puede seleccionar un bridge en el rbol en el costado izquierdo y presionar el botn Agregar. Vea VLAN (3.8.2)
No se puede crear un bridge (bridge) en los siguientes casos:

Los bridges no pueden ser un Puerto de otro bridge. No se puede crear un bridge en una interfase que es usada para sincronizar alta disponibilidad Los bridges no pueden usar interfaces que ya estn siendo usadas por otro bridge. Los bridges no pueden ser creados en interfaces VLAN que son creadas en otro bridge. Los bridges no pueden usar tarjetas de red de interfaces fsicas cuyos interfaces VLAN son usadas en la configescritorio del Cliente de Administracin. No se puede usar una tarjeta de red y su VLAN en el mismo bridge. No se puede crear un bridge en un interface que cuenta con una conexin del cliente de administracin.

3.8.4

Interface-VPN-SSL

Para usar la interface VPN-SSL primero se debe crear un tnel VPN-SSL-bridge en funciones VPN > VPN-SSL. En el dilogo de interfases slo se puede aadir este bridge de interfase VPN-SSL existente. Arrastre y deje caer en un bridge de interfase o cree un nuevo bridge de interfase y use el VPN-SSL (esto aparece si existe uno) como un puerto de su bridge.

Claridad Perfeccin Seguridad

Introduccin

36

3.9 Instalaciones de Internet


Aqu se configura la conexin al Internet. Se pueden agregar varias conexiones y limitarlas con tiempo. Se puede instalar una conexin de discado ISDN, una conexin ADSL o una conexin de router. Se debe seleccionar una conexin router para todas las conexiones que usan una puerta de entrada. La forma de instalar los diferentes tipos de conexiones se explica abajo. Se puede alcanzar el dilogo de Internet va Opciones > Internet.

3.9.1

Instalaciones generales de Internet

La barra General es usada para agregar una nueva conexin a la lista de conexiones de Internet, eliminar las conexiones que ya no son requeridas o editar las instalaciones de una conexin.
Balance de Carga (Conexin consecutive)

El balance de carga a travs de varios objetos de Internet es el routing avanzado basado en las diferentes conexiones de Internet. Es posible crear diversos objetos de Internet en el escritorio usando arrastrar y soltar. Para estos objetos de Internet se pueden crear distintas reglas. El servicio para la regla correspondiente es enrutado en la va de esta conexin de Internet. Es incluso posible arrastrar un objeto con varios objetos de Internet. En este caso, los servicios correspondientes son distribuidos en ambas conexiones de Internet.
NOTA SI SE REQUIERE EL USO DE UN PROXY, TODAS LAS CONEXIONES DE INTERNET SE CONECTAN AUTOMTICAMENTE AL OBJETO SELECCIONADO.

Paso 1

Para agregar una nueva conexin de Internet, pulse el botn Agregar.


Paso 2

La conexin de asistente de Internet se abre. Siga sus instrucciones hasta que la instalacin de la nueva conexin se haya completado. Ver captulo 2.3.2 Primera configuracinen Modo rpido.
Paso 3

Si se ha creado una nueva conexin de Internet, se puede asignar esto a un objeto de Internet usando arrastrar y soltar.

3.9.2

Perodo de tiempo para conexiones de Internet

Para usar diferentes conexiones de Internet en momentos distintos, se pueden restringir usando tiempos.

Para definir perodos para su conexin de Internet, pulse en la columna Perodo de la conexin correspondiente en la conexin del dilogo Instalaciones de Internet.

Claridad Perfeccin Seguridad

Introduccin

37

Al mantener presionado el botn izquierdo del mouse y arrastrarlo simultneamente sobre el campo, se pueden destacar gris (activo) o blanco (inactivo).

Ms an, se pueden instalar campos individuales como activo o inactivo con el mouse o la completa conexin usando los botones Siempre encendido o Siempre apagado.

NOTA LA NUBE DE INTERNET MUESTRA CON ENCENDIDO O APAGADO SI SU CONEXIN DE INTERNET SE HA ESTABLECIDO, O SI EXISTE Y ESTA FISICAMENTE ACTIVA SU CONEXIN DE ROUTER ENTRE EL FIREWALL Y EL ROUTER. AL PULSAR EN LA NUBE DE INTERNET SE PODRA VER EN LA CONFIGURACIN DE ESCRITORIO UBICADA EN EL COSTADO INFERIOR IZQUIERDO QUE CONEXIN DE DIRECCIN DE IP TIENE LA CONEXIN-

3.9.3

Instalaciones de DNS en las instalaciones de Internet

Si se establece una conexin de Internet directa, el DNS global se determina por el router / va de salida o como regla por el proveedor. Si se usa otro servidor DNS, e.j. si opera su propio servidor DNS, se puede ingresar su direccin en las instalaciones de DNS global del servidor de firewall.
Paso 1

Active el Buscador automtico para un servidor DNS para usar el servidor DNS especificado por el router o el proveedor.
Paso 2

Si usa un servidor tipo DNS, desactive el Buscador automtico para un servidor DNS e ingrese la direccin IP de por lo menos un servidor DNS en el campo correspondiente.

3.9.4

Cuentas DNS Dinmico

Para poder conectarse desde la red externa, e.j. por VPN al servidor de firewall, la direccin de IP del servidor debe ser reconocida en el Internet. Usando el DNS dinmico, el servidor de firewall recibe una direccin fija, e.j. suempresa.dyndns.org en el internet, incluso si no cuenta con una direccin de IP fija para una procedimiento de discado de ISDN o DSL, por ejemplo.
NOTA SE REQUIERE UNA CUENTA DYNDNS CONFIGURADA. MAYOR INFORMACIN EN DNS DINAMICO Y REGISTRO PARA EL PROCESO DE DNS DINMICO PUEDE SER ENCONTRADA EN E.J. HTTP://WWW.DYNDNS.ORG.

Secuencia de operacin para cuentas DynDNS mltiples: Paso 1

Crear una o ms cuentas DynDNS con el soporte de un proveedor DynDNS (e.j. www.dyndns.org).
Paso 2

Instale una o ms conexiones en el firewall.


Paso 3

Instale sus cuentas DynDNS en el firewall. Para instalar el acceso a DNS dinmico, abra el dialogo Internet en el men principal Opciones.

Claridad Perfeccin Seguridad

Introduccin

38

Paso 4 Marque Activar cuenta usando esta cuenta.

Paso 5

Ingrese la informacin proporcionada tras el registro del DynDns en los campos Tipo de servidor, Nombre del dominio, Nombre de usuario y Clave.

Paso 6

Si usa subdominios de la cuenta, marque Habilitar wildcards y seleccione la conexin de Internet deseada.

Tambin se pueden asignar las cuentas de DynDNS en los dilogos de instalacin de las conexiones de Internet.

3.10 Servidor DHCP


El firewall gateprotect ofrece la habilidad de asignar una direccin de IP junto con otros parmetros de configuracin (como gateway, servidor DNS, servidor NTP ) usando un servidor DHCP. Por otro lado, tambin es posible reenviar un servidor DHCP existente en otras redes para configurar la otra red (DHCP Rel).

Tambin se puede elegir entre dos modos de operacin:

Servidor Rel

Claridad Perfeccin Seguridad

Introduccin

39

3.10.1 Servidor DHCP Se puede seleccionar en qu interfase se puede operar el servidor.

Se puede definir un rango de direccin por interfase. Direcciones fijas usando la direccin MAC puede ser especificada por interfase. Direcciones-Esttica IP El pool de Direcciones-IP asignadas de manera dinmica no debe contener Direccin-IP estticas. El pool debe ser adaptado para proveer suficientes direcciones para asignaciones de direcciones-IP estticas.

3.10.2 DHCP Rel Se pueden seleccionar las direcciones de servidor al que los requisitos DHCP son reenviados. Las interfases desde las cules los requerimientos DHCP deben ser reenviados adems deben ser seleccionados (selecciones mltiples son posibles).

3.11 Respaldo automtico


Es posible configurar la creacin de respaldos automticos. Si el menu Archivo > Respaldo automtico se encontrar en la siguiente ventana.

Aqu se pueden configurar las instalaciones de servidor de respaldo que est recibiendo. Se puede elegir si se usar FTP o SCP para transferir el archivo.
ATENCIN SIN DECODIFICAR!!!

En las Instalaciones de Archivo, se puede ingresar el nombre para el Archivo de Respaldo. Si se define un nmero mximo de respaldos, un nmero se adjuntar al nombre del archivo. Tras alcanzar el nmero seleccionado de respaldos (predeterminado 20), el nmero se repetir y sobreescribir el ltimo respaldo. Si se selecciona adjuntar al nombre del archivo, la fecha actual crea un archivo incluyendo el nombre de un archivo y fecha. La fecha nunca se repite, por eso los respaldos antiguos no sern sobreescritos.

Slo es posible seleccionar uno de los puntos. En las instalaciones de intervalo de tiempo, es posible agregar un gancho para rear un respaldo cuando se salga del Cliente de Administracin. Este respaldo lleva el nombre del Administrador. Tambin es posible hacer respaldos programados.

Claridad Perfeccin Seguridad

Introduccin

40

El botn Instalaciones de Prueba intenta enviar un archivo (llamado "archivo nombre_prueba ") al servidor de respaldo ingresado. Si las instalaciones son correctas, aparecer una ventana, con una respuesta positiva y se puede suprimir el archivo de prueba desde el servidor de respaldo.

3.12 Instalaciones de Routing


Las instalaciones de routing se separan en dos grupos. La administracin de rutas estticas y la administracin de protocolos de routing como OSPF y RIP. Las rutas estticas afectan los firewalls y son interesantes para los Administradores de redes ms pequeas. La administracin de protocolos de routing son ms adecuados para administrar redes mayores con grandes estructuras WAN.

Claridad Perfeccin Seguridad

Introduccin

41

3.12.1 Routes Estticos


Standard-Routing

Se exhiben todos los cuadros de routing que contienen por lo menos un router. El cuadro con ID 254 es la tabla de routing principal que contiene el router definido por el usuario. Debido a la importancia este router es mostrado al inicio de la lista. El cuadro 255 contiene routes locales exclusivos para todas las interfases conocidas. Cuadros con IDSs 1 a 63 para balancear la carga y para las conexiones de Internet. Los routers agregados al cuadro principal tambin son escritos en este cuadro. Los cuadros 64 a 250 son reservados para los routers con direcciones de fuentes (Poltica-Routing) y mostrado cuando se agrega un router con fuente direccin-IP. La columna direccin de destino contiene la direccin-IP del destino del routing. Protocolo muestra quin agreg el router. Routers con el Protocolo kernel o boot son agregadas por el sistema, routers definidos por los usuarios son nombrados gpuser. La columna Tipo contiene el tipo de router, en la mayora de los casos, esto de unidifusin. Puertas de ingreso muestra la direccin-IP de la puerta de ingreso, si se hace roteo a paquetes cuando el destino no es alcanzable por el vnculo. Interfases muestran la interfase del firewall a travs de las cul salen los paquetes. Si se entra por una puerta de ingreso, debe ser accedida por la interfase a la cual se encuentra conectado.

Cada cuadro de routing puede contener reglas-routing, que son parte de la poltica-routing. Las reglas-routing no pueden ser agregadas de manera explcita, son creadas automticamente si: Un nuevo router con fuente IP ha sido agregado Una nueva conexin-Internet ha sido agregada (Balance de carga)

Claridad Perfeccin Seguridad

Introduccin

42

En la columna "Match" se escribe el criterio para redireccionar los paquetes-IP hacia otros cuadros. Si un router es editable o agregable, un icono es la segunda columna que se mostrar. Fuente (opcional): decide que solo paquetes de una determinada direccin de fuente son ruteados. Mtrico: El mtrico muestra el costo del router y es interesante en combinacin con los protocolos de routing.
NOTA ESTAS INSTALACIONES NO SE REQUIEREN NORMALMENTE Y DEBEN SER USADAS BAJO ALGUNAS CIRCUNSTANCIAS.

3.12.2 Protocolos-routing
Introduccin

Routing para protocolos de IP decide el reenvo de los paquetes IP, basados en sus direcciones de destino, en un ordenador. Los paquetes routers pueden ser paquetes externos de otro ordenador, o paquetes generados de manera local desde el mismo ordenador. La manera ms fcil es un cuadro de router de esttica existente en el ordenador, el cul decide sobre la base de la direccin de destino, las interfases de salida para los paquetes. La configuracin de un routing esttico es tpico para redes ms pequeas porque en la mayora de los casos hay slo un ordenador actuando como router. (Cap. 3.12.1 Routes de Estticas). En redes ms grandes es ms diferente, complejo para administrar las configuraciones de rutas estticas porque cada ruta u ordenador debe ser configurado manualmente. Para tales redes con mltiples rutas, los routers han compilado protocolos diferentes para un routing dinmico. Cada uno de estos protocolos hace posible que los routers se comuniquen entre s y publiquen diferencias en la topologa de la red. El administrador de la red no tiene que configurar cada aparato, porque la diferencia en la configuracin se informa de manera autnoma. El routing dinmico hace posible, reaccionar en caso de ciertos eventos con un cambio de configuracin. Cuando el enlace la Red troncal de un router se irrumple, el router puede informar a los otros router para buscar un router diferente hacia el destino de acuerdo a los protocolos de routing. "Informacin-Routing " es un router asignado por protocolos de routing.

Claridad Perfeccin Seguridad

Introduccin

43

Claves de Autenticacin (son para RIP y OSPF)

Aqu se pueden crear claves para la Autenticacin-Digestiva-de Mensajes con OSPF y RIP. Las claves pueden ser editadas con un nombre, por ser encontradas fcilmente en los dialogos.
ATENCIN: EL NOMBRE TIENE ESPECIAL RELEVANCIA PARA OSPF, PORQUE EL NOMBRE ES TRANSMITIDO MIENTRAS SE AUTENTIZA Y PUEDE CORRESPONDER A LA CLAVE-ID DE OTROS ROUTERS OSPF.

Las claves se ingresan en texto y tienen una extensin mxima de 16 caracteres. Estas claves estn disponibles para autenticacin con md5

Agregando o editando claves

Claridad Perfeccin Seguridad

Introduccin

44

Listas de filtros (son para todas las secciones de distribucin de routing)

Crear nuevas listas de Filtros

Estas listas de filtros permiten filtrar la informacin de routing que fueron transferidas via RIP o OSPF. Debido a eso, slo informacin debidamente especficada puede ser reenviada o almacenada localmente.
NOTA EL FILTRO DE LA INFORMACIN DE ROUTING NO ES NORMALMENTE REQUERIDA Y SOLO DEBE SER USADA BAJO CIERTAS CIRCUNSTANCIAS.

Una lista de filtro consiste en una o ms reglas. Estas reglas permiten o rechazan el reenvo de la informacin especifcada usando diversos criterios. Cada lista de filtro recibe un nombre con el cul podr ser referido posteriormente.

Crear nuevas Reglas y agregarlas a las listas de Filtro existentes

El nombre define la lista de filtro, hacia la cul la regla debe ser agregada. Se puede elegir, si la regla debe permitir o denegar el reenvo de la informacin de routing coincidente.
Criterio:

Interfase: Es la Interfase donde se enva la informacin de salida del routing. Destino: La direccin de destino de la informacin de routing. Ruta de salida: La ruta de salida de la informacin de routing.

Claridad Perfeccin Seguridad

Introduccin

45

3.12.2.1

3.12.2.2

Instalaciones RIP

Activo activa o desactiva el soporte RIP. La Actualizacin del timer instala el intervalo (en segundos), en el cul la informacin de routing debe ser enviada a otro routers RIP en la red. Por defecto 30 segundos. Si se instala un valor alto, demora ms en cambiar la informacin de routing. Un valor menor aumenta el trfico de la red. La Validacin de tiempo de espera instala el intervalo, despus del cul los routes RIP fueron invlidados. Si no se recibe ningna Actualizacin hasta que se alcance el tiempo de espera, el router es suprimido y otros routers RIP fueron informados respecto de estas circunstancias. El intervalo de Validacin de tiempo de espera debe ser ms largo que el intervalo de actualizacin. El tiempo de espera para la Limpieza define en qu intervalo es suprimido un router invlido que fue recibido va RIP. Eventos de depuracin enciende la depuracin de eventos RIP como la recepcin de nueva informacin de routing. Paquetes de depuracin enciende la depuracin de paquetes de RIP trasmitidos y recibidos. La informacin de depuracin puede ser encontrada en el reporte.
ATENCIN! ESTA OPCIN SLO SE ACTIVA SI SE REQUIRE LA INFORMACIN PARA DEPURAR. DESACTIVE SI NO SE REQUIEREN.

Via neighbor, se puede ingresar explcitamente al router RIP, que no era accesible va la IP de multi transmisin, pero si tiene uno que no sea soporte para la IP de multi transmisin, se puede ingresar su direccin aqu.

Claridad Perfeccin Seguridad

Introduccin

46

Creacin de una lista de vecino, simple lista de IP

Lista RIP de interfase

El resumen de todas las interfases disponibles y sus actuales instalaciones.

Todas las interfases en el sistema que sean utilizables en RIP estn en la lista aqu. No es posible/necesario agregar o sumprimir interfases. Aqu se puede activar RIP en interfases que estn en redes con otros routers RIP. La columna Activar muestra si la interfase tiene el RIP activado o no. Si un interfase es usado por RIP, las actualizaciones de RIP fueron transmitidas y recibidas usando esta interfase. Si una interfase est marcada como Pasiva, solo recibe actualizaciones RIP y no las enva. Horizonte dividido se necesita para prevenir los bucles de enrutamiento en redes ms complejas. La columna Auth. type muestra si las actualizaciones de RIP fueron transmitidas/recibidas usando autenticacin y si es as, cul mtodo de autenticacin es utilizado. Auth. key muestra la clave si se usa autenticacin con texto plano. La utilizacin de la utenticacin MD5, muestra el nombre de la entrada en la lista Auth.

Claridad Perfeccin Seguridad

Introduccin

47

Las interfases disponibles solo pueden ser editadas

Activar activa el interfase para RIP.

Pasivo enciende el modo pasivo (solo cuando se recibe) y Horizonte dividido activa el lit horizon activa la funcin de "Horizonte dividido para prevenir los bucles de enrutamiento.

En el el rea de Autenticacin, se puede seleccionar el tipo de autenticacin. Si se selecciona plaintext, se debe ingresar una clave, usando el menu MD5, que ofrece claves MD5 pre definidas (ver Auth keys).
Reenvo de informacin de ruteo (distribucin del roteo)

La informacin de distribucin de ruteo son las mismas en RIP, OSPF y en la distribucin de ruta Esttica, por lo que el dilogo slo se explica una vez. Los sub items de distribucin de routing definen el objetivo del reenvo; la fuente de contexto del item distribucin de ruteo.
Existen varias posibilidades para la distribucin de ruteo:

RIP a RIP RIP a OSPF RIP a sistema local (esttica) OSPF a OSPF OSPF a RIP OSPF a sistema local (esttica) Sistema Local (esttica) a RIP y a OSPF

ATENCIN! LA DISTRIBUCIN DE RUTEO ES IMPORTANTE SLO SI SE DESEA FILTRAR EL REENVO DE LA INFORMACIN DE RUTEO! PARA HACER ESTO, SE NECESITAN LAS LISTAS DE FILTROS. SI NO SE ESPECIFICAN LAS LISTAS DE FILTRO, TODA LA INFORMACIN DE RUTEO ES REENVIADA, QUE ES HABITUALMENTE EL CASO.

Claridad Perfeccin Seguridad

Introduccin

48

Toda la distribucin de ruteo tienen la misma interfase: para este ejemplo, se muestra RIP.

Los filtros previamente creados pueden ser agregados o suprimidos en esta interfase. Se pueden editar en la barra Lista de Filtros.

Agregar nuevas listas

Este dilogo muestra todos los ingresos que fueron exhibidos en la lista.

Claridad Perfeccin Seguridad

Introduccin

49

La interface equivale a agregar un dilogo pero sin casillas ni botones de eleccin. Los detalles fueron desplegados solo para la lista seleccionada.

3.12.2.3

Instalaciones OSPF

La opcin Activo activa el soporte OSPF. El Router ID tiene que ser ingresado y debe ser nico. No se debe ingresar una direccin de IP existente o vlida.

Eventos de depuracin se activa, eventos OSPF (como la cada de un OSPF router) fueron exhibidos en el reporte sobre depuracin.

Si se activa Depuracin LSA , detalles de paquetes LSA (Link State Announcement) tambin fueron exhibidos en el reporte sobre depuracin.

Si Depuracin NSSA es activado, detalles de eventuales reas de NSSA existentes fueron exhibidas en un reporte de depuracin.

Si Paquetes de Depuracin es activado, detalles de todos los paquetes OSPF fueron exhibidos en el reporte sobre depuracin.

ATENCIN! ACTIVE ESTAS OPCIONES SOLO SI SE REQUIERE DEPURAR Y DESACTIVELOS SI EL PROBLEMA ES SOLUCIONADO.

Claridad Perfeccin Seguridad

Introduccin

50

Interfases OSPF, similar a interfases RIP

Todas las interfases en su sistema, que pueden ser usadas por OSPF, estn listadas aqu. No es posible/necesario agregar o suprimir interfases.

Pasivo indica si una interfase est en modo pasivo o no. Si est, slo recibe paquetes OSPF y no los enva Tipo Aut.muestra el modo de autenticacin. Clave Aut. Muestra la clave de modo de texto plano. Si se usa MD5, muestra el nombre de la entrada en la lista de claves Aut. Tipo de red muestra el tipo de interfase. En la mayora de los casos, debe ser una transmisin. Slo es posible editar las interfases disponibles.

Claridad Perfeccin Seguridad

Introduccin

51

Instalaciones de interfases OSPF

Barra General

Activar activa OSPF en esta interfase.

En el rea Autenticacin, se puede seleccionar el tipo de autenticacin como con RIP. La casilla Pasivo se enciende en el modo pasivo para que la informacin OSPF slo sea recibida y no transmitida.

Se pueden definir los Costos para esta interfase. Mientras ms altos los costos de ruteo, menor debe ser el uso de esta interfase. Estas instalaciones son solo importantes en redes ms complejas. Intervalos muertos define el intervalo para los tiempos de espera y los timers inactivos y tiene que tener el mismo valor en todas las rutas OSPF en la red. Prioridad define la prioridad del router OSPF. El router con la prioridad ms alta se transforma en el router Designado.

Intervalo Hello define el intervalo en el cual los paquetes de hola fueron enviados a otros routers. Esto informa a los otros routers sobre la presencia de ste.

Intervalo de retransmisin define el intervalo en que la base de datos de ruteo y los paquetes LSR (Link State Request) fueron retransmitidos si una transmisin anterior fall.

Retraso de transmisin define el retraso usado para enviar paquetes LSA para que informacin mltiple pueda ser enviada en un paquete LSA.
Barra Tipo de Red

Claridad Perfeccin Seguridad

Introduccin

52

Define el tipo de red de la interfase.

En la mayora de los casos, es siempre Transmisin. Punto-a-punto y Punto-a-punto multiple son solo usados en la configuracin de redes muy especiales. Sin-transmisin puede tener sentido si los paquetes de transmisin/multi transmisin fueron reenviados en la red conectada. En este caso, todos los router OSPF tienen que ser ingresados en la lista Vecino, porque pueden ser identificados automticamente.

Areas OSPF

Las reas OSPF son unidades locales para agrupar o separar redes.

Claridad Perfeccin Seguridad

Introduccin

53

Cada rea OSPF tiene su propio y nico ID que es representado como direccin de ID. Esta direccin de IP no debe ser existente o vlida. Un caso especial es el rea con la ID 0.0.0.0, este es el rea troncal. Cada rea tiene que estar directamente conectada a un rea troncal. Si esto no es posible, una conexin directa al rea troncal puede tambin ser establecida usando un vnculo virtual. Estas reas pueden usar autenticacin como interfases OSPF.
ATENCIN LAS INSTALACIONES DE AUTENTICACIN DE LAS INTERFACES SON MS IMPORTANTE QUE LAS INSTALACIN DE LAS REAS.

Tipos de reas existentes:

Normal NSSA Stub


Agregue o edite las reas

Barra General

ID es la ID del rea que que puede ser ingresada como direccin de IP.

Autenticacinn es igual a las instalaciones de interfases OSPF.

En Interfases Conectadas, se pueden ingresar las interfases que deben pertenecer a esta rea.

Se pueden resumir redes en Resmenes (Superredes).

Claridad Perfeccin Seguridad

Introduccin

54

Las redes exclusivas no fueron anunciadas hacia afuera, sino en el resumen. Barra Tipo Aqu se puede seleccionar el tipo de reas.

Porque Vnculos virtuales solo son permitidos en reas normales, solo pueden ser ingresadas aqu.

NSSA y Areas de Stub pueden definir Costos predeterminados que fueron asignados al predeterminado LSA. Con NSSA, tambin se puede definir el tipo de Traduccin que define la traduccin de Tipo-7 a Tipo-5 LSA. Siempre: siempre ser traducida. Candidato: el router OSPF participa en la eleccin automtica para el traductor. Nunca: no ser traducida.

Vnculo virtual

Direccin es la direccin de IP del router hacia el cual el vnculo virtual debe ser establecido (este router tambin tiene una conexin directa al rea troncal). Un vnculo virtual acta como una interfase OSPF para ofrecer la posibilidad de una conexin directa al rea troncal.

Claridad Perfeccin Seguridad

Introduccin

55

P RO X I E S 4.1 Introduccin
Un proxy es un programa, que comunica entre un cliente (una aplicacin, e.j. a buscador de web) y un servidor (e.j. un servidor de web). En el caso ms simple, un proxy simplemente reenva la fecha. No obstante, un proxy habitualmente llena varias funciones al mismo tiempo, por ejemplo caching (almacenamiento intermedio) o control de acceso. El firewall gateprotect ofrece diferentes proxies para diferentes servicios: HTTP Proxy (protege de amenazas cuando se navega por Internet) HTTPS Proxy (tambin permite escanear en la bsqueda de virus en pginas web registradas) FTP Proxy (protege de amenazas cuando se transfiere informacin va FTP) SMTP Proxy (protege de amenazas cuando se envan y reciben correos electrnicos) POP3 Proxy (protege de amenazas cuando se reciben correos) VoIP Proxy (protege de amenazas cuando se usa comunicacin oral en redes de IP)

NOTA EN CONTRASTE CON VERSIONES ANTERIORES DEL FIREWALL, LA ACTIVACION DE UN PROXY PARA UNA CONEXIN YA NO IMPLICA NAT, SI EL PROXY OPERA EN MODO TRANSPARENTE. SI DESEA USAR NAT, DEBE SER ACTIVADA DE MANERA SEPARADA.

4.2 Proxy HTTP


El servidor de firewall gateprotect usa el bien probado y extremadamente estable Squid proxy. Acta como un interfase para el Filtro de Contenido opcional y la solucin de Antivirus. El proxy puede funcionar en modo transparente o normal y ofrece una funcin ajustable de caching. El proxy HTTP es requerido para usar las estadsticas de pgina web.
ATENCIN ! EL PROXY HTTP PROXY SLO PUEDE SER USADO COMO FILTRO DE SALIDA Y NUNCA DEBE SER USADO EN UN DMZ.

Se puede acceder a las instalaciones de HTTP proxy a travs del Cliente de Administracin Opciones > Proxy > HTTP barra Proxy. Para usar el HTTP proxy, se debe seleccionar uno de los siguientes modos:

4.2.1

Modo Transparente

En modo transparente, el servidor de firewall opera automticamente todas las consultas que son hechas usando puerto 80 (HTTP) a travs de proxy. Los usuarios no tienen que hacer ninguna instalacin adicional en el buscador de la web.

4.2.2

Modo normal sin autenticacin

En modo normal sin autenticacin, el HTTP proxy del servidor de firewall tiene que estar explcitamente direccionado hacia el puerto 10080. Todos los usuarios deben entrar este puerto especial en sus instalaciones de buscadores de internet.
ATENCIN ! POR FAVOR NOTE QUE SLO LOS PAQUETES DE INFORMACIN HTTP SON RUTEADOS A TRAVS DE PROXY. SI UN PROGRAMA O UN ATACANTE INTENTA OPERAR OTROS PROTOCOLOS A TRAVS DE ESTE PUERTO, ESTOS PAQUETES SERN BLOQUEADOS Y RECHAZADOS.

Claridad Perfeccin Seguridad

Introduccin

56

4.2.3

Modo normal sin autenticacin

Este modo require autenticacin de usuario adicional. Aqu se puede escoger entre la autenticacin de usuario local de gateprotect local y la autenticacin por un servidor de radio externo.

4.2.4

Configuracin del cach

Se puede configurar el cach completo de acuerdo con sus necesidades. Se puede ajustar el tamao del cach (en MB) y los tamaos mnimos y mximos de los objetos.

4.3 Proxy HTTPS


Si el HTTPS proxy es activado en una lnea de conexin, la conexin HTTPS (inscrita) es administrada por el proxy transparente en el firewall. Esto significa que el usuario no tiene que hacer ningna instalacin proxy en su servidor web. El HTTPS proxy opera como "hombre en el medio"; esto significa que hace sus propias conexiones al buscador de la web y al servidor de la web. Operando de esta manera, puede revisar contenidos, usar bloqueo de la web, filtro de contenido y escanear en bsqueda de virus. Las instalaciones para esto fueron heredadas del HTTP proxy.

Slo pginas que han sido firmadas por un CA enlistado pueden ser visitadas a travs de proxy HTTPS. No obstante, es posible importar su propio CA. Los certificados de CA ms comunes para revisar el servidor de la red son instalados; otros pueden ser agregados (y adems suprimidos) por el administrador de firewall. El proxy HTTPS opera con certificados de servidor de red falsificados emitidos desde un CA propio en el firewall que es provisto al buscador de la red.

Este CA debiera ser importado hacia el buscador de la red. Para este objetivo, puede ser exportado o reemplazado por un CA auto-creado.

Requerimientos del buscador de la red a nuevos servidores de red sern inicialmente rechazados. Todas las nuevas solicitudes fueron presentadas en una lista desde la cual el administrador slo tiene que seleccionar la deseada.

Este requerimiento debe ser desbloqueado creando un certificado falsificado de servidor de red. El periodo de validacin de estos certificados pueden ser libremente seleccionados (predeterminacin de 365 das). Si el administrador de firewall no desea que sus usuarios se conecten a este servidor de red via HTTPS, el puede agregar el dominio del servidor de red a una lista negra.

Claridad Perfeccin Seguridad

Introduccin

57

Flujo de trabajo del Proxy HTTPS: Paso 1

El buscador llama a una pgina https://. Una pgina en blanco sera desplegada, pero un requerimiento es enviado por escrito al Cliente de Administracin.
Paso 2

El Administrador abre el dilogo Proxy en el Cliente de Administracin. a. b.


Paso 3

El autoriza la pgina. Un certificado de reemplazo es creado. El no autoriza la pgina. La pgina permanece bloqueada.

El buscador llama a la pgina https:// nuevamente. a. b. Recibe la pgina con un certificado falsificado. No puede ver la pgina y nunca se hace un requerimiento al Cliente de Administracin nuevamente.
NOTA SI SE REQUIERE UNA PGINA CUYOS CERTIFICADOS NO HAN SIDO FIRMADOS PORT UNO DE LOS CAS SUSCRITOS, EL CA DEL CERTIFICADO TIENE QUE SER IMPORTADO HACIA EL DIALOGO PROXY HTTPS POR ANTICIPADO. SI EL CERTIFICADO DE LA PGINA HTTPS ES AUTO-FIRMADA, ESTE CERTIFICADO DEBE SER IMPORTADO PREVIAMENTE HACIA EL DIALOGO PROXY HTTPS COMO UN CA.

4.4 Proxy FTP


El programa frox, de fuente abierta, acta como Proxy FTP en el servidor de firewall gateprotect. Este proxy acta como un interfase para la solucin de antivirus y como soporte activo para FTP.
ATENCIN ! EL PROXY FTP SLO DEBE SER USADO COMO FILTRO DE SALIDA Y NUNCA SER USADO EN UN DMZ.

4.5 Proxy SMTP


El pimp de Proxy SMTP Proxy ha sido desarrollado por el AG de gateprotect. Acta como una interface para la solucin de antivirus y para el filtro de correos no deseados. Es el nico proxy que que se configure en el DMZ con su propio servidor de correo.

4.6 Proxy POP3


El Proxy POP3 pimp tambin ha sido desarrollado por el AG de gateprotect. Tambin acta como una interfase para la solucin de antivirus y para el filtro de correos no deseados.
ATENCIN ! EL PROXY POP3 DEBE USARSE SLO COMO FILTRO DE SALIDA Y NUNCA EN UN DMZ.

Claridad Perfeccin Seguridad

Introduccin

58

4.7 Proxy VoIP


Con el Proxy VoIP, se puede usar el servidor de firewall gateprotect como proxy para el procolo SIP. Se encuentran las instalaciones del Proxy VolP en el Cliente de Administracin va la barra Opciones > Proxy > VoIP proxy.

4.7.1

Instalaciones Generales

El dilogo proporciona las siguientes opciones:


Opcin Descripcin

Red Interna

Aqu se puede seleccionar la red local, para el uso de llamadas telefnicas, desde la lista de redes disponibles. Aqu se selecciona la conexin de Internet que el Servidor de Firewall usa para reenviar la conexin VolP, desde la lista de redes disponibles.

Conexin de Internet

NOTA PARA PODER USAR EL PROXY VOLP, SE DEBE INGRESAR LA DIRECCIN DE IP DEL SERVIDOR DE FIREWALL GATEPROTECT CON PUERTO 5060 EN SUS APARATOS VOIP. MAYOR INFORMACIN SOBRE DOCUMENTOS DEL EQUIPO VOLP EST DISPONIBLE.

4.7.2

Proxy SIP

En este dilogo, se puede activar el proxy VolP e instalar las siguientes opciones:
Opcin Descripcin

Proxy SIP Activo

Si acepta esta casilla, el servidor de firewall acta como Proxy VolP para el protocolo SIP y puede ser direccionado en el puerto 5060. Si acepta esta casilla las informaciones en el protocolo SIP son reenviadas a un proxy SIP externo. Ingrese la direccin de IP y el puerto del proxy SIP externo proxy en el campo correspondiente.

Reenve informacin a un SIP externo

Claridad Perfeccin Seguridad

Introduccin

59

AUT ENT IC AC I N DE US U AR IO 5.1 Respaldo tcnico y preparacin

5.1.1

Objetivo de la Autenticacin de Usuario

Usando la autenticacin, las reglas de Firewall pueden ser instaladas no solo para computadores en red, sino para usuarios individuales independientes del computador.

5.1.2

Respaldo tcnico y preparaciones

La Autenticacin de Usuario ofrece la habilidad para establecer reglar para usuarios individuales y de grupos. El firewall opera un servidor de red que procesa exclusivamente el registro de usuarios que estn validados por una autenticacin de dominio. La informacin de inicio de sesin es comparada en el firewall con una base de datos de usuario local. En caso de error la autenticacin de dominio adicionalmente revisa en bsqueda de un Active Directory de Microsoft o servidor LDAP abierto usando el protocolo Kerberos. Si la autenticacin es exitosa, la direccin de IP desde donde provino la solicitud es asignada a las reglas de firewall del usuario. Usuarios inscritos en la base de datos local del firewall pueden cambiar su clave usando el servidor de la red. La clave puede contener hasta 248 caracteres. Claves ms largas son aceptadas, pero sern reducidas automticamente. Computadores especficos como servidores de terminal o servidores para objetivos administrativos son excluidos de la autenticacin de servidor. Solicitudes de inicio de sesin desde estos computadores sern bloqueadas por el servidor de red y su dominio de autenticacin. Computadores especficos como un terminal de servidor para objetivos administrativos pueden ser excludas de la autenticacin de usuario. Solicitudes de inicio de sesin desde estos computadores sern bloqueadas por el servidor de red y el dominio de autenticacin. El Proxy-HTTP puede ser cambiado a modo normal para obligar a los usuarios en un servidor de terminal que inici la sesin. En este escenario la solicitud de permiso es negociada por el Proxy-HTTP y el dominio de autenticacin. El Proxy-HTTP-Proxy puede ser enviado a modo onormal para forzar a los usuarios en un servidor termina a iniciar sesin. En este escenario la solicitud de permiso es negociada por el Proyx-HTTP y el dominio de autenticacin.

Inicio de sesin de usuarios locales

El firewall de gateprotect ofrece administracin de usuario local para empresas ms pequeassin administracin central.

En la primera barra, Lista de usuario, se puede agregar, suprimir o editar a usuarios de bases de datos locales. Se requerir ingresar un nombre de usuario y una clave.

Al marcar la casilla Cambiar clave en el prximo inicio de sesin el usuario debe cambiar la clave en el prximo inicio de sesin. El usuario sera guiado hacia la pgina de cambio de clave. El dominio de autenticacin solo acepta iniciar sesin despus que la clave haya sido exitosamente cambiada.

Claridad Perfeccin Seguridad

Introduccin

60

Servidor de autenticacin

En la seccin inferior de la barra Opcin > Autenticacin usuario > Instalaciones se pueden ajustar las instalaciones para el servidor de autenticacin. La barra de instalaciones permite configurar un servidor de Active Directory de Microsft o un servidor Open LDAP.

Para el servidor de Active Directory de Microsoft ingrese la direccin de servidor, Puerto-LDAP, nombre de usuario y clave del administrador (es til crear aqu un usuario dedicado) y el nombre del dominio (e.j. empresa.local). Para configurar una direccin de servidor de Open LDAP abierto, Puerto y adicionalmente el Usuario y Base-DN. La cuenta requiere permisos de lectura.

Instalaciones generales En las instalaciones generales se puede activar la autenticacin de usuario. Aqu se instala el modo inicio de sesin y la opcin inicio de sesin. El modo inicio de sesin se establece segn los mtodos:

Instalaciones

Descripcin

Inicio de sesin simple

Con inicio de sesin simple cada usuario puede conectarse simultneamente desde una direccin de IP. Separacin de sesiones significa que sesiones anteriores anteriores son solo desconectadas cuando un usuario se conecta desde una direccin de IP diferente. En cada sesion sin separacin de cliente en inicio de sesin simple, cada inicio de sesin siguiente sera rechazada. Las advertencias son escritas en este reporte de modo inicio de sesin.

El inicio de sesin simple con separacin de sesiones

Inicio de sesin mltiple (con advertencia en el reporte) Inicio de sesin mltiple

Sin inicio de sesin mltiple un usuario puede estar conectado simultneamente desde hasta 254 direcciones de IP diferentes. En este punto, el Puerto-HTTPS tambin puede ser instalado para el inicio de sesin de red. El puerto estndar 443 es preinstalado por HTTPS.

Puerto de red de inicio de sesin

NOTA CREEE UN "SUPERUSUARIO" LOCAL. ENTONCES SE PODR ACCEDER A DERECHOS ADMINISTRATIVOS EN EL FIREWALL EN CADA WINDOWS PC. PARA DESBLOQUEARLOS, NO ES NECESARIO DESCONECTARSE PERO SE ADQUIEREN DERECHOS SOBRE EL CLIENTE. (E.J. RDP).

Claridad Perfeccin Seguridad

Introduccin

61

Grupos de Active Directory: Si se usa un servidor de Active Directory Microsoft para autenticacin, el firewall mostrar el Grupo-AD. Se pueden usar de manera equivalente a los usuarios. El Active Directory administra los derechos de los usuarrios, entendindose que los Usuarios-AD deben ser asignados para definir Grupos-AD. Slo los Grupos-AD son configurados con el firewall.

Instalaciones avanzadas En la barra de instalaciones avanzadas los servicios Kerberos pueden ser activados y si se requieren los nombres de dominio y dominio de firewalls pueden ser ajustados. Si se usa la clave Kerberos sta puede ser importada aqu. Finalmente se cuenta con la opcin de desplegar una landing page cuando alguien que no cuenta con autorizacin intenta acceder al Internet.

5.2 Inicio de sesin


Se puede iniciar sesin por diferentes vas: Iniciar sesin usando un buscador de red Iniciar sesin usando la Autenticacin de Cliente Iniciar session usando ingreso nico

5.2.1

Inicio de sesin usando un buscador de red

Inicio de sesin usando un buscador es muy fcil. Al inicio, se debe ingresar una direccin-IP del servidor-firewall en el campo-direccin del buscador, por ejemplo: https://192.168.12.1 (en este ejemplo, se usa el 443 el puerto predefinido) Despus, es necesario ingresar nombre de usuario y clave. El inicio de sesin est completo despus de pulsar Conectar. De esta manera la posibilidad de conectarse funciona con cada buscador de red y es codificada con SSL. La ventana que fue usada para conectarse debe permanecer abierta durante toda la sesin; de lo contrario su sesin ser cerrada automticamente. Esto es necesario para seguridad cosa que el pc en que un usuario olvid desconectarse no est disponible para cualquier usuario.

5.2.2

Iniciar sesin utilizando Cliente de Autenticacin de Usuario (Cliente-UA) Despus de instalar el Cliente-UA, la direccin de IP del firewall, el nombre de usuario y la clave correspodiente deben ser ingresadas.

Si la clave debe ser almacenada para futuros inicios de sesiones, la casilla Recordar clave debe ser marcada.

Claridad Perfeccin Seguridad

Introduccin

62

5.2.3

Inicio de sesin usando Single Sign On

Single Sign On (SSO) bajo el Firewall de gateprotect significa la conexin por una sola vez de un usuario de dominio al Active Directory para la creacin simultnea de las reglas del firewall. Algunas condiciones deben ser cumplidas para implementar un Single Sign On en un ambiente de Active Directory con el Firewall gateprotect.
Estos incluyen los siguientes pasos:

Creacin de un usuario especial en el servidor de dominio (gpLogin) Creacin de una clave especial en el Servidor de Active Directory Preparacin del firewall Instalacin de la autenticacin de cliente Probar la configuracin
Creando el usuario especial de "gpLogin"

Es absolutamente necesario crear un usuario especial en el Active Directory. El nombre de principal ser asignado a este usuario poteriormente. Este principal es entonces la clave actual usada para comunicarse con el firewall. El usuario no necesita ningn permiso especial por cuanto es slo usado como Pivote para el Principal. El principal es precisamente la clave usada para comunicarse con el firewall. El usuario no necesita ningn permiso especial por cuanto se usa solo como pivote para el Principal. Slo basta crear el usuario como usuario normal de dominio en el dominio. La clave debe tener 8 caracteres para seguridad.

Crear un usuario con nombre y apellido. El nombre de inicio de sesin tiene que ser gpLogin. Es importante que el nombre de usuario sea digitado con L mayscula. Este usuario es creado como usuario de dominio normal. Es importante que la opcin Use tipos de codificaciones DES para esta cuenta sea activada.
Creando la clave principal

Una clave (principal) debe ser creada en el Servidor de Active Directory e importada hacia el Cliente gateprotect Client cosa que el computador cliente pueda conectarse automticamente al firewall despus de que se haya producido la conexin del usuario al dominio de Windows. El firewall necesita un archivo clave para esto. Se necesita el programa Windows ktpass.exe para crear el Principal y este archivo. Este programa est contenido en el Microsoft Resource Kit.

La sintaxis para crear el archivo clave es: ktpass -out key.fw -princ gpLogin/x-series@testcenter.gateprotect.test -pass hello1 crypto DES-CBC-CRC -ptype KRB5_NT_PRINCIPAL -mapuser domain\gpLogin

Claridad Perfeccin Seguridad

Introduccin

63

Explicacin de los PARAMETROS

out -> El nombre del archivo principal se establece aqu (Esto sera importado a un firewall despus) princ -> Username/HostnameoftheFirewall@CompleteDomainName pase -> Clave del usuario crypto -> Codificacin de algortmo (siempre qu DES-CBC-CRC) ptype -> El tipo Principal (siempre aqu KRB5_NT_PRINCIPAL) usuario de mapa -> Usuario al cual el Principal est asociado. En este ejemplo, los parmetros aparecen as: Usuario: gpLogin Nombre de dominio del Firewall: series-x Nombre Dominio Completo: testcenter.gateprotect.test Clave del usuario: hello1

Preparacin del Firewall

La autenticacin de Kerberos puede ser ahora activado bajo Opciones > Autenticacin de usuario > Ingreso Single Sign On y el archivo clave creado previamente puede ser importado. (Por favor ponga atencin a las salidas en el reporte si la importacin falla).

Preparacin del cliente de Windows

Hay un directorio UAClientSSO en el medio de instalacin gateprotect. Este contiene tres archivos. El primero es el UAClientSSO.exe. Dos parmetros deben ser provistos cuando se inicie el programa. El primero es esl nombre de dominio del firewall (bajo Instalaciones > Autenticacin de usuario > Single Sign On) y la segunda es la direccin de IP en el firewall.
EJEMPLO C:\PROGRAM FILES\GATEPROTECT\UACLIENTSSO.EXE X-SERIES 192.168.0.1 (PROBABLEMENTE CONSTITUYE EL ATAJO MS FCIL DE REALIZAR UTILIZANDO ESTOS PARMETROS)

El Segundo archivo es UAClientSSOSetup.exe. Este programa instala el UAClientSSO.exe as c:\Program Files\gateprotect\UAClientSSO.exe. Ambos parmetros deben tambin ser proporcionados aqu. El tercer archivo es UAClientSSO.msi. Esta es la rutina de instalacin como un archivo MSI que puede ser distribuido a los computadores de manera automtica va distribucin de software (normas de grupo). Ambos parmetros deben ser proporcionados aqu. No es posible pasar parmetros a archivo MSI.
NOTA COPIE UACLIENTSSO.EXE A RED COMPARTIDA "NETLOGON" DEL SERVIDOR DE AD Y CONFIGURE UN INICIO DE CONEXIN DE RED. EJEMPLO .INICIO ERROR! REFERENCIA DE HIPERVNCULO NO VLIDA.SERVIDOR>\NETLOGON\UACLIENTSSO.EXE <HOSTNAMEFIREWALL> <DIRECCIN IP DEL FIREWALL>

Resolviendo problemas

Si ha seguido los pasos, es momento de comprobar las instalaciones.

Claridad Perfeccin Seguridad

Introduccin

64

Inicio de sesin desde un computador de dominio. Si todo funciona bien, debiera aparecer un cono en la bandeja del sistema, que muestra la conexin. En caso de un error, revise todos los pasos de nuevo. Pruebe la autenticacin sin SSO usando la red de cliente. Inicio Start UAClientSSO.exe con los parmetros desde lalnea de comando. Reinicie el cliente Windows. Revise el reporte de firewall. Revise la diferencia horaria entre el control de dominio, el firewall y los clientes (el tiempo de Kerberos es muy crtico; es til usar ahorradores de tiempo). Si del todo no funciona: Elimine el usuario gpLogin y creelo nuevamente. Despus, cree el archivo clave de nuevo e imprtelo nuevamente.

5.3 Usuarios
Usuarios y Grupos-AD, al igual que los computadores, pueden ser asignados al escritorio como grupos de usuarios individuales. Entonces se definen las normas para estos objetos, que son asignadas a los usuarios en tanto se conectan. Si un usuario se conecta desde un computador, que en s tiene ciertas normas, el usuario est sujeto a las normas de ese computador como a sus normas personales. En los grupos de usuario en el escritorio se pueden elegir usuarios desde la lista de Firewall local o desde el Open LDAP o del servidor de autenticacin Servidor de Active Directory. Adems existe un Grupo especial de Usuarios por Predeterminacin. Ningn usuario puede ser agregado a este grupo. Compromete a todos los usuarios que puedan conectarse, excepto los que no estn en el escritorio como usuarios individuales o miembros de los grupos usuarios. Si un grupo pretederminado es instalado en el escritorio y tiene normas asignadas, cualquier usuario que se instale posteriormente en el Servidor de Active Directory es automticamente asignado al grupo usuario. Tras conectarse este nuevo usuario es entonces automticamente asignado a las normas establecidas. Esto elimina la necesidad de contar con administracin adicional para cada usuario.

5.4 Ejemplos

5.4.1

Dominio Windows

Si cuenta con un dominio Windows, puede conectar la autenticacin de usuario al Controlador de Dominio de Windows. Ingrese la informacin de su controlador de dominio en la barra de Instalaciones del casillero de dilogo Autenticacin de Servidor. En la lista de usuario se vern todos los usuarios que estn en este dominio. Entonces se pueden arrastrar los conos de usuario a la Configuracin de Escritorio y asignarles reglas. El usuario debe ahora llamar la direccin de IP del Firewall con "https" en su buscador y conectar. Si la conexin es exitosa, las normas del usuario del Firewalls son aplicadas a la direccin de IP proporcionada. Si el buscador de Window est cerrado la sesion cookie concluye y las reglas expiran.

Claridad Perfeccin Seguridad

Introduccin

65

5.4.2

Servidor terminal

Si se usa un servidor terminal, esto se debe remover de la autenticacin de usuario, por cuanto cuando un usuario est conectado, todos los usuarios adicionales recibirn los mismos derechos que recibi el primer usuario. Para remover el servidor terminal de la autenticacin de usuario proceda como sigue: Pulse dos veces en el smbolo servidor terminal en la configuracin de escritorio. Marque la casilla Excluir este objeto desde la autenticacin de usuario. Hay un Proxy HTTP no transparente para un servidor terminal. Ajuste el Proxy HTTP no transparente instalado para este objetivo bajo Instalaciones > Instalaciones Proxy.

NOTA PARA EL PROXY HTTP EL BUSCADOR DEBE TENER UNA DIRECCIN DE IP FIREWALL EN SU SUBRED Y PUERTO 10080. PARA EVITAR ERRORES DE DESCARGA, ESTA DIRECCIN DE IP DEBE SER INGRESADA EN EL BUSCADOR ECLUIR ESTA DIRECCIN DE IP DEL PROXY.

Todos los usuarios que ahora se conectan al servidor terminal recibirn primero una notificacin cuando abran el buscador pidiendo el nombre de usuario y la clave. En cuanto hayan autenticado usando una autenticacin de usuario local, el Active Directory o el openLDAPA/Krb5, pueden usar el servidor de terminal navegando en el Internet. El usuario conectado puede navegar hasta que la ltima entidad de buscador est cerrada. Cuando el buscador sea reabierto, tambin debern volver a conectarse nuevamente.. Usuarios conectados reciben su instalacin de URL y Filtro de Contenido propio y son conectados a las estadsticas individuales bajo sus nombres.

Claridad Perfeccin Seguridad

Introduccin

66

U RL F ILTRO DE CO NTE NIDO 6.1 Filtro URL


La funcin del Filtro URL del Servidor de Firewall gateprotect consiste en revisar la direccin de Internet (URL, Uniform Resource Locator que contiene nombres de servidor, pasajes y nombres de archivos) recibidos en la informacin de comunicacin HTTP para trminos permitidos y/o no permitidos de acuerdo a su clasificacin en la lista blanco y negro.
NOTA LA INFORMACIN DE COMUNICACIN HTTP DE UNA CONEXIN PUEDE SOLO SER FILTRADA ADEMAS POR LISTAS DE URL SI EL USO DE PROXY HTTP ES ACTIVADO EN EDITOR DE NORMAS PARA ESTA CONEXIN.

Si el URL de un sitio web contiene terminos que no estn en una lista negra, el acceso a este sitio sera bloqueado. Si ciertos terminos son removidos de la lista de bloqueo, stos pueden ser agregados a una lista blanca.

EJEMPLOS HTTP://WWW.SERVERNAME.COM/SEX/INDEX.HTML EL TRMINO "SEXO" EST EN LA LISTA NEGRA. EL URL ENLISTADO ES POR TANTO BLOQUEADO.
HTTP://WWW.SERVERNAME.COM/SUSSEX.HTML EL NOMBRE DEL SITIO WEB DEL CONDADO SUSSEX TAMBIN CONTIENE EL TRMINO "SEXO" Y PODR POR TANTO TAMBIN SER BLOQUEADO. PARA PREVENIR ESTO, EL TERMINO "SUSSEX" DEBE SER INGRESADO EN UNA LISTA BLANCA.

Durante la instalacin de las listas negras de Cliente de administracin distintas categoras para el filtro URL son creadas por gateprotect. Estas catgoras predefinidas y listas pueden ser suplementadas en cualquier momento va Cliente de administracin y cualquier trmino existente puede ser removido. Alternando el Filtro URL Filter encendido y apagado Activar o desactivar las categoras de Filtro URL usando las Normas de Editor:
Paso 1

Pulsar dos veces en una conexin en el Escritorio de Configuracin.


Paso 2

Marcar en la barra URL / Filtro de Contenido en el casillero de dilogo Editor de Reglas.

Paso 3

En esta barra se puede alternar las categoras encendido y apagado para el Filtro URL individual. En la columna Filtro URL para cada categora marque para agregar la categora a la lista negra o blanca.

Paso 4

Para editar las categoras individuals y listas URL, presione el botn URL / Instalaciones de Contenidos de Filtro. En el dilogo URL / Contenido de Filtro descrito ms abajo, se pueden ajustar las categoras y listas del Filtro URL de manera individual.

Claridad Perfeccin Seguridad

Introduccin

67

6.2 Filtro de Contenido


Si los sitios de red no cuentan con trminos comprobables en los URLs, un solo Filtro URL, como est descrito en el captulo anterior, es insuficiente. Por tanto, como mtodo de filtro adicional, el Servidor de Firewall gateprotect permite filtrar informacin de comunicacin HTTP usando el contenido de los sitios de red. Para este objetivo, un Filtro de Contenido es integrado al Servidor de Firewall, que est basado en tecnologas de contenidos de Commtouch. Similares a cada una de las mquinas en el Internet, Commtouch busca sitios web disponibles, los analiza y categoriza y agrupa el resultado en una base de datos.

NOTA TODAS LAS FUNCIONES DEL FILTRO DE CONTENIDO SE DESACTIVARN AUTOMTICAMENTE UNA VEZ QUE LOS 30 DAS DE PRUEBA HAYAN CADUCADO. SI DESEA CONTINUAR USANDO ESTAS FUNCIONES, SE REQUIERE LICENCIA ADICIONAL PARA EL FILTRO DE CONTENIDO. POR FAVOR CONTACTE NUESTRO DEPARTAMENTO DE VENTAS PARA MAYOR INFORMACIN SOBRE LICENCIA DE TECNOLOGA DE FILTRO DE CONTENIDO EN EL SERVIDOR DE FIREWALL GATEPROTECT.

6.2.1

Alternando el Filtro de Contenido encendido y apagado

Activar o desactivar categoras de Filtro de Contenido Content usando Reglas del Editor:
Paso 1

Pulse dos veces en una conexin sobre la Configuracin de Escritorio.


Paso 2

Pulse dos veces en la barra URL / Filtro de Contenido Filter en las Reglas del Editor.

Paso 3

En esta barra se pueden ajustar instalaciones generales para el Filtro de Contenido. Use la columna de Filtro de Contenido para activar o desactivar las opciones que corresponden a las categoras individuales.
Paso 4

Para editar las categoras existentes o las listas URL, pulse el botn URL / Instalaciones de Contenido de Filtro
(cf. Cap. 6.3 Configure URL y Filtro de Contenido).

6.3 Configure el URL y el Filtro de Contenido

6.3.1

Configuracin usando el URL / dialogo Filtro de Contenido

Se puede usar el casillero de dilogo URL / Filtro de Contenido para editar, eliminar o agregar categoras agregar o eliminar terminos en las listas blanco y negro importar y exportar listas blanco y negro

Claridad Perfeccin Seguridad

Introduccin

68

Se puede acceder a este dilogo desde Editor de Reglas como sigue:


Paso 1

Pulse en la barra URL / Filtro de Contenido en el Editor de Reglas.

Paso 2

Pulse el botn URL / Instalacin de Filtros de Contenido para configurar las categoras existentes y listas URL.

El dilogo URL / Filtro de Contenido Filter se exhibe.

Instalacin

Descripcin

Registros annimos

Marque esta casilla para no conectar nombres de usuarios conectados en la interfase de la red. Esto desactiva las estadsticas para usuarios en administracin de usuarios. No obstante, las estadsticas en niveles de IP continan. Las Categorias entregan detalles de las categoras proporcionadas por gateprotect y creadas y editadas personalmente. En cada caso, la categora consiste en una lista blanco y negro y una seleccin de grupos de contenido. La seccin de Filtro URL muestra todos los ingresos de las listas blanco y negro de cada categora seleccionada. Se pueden ingresar los trminos propios en el casillero de texto Negro y agregulos a la lista negra pulsando la tecla +. Puede ingresar sus trminos propios en el casillero de texto Blanco y agregulos a la lista blanca pulsando la tecla +.

Categoras

Filtro URL

Negro

Blanco

Claridad Perfeccin Seguridad

Introduccin

69

Instalacin

Descripcin

Filtro de Contenido

Los grupos de Filtro de Contenido estn proporcionados por Commtouch y no pueden ser modificados. Si posee un URL especfico que fue bloqueado, con este buscador se pueden rpidamente encontrar los terminos en las listas de URL, que le llevarn a un bloqueo.

Bsqueda de URL

6.3.2

Agregar URLs usando el Cliente de administracin o Estadsticas de Cliente

Se pueden crear o editar su propias listas de URL en el dialogo URL / Contenido de Filtro, o directamente desde la ventana Estadsticas de la Cliente de administracin y Estadsticas de Cliente.
Paso 1

Pulse el boton-derecho en el ingreso adecuado para hacer esto.

Paso 2

Elija desde el menu la categora a la cul la entrada debe ser asignada.

Claridad Perfeccin Seguridad

Introduccin

70

L AN- AC COU NT ING 7.1 Introduccin al LAN-Accounting


LAN-Accounting es la recoleccin de datos de clients relacionados con el uso del servicio de la red. Generalmente los datos recolectados contienen la duracin y la cantidad de utilizacin de los servicios de red. Estos datos ayudan a desarrollar sistemas para contabilizar y restringir los servicios prestados. El LAN-Accounting de gateprotect ofrece la posibilidad de controlar el tiempo y trfico dentro de la red de los usuarios. Se permite la configuracin de los perfiles en relacin al tiempo y volmen.

7.2 Configuracin del LAN-Accounting


Para acceder al dilogo LAN-Accounting eliga Opciones en el menu principal y haga clic en LAN-Accounting.

7.2.1 Crear un perfil temporal En el dilogo de configuracin del perfil de tiempo, usted puede elegir el tipo de perfil, siendo cclico o no cclico. El perfil cclico define una cuota de tiempo en un cclo peridico determinado (por ejemplo 6 horas al da). El perfil no cclico establece un marco definido de tiempo para que el usuario tenga acceso a los servicio de red.

7.2.2 Crear un perfil de volmen En el dilogo de configuracin del perfil de volmen tambin puede elegir el tipo de perfil para siendo cclico o no cclico. El perfil cclo define una cuota de volmen en un cclo peridico determinado (por ejemplo por da / semana / mes) y en el no cclico puede establecer un valor fijo. Ambos tipos de perfil ofrecen la posibilidad de diferenciar entre trfico de carga y de descarga. Despus de la configuracin, los perfiles deben ser asignados a los usuarios.

7.3 Activar el LAN-Accounting Las configuraciones de LAN-Accounting nicamente se activarn si el correspondiente estado de LAN-Accounting estn en activo. Para controlar el uso de los servicios de red con marcos de tiempo especfico por da, usted puede usar el editor de reglas.

Claridad Perfeccin Seguridad

Introduccin

71

TRAFF IC SHAPING & Q UAL IT Y OF SE RVICES (QOS) 8.1 Introduccin

8.1.1

Objetivo

El objetivo de moldear el trfico es para reservar el ancho de banda en las lines para servicios importantes o usuarios preferidos, o contrariamente, para limitar el ancho de banda a determinados usuarios, computadores o servicios. El Servidor de Firewall gateprotect ofrece dos mtodos para archivar esto; el Traffic Shaping y Quality of Services (QoS). Los dos mtodos pueden ser usados de manera individual o de manera conjunta.

NOTA EL TRAFFIC SHAPING IST SLO DISPONIBLE EN LA SERIES-X DEL SERVIDOR DE FIREWALL GATEPROTECT, LAS SERIES A- Y O-SERIES DE LOS SERVIDORES DE FIREWALL GATEPROTECT SOLO OFRECEN QUALITY OF SERVICE.

8.1.2

Respaldo tcnico

Traffic Shaping y Quality of Service son realizados usando diferentes pautas en el Linux Kernel. As, los paquetes IP son ordenados de acuerdo a ciertas reglas. Sin Traffic Shaping y Quality of Service los paquetes son simplemente transferidos en la secuencia de su arrivo y continan su proceso en la lnea (FIFO, first in first out). Con Quality of Service, el Firewall gateprotect realiza el llamado Prio-Qdisc en todas las tarjetas de red y en los tneles VPN para el trfico de redes que ingresa y egresa. Un prerrequisito de Quality of Service son las aplicaciones o aparatos, como el sistema de telfono VolP, posicin de campo TOS (Type of Service) en los paquetes de informacin de IP. El Servidor de Firewall entonces selecciona los paquetes de acuerdo al valor del campo TOS y por ende, a travs de especificaciones importantes hacia varios puntos con diferentes prioridades. Paquetes de informacin del punto con la prioridad ms alta son enviados inmediatamente. Paquetes de informacin con puntos con menor prioridad son slo enviados cuando todos los puntos con mayor prioridad estn vacos. Se puede configurar libremente con paquetes de informacin tratados con la determinada prioridad. El Servidor de Firewall gateprotect solo controla Traffic Shaping en las lneas hacia el Internet. Es un prerrequisito que los anchos de banda de las lneas en la carga y descarga estn instaladas correctamente. Si la ancho de banda est instalada muy lenta, Traffic Shaping detiene el uso ms que el ancho de banda. No obstante, si el ancho de banda est muy alto, la lnea de capacidad acta como un factor limitante y pasa por sobre Traffic Shaping antes que pueda amarrar y regular. El Traffic Shaping en el Servidor de Firewall gateprotect funciona de acuerdo con el modelo HTB model (Hierarchical Token Bucket) con hasta dos niveles jerrquicos. En el nivel superior se pueden especificar de manera separada bandas anchas mnimas o bandas anchas mximas limitadas garantizadas para cargar y descargar objetos individuales en en escritorio de la Cliente de administracin. Si no se instalan ancho de bandas mximas, que son inferior que la entera capacidad de la lnea, ancho de bandas no utilizadas por otros objetos, incluso sobre la ancho de banda mnima garantizada, que a disposicin para otros objetos que puedan ser usados. Bajo el nivel del objeto del ancho de banda asignada a un objeto puede ser pasada a diferentes servicios por el mtodo de nombre, e.j. un mnimo de ancho de banda puede ser garantizada para el servicio individual para el objeto relevante, o los servicios son limitados por un ancho de banda mxima. Estos valores deben encontrarse entre los mrgenes de trabajo del ancho de banda configurada por el objeto. Todos los anchos de banda para Traffic Shapping son especificadas en el Servidor de Firewall gateprotect en Kbit por segundo. Si Traffic Shaping y Quality of Service son usadas al mismo tiempo, ste permanence en las tarjetas de red interna en la intranet con el Prio-Qdisc. En contraste, el Quality of Service se comporta de acuerdo al modelo HTB en las

Claridad Perfeccin Seguridad

Introduccin

72

lneas de interfases a las lneas de Internet. El Servidor de Firewall define su propia clase HTB en el nivel superior de los paquetes de informacin con campos TOS establecidos de acuerdo a la configuracin instalada. Entonces, un mnimo y mximo de ancho de banda debe ser configurada para esta clase, cosa que el trfico de red con campos TOS configurados de manera diferente sea reenviado adecuadamente a su prioridad.

8.2 Instalando Traffic Shaping


Traffic Shaping est solo disponible en las Series-X y solo en el GPA 400. Se pueden configurar Traffic Shaping via Instalaciones > Traffic Shaping en la barra Reglas.

Para usar Traffic Shaping primero marque el casillero Traffic Shaping activo.

Hay una barra para cada conexin de Internet (e.j. una conxin de router) con las correspondientes instalaciones de Traffic Shaping para cada conexin. Se deber detallar primero el rango correcto de carga y descarga para la lnea en Kbit/s. Estos valores se podrn encontrar por ejemplo en la informacin de su proveedor de servicios Internet. Existe una lnea para cada item en el escritorio y se pueden ingresar instalaciones para garantizar el rango mximo de trfico de Internet para este objeto en la carga y descarga. Si se marca la casilla el objeto es includo en el Traffic Shaping. Cada lnea puede ser expandida si se pulsa en la flecha anterior a la casilla. Entonces, lneas adicionales aparecen bajo el objeto de servicios individuales permitidos para el objeto. La primera lnea en la ventana es reservada para el servicio de Firewall. Son manejadas juntas como un objeto sobre el escritorio. Si se activa Traffic Shaping para el Servicio de Firewall, entonces se pueden especificar rangos para los servicios individuales en el Firewall, para cada objeto en el escritorio. Puede ser por ejemplo un rango para la red de trfico, que es producida en el Firewall por un Proxy.

Claridad Perfeccin Seguridad

Introduccin

73

8.3 Instalaciones para Quality of Service


Dependiendo de sus Aparatos, encontrar las Instalaciones para Quality of Service via Opciones > Traffic Shaping bajo la barra QoS tab o via Opciones > Quality of Service.

Usando la tecla Agregar se pueden definir servicios nuevos, para los Quality of Service que deben ser instalados. Ingrese el nombre y valor exadecimal de los campos TOS en los campos correspondientes, con la aplicacin o aparato para el servicio. Informacin relativa a esta documentacin para su aplicacin o dispositivo, o puede consultar a su fabricante sobre este valor. Como administrador tambin puede grabar el trfico de red producido por la aplicacin y remover el paquete de informacin correspondiente. Con varios servicios ingresados, la ubicacin de servicios en la ventana corresponde a su prioridad. El servicio superior tiene la prioridad ms alta. Cambie la prioridad pulsando un servicio y usando la tecla Aumente Prioridad o Reduzca Prioridad. Para usar Quality of Service para el servicio individual, marquee la casilla Activar QoS. Como opcin adicional se puede decidir si Quality of Service tambin puede ser aplicada al Tnel PPTP. Normalmente, no se requerir esta instalacin y se puede dejar este campo desactivado.

NOTA UNA OPCIN ACTIVADA QUALITY OF SERVICE EN PPTP-TUNNELS PONE UNA CARGA SUSTANCIAL EN EL SERVIDOR DE FIREWALL. CUANDO SE ESTABLECE Y CIERRA LA CONEXIN PPTP, QUE PUEDE PROVOCAR RETRASOS EN EL ESTABLECIMIENTO DE LA CONEXIN DE INTERNET. SI SE DESEA USAR QUALITY OF SERVICE SIMULTANEAMENTE CON TRAFFIC SHAPING, EL RANGO DE INFORMACIN EN LA TECLA REGLAS DEBE SER MAYOR QUE ZERO PARA ASEGURAR LA CALIDAD DE SERVICIO PARA LA CARGA Y DESCARGA.

Claridad Perfeccin Seguridad

Introduccin

74

N I V E L DE APL I C AC IO N
La Open Source Project L7-Filter ha sido integrada a un Servidor de Firewall gateprotect como un Filtro de Nivel de Aplicacin. El Filtro Project L7 ha sido diseado como iptables adicionales e indentifica los protocolos de la siguiente red de los puestos usados: HTTP FTP POP3 SMTP DNS El Filtro de Nivel de Aplicacin analiza los protocolos antes mencionados y asegura que comandos externos crucen el Filtro. Se puede acceder a las instalaciones del Filtro de Nivel de Aplicacin can acceso de Application Level Filter a travs de Reglas del Editor.

Pulse dos veces en una conexcin en el Escritorio de Configuracin. Las Reglas de Editor comienzan.

Seleccione un servicio, para el cual desea activar o desactivar el Nivel de Aplicacin y pulse en la lista del campo Opciones Adicionales.

El siguiente dilogo Opciones Adicionales se exhibe.

Claridad Perfeccin Seguridad

Introduccin

75

1 0 CERT IF ICADOS 10.1 Introduccin


Para asegurar una conexin codificada, el firewall gateprotect usa certificados digitales como los que se encuentran descritos en el estndar X.509. Esto afecta varias secciones: IPSec y VPN-SSL, la Autenticacin de Usuario en el firewall, el proxy HTTPS asi como las conexiones desde el Command center hacia los firewalls administrados. Para administrar los certificados con este objetivo, el firewall gateprotect est equipado con una interfase de administracin. El firewall en s acta como autoridad de certificacin. Para hacer esto, se requiere del denominado certificado-CA. Para centralizar la administracin de los certificados, se sugiere crear un certificado-CA en un firewall central y usarlo para firmar cada certificado usado para la aplicacin. Esto se llama cadena de certificacin single-staged. Todos los certificados para aplicaciones deben ser firmados por el firewall central. Si se necesita un certificado para otro cortafuengo (un outpost), se debe crear una solicitud. La solicitud debe estar firmada por el firewall central. La solicitud aprobada que se cre debe ser importada por el firewall outpost para ser usada. Si sus outposts pudieran tener la habilidad de crear certificados esencialmente para objetivos locales que sean reconocidos como vlidos para su entera organizacin, se pueden usar cadenas de certificacin multi etapas. Para alcanzar dicha cadena, se requiere de un certificado Root-CA en el firewall central con el cual se firma el certificadoCA secundario. Se requiere crear solicitudes para estos certificados-CA secundarios en el firewall outpost. Tras importar los certificados-CA firmados, los firewalls outpost por si mismos pueden firmar certificados para aplicacio. Para exhibir estas conexiones de manera clara, el firewall gateprotect los exhibe un un esquema-rbol.

10.2 Certificados
Lista de certificados.

Los certificados en negrita son CA que pueden ser firmados por otros certificados. No es posible tener ms de un CA firmante y un firmante secundario CA adems de los CA para el Command Center y para el proxy HTTPS. Si se crea un CA, es automticamente el firmante. Se ver adems la solicitud para el firmante. Se ver adems la solicitud creada por el firewall. Sern automticamente eliminadas si se importa el correspondiente certificado

Claridad Perfeccin Seguridad

Introduccin

76

firmado. Bajo la lista, se encontrarn botones para crear o eliminar certificados. Ms an, un botn para firmar solicitudes, para importar/exportar, para suspender/devolver y para renovar certificados. En la barra General hacia el costado derecho, se observa informacin general del certificado seleccionado. Esta informacin puede ser buscada usando la casilla Buscar que se encuentra ms abajo. En la casilla inferior Alcance, se observa el objetivo para el cul se puede usar un certificado, y, si aplica, dnde est siendo usado en el momento. El nombre del certificado es siempre formateado de esta manera: "Nombre Comun [Nmero de Serie]".
Dilogo de Certificados - Detalles

En esta barra se encontrar ms informacin sobre el certificado seleccionado.

Dilogo para eliminacin

Esta lista muestra todos los certificados que son seleccionados o que se encuentran afectados por la accin de eliminar. Se puede seleccionar una razn. No es posible eliminar un certificado que se encuentre en uso.

Claridad Perfeccin Seguridad

Introduccin

77

Dilogo de Exportacin

Es posible exportar certificados usando el formato PEM o el PKCS12. Si se usa PEM, solo se puede exportar la clave pblica.

El nombre del archivo de exportacin debe ser entregado. Si se usa PKC12, la clave para el archivo PKCS12 y el archivo codificado con la clave privada debe ser entregada tambin. En ambos formatos toda la cadena de certificacin (clave pblica) ser exportada.

Dilogo de Importacin

Es posible importar certificados en el mismo procedimiento que se puede usar para exportar.

El formato PEM solo importa claves pblicas. No obstante, importa toda la cadena de certificacin para no tener que importar CA y certificados de manera separada. En el uso de PKCS12, se necesita la clave para decodificar el archivo. La clave principal codifica la clave privada nuevamente en el firewall.

Reanudar dilogo

El certificado seleccionado se renueva. Para esto, el firewall crea un certificado nuevo usando la misma clave privada e informacin.

Claridad Perfeccin Seguridad

Introduccin

78

10.3 Plantillas
El uso de plantillas es una forma de simplicar el proceso de creacin de certificados que utilizan la misma informacin una y otra vez. Despus que una plantilla haya sido creada, ste se puede usar para completar la informacin en cada certificado de manera automtica. Se pueden crear tantas plantillas sean requeridas y elegir una adecuada en cada ocasin. Las barras Plantillas se encuentran en el dilogo Certificados. Todas las plntillas estn listadas aqu.

Agregar/Editar una Plantilla

Claridad Perfeccin Seguridad

Introduccin

79

10.4 OCSP / CRL


En casos como la renuncia de un colaborador o la prdida de una clave privada, el certificado correspondiente debe ser bloqueado para garantizar la seguridad de la compaa. Esto ocurre en el certificado emitido por el firewall. La eliminacin del certificado en el firewall emisor siempre incluye la revocacin del certificado. Para lograr que el estatus de un certificado sea accesible para otros firewalls incluya siempre la revocacin del certificado. Para que el estatus de un certificado sea accesible a otros firewalls, el firewall gateprotect implementa dos mecanismos distintos. Usando el Online Certificate Status Protocol (OCSP), el firewall remoto solicita el estatus del certificado desde el firewall emisor en el momento que el certificado es requerido. Adems, el firewall puede exponer listas revocatorias (CRLs, Certificate Revocation Lists) en intervalos predefinidos, que pueden ser descargados por los firewalls remotos. Ahora la aplicacin solo debe revisar si el CRL actual y adecuado enlist el certificado como bloqueado. VPN-SSL solo sirve de soporte para el CRL. Para usar el CRL y/o OCSP, el servicio en general debe ser activado una vez con las instalaciones necesarias (particularmente el Puerto para requerimientos en linea). Mientras se crea o renueva un CA, se debe declarar si los requerimientos CRLs y/o OCSP deben ser creados/firmados y bajo cul direccin (URL) este servicio debe ser ofrecido. Estas opciones fueron guardadas en los certificados para que las aplicaciones o firewalls remotos sepan dnde verificar el estatus de un certificado.

Instalaciones de OCSP/CRL

Claridad Perfeccin Seguridad

Introduccin

80

10.5 Reportes para certificados

Es posible recibir un correo para ser informado respecto de cundo recibir informacin, sobre cundo expirar un certificado o si ste ya ha expirado. Esto se puede configurar via Opciones > Reporte.

Claridad Perfeccin Seguridad

Introduccin

81

1 1 V I R T U AL P R I V ATE NET WO R KS ( VP N) 11.1 Introduccin


VPN Virtual Private Network

VPNs son usadas para conectar varias ubicaciones a travs de Internet con el nivel ms alto de seguridad posible. Usando conexiones codificadas significa que su equipo o el equipo externo tambin tiene acceso directo a su red corporativa. Ms an, se puede conectar con otras sucursales o casa matriz de su empresa. Con el Firewall gateprotect se pueden usar los tres protocolos ms amplios de PPT, IPSec y SSL (OpenVPN) para una conexin segura. Los siguientes tipos de conexiones se encuentran disponibles.

Conexin Cliente-a-Servidor (PPTP/IPSec/SSL)

Desde afuera se instala una conexin a la red corporativa a travs de una conexin cliente-a-servidor. La autenticacin se hace utilizando un nombre de usuario/combinacin de clave (PPTP) o con IPSec usando certificados emitidos o los llamados PSK (preshared key). Adicionalmente, con SSL (Open VPN) con certificados.
ATENCIN ! SOFTWARE DE CLIENTE POR SEPARADO (E.J. GATEPROTECT VPN-CLIENT) SE REQUIERE PARA UNA CONEXIN IPSEC CLIENTE-A-SERVIDOR.

Conexin Servidor-a-Servidor (IPSec/SSL)

Con una conexin servidor-a-servidor se conectan dos ubicaciones usando un tnel codificado a una red virtual y se puede intercambiar informacin por esta va. Las dos ubicaciones pueden tener direccines fijas de IP. Alternativamente, la conexin adems sirve de soporte para los nombres de dominio DynDNS. Tambin es posible instalar conexiones IPSec entre dos direcciones dinmicas de IP usando DynDNS.
PPTP

El protocolo PPTP fue diseado para el uso cliente-a-servidor. La seguridad del protocolo depende esencialmente de la clave seleccionada (una clave es slo considerada segura si consiste de a lo menos seis, o mejor an ocho caracteres e incluye caracteres especiales, nmeros, maysculas y minsculas. Una conexin de PPTP es muy fcil de instalar, por cuanto el Cliente ya ha sido integrado en versions recientes de Windows connection (2000/XP/VISTA/7).
IPSec

La cuenta IPSec posee un nivel de seguridad mayor que PPTP y adems cumple con requerimientos ms altos. Se necesitan dos VPNIPSec servidores adecuados para una conexin IPSec servidor-a-cliente. Para una conexin clientea-servidor, como se describe arriba, se requerir un software separado para cliente. La configuracin de la conexin se encuentra descrita en las pginas siguientes. El firewall gateprotect es capaz de crear y usar conexiones seguras usando el protocol IPSec. Este est basado en en el modo de tunel ESP. El intercambio clave puede ser alcanzado usando la version 1 del protocolo IKE o usando el reciente IKEv2, selectivamente usando Claves Precompartidas o usando X.509 certificados sumisos. Usando IKEv1, es posible autenticar usando XAUTH. El servidor de firewall es adems capaz de alimentar el IPSec-secured L2TP.
SSL (OpenVPN)

Este tipo VPN ofrece una oportunidad rpida y segura para caputrar un Roadwarrior. La mayor ventaja de SSL (OpenVPN) es el hecho que toda la informacin de trfico opera a travs de los puertos TCP o UDP y no se requiere de protocolos especiales como con PPTP o IPSec.

Claridad Perfeccin Seguridad

Introduccin

82

11.2 Conexiones PPTP


Es posible crear una conexin PPTP-VPN usando el Asistente VPN (VPN Settings > VPN Asistente). Porque esto es auto-explicativo, este manual solo describe la conexin de manual de creacin de un PPTP.

11.2.1 Instalacin de conexin manual de PPTP Cliente-a-Servidor


Crear una conexin PPTP

Se requiere un cliente PPTP para poder usar una conexin PPTP (en Windows 2000/XP/VISTA/7 a PPTP el cliente ya est integrado). Para instalar una conexin PPTP, seleccione PPTP... desde el men VPN Settings. El siguiente dilogo aparece:

Marque la casilla Activo. Normalmente no se requiere ajustar las direcciones de Cliente IP esto adems aplica al Gateway. Si desea una resolucin de nombre de su dominio Active Directory, debe ingresar aqu el servidor DNS (normalmente su servidor AD). Si est trabajando con WINS, se puede adems ingresar aqu el servidor. Ahora se puede confirmar este dialgo con OK.

Crear usuarios PPTP

Este Firewall est preparado para aceptar el tunel PPTP y para producir las correspondientes reglas. En el prximo paso se crearn cuentas de usuario PPTP para ser discadas por PPTP. Abra la administracin de usuario. Pulse en Administracin de Usuario en el menu de Instalaciones. Pulse en Agregar para crear un nuevo usuario. Ingrese un nombre de usuario y opcionalmente una descripcin. Asegrse que no hayan espacios en blanco en el nombre de usuario. Seleccion la barra PPTP. Marque la casilla Habilite al usuario para conexiones PPTP en la barra PPTP Asigne al usuario un Direccin IP, o deje el campo en blanco para que una direccin de IP del pool de direcciones pueda ser usada. Ingrese la clave para conectarse a PPTP y pulse OK.

La instalacin de la cuenta de usuario ha sido completada.

Claridad Perfeccin Seguridad

Introduccin

83

Crear un objeto VPN (PPTP) Arrastre un nuevo computador VPN Desde la barra de herramientas a la Configuracin de Escritorio. Ingrese una descriipcin del nuevo objeto en el casillero de dilogo. Marque el casillero PPTP y seleccione un usuario desde el casillero.

11.3 Conexiones IPSec


Es posible crear una conexin IPSec-VPn usarndo el VPN Asistente (VPN Settings > VPN Asistente). Porque esto es auto-explicatorio, este manual solo describe la creacin manual de una conexin IPSec.

11.3.1 Instalacin manual de una conexin IPSec


Conexiones IPSec / Instalaciones globales

Este dilogo muestra todas las conexiones IPSec, separadas en conexiones de servidor-a-servidor y cliente-a-cliente con informacin sobre autenticacin y estatus de la conexin.
Opciones posibles

Habilitado Permite encender y apagar completamente un IPSec. Reiniciar IPSec Reiniciar IPSec, lo que lleva al reinicio de todos los tneles.
Lista de botones con las siguientes acciones (de izquierda a derecha):

Activar/Desactivar conexiones individuales. Reinicie las conexiones individuales (los tneles sern cerrados; iniciar la configuracin si se encuentra debidamente configurada) Agregar, remover, editar y exporter desde la conexin IPSec seleccionada.

Claridad Perfeccin Seguridad

Introduccin

84

Client-to-site- General

Nombre Nombre-definido de usuario para la conexin. Instalaciones de Interfase Seleccin de la conexin interfase/Internet para ser usada por el tunel IPSec. Red Local Red Local, que es accesible a travs del tnel.

Instalaciones del cliente

L2TP activa el uso de IPSec/L2TP. De esta manera, la red local queda desactivada, porque el tnel IPSec es solo usado para paquetes de L2TP y la informacin real es enviada por el tnel hacia el nivel L2TP. Si esto es seleccionado, una confirmacin aparece activando automticamente el IKEv1, desactiva PFS e instala el Puerto y restricciones de protocolo a UDP/1701 para mantener la compatibilidad a los clientes de Windows. Sin L2TP, se puede ingresar una fuente virtual de direccin para el cliente bajo Direccin IP del computador del cliente, lo que es requerido para el uso de cliente VPN gateprotect VPN.

Servidor-a-Servidor General

Nombre, Instalacin de Interfase settings y red local de acuerdo con las instalaciones de clientea-servidor. La Direccin de destino del servidor de IPSec remoto puede ser una direccin de IP o un FQDN. Red remota describe cul red es accesible a travs del tnel. Si se active el IP dinmico, la conexin debe ser iniciada por el servidor remoto. Usando esto, la Direccin de Destino aparece en gruis y no es posible iniciar la conexin a travs de este servidor.

Claridad Perfeccin Seguridad

Introduccin

85

Las siguientes opciones son posibles mientras se establece la conexin:

El firewall local no deberia iniciar la conexin el servidor remoto crea el tnel. El firewall local debe iniciar la conexin si es requerido se instalar una trampa en el ncleo. La trampa inicia la conexin cuando un paquete debe ser enviado / ruteado lo que, de acuerdo a las instalaciones de red, debe ser enviado a travs del tnel. El firewall local debe siempre iniciar el tnel si no est en funcionamiento.

11.3.2 L2TP / XAUTH Habitualmente las conexiones cliente-a-servidor requieren software de cliente, porque pocos sistemas tienen soporte incorporado, el L2TP asegura la interoperabilidad de sistemas miscelaneous (como Windows) sin el software del cliente. Usando el L2TP, se puede crear una conexin de red. Es importante que solo el PAP puede ser usado para autenticar en el nivel PPP, que eventualmente debe ser activado en el cliente. PAP es habitualmente considerado como inseguro porque la clave es enviada en texto plano. En este caso es seguro porque la conexin PPP se establece despus que se ha creado el tnel PSec, que asegura todo el trfico PPP.
Instalaciones L2TP Global L2TP

Pool de direcciones IP

El pool de direccin IP es un rango desde el cual el cliente recibe su IP. Esto debe ser instalado para usar el L2TP.

Local server IP Direccin que es usada por el firewall como direccin de PPP para comunicarse con los clientes. Esto adems debe ser establecido para usar la direccin de servidor Opcional DNS, que es informada al cliente al iniciar la conexin. WINS es la direccin de servidor opcional que es informada al cliente durante el inicio de la conexin.

Autenticacin PSK

Va el Identificador se puede definir cules identificadores fueron usados en vez de la direccin IP. Aqu aparece la opcin para activar XAUTH (solo con IKEv1): Con XAUTH, el firewall puede ser el servidor o la parte del cliente. Si el firewall acta como servidor, no se debe instalar nada aqu. Esto aparece en la administracin de usuario. (Ver captulo 5.3 Usuarios). Actuando como cliente, se debe ingresar Nombre de Usuario y Clave para autenticar en el servidor remoto.

Claridad Perfeccin Seguridad

Introduccin

86

11.3.2.1

Reglas

Las reglas, que definen qu servicios son accesibles a travs de un tnel, son habitualmente establecidas va objetos VPN. (grupos VPN para conexiones de serivdor-a-servidor, conexiones VPN computador para cliente-a-servidor). Dos excepciones son L2TP y tnel XAUTH. Usuarios VPN y grupos VPN fueron creados para manejar estos tipos de objetos. Utilizando la fecha de usuario adicional (nombre de usuario/clave de XAUTH o conexin PAP de L2TP) se produce la validacin contra la autenticacin de usuario. Si este proceso es exitoso, las normas de configuracin de escritorio sern aplicadas a los usuarios especficos. No cobra relevancia el tnel que est usando el usuario. La conexin es posible en cada tnel que ha activado el mecanismo de autenticacin adecuado. Se puede rechazar el uso de tneles especficos a usuarios especficos con la autenticacin anterior ISAKMP.

Certificados - Autenticacin

El certificado debe ser autenticado contra el cliente remoto. Para este certificado, la clave privada debe estar disponible. Se puede elegir entre una autoridad de certificado y un certificado individual para el cliente remoto: Si se elige el CA, se requiere de su clave pblica. Ahora cada certificado (firmado por este CA) es aceptado para esta conexin. En este caso, no es necesario importar un certificado para cada cliente remoto. Se puede seleccionar un certificado como certificado. El cliente remoto debe ser propietario de la clave privada en la iniciacin de la autenticacin. Es posible seleccionar los identificadores.

Las siguientes opciones estn disponibles:

Se puede usar el Nombre Distinguido de los certificados, que es la forma inusual de conectarse con las versiones 8.1 y mayores de los firewalls gateprotect . Nombre Alternativo de Asunto es la manera usual del firewall gateprotect anterior a la version 9.0 usada para autenticar. Si se desea conectar a una de ellas, se debe usar esta opcin. Identificadores Indefinidos son posible. Se debe destacar que el identificador ingresado aqui debe ser cubierto por el Nombre Distinguido o un Nombre Alternativo de Asunto de los certificados cosa que un tnel sea posible, puede ser til por varias razones editarles manualmente. Adems de la posibilidad de ingresar valores, que son esperados por productor de terceras partes como pares, se pueden usar wildcards. Por ejemplo, se puede elegir una autenticacin CA pero limitar el par por un identificador remoto a todos los miembros de una OU (Organization Unit).

Claridad Perfeccin Seguridad

Introduccin

87

Codificacin

Se puede elegir entre IKEv1 (Internet Key Exchange) y su sucesor IKEv2. IKEv2 es ms rpido mientras se inicia el tnel y se redigita. Se mantiene IKEv1por razones de compatibilidad; XAUTH solo es posible con esta versin. Se puede especificar codificacin y algoritmos de autenticacin como tambin grupos DH groups para IKE.

Adems, se puede especificar la Vida til del ISAKMP-SA. Esto no afecta directamente la redigitacin. Para prevenir todos los tneles de la redigitacin al mismo tiempo (lo que provocara una grave recarga de sistema), el momento actual es escogido al azar.

Si se escoge IKEv2, Mobile IKE puede ser activado. Esto permite cambiar la direccin IP de un costado sin abortar el tnel. Se pueden especificar tambin los algortmos codificacin y autenticacin para modo rpido (para negociacin IPSec-SA). Una Vida til para IPSec-SA tambin puede ser especificada. Respecto de ISAKMP-SA, el momento actual de la redigitacin es escogida al azar. Si se escoge IKEv1, PFS (Perfect Forward Secrecy) puede ser activado. Esta caracteristica refuerza la seguridad pero tiene que ser desactivada si el cliente remote no lo apoya (like Windows XP). El uso de IKEv2, PFS siempre se activa. Si se activa el PFS, un grupo Diffie-Helman puede ser definido por PFS via Grupo PFS. La siguiente lista muestra todas las codificaciones de soporte, algortmos de autenticacin y los grupos DH:

Algortmos codificados

Algortmos de autenticacin

Grupos DH

AES 128 AES 196 AES 256 3DES Blowfish 128 Blowfish 192 Blowfish 256

SHA 1 SHA 256 SHA 368 SHA 512 MD5

Grupo DH 1 (modp 768) Grupo DH 2 (modp 1024) Grupo DH 5 (modp 1536) Grupo DH 14 (modp 2048) Grupo DH 15 (modp 3072) Grupo DH 16 (modp 4096) Grupo DH 17 (modp 6144) Grupo DH 18 (modp 8192)

Claridad Perfeccin Seguridad

Introduccin

88

Instalaciones Avanzadas

Para especificar Puerto y Protocolo se debe usar IPSec. Esto es til si solo se desean enviar paquetes especficos a travs del tnel. Para usar L2TP, se debe seleccionar UDP y puerto 1701.

Se puede elegir uno de los Protocolos predefinidos o digitar uno de los numeros de protocolos que son definidos por IANA.

Por lo menos se puede activar Compresin de Datos que usa IPComp.

11.4 VPN sobre SSL


Es posible crear una conexin VPN sobre SSL usando el VPN Asistente (VPN Settings > VPN Asistente). Porque esto es auto-explicatorio este manual solo describe la creacin manual de un VPN sobre una conexin SSL. VPN sobre SSL ofrece la posibilidad de crear conexiones cliente-a-servidor, conexiones de servidor-a-servidor y SSL bridges. Esta conexin siempre es basada en certificacin y depende de la administracin de un certificado de trabajo. Se pueden establecer instalaciones generales para conexiones cliente-a-servidor, servidor-a-servidor con routing y conexiones de servidor-a-servidor con bridging via la barra Instalaciones.

Respecto de IPSec, el algortmos codificados puede ser elegido al igual que protocolo y puerto en los cuales el firewall escucha las conexiones entrantes.

Claridad Perfeccin Seguridad

Introduccin

89

POR FAVOR NOTE QUE SOLO EL PROTOCOLO TCP ES CONFIABLE SI TIENE MS DE UNA CONEXIN INTERNET CON BALANCEO DE CARGA.

Similar a IPSec, un VPN sobre una conexin de SSL tambin renueva la clave mientras la conexin es establecida para aumentar la seguridad. Estos intervalos son libremente configurables para cada tipo de conexin. En la seccin Routing del dilogo, se pueden especificar rutas para los dos primeros tipos de conexiones que fueron agregadas a los clientes remotes/cuadro de ruteo de firewalls. Estas rutas aplican a todas las conexiones. Tambin es posible ingresar por rutas separadas a cada conexin. La opcin Timeout define despus el tiempo ideal en que la conexin se cierra. 0 significa que nunca ser cerrada. Si el cliente usa un DNS definido y/o servidor WINS, se pueden ingresar aqu. El Nivel de registro define cun detallados deben ser los mensajes en el reporte. Tambin es posible seleccionar un certificado de dominio para conexiones VPN sobre SSL. A diferencia de IPSec, esto no es solo para una conexin; es para todo el servicio. Para crear una conexin para el Cliente VPN gateprotect VPN, se debe elegir el tipo de gateprotect VPN Client en el dialogo VPN sobre la conexin SSL.

El Nombre de la conexin es arbitraria. El certificado debe ser un certificado para el cliente que se cre con antelacin. Si no se cre uno, se puede hacer ahora usando el botn Administrador de Certificado. En el campo Redes remotas adicionales, se pueden especificar (adicionales a la ruta general) rutas para esta conexin como se ha mencionado con anteriordad. La direccin de IP del computador del cliente puede pero no necesariamente debe ser entregada. La opcin Default gateway define, si el cliente VPN debe usar el tnel como salida predeterminada o no. Si no se marca esta opcin, rutas concretas deben ser enviadas al cliente. Si la conexin tipo servidor-a-servidor es elegida, se puede especificar Redes locales adicionales que antes fueron tratadas como Redes locales remotas. Esto significa que el firewall remoto agrega rutas a estas redes. Redes, que estn disponibles va el firewall remoto, deben ser entradas en Redes Remotas.

Claridad Perfeccin Seguridad

Introduccin

90

Si la conexin es iniciada por este firewall, se deber ingresar un nombre DNS o una direccin IP en el campo Servidor VPN Forneo como tambin en el Puerto de Servidor. Intente establecer la conexin para definir la distancia a travs de la cual el firewall debe intentar conectarse con el servidor remoto. El 0 significa que el firewall lo intentar siempre.

Si se escoge el tipo de conexin Bridging, se puede asignar la conexin a un bridge existente o a uno nuevo.

11.5 VPN sobre SSL sin salida pretederminada


Usando VPN sobre SSL es posible obligar al cliente a usar el tnel VPN como salida predeterminada. Esta opcin potencia la seguridad y debiera ser usada en la mayora de los casos porque malware en el cliente ya no permite enviar informacin a travs de la conexin adicional de Internet adicional que se encuentra disponible. Si no desea usar esta opcin (e.j. para soporte de un colaborador) los siguientes pasos son requeridos: Desactive la opcin Default gateway en el Cliente de Administracin de gateprotect usando Instalaciones VPN > VPN SSL y la debida conexin. Si el Cliente VPN gateprotect ahora se conecta al firewall, rutas adicional no fueron agregadas al cuadro de ruta del cliente. Esto tambin significa que el computador del cliente no sabe el camino hacia la red de la empresa. Por tal motivo, se debe asegurar que se hayan instalado rutas va Redes remotas adicionales o en el VPN general sobre las instalaciones de SSL.

Claridad Perfeccin Seguridad

Introduccin

91

11.6 El Cliente VPN gateprotect


El Cliente VPN gateprotect ofrece un mtodo fcil y seguro para crear tneles VPN va VPN sobre SSL o IPSec. Se ha creado una conexin VPN en el servidor de firewall gateprotect usando el VPN client-to-server asistente (con VPN sobre SSL o IPSec), se debe ser capaz de guardar un archivo de configuracin VPN en su disco duro o en un aparato removible. Si se ha instalado el Cliente VPN gateprotect antes, pulsando dos veces en el archivo de configuracin automticamente se agrega la conexin al cliente. Tras requerir la clave, el tnel VPN queda establecido. Cuando se remueve el dispositivo en el archivo de configuracin, el cliente queda desconectado automticamente.

11.6.1 La creacin automatica de una conexin de VPN usando un archivo de configuracin. Durante la instalacin de una conexin de VPN en el servidor de firewall usando Asistente VPN, se puede guardar la conexin en una configuracin con clave protegida.
Paso 1

Transfiera al cliente el archivo de configuracin va correo electrnico o va un dispositivo removible.


Paso 2

Abra este archivo pulsando sobre el mismo dos veces. Esto inicia el gateprotect VPN Client asociado.
Paso 3

Ingrese la clave para el archivo de configuracin.


Paso 4

La conexin VPN se establece y la configuracin est terminada. Opcionalmente es posible importar el archivo de configuracin hacia el Cliente VPN gateprotect usando el botn Importar.

11.6.2 Creacin manual o edicin de una conexin VPN Para crear una conexin VPN manual en el Cliente VPN manual gateprotect, se necesita el certificado del cliente y la clave pblica de los servidores Certificate Authority (Root-CA). Estos archivos pueden ser creados y exportados usando el Administrador de Certificados del firewall. Por favor exporte el certificado del cliente usando el formato PKCS#12. Para crear una conexin, pulse el botn Nuevo ubicado en la ventana principal del Cliente VPN gateprotect y seleccione entre conexin SSL y conexin IPSec. Para editar una conexin existente, pulse en el botn Editar ubicado al costado del nombre de la conexin. El ingreso de esta clave abre el dilogo de las instalaciones.
POR FAVOR NOTE QUE TODAS LAS MODIFICACIONES FUERON DIRECTAMENTE GUARDADAS EN EL ARCHIVO DE CONFIGURACION (.GPCS).

Claridad Perfeccin Seguridad

Introduccin

92

11.6.2.1

Instalaciones de un VPN sobre una conexin SSL

Archivo es el .gpcs-file (gateprotect Connection Settings), donde todas las conexiones de instalacin quedan guardadas. La direccin / IP de dominio del servidor VPN debe ser ingresada en el campo direccin IP. Los algortmos Puerto, Protocolo y Codificacin deben aparearse con las instalaciones en el servidor VPN. Agregue los certificados exportados a la conexin. Se puede agregar una clave al archivo de conexin o cambiarla. Si se agrega una nueva conexin, deje en blanco el campo Clave antigua.

11.6.2.2

Instalaciones de una conexin IPSec

Barra Comun Archivo es el archivo.gpcs-file (gateprotect Instalaciones de Conexin), donde quedan guardadas todas las conexiones de instalacin. El nombre de dominio / direccin IP del servidor IPSec debe ser ingresado al campo Salida Remota. Red remota e IP local deben aparearse con la configuracin de ruteo del servidor IPSec. Las instalaciones pertenecientes a IKE (Internet Key Exchange) e IPSec tambin debe aparearse con las instalaciones del servidor IPSec. Barra de Identicacin Se puede usar un Preshared Key (PSK) para asegurar la conexin pero se recomiendo usar certificados por la existencia de algunas restricciones y mejores mtodos de autenticacin. En la seccin Certificados, se pueden agregar a la conexin los certificados exportados. Algunos clientes remotes necesitan (mayoritariamente en conjunto con la autenticacin de PSK) un Identificador local. Barra de Clave Opcionalmente, se puede agregar una clave al archivo de conexin o editarla. Si se crea una conexin nueva, deje en blanco el campo Clave antigua.

Claridad Perfeccin Seguridad

Introduccin

93

1 2 H IGH AV AIL AB IL IT Y 12.1 Functionamiento


High Availability (HA) es usado en caso de error del hardware para proveer los servicios del firewall acortando los tiempos sin la intervencin manual. La tcnica consiste de un firewall primario y otro secundario conectado a un encadenamiento de monitoreo mutuo y sincronizando las configuraciones y estatus. Si el firewall principal no funciona, el firewall secundario toma las tareas; esto se denomina falla. Si el firewall secundario falla, una advertencia aparecer impresa en el reporte del firewall principal. En el caso de una falla, el firewall secundario se transforma en el nuevo primario. El nuevo firewall primario asume toda la configuracin, incluyendo las direcciones de IP y MAC del fallido firewall. Tras su reparacin, el firewall puede ser reconctado al HA-Cluster. En este procedimiento, mecanismos especiales aseguran que el nuevo firewall integrado reciba las direcciones secundarias de IP y MAC y solo un firewall es etiquetado como primario en todas las ocasiones. Esto elmina el riesgo de un conflicto de direccin IP. Se recomienda el uso de interfaces de red, porque el monitoreo y sincronizacin causan alto trfico de informacin. Adicionalmente, se recomienda el uso de cables-cruzados porque la fecha no est codificada. Si se usa solo un vinculo dedicado para el monitoreo y sincronizacin y este falla por alguna razn, los firewalls no pueden monitorear al otro. Como resultado, ambos firewalls pensarn que el otro ha fallado. En esta situacin ambos firewalls quedarn en modo primario. Para evitar un escenario as se recomienda usar dos conexiones dedicados.

12.2 Tiempos de cada durante falla


Los tiempos de cada de las conexiones de informacin directa dependen del tipo de conexin de Internet y si stas pasan o no a travs de proxy.

La actual version cuenta con las siguientes especificaciones:

Conexiones de informacin directa via conexin de ruta son interrumpidas por un mximo de 4 segundos. Conexiones indirectas (que pasan por un proxy) son completamente desconectadas pero pueden ser reestablecidas despus de un mximo de 4 segundos. Conexiones de informacin via conexiones de discado son completamente desconectadas pero pueden ser reestablecidas despus de una mxima cantidad de 10 segundos.

12.3 Configuracin
General

Para instalar una de Alta Disponibilidad, se necesitan dos servidores de firewall gateprotect identicos con distintas direcciones IP. Es importante que tengan el mismo nmero de redes de interfases. Ambos firewalls necesitan la miisma licencia. El firewall primario y secundario necesitan tener el mismo nombre de dominio.

Claridad Perfeccin Seguridad

Introduccin

94

12.3.1 Direcciones IP de la red de interfases Como ha sido mencionado con anterioridad, se deben usar a lo menos dos (mximo cuatro) vnculos dedicados para monitoreo y sincronizacin. Los firewalls son enviados con idnticas redes de interfaces configuradas y necesitan ser configuradas. Direcciones IP en el primario y secundario deben ser diferentes. El firewall primario debe tener la primera direccin de IP de la red usada (e.j. 192.168.0.1) y la direccin IP secundaria debe ser la segunda de la red usada (e.j. 192.168.0.2). Direcciones IP de las interfases de red dedicada deben estar en la misma subred. Direcciones IP de la red de interfases de los firewalls primarios conectada a la red local debe ser identica con la direccin de salida configurada en todos los dominios.

12.3.2 Conectando los firewalls via vnculos dedicados Las interfases de red para los mismos vnculos dedicados deben ser nombradas de manera identica. Por ejemplo, si se desea usar eth3 y eth4 en el firewall primario, se les debe conectar a la misma red de interfases en el firewall secundario. Se recomienda usar cables cruzados para los vnculos dedicados.

12.3.3 Activar el High Availability Conecte al firewall primario usando el Administration Client. Abra el menu High Availability va Opciones > High Availability. Ahora marque la casilla Activa y seleccionad el rol Primario para el firewall. Seleccione la red de interfaces para monitoreo y sincronizacin. Se puede definir si las estadsticas deben ser sincronizadas o no. Confirme sus actualizaciones con OK. Ahora, conecte el firewall secundario y configrelo de manera similar que el firewall primario. Despus de unos 60 segundos que ambos firewalls han sido configurados, High Availability se encuentra en modo operativo.

NOTA SI LOS FIREWALLS ESTN EN MODO OPERATIVO, UN MENSAJE APARECE EN EL REPROTE. SI LOS FIREWALLS ALCANZAN ESTE MODO, SE RECOMIENDA CREAR UN RESPALDO DEL FIREWALL PRIMARIO. SI UN FIREWALL FALLA, SE NECESITA RESPALDAR PARA QUE EL FIREWALL EN FALLA QUEDE OPERATIVO. POR FAVOR CONSIDERE QUE NO SE PUEDE CONECTAR AL FIREWALL SECUNDARIO USANDO EL CLIENTE DE ADIMINISTRACIN.

Claridad Perfeccin Seguridad

Introduccin

95

Esta ilustracin muestra el dilogo de configuracin y High Availability.

Claridad Perfeccin Seguridad

Introduccin

96

12.4 Editar las instalaciones de High Availability


Mientras los firewalls estn en modo operacional, se pueden editar las instalaciones de High Availability. Para eso, conctese al firewall primario en Cliente de Administracin. Abra el dilogo de High Availability via Opciones > High Availability. En este dilogo, se puede elegir si la informacin de estadstica debe ser sincronizada o no. Confirme su instalacin pulsando OK.
NOTA CAMBIOS EN LAS INSTALACIONES PROVOCARAN EL REINICIO DE HIGH AVAILABILITY EN AMBOS FIREWALLS.

12.5 Desactivar High Availability


En el modo operacional ya est predeterminados, conctese al firewall primario usando el Cliente de Administracin. Abra el dilogo High Availability en el menu Opciones. Ahora desactive el casillero Activo. HA automticamente se desactiva del Firewall secundario. Si el modo operacional no est predeterminado, conctese a cada uno de los firewalls usando el Cliente de Administracin y desactivando High Availability.

12.6 Cambio de roles


La sobre imposicin de la tarea de firewall primario se llama cambio de rol. Esto ocurre automticamente si el firewall primario falla. Tambin es posible cambiar roles mientras los firewalls estn en modo operacional. Para esto se debe conectar al firewall primario usando el Cliente de Administracin y abrir el dilogo High Availability. Ahora pulse el botn Cambio de Roles.
NOTA EL CAMBIO DE ROLES NO PUEDE OCURRIR ANTES QUE HIGH AVAILABILITY IS SE ENCUENTRE EN MODO OPERACIONAL. CON FAILOVER EL CAMBIO DE ROLES LLEVA A LA INTERRUPCION DE LOS SERVICIOS QUE ESTN OPERANDO..

12.7 Comisionar un firewall tras falla


Si uno de los dos firewalls falla cosa que el software de firewall no necesita ser instalado tras la reparacin, no se requiere de acciones especiales para reiniciar: El firewall automticamente determina su rol HA como asimismo su MAC y direcciones de IP. Si la falla de un firewall y su reparacin son combinadas con la reinstalacin del software de firewall, se debe instalar High Avialability en la siguiente forma: Ponga el firewall en una red separada e instale el software de firewall con el respaldo del firewall primario. Finalmente, pong el firewall devuelta en el grupo de High Availability y reincielo. El firewall entonces determina su rol HA como tambin su MAC y direcciones IP automticamente.
NOTA ANTES DE REINICIAR EL FIREWALL REPARADO EN EL GRUPO ASEGRESE QUE LAS REDES DE INTERFASES ESTN CONECTADAS AL FIREWALL PRIMARIO DE LA MISMA MANERA QUE SE ENCONTRABAN ANTES DE OCURRIR LA FALLA.

12.8 Reestablecer respaldo o Actualizacin de software


Conctese al firewall primario usando la Cliente de administracin. Abra el dilogo High Availability via el menu Opciones. Ahora desactive High Availability, esto hace que el firewall secundario est accesible via el Cliente de Administracin. Reestablezca el respaldo o aplique un software actualizado en ambos firewalls y suelte las preguntas para reinicio. Ahora reactive High Availability en ambos firewalls. Despus de alcanzar el modo operacional, ejecute dos cambios de roles: Aplique un cambio de rol en el firewall primario, ahora el firewall secundario se transforma en el nuevo firewall primario. Tras alcanzar el modo operacional de HA, ejecute el segundo cambio de rol en el nuevo firewall primario. Algunas actualizaciones requieren el reinicio de los firewalls. Si un reinicio es necesario aparece en la descripcin en el menu de actualizacin.
NOTA ESTE DOBLE CAMBIO DE ROL ASEGURA QUE EL RESPALDO O SOFTWARE DE ACTUALIZACIONES HAYAN SIDO APLICADOS DE MANERA CORRECTA.

Claridad Perfeccin Seguridad

Introduccin

97

12.9 Mensajes de Reportes


El flujo de trabajo del High Availability se documenta en un reporte. Normalmente, mensajes consecutivos como los que se indican aparecen en el reporte tras activar HA: High availability se ha iniciado, this firewall is primary High availability started, this firewall is secondary High availability entered discovery state High availability entered handshake state High availability entered heartbeat state High availability is operational

Los siguientes mensajes pueden aparecer en el reporte tras activar HA si ocurre un error:

High availability started, this firewall is primary High availability started, this firewall is secondary High availability entered discovery state High availability terminates, because roles primary/secondary set incorrectly High availability terminates, because dedicated links configured incorrectly High availability terminates, because not all heartbeat connections could be established
Los siguientes mensajes pueden aparecer en modo operacional:

High availability detected dedicated link eth3 has failed High availability detected dedicated link eth3 is operational again High availability detected all dedicated links have failed High availability detected primary firewall failed, making failover High availability detected secondary firewall failed, restarting with old settings High availability detected harddisk failure on peer firewall

Los siguientes mensajes aparecer, si un administrador edita las instalaciones en su dilogo High Availability:

High availability is not ready to change settings, try again later High availability restarts with new settings High availability temporarily unable to change roles, try again later High availability reboots this firewall to change roles, as ordered by admin High availability terminates, as ordered by admin

Claridad Perfeccin Seguridad

Introduccin

98

1 3 INTRUSIO N DETECT ION AND PREVENT ION SYSTEM (IDS /IPS)


The Intrusion Detection System (IDS) y el Intrusion Prevention System (IPS) son sistemas para reconocer y prevenir ataques. Estn basados en la Fuente abierta de anlisis Intrusion-Detection-System Snort y monitorea la informacin de comunicacin con Internet en ambas direcciones usando reglas de grupos predefinidas, que pueden reconocer ataques tpicos.

Cada uno de los grupos contiene varias reglas individuales (firmas), que corresponden a patrones de ataques tpicos, e.j. un trojan, worm u otro ataque. Estas firmas son constantemente cambiadas y deben ser actualizadas manualmente o automticamente en Intenet.

Para poder realizar el anlisis de los patrones de ataque en el perodo de tiempo ms breve y sin demoras, el sistema requiere varias ejecuciones y existe mucha demanda de recarga en los recursos del sistema. Se pueden guardar los recursos del sistema a travs del nmero de reglas y el nmero de sistemas computacionales que deben ser monitoreados y, si es necesario la cantidad de reportes o notificaciones de IDS/IPS.

13.1 Configuracin de Perfiles IDS/IPS


Se puede alcanzar el casillero de dilogo de configuracin de IDS/IPS seleccionando IDS/IPS desde el menu de Seguridad principal. Para configurar el IDS/IPS el Firewall gateprotect usa perfiles. Cada perfil puede ser ajustado y asignado a una red de interfase. Las reglas de un perfil pueden ser ajustadas a distintos estados. El IPS ofrece 5 estados diferentes, DISABLE, LOG, DROP, DROP_LOG y REJECT para configurar reglas individualmente, el IDS tiene dos estados diferentes, LOG y DISABLE. Los estados definen cmo se define el trfico que se apareja con las reglas. La configuracin IDS tambin contiene un deslizante que puede ser usado para disminuir y aumentar fcilmente la cantidad de reglas.

Port Scanning

Aqui se pueden desactivar el puerto de de IDS para aumentar la actividad del firewall.

Claridad Perfeccin Seguridad

Introduccin

99

13.2 Configuracin de Red IDS/IPS Interna/Externa


El IDS/IPS solo produce reportes de alarma si se registran ataques en las direcciones de IP de un grupo determinado de computadores. Un grupo de computadores puede estar compuesto de computadores individuales o redes completas que estn ubicadas en el rea protegida de la red.

Se pueden agregar o eliminar redes de computadores individuales o locales de la red interna a un grupo de computadores, o editar los grupos de computadores usando este casillero de dilogo. El botn Agregar abre un dilogo de entrada.

Se puede usar esto para agregar una direccin de IP de un computador o subred con una mascara de subred asociada a la lista.

13.3 Configuracin de Restricciones IDS/IPS


El Intrusion Detection System debe monitorear sistemas de computacin especiales o redes, e.j. un servidor de red, un servidor de correo o un DMZ en particular. Se pueden ingresar los servicios y direcciones IP para este tipo de sistema computacional o red en la ventana de configuracin marcada Restricciones.

Direcciones Seleccionadas

Use los botones Agregar, Eliminar y Editar para administrar los servicios, los que solo deben ser monitoreados para algunos computadores. Pulsando el boton Agregar se abre el casillero de dilogo Direccin y se puede ingresar el servicio, la direccin y la mascara de subred de una nueva entrada.

Instalaciones extendidas y servicios

Si un servicio no funciona en el puerto estandar del sistema IDS/IPS se pueden aplicar las reglas a los puertos prededeterminados.

Claridad Perfeccin Seguridad

Introduccin

100

13.4 Activacin del Intrusion Detection and Prevention System


Se puede acceder al casillero de dilogo de configuracin de IDS/IPS seleccionando IDS/IPS desde el menu principal Seguridad. Para activar un perfil seleccionado asgnelo a una interfase.

13.5 Las reglas IDS e IPS pueden ser extendidas con reglas predeterminadas.
Estas caracterstica deben ser usadas solo por los administradores que tienen un conocimiento acabado de Snort based Intrusion Detection/Prevention Systems. Las reglas Predeterminadas pueden potencialmente bloquear todo el trfico y mostrar la infraestructura de la red como inusable.

13.6 Actualizacin de patrones IDS/IPS


Como los mtodos de ataque estn contnuamente cambiando, e.j. por la explotacin de nuevos espacios de seguridad, las firmas de Intrusion Detection System and Prevention System debe ser reglarmente actualizadas para reconocer semejantes ataques. Las instalaciones para estas actualizaciones estn disponibles en la configurecin de dilogo IDS/IPS en la ventana Actualizaciones. Al cambiar el paso de actualizacin a http://ipsupdate.gateprotect.com/full es posible alternar desde las reglas bsicas hacia la totalidad de reglas.
RECOMENDADO SOLO PARA EXPERTOS

Claridad Perfeccin Seguridad

Introduccin

101

Actualizaciones manuales

Pulse el boton Actualizaciones manuales para actualizar inmediatamente las firmas de IDS/IPS. El Servidor de Firewall se conecta a un servidor de firmas en Internet y carga desde ahi las firmas recientes.

Actualizaciones automticas

Se puede especificar una lista de actualizaciones regulares en la seccin Actualizaciones Automticas. Abra el casillero de dilogo Instalaciones de Actualizaciones usando el boton Agregar. Desde ah se pueden fijar la hora, fecha e intervalos de actualizaciones automticas.

Claridad Perfeccin Seguridad

Introduccin

102

1 4 REPORT E 14.1 General


Se pueden enviar correos a si mismos con extractos del archivo usando Instalaciones > Reporting Settings.

Primero ingrese una cuenta de correo vlida en un servidor SMTP, al cual los correos de reporte pueden ser enviados.

Se puede enviar un correo de prueba con el boton Carta. Esto prueba si las instalaciones se han hecho todas de manera correcta. No obstante, con este objetivo, por lo menos una tarea de reporte debe ser instalada.

Cree cuntas tareas de reporte sean necesarias pulsando el boton Agregar.

Carcterstica de Reportes

Adicionalmente a las instalaciones generales sobre destinatario y contenido, es posible seleccionar diferentes intervalos y niveles de reportes.

Se puede seleccionar el nivel de reporte para todas las secciones desde el Servidor de Firewall.

Errores y Advertencias & Informacin es el nivel de reporte ms comprensible.

NOTA
CORREOS PUEDEN AUMENTAR CONSIDERABLEMENTE SU VOLUMEN USANDO ESTA INSTALACIN.

14.2 Particiones
Todas las particiones en el Firewall estn registradas aqu. El Firewall monitorea el nivel de particiones individuales de manera independiente. Si una particin excede un nivel crtico, se informar via correo. Si se excede un lmite superior, el Firewall puede dejar disponible espacio del disco a travs de la compresin o eliminacin de entradas anteriores por ejemplo.

Claridad Perfeccin Seguridad

Introduccin

103

Se pueden modificar las instalaciones:

Reportes Aqu se puede ingresar el nivel en porcentaje, respecto del cual se desea recibir un reporte. Los correos de reporte son enviados a cada destinatario de la informacin del hardware. Instale los correos de reporte como se describe en el Captulo 13.1.

Liberacin de almacenamiento Ingrese el porcentaje, al cual el espacio del disco debe ser liberado. En este caso, solo informacin Antigua e insignificante ser borrada. Se recibir un correo con informacin sobre la particin de limpieza con los correos de reporte desde la categora

Hardware. Ningn espacio de almacenamiento puede ser removido para particiones con informacin de programa. No obstante, estas particiones tampoco pueden ser escritas del todo.

14.3 Exportacin de Syslog


El: Syslog es un protocolo basado en TCP/IP para la transmisin de mensajes. El firewall puede ser expandido a uno o ms servidores de Syslog. Para estos efectos ingrese el servidor Syslog en el Dilogo Syslog bajo Reportando Instalaciones. Los firewalls de registros sern entonces exportados tambin a servidores ingresados aqu.

14.4 SNMP
Desde la versin 8.0, SNMP cuenta con su MIBs propio (gateprotect) es capaz de enviar traps de SNMP. Para usar las nuevas MIBS de gateprotect se debera instalar el software SNMP y luego instalar el nuevo MIBs ubicado en: http://www.gateprotect.de/snmp/

Las instalaciones SNMP-settings estn ubicadas en Opciones > Reporte de Instalaciones > SNMP. Aqu se puede instalar la comunidad y una lista de dominios que recibirn Los traps de SNMP.

Claridad Perfeccin Seguridad

Introduccin

104

En la barra SNMP-traps se puede seleccionar cules traps sern enviadas.

DATO ENTRE UN EVENTO Y EL SNMP-TRAP PUEDE HABER HASTA 60 SEGUNDOS.

Claridad Perfeccin Seguridad

Introduccin

105

1 5 MONITOREO 15.1 Introduccin


El Monitoreo otorga informacin actualizada del hardware y del sistema.

Se puede usar la lista en el costado izquierdo para decidir cul grupo de sistema de informacin ser desplegado en el costado derecho. Se puede actualizar la informacin desplegada de una pgina usado el boton Actualizacin ubicado arriba y, si es necesario, seleccionar opciones adicionales para la evaluacin: especifique el periodo de intervalos para estadsticas programadas, seleccione componentes adicionales si estn disponibles, exhiba o esconda secciones de evaluacin de grficos, etc.

Claridad Perfeccin Seguridad

Introduccin

106

15.2 Componentes exhibidos en monitoreo


Monitoreo Descripcin

Informacin de hardware Recursos del Sistema

Provee informacin de sistema del Servidor de Firewall, los discos duros, el sistema RAID (si estn disponibles) y la red, o tarjetas de red. Provee informacin sobre la capacidad temporal de los recursos del sistema usados y disponibles. Provee informacin temporal sobre ubicacin de discos duros y capacidad. Provee informacin sobre la capacidad de la red, la capacidad de trfico alcanzado y cualquier rango de error. Muestra el porcentaje y aplicaciones temporales de los servicios configurados en el Firewall. Muestra una lista de conexiones VPN activas y usuarios activos.

Discos duros Red

Proceso

Conexciones Activas

Claridad Perfeccin Seguridad

Introduccin

107

1 6 ANT I-S PAM / F ILTRO DE CO RR EO 16.1 Filtro de correo


El filtro de correo es solo utilizable en conexin con el SMTP proxy. Con el filtro de correo se pueden filtrar correos por sus direcciones de destinatario. Si se filtran no llegan al servidor de correo real. Se puede configurar el filtro de correo en Seguridad > AntiSpam / Filtro de Correo.
Instalaciones posibles:

Activa Activa el filtro de correo. Modo Lista Blanca Correos de todas las direcciones en esta lista sern reenviados al servidor de correo. Modo Lista Negra Correos de todas las direcciones en esta lista jams sern reenviados al servidor de correo. Rechazo de Correos Correos no deseados sern rechazados con una respuesta RFC-compliant. Correos Eliminados Correos no deseados sern eliminados. El remitente asume que el correo lleg al servidor de correo.
ATENCIN ! LA INSTALACINELIMINAR CORREOS NO RFC-COMPLIANT. PUEDE ELIMINAR CORREOS IMPORTANTES.

Las direcciones de correo en la lista de filtro de correo pueden contener wildcards. * ? Para palabras completas Para caracteres individuales

Si se est conectado a un Servidor de Active Directory todas las direcciones de correo conocidas sern mostradas en la lista en el costado derecho.

16.2 Anti-Spam
Un filtro spam comercial est integrado en el firewall gateprotect. Esto puede opcionalmente ser activado con su licencia propia. Un periodo de prueba de 30-das est normalmente disponible para cada firewall para que se pruebe la efectividad del filtro.

El spam filter ha sido desarrollado por la compaa Commtouch y tiene una funcionalidad completamente diferente a Spamassasin por ejemplo. Si un correo llega al firewall, se genera un valor de este correo. Este valor es enviado a un servidor central Commtouch. Este servidor determina la probabilidad que tiene este correo de ser spam usando una base de datos completa y complejos algortmos. Diferente a los filtros de spam convencionales, aqu no solo se analiza el contenido de los correos si no que adems, la frecuencia de la ocurrencia de este correo en el Internet. Para este objetivo, Commtouch cuenta con programas de anlisis instalados en varios proveedores de correos en el mundo. Esta probabilidad entonces es devuelta al firewall que posiblemente que marca el correo como posible spam.
Usando el deslizador, todos los correos con la categora del deslizador y todas las categoras hacia su derecha son marcadas como spam.

Claridad Perfeccin Seguridad

Introduccin

108

Sospechoso Este correo ha ocurrido ya frecuentemente en Internet pero no tan frecuente como para clasificarlo claramente como spam (e.j. el inicio de una campaa spam). Conocido Este correo ya fue visto frecuentemente en Internet que puede ser desginado como spam. No obstante, el remitente no corresponde a una direccin de spam conocida. Confirmado Este correo proviene de una direccin conocida como enviador de correos spam.

16.3 Marcar como Spam


Se pueden marcar los correos identificados como spam. Adjunto El correo original ser adjuntado a un nuevo correo que describe el spam encontrado. El spam-subjet y el XHeader tambin son adjuntados. Asunto En este caso solo el subject del correo original ser reemplazado con el subject modificado del asunto desde el spam-tagging-dialog. Tambin son agregados los X-Headers. Encabezado Un encabezado ser agregado para detector SpamMails. Estos son los X-Header: X-Pimp-Spa m-Class: Este X-header puede tener el valor commtouch, si el spam es identificado por Commtouch. O el valor spam, si el spam es causado por una entrada de lista negra. X-Pimp-Spam-Class-Num: Este X-header describe la probabilidad del spam. Los valores pueden ser NONE, UNKNOWN, SUSPECT, BULK, CONFIRMED, BLACKLISTED.

Claridad Perfeccin Seguridad

Introduccin

109

1 7 PROTECCIN DE VIRUS 17.1 Introduccin


El Servidor de Firewall gateprotect protege su red interna de virus de computacin usando el escaner de virus integrado Kaspersky. Como uno de los ms conocidos proveedores de soluciones de proteccin de virus, Kaspersky ofrece la mejor proteccin posible de virus computacional peligroso con actualizaciones regulares del patrn de virus y motores de proteccin.

17.2 Licencia
El Antivirus Scanner del Firewall gateprotect no es un component de la licencia del firewall gateprotect. Se debe adquirir una licencia vlida separada para el escaner de virus. Nuestro departamento de ventas podr proporcionar mayor informacin Si se cuenta con un nmero de licencia vlida para el escner de virus Kaspersky, se debe registrar en el Cliente de administracin del Firewall gateprotect.
ATENCIN! DESPUS DE INSTALAR EL SERVIDOR DE FIREWALL,, EL ESCANER DE VIRUS OPERA DURANTE 45 DIAS COMO VERSIN DE PRUEBA. UNA VEZ QUE ESTE TIEMPO EXPIRE, EL ESCANER DE VIRUS PERMANECE ACTIVO, PERO NO SE EJECUTARN ACTUALIZACIONES ADICIONALES.

17.3 Instalaciones

17.3.1 Instalaciones de antivirus: General

1. En la seccin Escaner este casillero de dilogo proporciona un resumen de los protocolos de Internet que son monitoreados por el escaner de virus.

2. En la seccin Informacin de Producto se encontrar informacin sobre la validez de la licencia de Antivirus y la fecha de la ltima actualizacin.

3. El boton Ejecute actualizacin permite actualizar manualmente las definiciones de virus.

Claridad Perfeccin Seguridad

Introduccin

110

17.3.2 Escaner Se pueden ajustar las instalaciones para los protocolos relevantes en los casilleros de dilogo Escaner HTTP, Escaner FTP, Escaner POP3 y Escaner SMTP. Se pueden alternar las opciones correspondientes on/off marcando o despejando los casilleros.

Opcin

Significado

Escanear carpetas de archivos Escanear carpetas empaquetadas Escanear carpetas de auto-desempaque Escanear base de correo

Carpetas de arhivos (e.j. zip, tar, arc, rar) son abiertas por el Escaner y los componentes individuales revisados por la existencia de virus. Carpetas empaquetadas son abiertas y sus componentes individuales revisadas por la existencia de virus. Carpetas de auto-desempaque son abiertas y sus componentes individuales revisados por la existencia de virus. Base de datos de correos son revisadas y sus componentes individuales revisados por la existencia de virus. Textos simples en correos son revisados por la existencia de virus. Archivos que claramente son identificados como virus son bloqueados.

Escanear correos de texto Bloquear carpetas con virus Bloquear carpetas sospechosas Block files with warnings

Archivos que el escanner de virus no puede encontrar, abrir o analizar son bloqueados. Archivos, en que una nueva variacin de un virus puede haber sido encontrado, son bloqueados. La informacin es revisada por cdigos con caractersticas similares a un virus o puede causar otros daos. Este mtodo permite reconocimiento de sub variaciones de virus que no tienen firma propia bajo determinadas circunstancias. Especifique el tamao mximo de los archivos en las instalaciones expandidas en el escaner FTP y HTTP que son escaneadas directamente en la memoria principal o excludas del proceso de escaneo por su tamao. Define el lmite de tamao del adjunto que ser escaneado

Activar scan heuristic

Instalaciones expandidas

Tamao mximo de escaneo (POP3- & SMTP)

17.3.3 Lista blanca Se pueden ingresar dominio confiable o servidores en una lista en el casillero de dialogo Lista Blanca. Informacin transferida por HTTP o FTP desde estos dominios no es examinada por la existencia de virus. 1. Pulse en el boton Agregar para agregar un dominio a la lista blanca. El casillero de entrada para un dominio confiable se abrir. 2. Ingrese la direccin complete del dominio en el campo de ingreso y pulse OK.

Claridad Perfeccin Seguridad

Introduccin

111

17.3.4 Actualizaciones Se puede ejecutar una actualizacin manual en el casillero de dilogo Actualizaciones y editar instalaciones para actualizaciones automticas.

Opciones de actualizacin

La actualizacin del servidor puede ser administrada agregando un nuevo Servidor, limpiando o editando los existentes.

Actualizacin automtica

Ingrese la fecha, hora de la primera actualizacin y los intervalos en los cuales las actualizaciones deben ser realizadas en los correspondientes campos y pulse OK.

Claridad Perfeccin Seguridad

Introduccin

112

1 8 ACT U AL IZ AC IO NE S 18.1 Introduccin


El sistema de actualizacin gateprotect ofrece la posibilidad de mantener su firewall siempre actualizado. Hotfixes, actualizaciones de seguridad y nuevas funciones pueden ser instaladas rpido y de manera directa en el servidor de firewall. Ms aun, el sistema de actualizacin est equipado con varias funciones para informar al administrador si nuevas actualizaciones estn disponibles. El historial de actualizaciones instaladas tambin est disponible. Para prevenir la instalacin de actualizaciones denegadas o maliciosas en el firewall, todas las actualizaciones fueron firmadas digitalmente por gateprotect. Solo actualizaciones con una firma vlida fueron listadas e implementadas. Todas las otras fueron eliminadas por el sistema. Las actualizaciones pueden ser descargadas automticamente o manualmente desde el servidor de actualizaciones. En el caso que el firewall no tenga una conexin de internet, es posible instalar actualizaciones usando aparatos de almacenamiento local.

Se puede alcanzar el dialogo incluyendo las instalaciones de actualizacin de sistema via Opciones > Actualizaciones.

La primera barra en la ventana contiene una lista de actualizaciones conocidas, un campo de texto con informacin detallada de la actualizacin seleccionada, botones para descargar e instalar actualizaciones como tambin un rea de estatus.

Claridad Perfeccin Seguridad

Introduccin

113

En la segunda barra, se pueden especificar las instalaciones de las actualizaciones de descarga automatizadas, editar la lista de servidores de actualizaciones y ver el historial de actualizaciones.

18.2 Actualizaciones
Todas las actualizaciones disponibles estn listadas en este dilogo. Esta lista muestra el nombre, el tipo, la fecha de emisin y el estatus de la actualizacin. Nuevas actualizaciones fueron incluidas como tambin otras ya instaladas y que vara en su estatus. Ms an, actualizaciones instaladas no pueden ser desinstaladas una segunda vez.
El sistema de actualizacin se diferencia en cuatro tipos de actualizaciones: Tipo Descripcin

Security hotfix Recommended hotfix Hotfix

Contiene correcciones que afectan la seguridad del firewall Contiene correcciones, optimacin de actuacin y estabilidad

Eventualmente contiene nuevas funciones basadas en correccin de modulos de firewall Contiene un mejoramiento de nivel hacia la siguiente versin de firewall

Upgrade

En el costado derecho de la lista de actualizaciones, se encuentra un campo de texto con informacin detallada sobre las actualizaciones seleccionadas.

Claridad Perfeccin Seguridad

Introduccin

114

Este campo muestra la siguiente informacin: Informacin Descripcin

ID Nombre Descripcin

Un nmero nico de identificacin Breve descripcin de la actualizacin Contiene una descripcin detallada de la actualizacin

Ms an, de ser aplicable se enlistan las dependencias.

18.3 Descargue actualizaciones automticamente


El firewall puede buscar nuevas actualizaciones automticamente. Para activar esta funcin, abra el dilogo Actualizaciones, seleccion la barra Instalaciones y marque el casillero Buscar nuevas actualizaciones automticamente. Se puede especificar el Intervalo en el cual el servidor de firewall debe buscar las actualizaciones. Se puede elegir entre horario, diario o semanal. En el campo Hora de inicio, se puede digitar la fecha de la primera bsqueda. Todas las actualizaciones siguientes ocurren en la hora ingresada. Si la opcin Instale nuevas actualizaciones automticamente es activada, nuevas actualizaciones se instalaron automticamente en el servidor de firewall. La seguridad de esta funcin est limitada y se recomienda el uso de hotfixes.

18.4 Actualizaciones de descarga manuales


Para buscar actualizaciones manualmente, abra el dilogo Actualizaciones y seleccione la barra Actualizaciones. Marque el boton Bsqueda de actualizaciones. Este proceso puede demorar. Se puede observer el progreso de la bsqueda en el rea de estatus. Despus que la bsqueda haya terminado, la lista de actualizacin se actualiza.

18.5 Actualizacin de instalaciones


Para instalar actualizaciones disponibles, abra la barra de dilogo Actualizaciones y seleccione la barra Actualizaciones. Seleccione las actualizaciones que desea instalar y pulse el boton Instalar todas las actualizaciones seleccionadas.

18.6 Instalacin de actualizaciones desde el dispositivo de almacenamiento local


Para instalar una actualizacin desde el dispositivo de almacenamiento local, abra las Actualizaciones y seleccione la barra Actualizaciones. Pulse el boton Actualizar manualmente que abre el archivo. Seleccione el archivo de actualizacin que ser cargado y pulse OK. Este archivo es ahora transferido al firewall. El servidor de firewall ahora revisa la firma del archivo y muestra la actualizacin en la lista de actualizaciones desde la cual puede ser instalado. Este proceso puede demorar. Se puede observar el proceso en el rea de estatus.

18.7 Interaccin de actualizacin


El sistema de actualizacin permite que el firewall muestre informacin o interacte con el usuario mientras se instalan ciertas actualizaciones. Esta interaccin puede hacer preguntas si/no o un campo de input con una pregunta. En cuanto el firewall reciba la respuesta, la respuesta ser exhibida en un dilogo de mensaje.

Si la interaccin de un usuario es requerida, el cliente muestra esto en su rea de estatus. Para responder, pulse el boton con la pregunta Respuesta. El cliente ahora muestra un dilogo con la pregunta correspondiente que debe ser respondida. Si no se responde la pregunta, el firewall permanece standby y no instala actualizaciones adicionales.

Claridad Perfeccin Seguridad

Introduccin

115

1 9 E JEM PLOS 19.1 Introduccin


Este capitulo se refiere a varios ejemplos de problemas que ocurren en la prctica. Para simplificar las cosas, la siguiente configuracin es utilizada cada vez como punto de inicio y suplementada dependiendo del ejemplo. Toda la informacin usada es ficticia y solo pretende ser un ejemplo.

Una empresa con tres departamentos: Marketing Ventas Tecnologa Cada departamento tiene su propia red y estn fsicamente separadas una de la otra (redes de separacin). Ms aun, la empresa tiene un servidor de correo interno, el cual colecciona correos desde servidores de correo externos y los enva a los empleados internamente. La empresa tiene una ubicacin central para almacenamiento de informacin corporativa en la red: un servidor de archivos, ubicado en la misma red que el servidor de correo. Existe una conexin de discado DSL sin limites de tiempos para la conexin de internet.

Las siguientes reglas han sido configuradas usando el Cliente de administracin: Marketing

La red de Marketing (192.168.0.0/24) siempre cuenta con acceso al Internet con los servicios HTTP (pginas de internet), FTP (descarga archivos), HBCI (banco desde el hogar), SMTP (enva correos) and POP3 (recibe correos) sin limites de tiempos o bloqueo de red.
Ventas

La red de Ventas (192.168.1.0/24) puede acceder al Internet con los servicios HTTP (pginas de internet) y FTP (descarga de archivo) durante los das de la semana entre las 8am y las 8pm. Ms aun, el acceso HTTP es limitado por el bloqueo de red y la palabra "Sex".
Tecnologa

La red Tecnologa (192.168.2.0/24) permite acceder al Internet con los servicios HTTP (pginas internet), FTP (descarga archivos), POP3 (correo recibido), SMTP (correo enviado), SSH (acceso remoto codificado), PPTP (acceso remoto codificado) y PING (prueba red) sin tiempos limites o bloqueo de red.
General

Cada red interna puede acceder al servidor interno de correo (via POP3 y SMTP) y el servidor de archivo interno (via NetBIOS, KERBEROS, LDAP and MySQL). El servidor de archivo interno tiene la direccin IP 192.168.0.100 y el servidor de correo interno la direccin de IP 192.168.4.6.

Claridad Perfeccin Seguridad

Introduccin

116

19.2 Instalacin de la conexin de Internet con direccin IP fija

19.2.1 Instalacin de una linea dedicada con direccin de IP fija usando un router
Paso 1

Se ha recibido la siguiente ifnormacin de su proveedor: 216.239.37.96 / 29 or 216.239.37.96 / 255.255.255.248


Esta red est dividida en las siguientes secciones

Direccin de red: Router del proveedor (gateway): Uso propio:

216.239.37.96 216.239.37.97

216.239.37.98 216.239.37.102 (cinco direcciones) 216.239.37.103

Direcciones de transmisin:

Este es un tpico rango de direccin IP 29bit IP, como lo entregan la mayora de los proveedores de Internet Alemanes. Existen ocho direcciones de IP pero solo se pueden usar cinco como direcciones de envo. Dos de las ocho direcciones fueron usadas como lgica de red (direccin de correo y direccin de transmisin) y una direccin IP es asignada al router del fabricante. Esta es habitualmente la primera IP despus de la direccin de red.
Paso 2

Para poder establecer una conexin de red a travs del router, el firewall debe obtener una de las direcciones usables y la mascara de subred debe ser asignada por el proveedor. Primero, una tarjeta de red (usamos eth0 para este ejemplo) recibe la direccin de red 216.239.37.98 con la mascara de subred 255.255.255.248 en el menu Opciones -> Interfases

Claridad Perfeccin Seguridad

Introduccin

117

Paso 3

En el prximo paso, una conexin de router se establece usando la conexin de asistente de Internet via Opciones > Internet usando el boton Agregar.
Paso 4

Ingrese la direccin IP del router del proveedor como direccin de router (en este ejemplo 216.239.37.97).
NOTA SI LA CONEXIN DE INTERNET NO FUNCIONA EN EL PRIMER INTENTO, POR FAVOR REINICIE EL ROUTER. SI DESEA SABER COMO HACER LAS OTRAS CUATRO DIRECCIONES IP UTILIZABLES A TRAVES DEL FIREWALL, POR FAVOR LEA LA SECCION18.3.3 DMZ POR FUENTE IP.

19.2.2 Instalando una conexin DSL con direccin IP fija La instalacin de una conexin DSL con una direccin IP esttica (habitualmente desginada como SDSL, xDSL o DSLBusiness) es como instalar una conexin DSL normal.
NOTA POR FAVOR NO INSTALE LA DIRECCION DE IP FIJA A UNA DE LAS TARJETAS DE RED DEL FIREWALL. PORQUE RECIBIRA TODA LA INFORMACIN DE CONEXIN (INCLUYENDO LA DIRECCIN IP) DE SU PROVEEDOR, NO ES NECESARIO MODIFICAR LES EN EL FIREWALL. ESTO PODRIA CAUSAR PROBLEMAS CON ALGUNOS SERVICIOS.

19.2.3 18.2.3 Instalacin de un cable de conexin con direccin IP DHCP La interfase a la caual el cable modem est conectada debe ser instalada como "Asigne la direccin IP automticamente" en las instalaciones de la Interfase. Al configurar la conexin de Internet seleccione "Conexin Router " y seleccione "Asigne la direccin de router sobre DHCP".

19.3 Demilitarized zone (DMZ)

19.3.1 Puerto simple para reenvo En la mayora de los casos, el reenvo de uno o varios puertos se desea para facilitar el acceso al servidor de la red desde el Internet por ejemplo. Paso 1 Para este objetivo, un servidor es arrastrado desde la lista de herramientas hacia el escritorio de configuracin y la direccin IP del servidor es entonces ingresada en el casillero de dilogo que est abierto (en este caso 192.168.4.5) como tambin en la interfase de red hacia la cual el servidor est conectado (here eth4). Para una mayor visin general de la configuracin del escritorio el smbolo recibe un nombre claro (e.j servidor de red).
Paso 2

Ahora se crea una conexin desde el servidor hacia la nube de Internet usando la herramienta de conexin.

Esto abre el editor de Reglas. Use el boton Agregar y seleccione el servicio que debe ser reenviado al servidor (en este caso HTTP). Paso 3 En la columna Accin la flecha Inspeccin Stateful se instala desde el Internet hacia el computador y de vuelta al internet. Estas instalaciones significan que el servidor interno puede ser accedido desde el Internet pero no acceder a Internet por si mismo. Si se desea que el servidor pueda acceder a internet, por favor instale aqu una flecha doble.

Claridad Perfeccin Seguridad

Introduccin

118

Paso 4

Pulse en la ltima columna Opciones adicionales y marque el casillero Activar DMZ / reenvio de puerto para este servicio.

NOTA POR FAVOR DEJE EN BLANCO LOS CAMPOS DE ENTRADAS EN ESTA SECCION. LAS FUNCIONES DE ESTOS CAMPOS SE EXPLICA EN LOS PRXIMOS DOS CAPITULOS.

Paso 5

Una vez que el editor de Reglas es confirmado con OK y la configuracin ha sido activada usando F9, toda la informacin que va hacia su direccin IP externa en el puerto 80 es reenviada al servidor de red interna.
NOTA EL REENVO DE PURTO SLO PUEDE SER PROBADO DESDE UN ACCESO EXTERNO. NO SE PUEDE ACCEDER A LA DIRECCIN IP EXTERNA DESDE LA RED LOCAL.

19.3.2 Reenvo de puerto con rerouting de puerto El rerouting de un puerto puede ser til si se desea acceder el mismo servicio (e.j. HTTP) usando una direccin IP. Adems existen ventajas de seguridad si puertos estndares son usados para ciertos servicios (e.j. Telnet, SSH). Se puede re-enrutar un puerto para realizar esto. Este ejemplo se refiere a las instalaciones y reglas hechas en la seccin anterior.
Paso 1

Para este ejemplo, accederemos al servicio SSH (para mantencin remota usando una consola de texto) de nuestro servidor de red (en este caso 192.168.4.5) usando un puerto diferente que el estndar puerto SSH (22/tcp). Elegimos el puerto de acceso externo 10022 que debera ser reenviado a servidor de red en el puerto 22.
Paso 2

Para este objetivo, pulse dos veces en el punto de conexin entre la nube de Internet y el smbolo servidor de red. En las reglas del Editor, seleccione el servicio Definicin libre usando el boton Agregar.
Paso 3

En el casillero de dialogo que ahora aparece, ingrese un nombre para nuestro servicio. Nosotros elegimos SSH 10022. Bajo Puerto ingrese en el primer campo 10022. El segundo campo de Puerto solo se requiere si se desea definir ms de un puerto para este servicio. (Rango de puerto). Bajo Protocolo de transporte, seleccione TCP (Transmission Control Protocol).
Paso 4

En la columna Accin, la flecha Stateful inspection es instalada desde el Internet hacia el computador y devuelta al Internet. Esta instalacin significa que el servidor interno puede ser accedido a Internet pero el servidor no puede accedera Internet por si mismo.

Paso 5

En la ltima columna Opciones adicionales, marque el casillero Active DMZ / puerto de reenvo para este servicio. Porque queremos re-enrutar el puerto de inicio (10022) hacia el servidor de red en el puerto 22, ingrese 22 en el campo Puerto Objetivo. No se requiere NAT para este servicio libremente definido.

Claridad Perfeccin Seguridad

Introduccin

119

El servidor de red ahora recibe solicitudes externas en el puerto 10022 en su puerto 22 (que es reservado por SSH).

19.3.3 DMZ por fuente IP Si existe una conexin de Internet con varias direcciones IP fijas, tal vez varios servidores de correo o servidores de red estn operando detrs del firewall con diferentes direcciones IP externas. El servidor de red con la direccin IP interna 192.168.4.5 debe ser accesible con la direccin IP externa 216.239.37.99. El servidor de red con la direccin IP interna 192.168.4.6 debe ser accesible con la direccin IP externa 216.239.37.100.
Paso 1

Primero, debemos asignar la tarjeta de red externa del firewall (que est conectada al router del proveedor) con la direccin IP que ser utilizada.

Paso 2

La tarjeta de red correspondiente conectada al router es seleccionada bajo Opciones > Interfases. La direccin IP virtual es agregada bajo Direcciones IP virtuales.

El firewall gateprotect est ahora configurado para estas direcciones IP adicionales.

Paso 3

Ahora, un servidor es arrastrado desde la lista de herramientas hacia la configuracin de escritorio y la direccin interna de IP del servidor es ingresada en el casillero de dilogo abierto (en este caso 192.168.4.5) y la tarjeta de red es seleccionada. Lo mismo se hace para el servidor de correo con la direccin IP interna 192.168.4.6. Para una mayor vista general en el escritorio de configuracin, nombres claros fueron asignados a los smbolos (e.j. servidor de red y servidor de correo).

Claridad Perfeccin Seguridad

Introduccin

120

Servidor de red Paso 1

Ahora se crea una conexin desde el servidor hacia la nube de internet usando la herramienta de conexin. En el editor de Reglas, use el botn Agregar para seleccionar el servicio que debe ser reenviado al servidor. El servicio HTTP es insertado entre el servidor de red e Internet.
Paso 2

Marcando Enable DMZ / Port forwarding para este casillero de servicio en Opciones adicionales, se crea el DMZ. Es crucial que la configuracin de direccin IP de arriba tambin sea usada ahora que la direccin IP oficial del servidor de red es ingresada en el campo Source IP. Esta configuracin es activada y el servidor de red puede ser accedida bajo esta direccin IP.
ATENCIN! EL PROXY HTTP NO DEBE SER ACTIVADO EN UN HTTP-DMZ!

Alcance acceso separado al servidor de red usando el nombre internamente

Si un servidor de red ha sido instalado como en el ejemplo anterior, su acceso sigue siendo posible solo desde el uso interno de su direccin IP. No obstante, algunas aplicaciones demandan el nombre de dominio del computador, e.j. www.your-company.com.
NOTA
SE PUEDE USAR EL FIREWALL GATEPROTECT PARA EVITAR UN SERVICIO O EL CAMBIO DE NOMBRE DE LOS INGRESOS DESDE EL SERVIDOR.

Crear una conexin desde el smbolo de servidor de red hacia la LAN interno usando la herramienta de conexin. En las Reglas del editor, agregue el servicio HTTP e ingrese la fuente oficial de direccin IP en el DMZ en las opciones Adicionales.

Servidor de correo

Normalmente un servidor de correo se comporta como un HTTP-DMZ. No obstante, existen casos especiales en los que es deseable permitir que algunos servidores de correo se conecten con servidores de correo internos (llamados dominios inteligentes). Aqu el firewall gateprotect ofrece la oportunidad de crear un DMZ dedicado.
Paso 1

Para este objetivo, el servidor de correo interno es instalado como smbolo de servidor individual. Paso 2 Ahora otro smbolo de servidor es arrastrado hacia el escritorio. En la configuracin de Internet es seleccionado como tarjeta de red y la direccin IP es la externa.

ATENCIN ! AL CONECTAR AMBOS SMBOLOS, SE DEBE PULSAR PRIMERO EN EL COMPUTADOR INTERNO Y LUEGO EN EL EXTERNO.

Paso 3

El SMTP est ahora instalado como servicio y el DMZ es activado en opciones Adicionales. El servidor de direccin IP oficial es ingresado como IP Origen.

Claridad Perfeccin Seguridad

Introduccin

121

19.4 Ejemplos para autenticacin de usuario

19.4.1 Dominio Windows Si se cuenta con un dominio Windows, se puede conectar al controlador de dominio Windows. Ingrese la informacin de su controlador de dominio en la barra Instalaciones en el casillero de dilogo del servidor de Autenticacin. En la lista de usuario aparecern todos los usuarios del dominio. Entonces se pueden arrastrar los conos de usuario a la configuracin de escritorio y asignarles reglas. Los usuarios deben llamar la direccin IP del servidor de firewall con https en sus buscadores y conectar. Si la conexin es exitosa, las reglas de firewall del usuario son aplicadas a la direccin de IP entregada. Si la ventana del buscador est cerrada, la sesin de cookie termina y las reglas expiran.

19.4.2 Servidor terminal Si se usa un servidor terminal, ste debe ser removido de la autenticacin de usuario, por cuanto de lo contrario cuando un usuario se haya conectado, todos los usuarios restantes recibirn los mismos drechos asignados al primero. Para remover el servidor terminal de la autenticacin de usuario, proceda como se muestra a continuacin:
Paso 1

Pulse dos veces en el smbolo servidor terminal en la configuracin de escritorio.

Paso 2

Marque el casillero Excluya este objeto de la autenticacin de usuario. Para un servidor terminal, se recomienda HTTP-Proxy no transparente Ajuste el HTTP Proxy a no transparente para lograr este objetivo usando Opciones > Proxy.

NOTA LOS BUSCADORES DEBEN INGRESAR EL HTTP-PROXY CON LA DIRECCIN IP DEL FIREWALL EN SUS SUBREDES Y CONFIGURAR EL PUERTO 10080. PARA EVITAR PROBLEMAS DE DESCARGA, LA DIRECCIN IP DE FIREWALL DEBE SER INGRESADA EN LAS INSTALACIONES DEL BUSCADOR ASIGNADAS COMO "EXCLUDE THIS IP ADDRESS FROM PROXY".

Todos los usuarios que ahora se conecten al servidor terminal recibirn primero una notificacin cuando abran el buscador solicitando el nombre de usuario y clave de ingreso. En cuanto stas hayan sido verificadas con la autenticacin local, Active Directory or OpenLDAP/Krb5, podrn usar el servidor terminal para navegar por el internet. Los usuarios conectados pueden navegar hasta que la ltima ventana del buscador sea cerrada. Cundo el buscador sea reabierto, debern volver a conectarse. Usuarios conectados reciben sus propios URL y las instalaciones de filtro de contenido son registradas en las estadsticas individualmente bajo sus nombres o sus direcciones IP.

Claridad Perfeccin Seguridad

Introduccin

122

2 0 EST ADIST ICAS


Las estadsticas o las Estadsticas de Cliente Externo refleja y evala las funciones de las estadsticas del firewall.
NOTA 1. ]SLO SE PUEDE REGISTRAR UNA CLIENTE DE ADMINISTRACIN EN EL FIREWALL PERO UN NUMERO ILIMITADO DE CLIENTES PARA ESTADSTICAS. 2. PARA PODER CONECTARSE A ESTADSTICAS DE CLIENTE CON EL FIREWALL, SE REQUIERE DE UNA CUENTA DE USUARIO EN EL FIREWALL CON DERECHO A INICIAR EL CLIENTE Y MOSTRAR ESTADSTICAS. 3. PARA MOSTRAR LAS ESTADSTICAS PARA USUARIOS INDIVIDUALES, SE DEBE TENER EL DISPLAY RIGHTS STATISTICS BY USER. POR RAZONES TCNICAS, TAMBIN DEBE ESTAR INSTALADA LA CONFIRGURACIN RIGHTS OPEN / STORE. 4. SI SE DESEA TENER LA OPORTUNIDAD DE EXPANDIR LA LISTA DE BLOQUEO DE RED DESDE EL LA LISTA TOP DEL INTERNET HAGALO CON UN SIMPLE CLICK-DERECHO, NECESITARA EL DERECHO PARA ADMINISTRAR EL BLOQUEO DE RED.

20.1 Uso de Estadsticas de Cliente/Estadsticas

20.1.1 Barra de herramientas Se puede usar la barra de herramientas en las Estadsticas de Cliente para: Imprimir las estadsticas, Cambiar el idioma de Estadsticas de Cliente para menu y uso, Obtener informacin sobre Estadsticas de cliente, Finalizar Estadsticas de Cliente.

20.1.2 Posibilidades de filtro Se pueden filtrar los resultados exhibidos dependiendo de la informacin de estadsticas preparada en la parte superior de la ventana de estadsticas: Escritorio: red completa, usuarios o computadores Perodo: 6, 12 o 24 horas, 7 o 14 das, 1, 3 o 12 meses Perodo de auto-definicin con fecha y hora para inicio y trmino Ventana de tiempo: cualquier hora del da con inicio y fin Acceso bloqueado: ingreso o salida Use el boton Actualizar para descargar la informacin ms reciente desde el servidor de firewall.

20.1.3 Estadsticas Las estadsticas de Estadsticas de cliente tiene el mismo rango de funciones que la Cliente de administracin descrita en 3.6.

Claridad Perfeccin Seguridad