Documentos de Académico
Documentos de Profesional
Documentos de Cultura
v11 3 XTM Web UI UserGuide (Es-419)
v11 3 XTM Web UI UserGuide (Es-419)
Fireware XTM
Web UI
v11.3 Gua del Usuario
WatchGuard XTMDevices
Firebox XPeak e-Series
Firebox XCore e-Series
Firebox XEdge e-Series
Acerca de esta Gua del usuario
La Gua del usuario de la interfaz de usuario web del Fireware XTM se actualiza con cada lanzamiento de
producto importante. Para lanzamientos de productos menores, slo se actualiza el sistema de Ayuda de la
interfaz de usuario web del Fireware XTM. El sistema de Ayuda tambin incluye ejemplos de
implementacin especficos, basados en tareas que no estn disponibles en la Gua del usuario.
Para acceder a la documentacin del producto ms reciente, consulte la Ayuda de la interfaz de usuario
web del Fireware XTM en el sitio web de WatchGuard en:
http://www.watchguard.com/help/documentation/.
La informacin de esta gua est sujeta a cambios sin previo aviso. Las empresas, los nombres y los datos
utilizados en los ejemplos de este documento son ficticios, salvo indicacin en contrario. Ninguna parte de
esta gua podr reproducirse ni transmitirse en ninguna forma y por ningn medio, electrnico o mecnico,
para ningn propsito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc.
Acerca de WatchGuard
WatchGuard ofrece soluciones de seguridad de contenido y red todo
en uno a un precio accesible, las cuales ofrecen proteccin en
profundidad y ayudan a satisfacer los requisitos de cumplimiento Direccin
reglamentarios. La lnea WatchGuard XTM combina firewall, VPN,
505 Fifth Avenue South
GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red de
Suite 500
spam, virus, malware e intrusiones. La nueva lnea XCS ofrece
Seattle, WA 98104
seguridad para contenido web y correo electrnico combinada con
prevencin de prdida de datos. Las soluciones extensibles de Soporte
WatchGuard se adaptan para ofrecer seguridad en la medida justa, www.watchguard.com/support
desde pequeas empresas hasta empresas con ms de 10,000 EE.UU. y Canad +877.232.3531
empleados. WatchGuard crea dispositivos de seguridad simples, Todos los dems pases +1.206.521.3575
confiables y slidos que incluyen rpida implementacin,
Ventas
administracin integral y herramientas para la presentacin de
informes. Empresas del mundo entero confan en nuestras exclusivas EE.UU. y Canad +1.800.734.9905
cajas rojas para maximizar la seguridad sin sacrificar la eficiencia y la Todos los dems pases +1.206.613.0895
productividad.
Para obtener ms informacin, comunquese al 206.613.6600 o visite
www.watchguard.com.
ii Fireware XTMWeb UI
ndice
Introduccin a la seguridad de red 1
Acerca de firewall 6
Acerca de puertos 8
Servicio y soporte 17
LiveSecurity Service 17
Introduccin 21
Antes de empezar 21
Concluya su instalacin 32
Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema 42
iv Fireware XTMWeb UI
Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a las
configuraciones predeterminadas de fbrica 49
Reiniciar su Firebox 56
Crear una contrasea, una clave de cifrado o una clave compartida segura 64
Definir las configuraciones globales de ajuste de tamao mximo del segmento TCP 70
Consola externa 71
Actualizar el Firebox 78
Configuracin de red 79
Modos de red 79
Tipos de interfaz 80
Modo Bridge 94
vi Fireware XTMWeb UI
Acerca de la Configuraciones de interfaz 100
Acerca de 106
Autenticacin 209
x Fireware XTMWeb UI
Use la autenticacin para restringir el trfico entrante 212
Polticas 251
Cronogramas 261
Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy 280
Configure el proxy SMTP para colocar mensajes de correo electrnico en cuarentena 319
Autenticaciones 369
Conexiones 372
Diagnsticos 374
Interfaces 377
LiveSecurity 378
Memoria 379
Procesos 379
Syslog 381
Certificates 385
Use certificados autenticados para el tnel VPN Mobile con IPSec 399
Otras razones por las cuales usar una 1-to-1 NAT por una VPN 441
Ejemplo 442
Activar un dispositivo WatchGuard para enviar trfico de multidifusin a travs de un tnel 451
Active el otro dispositivo WatchGuard para recibir trfico de multidifusin a travs de un tnel
453
Configurar enrutamiento de difusin para el Firebox en el otro extremo del tnel 455
xx Fireware XTMWeb UI
Regenerar clave de tneles BOVPN 458
Autenticacin 467
Configurar polticas para permitir el trfico de Mobile VPN con PPTP 473
Configurar polticas para permitir el trfico de Mobile VPN con PPTP 474
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con PPTP 475
Configuracin de VPN de ruta predeterminada para Mobile VPN with PPTP 476
Configuracin de VPN de tnel dividido para Mobile VPN with PPTP 476
Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes de
servicio 477
Crear y conectar una Mobile VPN with PPTP para Windows Vista 478
Cree y conecte una Mobile VPN with PPTP para Windows 2000 480
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con IPSec 482
Configurar Mobile VPN with IPSec para una direccin IP dinmica 510
Instrucciones de usuario final para la instalacin del cliente VPN Mobile con IPSec de
WatchGuard 526
Los requisitos del cliente Mobile VPN WM Configurator y de IPSec de Windows Mobile 531
Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL 543
Configurar polticas para controlar el acceso de clientes de Mobile VPN con SSL 549
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con SSL 551
Se debe distribuir e instalar en forma manual el software cliente de Mobile VPN con SSL y el
archivo de configuracin 558
WebBlocker 561
Defina la accin para las sitios que no tienen coincidencias Excepciones 572
spamBlocker 577
Acerca del Gateway AntiVirus/la Intrusion Prevention y las polticas de proxy 614
Aunque las redes como Internet brindan acceso a una gran cantidad de informacin y oportunidades
comerciales, tambin pueden exponer la red a atacantes. Muchas personas creen que sus equipos no
guardan informacin importante o que un hacker no estar interesado en sus equipos. Se equivocan. Un
hacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La informacin de su
organizacin, incluida la informacin personal acerca de usuarios, empleados o clientes, tambin es valiosa
para los hackers.
El dispositivo WatchGuard y la suscripcin a LiveSecurity pueden ayudar a prevenir estos ataques. Una
buena poltica de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, tambin
pueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox para
que coincida con la poltica de seguridad y considerar las amenazas tanto internas como externas de la
organizacin.
Una conexin a Internet de alta velocidad, como mdem por cable o DSL (lnea de suscriptor digital), se
conoce como conexin de banda ancha. Las conexiones de banda ancha son mucho ms rpidas que las
conexiones telefnicas. El ancho de banda de una conexin telefnica es inferior a .1 Mbps, mientras que
una conexin de mdem por cable puede ser de 5 Mbps o ms.
Las velocidades tpicas para los mdem por cable en general son inferiores a las velocidades mximas,
porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho de
banda. Debido a este sistema de medio compartido, las conexiones de mdem por cable pueden volverse
lentas cuando ms usuarios estn en la red.
Las conexiones DSL proveen ancho de banda constante, pero en general son ms lentas que las conexiones
de mdem por cable. Adems, el ancho de banda slo es constante entre el hogar u oficina y la oficina
central de DSL. La oficina central de DSL no puede garantizar una buena conexin a un sitio web o red.
Un protocolo tambin indica el modo en que los datos se envan a travs de una red. Los protocolos
utilizados con ms frecuencia son TCP (Protocolo de control de transmisin) y UDP (Protocolo de datagrama
de usuario). TCP/IP es el protocolo bsico utilizado por los equipos que se conectan a Internet.
Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard.
Para obtener ms informacin sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la pgina 36.
2 Fireware XTMWeb UI
Introduccin a la seguridad de red
Una direccin IP consta de cuatro octetos (secuencias de nmeros binarios de 8 bits) expresados en
formato decimal y separados por puntos. Cada nmero entre los puntos debe estar en el rango de 0 a 255.
Algunos ejemplos de direcciones IP son:
n 206.253.208.100
n 4.2.2.2
n 10.0.4.1
En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuario
e Internet. Despus de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminada
para todos los equipos conectados a sus interfaces de confianza u opcionales.
La subnet mask o mscara de red de una direccin IP de red es una serie de bits que enmascaran secciones
de la direccin IP que identifican qu partes de la direccin IP son para la red y qu partes son para el host.
Una puede escribirse del mismo modo que una direccin IP o en notacin diagonal o CIDR (enrutamiento
de interdominios sin clases).
Por ejemplo, el usuario desea escribir la direccin IP 192.168.42.23 con una mscara de subred de
255.255.255.0 en notacin diagonal.
La siguiente tabla muestra mscaras de red comunes y sus equivalentes en notacin diagonal.
255.0.0.0 /8
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
Por ejemplo si ingresa la direccin IP 172.16.1.10, no ingrese un espacio despus de ingresar 16. No intente
colocar el cursor despus del decimal subsiguiente para ingresar 1. Ingrese un decimal directamente despus
de 16 y luego ingrese 1.10. Presione la tecla de barra inclinada (/) para desplazarse a la mscara de red.
4 Fireware XTMWeb UI
Introduccin a la seguridad de red
Direcciones IP estticas
Una direccin IP esttica es una direccin IP que permanece siempre igual. Si tiene un servidor web, un
servidor FTP u otro recurso de Internet que debe tener una direccin que no puede cambiar, puede
obtener una direccin IP esttica de su ISP. Una direccin IP esttica generalmente es ms costosa que una
direccin IP dinmica. Algunos ISP no proveen direcciones IP estticas. La direccin IP esttica debe
configurarse en forma manual.
Direcciones IP dinmicas
Una direccin IP dinmica es una direccin IP que el ISP permite utilizar en forma temporal a un usuario. Si
una direccin dinmica no est en uso, puede ser asignada automticamente a un dispositivo diferente. Las
direcciones IP dinmicas se asignan a travs de DHCP o PPPoE.
Acerca de DHCP
El Protocolo de Configuracin Dinmica de Host (DHCP) es un protocolo de Internet que los equipos en red
utilizan para obtener direcciones IP y otra informacin como la puerta de enlace predeterminada. Cuando
el usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asigna
automticamente una direccin IP. Podra ser la misma direccin IP que tena anteriormente o podra ser
una nueva. Cuando se cierra una conexin a Internet que usa una direccin IP dinmica, el ISP puede
asignar esa direccin IP a un cliente diferente.
El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrs del dispositivo. Se
asigna un rango de direcciones para que el servidor DHCP use.
Acerca de PPPoE
Algunos ISP asignan direcciones IP a travs del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agrega
algunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexin de acceso
telefnico estndar. Este protocolo de red permite al ISP utilizar los sistemas de facturacin, autenticacin y
seguridad de su infraestructura telefnica con productos DSL de mdem y de mdem por cable.
Un servidor DNS es un servidor que realiza esta traduccin. Muchas organizaciones tienen un servidor DNS
privado en su red que responde a solicitudes de DNS. Tambin se puede usar un servidor DNS en la red
externa, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).
Acerca de firewall
Un dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de la
red externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que el
firewall protege de Internet a los equipos de una red de confianza.
Los firewall usan polticas de acceso para identificar y filtrar diferentes tipos de informacin. Tambin
pueden controlar qu polticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente).
Por ejemplo, muchos firewall tienen polticas de seguridad de prueba que permiten slo tipos de trfico
especficos. Los usuarios pueden seleccionar la poltica ms conveniente para ellos. Otros firewall, por
ejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas polticas.
Para ms informaciones, vea Acerca de servicios y polticas en la pgina 7 y Acerca de puertos en la pgina 8
6 Fireware XTMWeb UI
Introduccin a la seguridad de red
Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios no
autorizados en Internet y examina el trfico que ingresa a redes protegidas o sale de stas. El firewall
rechaza el trfico de red que no coincide con los criterios o polticas de seguridad.
En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas a
menos que exista una regla especfica para permitir la conexin. Para implementar este tipo de firewall, se
debe tener informacin detallada acerca de las aplicaciones de red requeridas para satisfacer las
necesidades de una organizacin. Otros firewall permiten todas las conexiones de red que no han sido
rechazadas explcitamente. Este tipo de firewall abierto es ms fcil de implementar, pero no es tan seguro.
Cuando se autoriza o se rechaza un servicio, se debe agregar una poltica a la configuracin del dispositivo
WatchGuard. Cada poltica que se agrega tambin puede sumar un riesgo de seguridad. Para enviar y recibir
datos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregar
slo las polticas necesarias para la empresa.
Como ejemplo del modo en que se utiliza una poltica, supongamos que el administrador de red de una
empresa desea activar una conexin de servicios de terminal de Windows al servidor web pblico de la
empresa en la interfaz opcional del Firebox. Peridicamente administra el servidor web con una conexin
de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningn otro usuario de la red pueda
utilizar los servicios de terminal del Protocolo de Escritorio Remoto a travs del Firebox. El administrador
de red debe agregar una poltica que permita conexiones RDP slo desde la direccin IP de su propio
equipo de escritorio a la direccin IP del servidor web pblico.
Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente slo agrega
conectividad saliente limitada. Si el usuario tiene ms aplicaciones de software y trfico de red para que
examine Firebox, debe:
Acerca de puertos
Aunque los equipos tienen puertos de hardware que se utilizan como puntos de conexin, los puertos
tambin son nmeros utilizados para asignar trfico a un proceso particular en un equipo. En estos puertos,
tambin llamados puertos TCP y UDP los programas transmiten datos. Si una direccin IP es como la
direccin de una calle, un nmero de puerto es como un nmero de departamento o edificio dentro de
esa calle. Cuando un equipo enva trfico a travs de Internet a un servidor u otro equipo, utiliza una
direccin IP para identificar al servidor o equipo remoto y un nmero de puerto para identificar el proceso
en el servidor o equipo que recibe los datos.
Por ejemplo, supongamos que deseamos ver una pgina web en particular. El explorador web intenta crear
una conexin en el puerto 80 (el puerto utilizado para trfico HTTP) para cada elemento de la pgina web.
Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexin.
Muchos puertos se usan slo para un tipo de trfico, como el puerto 25 para SMTP (Protocolo simple de
transferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con nmeros asignados. A otros
programas se les asignan nmeros de puerto en forma dinmica para cada conexin. IANA (Internet
Assigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista a
travs de:
http://www.iana.org/assignments/port-numbers
La mayora de las polticas que se agregan a la configuracin del Firebox tienen un nmero de puerto entre
0 y 1024, pero los nmeros de puerto posibles pueden ser entre 0 y 65535.
Los puertos estn abiertos o cerrados. Si un puerto est abierto, el equipo acepta informacin y utiliza el
protocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puerto
abierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, se
pueden bloquear los puertos utilizados por los hackers para atacar a la red. Para ms informaciones, vea
Acerca de los puertos bloqueados en la pgina 347.
8 Fireware XTMWeb UI
Introduccin a la seguridad de red
las redes de confianza y opcionales. Si se enruta todo el trfico para los equipos de confianza combinada a
travs de la red opcional, se puede aumentar la seguridad para esas conexiones a fin de sumar ms
flexibilidad a la solucin de seguridad. Por ejemplo, los clientes con frecuencia usan la red opcional para los
usuarios remotos o para servidores pblicos como un servidor web o un servidor de correo electrnico.
Algunos clientes que adquieren un dispositivo WatchGuard no conocen demasiado sobre redes
informticas o seguridad de red. La Web UI (interfaz de usuario basada en la web) de Fireware XTM provee
muchas herramientas de autoayuda para estos clientes. Los clientes con ms experiencia pueden utilizar la
integracin avanzada y las mltiples funciones de soporte WAN del Fireware Appliance Software XTM Pro
para conectar un dispositivo WatchGuard a una red de rea ancha mayor. El dispositivo WatchGuard se
conecta a un mdem por cable, DSL de mdem o enrutador ISDN.
La Web UI puede utilizarse para administrar sin percances las configuraciones de seguridad de red desde
diferentes ubicaciones y en cualquier momento. As se obtiene ms tiempo y recursos para utilizar en otros
equipos de la empresa.
Posiblemente sea necesario utilizar ms de una aplicacin Fireware XTM para configurar la red de una
organizacin. Por ejemplo, si se tiene slo un producto Firebox X Edge e-Series, la mayora de las tareas de
configuracin pueden realizarse con la Fireware XTM Web UI o la Command Line Interface de Fireware
XTM. Sin embargo, para funciones de administracin y registro ms avanzadas, se debe utilizar WatchGuard
Server Center. Si el usuario administra ms de un dispositivo WatchGuard o si ha comprado Fireware XTM
con una actualizacin Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decide
administrar y monitorear la configuracin con la Fireware XTM Web UI, algunas funciones no pueden
configurarse.
Para obtener ms informacin acerca de estas limitaciones, consulte Limitaciones de la Fireware XTM Web
UI en la pgina 31.
Para obtener ms informacin acerca de cmo conectarse a Firebox con el WatchGuard System Manager o
la Command Line Interface de Fireware XTM, consulte la Ayuda en lnea o la Gua del usuario para esos
productos. Se puede visualizar y descargar la documentacin ms reciente para estos productos en la
pgina Documentacin del producto de Fireware XTM:
http://www.watchguard.com/help/documentation/xtm.asp.
Policy Manager
Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjunto
completo de filtrados de paquetes preconfigurados, polticas de proxy y puertas de enlace de la
capa de aplicacin (ALG). El usuario tambin puede establecer un filtrado de paquetes
personalizado, una poltica de proxy o ALG en los cuales se configuran los puertos, los protocolos y
otras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusin en la
red, como ataques de congestin del servidor SYN, ataques de suplantacin de paquetes y sondeos
de espacio entre puertos o direcciones.
El Firebox System Manager provee una interfaz para monitorear todos los componentes del
dispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y su
configuracin.
12 Fireware XTMWeb UI
Introduccin a Fireware XTM
HostWatch
HostWatch es un monitor de conexin en tiempo real que muestra el trfico de red entre
diferentes interfaces de Firebox. HostWatch tambin muestra informacin acerca de usuarios,
conexiones, puertos y servicios.
LogViewer
El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivo
de registro. Puede mostrar los datos de registro pgina por pgina, o buscar y exhibir por palabras
claves o campos de registro especificados.
Report Manager
El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Servers
para todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los Informes
WatchGuard disponibles para los dispositivos WatchGuard.
Administrador de CA
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrar
todos los dispositivos de firewall y crear tneles de red privada virtual (VPN) utilizando una simple
funcin de arrastrar y soltar. Las funciones bsicas del Management Server son:
n Autoridad de certificacin para distribuir certificados para tneles de seguridad del protocolo
de Internet (IPSec).
n Administracin de la configuracin del tnel VPN.
n Administracin de mltiples dispositivos Firebox y Firebox X Edge.
Log Server
El Log Server rene los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes de
registro estn cifrados cuando se envan al Log Server. El formato del mensaje de registro es XML
(texto sin formato). La informacin reunida de dispositivos de firewall incluye los siguientes
mensajes de registro: trfico, evento, alarma, depuracin (diagnstico) y estadstica.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios a
categoras especficas de sitios web. Durante la configuracin del Firebox, el administrador establece
las categoras de sitios web para permitir o bloquear.
Para obtener ms informacin sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la pgina 561.
Quarantine Server
El Quarantine Server rene y asla mensajes de correo electrnico que segn la sospecha de
spamBlocker son spam o pueden tener un virus.
Report Server
El Report Server peridicamente agrupa los datos reunidos por los Log Servers en los dispositivos
WatchGuard y luego genera informes en forma peridica. Una vez que los datos se encuentran en el
Report Server, se puede utilizar el Report Manager para generar y ver los informes.
Core/Peak e-Series
Core e- Edge e- Edge e-Series
Funcin y XTM XTM1050
Series Series (Pro)
(Pro)
FireCluster X
75 mx. (Core)
VLANs 75 mx. 200 mx. (Peak/XTM 20 mx. 50 mx.
1050)
14 Fireware XTMWeb UI
Introduccin a Fireware XTM
Para adquirir Fireware XTM con una actualizacin Pro, comunquese con su revendedor local.
LiveSecurity Service
Su dispositivo WatchGuard incluye una suscripcin al innovador LiveSecurity Service, que se activa en lnea
cuando registra el producto. En el momento de la activacin, la suscripcin de LiveSecurity Service le
otorga acceso a un programa de soporte y mantenimiento sin comparacin en la industria.
Una suscripcin activa de LiveSecurity extiende la garanta de hardware de un ao incluida con cada
dispositivo WatchGuard. Su suscripcin adems ofrece el reemplazo de hardware avanzado para
minimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware,
WatchGuard le enviar una unidad de reemplazo antes de que tenga que enviar el hardware
original.
Actualizaciones de software
Soporte tcnico
Cuando necesita asistencia, nuestros equipos expertos estn listos para ayudarlo:
n Acceso a foros para usuarios en lnea moderados por ingenieros generales de soporte
LiveSecurity
Caractersticas del servicio LiveSecurity Service
Service Gold
Actualizaciones de software S S
Transmisiones de LiveSecurity S S
18 Fireware XTMWeb UI
Servicio y soporte
* En la regin del pacfico asitico, los horarios de soporte estndar son de lunes a viernes, de 9.00a.m. a 9.00p.m.
(GMT +8).
Antes de empezar
Antes de empezar el proceso de instalacin, asegrese de concluir las tareas descritas en las siguientes
secciones.
Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de su
tecla de funcin en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de funcin
en el asistente, an puede finalizarlo. Hasta que se agregue la tecla de funcin, slo una conexin es
permitida a Internet.
Tambin se obtiene una nueva tecla de funcin para cualquier producto o servicio opcional cuando los
compra. Despus de registrar su dispositivo WatchGuard o cualquier nueva funcin, puede sincronizar su
tecla de funcin del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio de
LiveSecurity de WatchGuard. Puede usar Fireware XTM Web UI en cualquier momento para obtener su
tecla de funcin.
Para saber cmo registrar su dispositivo WatchGuard y obtener una tecla de funcin, vea Obtener una tecla
de funcin junto a LiveSecurity en la pgina 52.
WatchGuard usa la notacin diagonal para mostrar la Subnet Mask. Para ms informaciones, vea Acerca de
las Notacin diagonal en la pgina 3. Para ms informacin acerca de las direcciones IP, vea Acerca de las
Direcciones IP en la pgina 3.
_____._____._____._____
_____._____._____._____
Use la segunda tabla para sus direcciones IP de red despus de poner su dispositivo WatchGuard en
funcionamiento.
Interfaz externa
Interfaz de confianza
Conecta a la red interna o LAN (red de rea local) privada que desea proteger.
22 Fireware XTMWeb UI
Introduccin
Interfaz opcional
Generalmente conecta a un rea de confianza combinada de su red, tales como servidores en DMZ
(zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentes
niveles de acceso.
Muchas redes funcionan mejor con la configuracin de enrutamiento combinado, pero recomendamos el
modo directo si:
Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar el
modo configuracin del firewall.
Para ms informacin acerca del modo directo, vea Acerca de la configuracin de red en modo directo en
la pgina 89.
Para ms informacin acerca del modo de enrutamiento combinado, vea Modo de enrutamiento
combinado en la pgina 82.
El dispositivo WatchGuard tambin soporta un tercer modo configuracin llamado modo puente. Ese modo
es usado con menos frecuencia. Para ms informacin acerca del modo puente, vea Modo Bridge en la
pgina 94.
Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSM para crear su
configuracin inicial. Cuando ejecuta el Web Setup Wizard, la configuracin
firewall es automticamente definida en modo de enrutamiento combinado.
Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo en
modo de enrutamiento combinado o modo directo.
Ahora puede iniciar el Quick Setup Wizard. Para ms informaciones, vea Acerca del Quick Setup Wizard en
la pgina 24.
Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen slo las polticas bsicas
(TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tiene
ms aplicaciones de software y trfico de red para que el dispositivo busque, debe:
n Configurar las polticas en el dispositivo WatchGuard para dejar pasar el trfico necesario
n Definir las propiedades y hosts aprobados para cada poltica
n Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a
recursos externos
Para instrucciones acerca de cmo ejecutar el asistente a partir del explorador web, vea Ejecutar el Web
Setup Wizard en la pgina 24.
Puede usar el Web Setup Wizard para hacer una configuracin bsica en un dispositivo WatchGuard XTM o
Firebox X e-Series. El Web Setup Wizard automticamente configura el Firebox en el modo de
enrutamiento combinado.
24 Fireware XTMWeb UI
Introduccin
Para usar el Web Setup Wizard, debe hacer una conexin de red directa hacia el dispositivo WatchGuard y
usar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, l usa DHCP
para enviar una nueva direccin IP a su equipo.
n Para un dispositivo Firebox X Core, Peak e-Series, o XTM, la interfaz de confianza es la nmero 1
n Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0
2. Conecte el cable de energa a la entrada de energa del dispositivo WatchGuard y a una fuente de
energa.
3. Inicie el Firebox en modo predeterminado de fbrica. En los modelos Core, Peak y XTM, eso se
conoce como modo seguro.
Para ms informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuracin anterior
o nueva en la pgina 48.
4. Asegrese de que su equipo est configurado para aceptar una direccin IP asignada por DHCP.
El Web Setup Wizard incluye ese grupo de cuadros de dilogo. Algunos cuadros de dilogo aparecen
slo si selecciona ciertos mtodos de configuracin:
Ingresar
Ingresar con las credenciales de cuenta del administrador. Para Nombre de usuario, seleccione
admin. Para Frase de contrasea, use la frase:lecturaescritura.
Bienvenido
Seleccione si prefiere crear una nueva configuracin o restaurar una configuracin a partir de
una imagen de copia de seguridad guardada.
Acuerdo de licencia
Si su Firebox todava no tiene una tecla de funcin, el asistente provee opciones para que
descargue o importe una tecla de funcin. El asistente slo puede descargar una tecla de
funcin si tiene una conexin a Internet. Si descarg una copia local de la tecla de funcin a su
equipo, puede pegarla en el asistente de configuracin.
Advertencia
Si no aplica una tecla de funcin en el Web Setup Wizard, debe registrar el
dispositivo y aplicar la tecla de funcin en el Fireware XTMWeb UI. La
funcionalidad del dispositivo es limitada hasta que se aplique una tecla de funcin.
Seleccione el mtodo que su ISP usa para asignar su direccin IP. Las opciones son DHCP, PPPoE
o esttica.
Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice
26 Fireware XTMWeb UI
Introduccin
Ingrese la direccin IP de la interfaz de confianza. Como opcin, puede activar el servidor DHCP
para la interfaz de confianza.
Ingrese una frase de contrasea para el estado (slo lectura) y cuentas de administracin
admin (lectura/escritura) en el Firebox.
Active la administracin remota si desea administrar ese dispositivo desde la interfaz externa.
Si deja el Web Setup Wizard ocioso por 15 minutos o ms, debe volver al Paso 3 e iniciar nuevamente.
n Para ms informacin acerca de cmo conectarse al Fireware XTMWeb UI, vea Conctese al
Fireware XTM Web UI en la pgina 28.
n El archivo del software de la aplicacin Fireware XTM descargado del sitio web LiveSecurity podra
estar corrompido. Si la imagen del software est corrompida, en un dispositivo Firebox X Core, Peak
o XTM, este mensaje aparece en la interfaz de LCD: Error de archivo truncado.
Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez ms.
n Si usa el Internet Explorer 6, limpie el cach del archivo en el explorador web e intente
nuevamente.
Para limpiar el cach, en el Internet Explorer seleccione Herramientas > Opciones de Internet >
Borrar archivos.
De manera predeterminada, el puerto utilizado para la Web UI es 8080. La URL para conectarse a la Web UI
en su explorador es:
https://<firebox-ip-address>:8080
El usuario puede cambiar la direccin IP de la red de confianza a una direccin IP diferente. Para ms
informaciones, vea Configuraciones de interfaz comunes en la pgina 95.
Por ejemplo, para usar la URL predeterminada para conectarse a un Firebox XEdge:
28 Fireware XTMWeb UI
Introduccin
3. Cuando observe la advertencia del certificado, haga clic en Continuar a este sitio web (IE 7) o
Agregar excepcin (Firefox 3).
Esta advertencia aparece porque el certificado que utiliza el dispositivo WatchGuard est firmado
por la autoridad de certificacin de WatchGuard, que no figura en la lista de autoridades de
confianza de su explorador.
Nota Esta advertencia aparece cada vez que el usuario se conecta al dispositivo
WatchGuard a menos que se acepte el certificado en forma permanente o se
genere e importe un certificado para uso del dispositivo. Para ms informaciones,
vea Acerca de los certificados en la pgina 385.
Debido a que no es necesario instalar ningn software, se puede utilizar la Web UI desde cualquier equipo
que tenga conectividad TCP/IP y un explorador. Esto significa que el usuario puede administrar Firebox
desde un equipo que tenga Windows, Linux, Mac OS o cualquier otra plataforma, siempre que tenga un
explorador compatible con Adobe Flash 9 y conectividad de red.
La Web UI es una herramienta de administracin en tiempo real. Esto significa que cuando utiliza la Web UI
para realizar cambios en un dispositivo, los cambios realizados generalmente tienen efecto inmediato. La
Web UI no permite generar una lista de cambios a un archivo de configuracin guardado localmente, para
enviar muchos cambios al dispositivo de una sola vez en un momento posterior. Esto difiere del Policy
Manager de Fireware XTM, lo cual es una herramienta de configuracin fuera de lnea. Los cambios
realizados a un archivo de configuracin guardado localmente utilizando el Policy Manager slo tienen
efecto despus de que se guarda la configuracin en el dispositivo.
Nota Se debe completar el Quick Setup Wizard para poder ver la Fireware XTM Web UI.
Para ms informaciones, vea Ejecutar el Web Setup Wizard en la pgina 24.
Tambin se debe utilizar una cuenta con privilegios de acceso administrativos
totales para ver y cambiar las pginas de configuracin.
En el lado izquierdo de la Fireware XTM Web UI se encuentra la navigation bar del men principal que se
utiliza para seleccionar un grupo de pginas de configuracin.
El elemento superior en la navigation bar es el Panel de control, que permite regresar a la pgina Panel de
control de Fireware XTM, la cual se ve en cuanto el usuario se conecta a la Fireware XTM Web UI.
30 Fireware XTMWeb UI
Introduccin
Todos los dems elementos de la navigation bar contienen elementos de men secundarios que se usan
para configurar las propiedades de esa funcin.
n Para visualizar estos elementos de men secundarios, haga clic en el nombre del elemento de
men. Por ejemplo, si hace clic en Autenticacin, aparecen estos elementos de men secundarios:
Servidores, Configuracin, Usuarios y grupos, Certificado de servidor web y Single Sign-On.
n Para ocultar los elementos de men secundarios, haga clic nuevamente en el elemento de men de
nivel superior.
Para mostrar los elementos de men que se amplan o en los que se hace clic, la documentacin utiliza el
smbolo de flecha derecha (>). Los nombres de mens aparecen en negrita. Por ejemplo, el comando para
abrir la pgina Configuracin de autenticacin aparece en el texto como Configuracin de >Autenticacin.
Algunas de las tareas que puede completar en el Policy Manager, pero no con la Web UI incluyen:
n Algunas otras opciones de configuracin proxy no estn disponibles (varan segn el proxy).
El grupo de aplicaciones incorporadas en WatchGuard System Manager incluye muchas otras herramientas
para monitoreo e informes. Algunas de las funciones proporcionadas por HostWatch, LogViewer, Report
Manager y WSM tampoco estn disponibles en la Web UI.
Para utilizar algunas funciones de Fireware XTM relacionadas con servidores WatchGuard, es necesario
instalar WatchGuard Server Center. No es necesario utilizar WatchGuard System Manager para instalar
WatchGuard Server Center. Los siguientes servidores WatchGuard pueden configurarse utilizando
WatchGuard Server Center:
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Para aprender cmo configurar funciones no admitidas en la Web UI o cmo utilizar WatchGuard Server
Center, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11 en
http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.
Para conocer ms acerca de la CLI, consulte la Referencia de Command Line Interface de WatchGuard en
http://www.watchguard.com/help/documentation.
Concluya su instalacin
Despusde concluir el WebSetup Wizard, debe concluir lainstalacin de su dispositivoWatchGuard ensu red.
3. Para conectarse a su dispositivo WatchGuard con la interfaz del usuario web de Fireware XTM, abra
un explorador web e ingrese:
https//[direccin IP de la interfaz de confianza del dispositivo
WatchGuard]:8080 .
32 Fireware XTMWeb UI
Introduccin
4. Si usa una configuracin enrutada, asegrese de alterar la puerta de enlace puerta de enlace
predeterminada en todos los equipos que se conectan a su dispositivo WatchGuard para que la
direccin IP coincida con la de la interfaz de confianza del dispositivo WatchGuard.
5. Personalice su configuracin segn sea necesario para fines de seguridad de su empresa.
Cuando haya concluido el Quick Setup Wizard, el archivo de configuracin creado slo era una
configuracin bsica. Se puede modificar esa configuracin para que est de acuerdo con su poltica de
seguridad de su negocio y los requisitos de seguridad de su empresa. Puede agregar polticas de proxy y
filtrado de paquetes para definir qu puede entrar y salir de su red. Cada poltica puede tener efectos
diferentes sobre su red. Las polticas que aumentan su seguridad de red pueden disminuir el acceso a ella.
A su vez, las polticas que aumentan el acceso a su red pueden poner en riesgo la seguridad de la misma.
Para ms informaciones acerca de polticas, vea Acerca de polticas en la pgina 251.
Para una nueva instalacin, recomendamos que use solo polticas de filtrado de paquetes hasta que todos
sus sistemas estn funcionando correctamente. Segn sea necesario, puede agregar polticas de proxy.
n Asegura de que tenga la proteccin de red ms reciente con las actualizaciones de software
tambin ms recientes
n Provee soluciones a sus problemas con recursos completos de soporte tcnico
n Previene interrupciones de servicio con mensajes y ayuda de configuracin para los problemas de
seguridad ms recientes
n Ayuda a aprender ms acerca de seguridad de red a travs de recursos de capacitacin
n Extiende su seguridad de red con software y otras funciones
n Extiende la garanta de su hardware con sustitucin avanzada
Para ms informacin acerca del LiveSecurity Service, vea Acerca de las Soporte de WatchGuard en la
pgina 17.
cuando hay discrepancia entre la direccin IP o nombre del host solicitado y la direccin IP o nombre de
host en el certificado. Por defecto, su Firebox usa un certificado autofirmado que se puede usar para
configurar su red rpidamente. No obstante, cuando los usuarios se conectan a Firebox con un explorador
web, aparece un mensaje de aviso Error en la conexin segura.
Para evitar ese mensaje de error, recomendamos que agregue un certificado vlido firmado por una CA
(autoridad de certificacin) para su configuracin. Ese certificado de CA tambin puede ser usado para
mejorar la seguridad de la autenticacin por VPN. Para obtener ms informaciones sobre el uso de
certificados con los dispositivos Firebox, vea Acerca de los certificados en la pgina 385.
Si contina a usar el certificado autofirmado predeterminado, puede agregar una excepcin para Firebox
en cada equipo cliente. Las versiones actuales de la mayora de los exploradores web ofrecen un enlace en
el mensaje de aviso en el cual el usuario puede hacer clic para autorizar la conexin. Si su empresa usa
Mozilla Firefox v3, los usuarios pueden agregar una excepcin de certificado permanente antes de
conectarse al Firebox.
Nota Una excepcin de certificado no deja su equipo menos seguro. Todo el trfico de
red entre su equipo y el dispositivo WatchGuard permanece cifrado de modo
seguro con SSL.
Hay dos mtodos para agregar una excepcin. Debe poder enviar trfico al Firebox para agregar una
excepcin.
34 Fireware XTMWeb UI
Introduccin
Para una descripcin de lo bsico de red, vea Acerca de redes y seguridad de red en la pgina 1.
Puede usar una direccin IP esttica, DHCP o PPPoE para configurar la interfaz externa del dispositivo
WatchGuard. Para obtener ms informacin acerca de las direcciones de red, vea Configurar una interfaz
externa en la pgina 82.
Su equipo debe tener un explorador web. El explorador web es usado para configurar y administrar el
dispositivo WatchGuard. Su equipo debe tener una direccin IP en la misma red que el dispositivo
WatchGuard.
para que use DHCP y despus puede conectarse al dispositivo para administrarlo. Tambin puede otorgar
una direccin IP esttica a su equipo que est en la misma red que la direccin IP de confianza del
dispositivo WatchGuard. Para ms informaciones, vea Configure su equipo para conectarse a su dispositivo
WatchGuard en la pgina 37.
n Direccin IP
n Mscara de subred
n Puerta de enlace predeterminada
n Direccin IP esttica o dinmica del equipo
n Direcciones IP principales y secundarias de los servidores DNS
Nota Si el ISP asigna al equipo del usuario una direccin IP que empieza con 10, 192.168
172.16 a 172.31, entonces el ISP utiliza NAT (Traduccin de direccin de red) y su
direccin IP es privada. Recomendamos obtener una direccin IP pblica para la
direccin IP externa de Firebox. Si el usuario tiene una direccin IP privada, puede
tener problemas con algunas funciones como la conexin a red privada virtual.
Para buscar las propiedades TCP/IP para el sistema operativo del equipo, se deben seguir las instrucciones
de las secciones siguientes.
36 Fireware XTMWeb UI
Introduccin
1. Seleccione el Men Apple> Preferencias del sistema o seleccione el cono desde el dock.
Aparece el cuadro de dilogo Preferencias del sistema.
2. Haga clic en el cono Red.
Aparece el cuadro Preferencia de red.
3. Seleccione el adaptador de red que utiliza para conectarse a Internet.
4. Anote los valores que se observan para el adaptador de red.
1. Lea la gua del sistema operativo para encontrar las configuraciones TCP/IP.
2. Anote los valores que se observan para el adaptador de red principal.
Usar DHCP
Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones acerca de cmo configurar su equipo para usar el DHCP.
Para configurar un equipo con Windows XP para usar una direccin IP esttica:
38 Fireware XTMWeb UI
Introduccin
Use esas instrucciones para desactivar el proxy HTTP en Firefox, Safari o Internet Explorer. Si est usando un
explorador diferente, use el sistema de Ayuda del explorador para encontrar la informacin necesaria.
Muchos exploradores automticamente desactivan la funcin de proxy del HTTP.
40 Fireware XTMWeb UI
5 Informacin bsica sobre
configuracin y administracin
Si no logra restaurar la imagen de Firebox con xito, puede restablecer el Firebox. Dependiendo del
modelo de Firebox que tenga, puede restablecer el Firebox en sus configuraciones predeterminadas de
fbrica o ejecutar nuevamente el Quick Setup Wizard para crear una nueva configuracin.
Para ms informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuracin anterior o nueva
en la pgina 48.
En el caso de los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede conectar una
unidad o un dispositivo de almacenamiento USB al puerto USB del dispositivo XTM para llevar a cabo los
procedimientos de copia de respaldo y restauracin. Cuando guarda una imagen de respaldo del sistema en
una unidad USB conectada, puede restaurar su dispositivo XTM a un estado conocido con mayor rapidez.
Nota No puede utilizar esta funcin en un dispositivo e-Series, porque los dispositivos e-
Series no tienen puerto USB.
42 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Puede utilizar la misma imagen de respaldo para ms de un dispositivo, si todos los dispositivos pertenecen
a la misma familia de modelos de WatchGuard XTM. Por ejemplo, puede utilizar una imagen de respaldo
guardada en un XTM 530 como la imagen de respaldo de cualquier otro dispositivo XTM 5 Series.
44 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Advertencia
Si su dispositivo XTM ha utilizado una versin del sistema operativo Fireware XTM
anterior a la v11.3, debe actualizar la imagen de software del modo de
recuperacin en el dispositivo a la v11.3 de la funcin de restauracin automtica
a operar. Vea las Notas de versin de Fireware XTM 11.3 para obtener
instrucciones de actualizacin.
Si la unidad USB no contiene una imagen de restauracin automtica vlida para esta familia de modelos de
dispositivos XTM, el dispositivo no se reinicia y, en cambio, se inicia en modo de recuperacin. Si vuelve a
reiniciar el dispositivo, ste utilizar su configuracin actual. Cuando el dispositivo est en modo de
recuperacin, puede utilizar el WSM Quick Setup Wizard para crear una nueva configuracin bsica.
Para obtener ms informacin acerca WSM Quick Setup Wizard, vea Ejecutar el Quick Setup Wizard del WSM.
Si la unidad USB no contiene una imagen de restauracin automtica vlida para 2 Series, la restauracin
automtica fallar y el dispositivo no se reiniciar. Si el proceso de restauracin automtica no resulta
exitoso, debe desconectar y volver a conectar la fuente de alimentacin para iniciar el dispositivo 2 Series
con las configuraciones predeterminadas de fbrica.
Para obtener informacin sobre las configuraciones predeterminadas de fbrica, vea Acerca de las
configuraciones predeterminadas de fbrica.
En cada dispositivo, la estructura del directorio en el dispositivo USB es la siguiente, donde sn se reemplaza
con el nmero de serie del dispositivo XTM:
\sn\flash-images\
\sn\configs\
\sn\feature-keys\
\sn\certs\
Tambin hay un directorio en el nivel de raz de la estructura del directorio que se utiliza para almacenar la
imagen de respaldo de restauracin automtica designada.
\auto-restore\
Cuando designa una imagen de respaldo para utilizarla para la restauracin automtica, una copia de la
imagen de respaldo seleccionada se cifra y almacena en el directorio \auto-restore con el nombre de
archivo auto-restore.fxi . Slo puede tener una imagen de restauracin automtica guardada en cada
unidad USB. Puede utilizar la misma imagen de respaldo de restauracin automtica para ms de un
dispositivo, si ambos dispositivos pertenecen a la misma familia de modelos WatchGuard XTM. Por ejemplo,
puede utilizar una imagen de restauracin automtica guardada en un XTM 530 como la imagen de
restauracin automtica de cualquier otro dispositivo XTM 5 Series.
Debe utilizar el comando Sistema > Unidad USB para crear una imagen de restauracin automtica. Si copia
y renombra una imagen de respaldo manualmente y la almacena en este directorio, el proceso de
restauracin automtica no funciona correctamente.
46 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Si usa el comando Sistema > Unidad USB para hacer esto, los archivos se guardarn automticamente en el
directorio adecuado de la unidad USB. Si utiliza el comando Sistema > Imagen de respaldo , o si utiliza
Windows u otro sistema operativo para copiar manualmente los archivos de configuracin al dispositivo
USB, debe crear manualmente el nmero de serie correcto y los directorios de imgenes flash para cada
dispositivo (si todava no existen).
Antes de empezar
Antes de empezar, es importante que comprenda la Estructura del directorio de la unidad USB utilizada por
la funcin de respaldo y restauracin USB. Si no guarda la imagen de respaldo en la ubicacin correcta, es
posible que el dispositivo no la encuentre cuando le conecte la unidad USB.
Para una descripcin de las configuraciones predeterminadas de fbrica, vea Acerca de las configuraciones
predeterminadas de fbrica en la pgina 49.
Nota Si tiene un dispositivo WatchGuard XTM, tambin puede utilizar el modo seguro
para restaurar automticamente una imagen de respaldo del sistema desde un
dispositivo de almacenamiento USB. Para ms informaciones, vea Restaurar
automticamente una imagen de respaldo desde un dispositivo USB.
48 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Para ms informaciones, vea Acerca del Quick Setup Wizard en la pgina 24.
Firebox est configurado para asignar direcciones IP a equipos en la red de confianza a travs de
DHCP. Por defecto, esas direcciones IP pueden ir desde 192.168.111.2 a 192.168.111.254.
La direccinIP predeterminada para la red de confianza es 10.0.1.1. La Subnet Mask para la red de
confianza es 255.255.255.0.
Firebox est configurado para asignar direccionesIP a equipos en la red de confianza a travs de
DHCP. Por defecto, esas direcciones IP puede ir desde 10.0.1.2 a 10.0.1.254..
Red externa
Red opcional
Configuraciones de firewall
Todas las polticas entrantes son negadas. La poltica saliente permite todo el trfico saliente. Se
niegan las solicitudes de ping recibidas en la red externa.
Firebox posee cuentas de administrador acopladas admin (acceso de lectura y escritura) y estado
(acceso slo lectura). La primera vez que configura el dispositivo con el Quick Setup Wizard, define
las frases de contrasea de estado y configuracin. Despus de concluir el Quick Setup Wizard,
puede iniciar sesin en el Fireware XTMWeb UI sea con la cuenta de administrador admino estado.
Para tener acceso completo de administrador, inicie sesin con el nombre de usuario de admin e
ingrese la frase de contrasea de configuracin. Para acceso de slo lectura, inicie sesin con el
nombre de usuario de estado e ingrese la frase de contrasea de slo lectura.
Por defecto, Firebox est configurado para administracin local desde la red de confianza
solamente. Los cambios adicionales de configuracin deben ser realizados para permitir la
administracin desde la red externa.
Opciones de actualizacin
Para habilitar las opciones de actualizacin, como WebBlocker, spamBlocker y Gateway AV/IPS,
debe pegar o importar la tecla de funcin que habita esas funciones en la pgina de configuracin o
usar el comando Obtener Tecla de Funcin para activar las opciones de actualizacin. Si inicia el
Firebox en modo seguro, no es necesario importar la tecla de funcin nuevamente.
50 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
52 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Cuando va al sitio web de LiveSecurity para retener su tecla de funcin, puede elegir entre descargar una o
ms teclas de funcin en un archivo comprimido. Si selecciona mltiples dispositivos, el archivo
comprimido contiene un archivo de tecla de funcin para cada dispositivo.
Para retener una tecla de funcin actual del sitio web de Live Security:
Las funciones que estn disponibles con esa tecla de funcin aparecenen esa pgina. Esa pgina
tambin incluye:
n Si la funcin est activada o no
n Un valor asignado a la funcin, tal como nmero de interfacesVLAN permitidas
n La fecha de caducidad de la funcin
n El tiempo que falta para que la funcin caduque
54 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Reiniciar su Firebox
Puede usar el Fireware XTM Web UI para reiniciar su Firebox desde un equipo en la red de confianza. Si
permite el acceso externo, tambin puede reiniciar el Firebox desde un equipo en Internet. Puede
determinar la hora del da en la cual su Firebox se reinicia automticamente.
56 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Para reiniciar el Firebox desde el Fireware XTMWeb UI, debe iniciar sesin con acceso de lectura-escritura.
En el Firebox XEdge:
Para ms informaciones, vea Administrar un Firebox desde una ubicacin remota en la pgina 72.
Para iniciar el Firebox de forma remota a partir del Fireware XTMWeb UI:
Para usar NTP, la configuracin de su Firebox debe permitir DNS. El DNS es permitido en la configuracin
predeterminada por la poltica Saliente. Tambin debe configurar los servidores DNS para la interfaz
externa antes de configurar el NTP.
Para obtener ms informacin acerca de esas direcciones, vea Agregar direcciones de servidor DNS y WINS.
58 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
modelo de Firebox
Modelo y modelo de Firebox, tal como determinado por el Quick Setup Wizard.Si agrega una
nueva tecla de funcin al Firebox con una actualizacin de modelo, el modelo de Firebox en la
configuracin del dispositivo es automticamente actualizado.
Nombre
El nombre descriptivo del Firebox. Puede otorgar a Firebox un nombre descriptivo que
aparecer en sus informes y archivos de registro. De lo contrario, los informes y archivos de
registro usan la direccin IP del la interfaz externa de Firebox. Muchos clientes usan un domain
name totalmente cualificado como nombre descriptivo, caso registren ese nombre en el
sistema DNS. Debe otorgar un nombre descriptivo al Firebox si usa el Management Server para
configurar los certificados y tneles VPN.
Ubicacin, Contacto
Ingrese cualquier informacin que podra ser til para identificar y hacer el mantenimiento del
Firebox. Esos campos son llenados por el Quick Setup Wizard, caso haya insertado esa
informacin all.
Zona horaria
Seleccione la zona horaria para la ubicacin fsica del Firebox. La configuracin de zona horaria
controla la fecha y hora que aparecen en el archivo de registro y en las herramientas como el
LogViewer, Informes WatchGuard y WebBlocker.
Hay dos tipos de MIBs: estndar y empresarial. Las MIBs estndares son definiciones de eventos de
hardware y red usadas por diversos dispositivos. Las MIBs empresariales son usados para dar informacin
acerca de eventos especficos a un fabricante determinado. Su Firebox soporta ocho MIBs estndares: IP-
MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. Tambin
soporta dos MIBs empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-MIB.
Una captura SNMP es una notificacin de evento que su Firebox enva a un sistema de administracin de
SNMP. La captura identifica cuando ocurre una condicin especfica, tal como un valor que sea exceda su
umbral predefinido. Su Firebox puede enviar una captura para cualquier poltica en el Policy Manager.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor enva una respuesta. Si su
Firebox no obtiene una respuesta, l enva la solicitud de informe nuevamente hasta que el administrador
de SNMP enve una respuesta. Se enva una captura slo una vez, y el receptor no enva ningn tipo de
acuse de recibo al recibir la captura.
MIBs Estndares
Las MIBs estndares son definiciones de eventos de hardware y red usadas por diversos dispositivos.
Su dispositivo WatchGuard soporta ocho MIBs estndares:
n IP-MIB
n IF-MIB
n TCP-MIB
n UDP-MIB
n SNMPv2-MIB
n SNMPv2-SMI
n RFC1213-MIB
n RFC1155 SMI-MIB
Esas MIBs incluyen datos acerca de la informacin de red estndar, tal como direcciones IP y
configuracin de interfaz de red.
MIBs Empresariales
Las MIBs empresariales son usados para dar informacin acerca de eventos especficos a un
fabricante determinado. Su Firebox soporta las siguientes MIBs empresariales:
n WATCHGUARD-PRODUCTS-MIB
n WATCHGUARD-SYSTEM-CONFIG-MIB
n UCD-SNMP-MIB
Esas MIBs incluyen datos ms especficos acerca del hardware del dispositivo.
60 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
2. Para activar el SNMP, en la lista desplegable Versin, seleccione v1, v2c, o v3.
3. Si seleccion la v1 o v2c para la versin del SNMP, ingrese la Cadena de comunidad que el servidor
SNMP usa cuando se contacta con el Firebox. La cadena de comunidad es como un ID de usuario y
contrasea que permite el acceso a las estadsticas de un dispositivo.
Si seleccion la v3 para la versin del SNMP, ingrese el Nombre del usuario que el servidor SNMP
usa cuando se contacta con el Firebox.
4. Si su servidor SNMP usa autenticacin, en la lista desplegable Protocolo de autenticacin,
seleccione MD5 o SHA e ingrese la Contrasea de autenticacin dos veces.
5. Si su servidor SNMP usa cifrado, en la lista desplegable Protocolo de Privacidad, seleccione DES e
ingrese la Contrasea de cifrado dos veces.
6. Haga clic en Guardar.
Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una poltica de SNMP.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor enva una respuesta. Si su
dispositivo WatchGuard no obtiene una respuesta, l enva la solicitud de informe nuevamente hasta que el
administrador de SNMP enve una respuesta. Se enva una captura slo una vez, y el receptor no enva
ningn tipo de acuse de recibo al recibir la captura.
Una solicitud de informe es ms confiable que una captura porque su dispositivo WatchGuard sabe si la
solicitud de informe fue recibida. No obstante, las solicitudes de informe consumen muchos recursos. Son
guardadas en la memoria hasta que el remitente obtenga una respuesta. Si se debe enviar una solicitud de
informe ms de una vez, los reintentos aumentan el trfico. Recomendamos que considere si vale la pena
usar la memoria del enrutador para cada notificacin de SNMP y aumentar el trfico de red.
Para activar las solicitudes de informe de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 slo soporta
capturas, pero no solicitudes de informe.
62 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
2. En la lista desplegable Capturas de SNMP, seleccione la versin de la captura o informe que desea
usar.
SNMPv1 slo soporta capturas, pero no solicitudes de informe.
3. En el cuadro de texto Estaciones de Administracin deSNMP , ingrese la direccin IP de su servidor
SNMP. Haga clic en Agregar.
4. Para remover un servidor de la lista, seleccione la entrada y haga clic en Remover.
5. Haga clic en Guardar.
8. En el cuadro de texto al lado, inserte la direccin IP de su servidor SNMP y despus haga clic en
Aceptar.
9. Remueva la entrada Cualquiera de Confianza de la lista De.
10. En la seccin Hasta, haga clic en Agregar.
Aparece la ventana Agregar miembro.
11. En el cuadro de dilogo Agregar miembro, seleccione Firebox. Haga clic en OK.
12. Remueva la entrada Cualquiera Externo de la lista Para.
13. Haga clic en Guardar.
Como medida de seguridad adicional, se recomienda cambiar las contraseas, las claves de cifrado y las
claves compartidas a intervalos regulares.
64 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
La frase de contrasea o contrasea de slo lectura que permite acceso al Firebox. Cuando inicia
sesin con esta frase de contrasea, puede revisar su configuracin, pero no puede guardar los
cambios en el Firebox. La frase de contrasea de estado est asociada al estado del nombre de
usuario.
La frase de contrasea o contrasea de slo lectura que permite a un administrador tener acceso
pleno al Firebox. Debe utilizar esta frase de contrasea para guardar los cambios de configuracin
en el Firebox. sta es tambin la frase de contrasea que debe utilizar para cambiar sus frases de
contrasea de Firebox. La frase de contrasea de configuracin est asociada al nombre de usuario
del administrador.
Cada una de estas frase de contrasea de Firebox debe tener al menos ocho caracteres.
Una vez que configura esta frase de contrasea de usuario, los caracteres se enmascaran y la frase
de contrasea no vuelve a aparecer en texto simple. Si se pierde la frase de contrasea, debe
configurar una nueva frase de contrasea. El rango permitido para esta frase de contrasea es de
entre ocho y 32 caracteres.
Una vez que configura esta frase de contrasea de usuario, no vuelve a aparecer en el cuadro de
dilogo Propiedades de usuario y de grupo. Si se pierde la frase de contrasea, debe configurar una
nueva frase de contrasea. Esta frase de contrasea debe tener al menos ocho caracteres.
La frase de contrasea del administrador se utiliza para controlar el acceso a WatchGuard Server
Center. Tambin puede utilizar esta frase de contrasea cuando se conecta a su Management Server
desde WatchGuard System Manager (WSM). Esta frase de contrasea debe tener al menos ocho
caracteres. La frase de contrasea del administrador est relacionada con la admin del nombre de
usuario.
El secreto compartido es la clave que Firebox y el servidor de autenticacin utilizan para asegurar la
informacin de autenticacin que se transfiere entre ellos. El secreto compartido distingue
maysculas de minsculas y debe ser el mismo en Firebox que en el servidor de autenticacin. Los
servidores RADIUS, SecurID y VASCO utilizan una clave compartida.
La clave de cifrado se utiliza para crear una conexin segura entre Firebox y los Log Servers, y para
evitar ataques man-in-the-middle (o de intrusos). El rango permitido para la clave de cifrado es de
8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o
invertidas (/ o \).
sta es la clave de cifrado que usted crea para cifrar un archivo de respaldo de su configuracin de
Firebox. Al restablecer un archivo de respaldo, utilice la clave de cifrado que seleccion cuando
cre el archivo de respaldo de configuracin. Si pierde o olvida la clave de cifrado, no puede
restaurar el archivo de copia de seguridad. La clave de cifrado debe tener al menos ocho caracteres
y no puede tener ms de 15 caracteres.
La clave compartida es una contrasea utilizada por dos dispositivos para cifrar y descifrar los datos
que pasan a travs del tnel. Los dos dispositivos usan la misma frase de contrasea. Si los
dispositivos no tienen la misma frase de contrasea, no pueden encriptar o descifrar los datos
correctamente.
La frase de contrasea o contrasea de slo lectura que permite a un administrador tener acceso
pleno al Firebox.
Para obtener ms informacin acerca de las frases de contrasea, vea Acerca de las frases de contrasea,
claves de cifrado y claves compartidas de WatchGuard en la pgina 64.
66 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
2. Ingrese y confirme las frases de contrasea de nuevo estado (slo lectura) y confirmacin
(lectura/escritura). La frase de contrasea de estado debe ser diferente de la frase de contrasea de
configuracin.
3. Haga clic en Guardar.
2. Configure las diferentes categoras de las configuraciones globales como se describe en las
siguientes secciones.
3. Haga clic en Guardar.
El Firebox enva un mensaje de error ICMP cada vez que ocurre un evento que coincide con uno de los
parmetros seleccionados. Estos mensajes son herramientas convenientes para utilizar cuando se
resuelven problemas, pero tambin pueden reducir la seguridad porque exponen informacin acerca de la
red. Si el usuario rechaza estos mensajes ICMP, puede aumentar la seguridad al impedir los sondeos de red,
pero esto tambin puede generar demoras del tiempo de espera para conexiones incompletas, lo cual
puede causar problemas en las aplicaciones.
68 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Seleccione esta casilla de verificacin para permitir los mensajes "Se requiere fragmentacin" de
ICMP. El Firebox utiliza estos mensajes para encontrar la ruta MTU.
Tiempo excedido
Seleccione esta casilla de verificacin para permitir mensajes de "Tiempo excedido" de ICMP. Un
enrutador en general enva estos mensajes cuando ocurre un bucle en la ruta.
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar la red" de
ICMP. Un enrutador en general enva estos mensajes cuando un enlace de red est roto.
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar el host" de
ICMP. La red en general enva estos mensajes cuando no puede utilizar un host o servicio.
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar el puerto" de
ICMP. Un host o firewall en general enva estos mensajes cuando un servicio de red no est
disponible o no est permitido.
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar el protocolo"
de ICMP.
Para anular estas configuraciones globales de ICMP para una poltica especfica: Fireware XTM Web UI:
Ajuste automtico
El dispositivo Firebox o XTM examina todas las negociaciones de tamao mximo del segmento
(MSS) y cambia el valor de MSS al correspondiente.
Sin ajustes
Limitar a
Seleccione la casilla de verificacin Activar todas las funciones de administracin de trfico y QoS.
Desmarque la casilla de verificacin Activar todas las funciones de administracin de trfico y QoS.
Reinicio automtico
Puede programar el dispositivo Firebox o XTM para que se reinicie automticamente en el da y la hora
especificados.
70 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Consola externa
Esta opcin slo est disponible para los dispositivos y configuraciones Firebox X Edge. Seleccione esta
casilla de verificacin para usar el puerto serie para conexiones de consola, como la CLI (interfaz de lnea
de comandos) del Fireware XTM. El puerto serie no puede usarse para conmutacin por error de mdem
cuando esta opcin est seleccionada y es necesario reiniciar el dispositivo para cambiar esta configuracin.
Cuando utiliza Fireware XTM Web UI para administrar su Firebox o dispositivos XTM, tambin puede elegir
utilizar los servidores WatchGuard System Manager y WatchGuard Server Center. Para obtener ms
informacin sobre WatchGuard System Manager, los servidores WatchGuard System Manager y
WatchGuard Server Center, consulte Ayuda de Fireware XTMWatchGuard System Manager v11.x y la Gua
de usuario de WatchGuard System Manager v11.x de Fireware XTM.
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Para obtener ms informacin sobre WatchGuard System Manager y los servidores WatchGuard, consulte
Ayuda de Fireware XTMWatchGuard System Manager v11.x o la Gua de usuario v11.x.
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, puede manejar todos los
dispositivos firewall y crear tneles de red privada virtual (VPN) con slo arrastrar y soltar. Las
funciones bsicas del Management Server son:
n Autoridad de certificacin para distribuir certificados para tneles de seguridad del protocolo
de Internet (IPSec).
Para obtener ms informacin acerca del Management Server, consulte Acerca del WatchGuard
Management Server la Ayuda de Fireware XTMWatchGuard System Manager v11.x o la Gua de
usuario v11.x..
Log Server
El Log Servers recopila mensajes de registro para cada dispositivo Firebox y XTM, y los guarda en una
base de datos PostgreSQL. Los mensajes de registro se cifran cuando se envan al Log Servers. El
formato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro que el
Log Servers recopila incluyen mensajes de registro de trfico, mensajes de registro de eventos,
alarmas y mensajes de diagnstico.
Para obtener ms informacin sobre los Log Servers, consulte la Ayuda de Fireware XTM
WatchGuard System Manager v11.x o la Gua de usuario v11.x..
Report Server
El Report Server agrupa peridicamente los datos recopilados por sus Log Server desde sus
dispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El Report Server luego
genera los reportes que usted especifica. Cuando los datos se encuentran en el Report Server,
puede revisarlos con el Report Manager o la Web UI (interfaz de usuario) de reporte.
Para obtener ms informacin acerca de cmo utilizar la Reporting Web UI, consulte la Ayuda de la
Reporting Web UI.
Para obtener ms informacin sobre el Report Server, consulte la Ayuda de Fireware XTM
WatchGuard System Manager v11.x o la Gua de usuario v11.x.
Quarantine Server
El Quarantine Server recopila y asla mensajes de correo electrnico que spamBlocker identifica
como posible spam.
Para obtener ms informacin sobre el Quarantine Server, consulte Pgina Acerca de Quarantine
Server en la pgina 635.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP para denegar el acceso de usuario a categoras
especificadas de sitios web. Cuando configura Firebox, establece las categoras de sitio web que
desea permitir o bloquear.
Para obtener ms informacin sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la pgina 561.
72 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
La poltica WatchGuard controla el acceso al Firebox en esos cuatro puertos TCP: 4103, 4105, 4117, 4118.
Cuando permite las conexiones en la poltica WatchGuard, permite las conexiones a cada uno de esos
cuatro puertos.
Antes de modificar la poltica WatchGuard, recomendamos que considere conectarse al Firebox con una
VPN. Eso aumenta enormemente la seguridad de la conexin. Caso no sea posible, recomendamos que
permita el acceso desde la red externa slo a determinados usuarios autorizados y al nmero de equipos
ms pequeo posible. Por ejemplo, su configuracin es ms segura si permite conexiones desde un equipo
simple en vez de desde el alias "Cualquier-externo".
4. Agregar la direccin del equipo externo que se conecta al Firebox: en la lista desplegable Tipo de
miembro, seleccione IP del host, y haga clic en Aceptar. Despus, ingrese la direccinIP.
5. Si desea otorgar acceso a un usuario autorizado en la lista desplegable Tipo de miembro seleccione
Alias.
Para obtener informacin sobre cmo crear un alias, vea Crear un alias en la pgina 258.
74 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Ahora puede agregar el dispositivo a la Management Server configuration. Cuando agrega ese Firebox a la
Management Server configuration, ste automticamente se conecta a la direccin IP esttica y configura el
Firebox como un cliente Firebox administrado.
76 Fireware XTMWeb UI
Informacin bsica sobre configuracin y administracin
Ese nombre distingue maysculas de minsculas y debe coincidir con el nombre usado al agregar el
dispositivo a la Management Server configuration.
4. En la ventana Direccin(es)IP del Management Server , seleccione la direccin IP del Management
Server caso tenga una direccin IP pblica.
O seleccione la direccin IP pblica del Firebox de puerta de enlace para el Management Server.
5. Para agregar una direccin, haga clic en Agregar.
El Firebox que protege el Management Server automticamente monitorea todos los puertos
usados por el Management Server y enva cualquier conexin de esos puertos hacia el Management
Server configurado. Cuando usa el Management Server Setup Wizard, el Asistente aade una poltica
WG-Mgmt-Server a su configuracin para cuidar de esas conexiones. Si no us el Management
Server Setup Wizard en el Management Server o si salt el paso Firebox de Puerta de Enlace en el
asistente, debe aadir manualmente la poltica WG-Mgmt-Server a la configuracin de su Firebox de
puerta de enlace.
6. En los campos Shared Secret y Confirmar, ingrese el secreto compartido.
El secreto compartido ingresado aqu debe coincidir con aqul ingresado al agregar el Firebox a la
Management Server configuration.
7. Copie el texto de su archivo de certificado CA del Management Server, y pguelo en el campo
Certificado de Management Server.
8. Haga clic Guardar.
Cuando guarda la configuracin en el Firebox, ste queda activado como dispositivo administrado. El
Firebox administrado intenta conectarse a la direccin IP del Management Server en el puerto TCP 4110.
Las conexiones de administracin no son permitidas a partir del Management Server para este dispositivo
Firebox.
Ahora puede agregar el dispositivo a la Management Server configuration. Para obtener ms informacin
acerca de la Ayuda del WatchGuard System Manager o Gua del usuario.
Tambin puede usar el WSM para configurar el modo de administracin de su dispositivo. Para obtener ms
informacin acerca de la Ayuda del WatchGuard System Manager o Gua del usuario.
2. Inicie el archivo descargado desde el sitio web de LiveSecurity y use el procedimiento en pantalla
para instalar el archivo de actualizacin del Fireware XTM en el directorio de instalacin de
WatchGuard en su equipo de administracin.
Por defecto, el archivo es instalado en una carpeta en:
C:\Program Files\Common Files\WatchGuard\resources\FirewareXTM\11.0
Actualizar el Firebox
1. Seleccione Sistema >Imagen de copia de seguridad para guardar una imagen de copia de
seguridad de su Firebox.
Para ms informaciones, vea Hacer una copia de seguridad de la imagen de Firebox en la pgina 41.
2. Seleccione Sistema >Actualizar OS.
3. Ingrese el nombre de archivo o haga clic en Examinar para seleccionar el archivo de actualizacin
desde el directorio en el que est instalado.
El nombre del archivo termina con .sysa_dl.
4. Haga clic en Actualizar.
Si su dispositivo WatchGuard estuvo funcionando por algn tiempo antes de la actualizacin, puede ser
necesario reiniciar el dispositivo antes de iniciar la actualizacin, para que se limpie la memoria temporal.
El archivo de configuracin es guardado en un archivo en formato comprimido (.gz). Antes que pueda usar
ese archivo con el Policy Managerde Fireware XTM, debe extraer el archivo zipeado hacia una carpeta en
su equipo.
Para obtener ms informacin acerca del Policy Manager, vea la Ayuda del WatchGuard System Manager.
78 Fireware XTMWeb UI
6 Configuracin de red
El dispositivo WatchGuard separa fsicamente a las redes en la red de rea local (LAN) de las que se
encuentran en la red de rea ancha (WAN) como Internet. El dispositivo utiliza enrutamiento para enviar
paquetes desde las redes que protege a redes fuera de la organizacin. Para hacerlo, el dispositivo debe
conocer qu redes estn conectadas en cada interfaz.
Recomendamos registrar la informacin bsica acerca de la configuracin de red y VPN en caso de que
necesite contactar a soporte tcnico. Esta informacin puede ayudar al tcnico a resolver su problema con
rapidez.
Modos de red
El dispositivo WatchGuard admite varios modos de red:
En el modo de enrutamiento combinado, se puede configurar Firebox para que enve trfico de red
entre una amplia variedad de interfaces de red fsica y virtual. ste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo,
cada interfaz debe configurarse por separado y es posible que deba cambiarse la configuracin de
red para cada computadora o cliente protegido por Firebox. Firebox utiliza la traduccin de
direccin de red (NAT) para enviar informacin entre interfaces de red.
n Todas las interfaces del dispositivo WatchGuard deben configurarse en diferentes subnet. La
configuracin mnima incluye a las interfaces externas y de confianza. Tambin puede
configurar una o ms interfaces opcionales.
n Todas las computadoras conectadas a las interfaces opcionales y de confianza deben tener una
direccin IP de esa red.
Modo directo
En una configuracin directa, el dispositivo WatchGuard est configurado con la misma direccin IP
en todas las interfaces. Puede colocar el dispositivo WatchGuard entre el enrutador y la LAN y no
ser necesario cambiar la configuracin de ninguna computadora local. Esta configuracin se
conoce como modo directo porque el dispositivo WatchGuard se coloca en una red existente.
Algunas funciones de red, como puentes y VLAN ( redes virtuales de rea local) no estn disponibles
en este modo.
Para ms informaciones, vea Acerca de la configuracin de red en modo directo en la pgina 89.
Modo puente
El modo puente es una funcin que permite ubicar al dispositivo WatchGuard entre una red
existente y su puerta de enlace para filtrar o administrar el trfico de red. Cuando se activa esta
funcin, el dispositivo WatchGuard procesa y reenva todo el trfico de red entrante a la gateway IP
address especificada. Cuando el trfico llega a la puerta de enlace, parece haber sido enviado desde
el dispositivo original. En esta configuracin, el dispositivo WatchGuard no puede realizar varias
funciones que requieren una direccin IP pblica y nica. Por ejemplo, no se puede configurar un
dispositivo WatchGuard en modo puente para que funcione como extremo para una VPN (red
privada virtual).
Tipos de interfaz
Se utilizan tres tipos de interfaz para configurar la red en enrutamiento combinado o modo directo:
Interfaces externas
Una interfaz externa se usa para conectar el dispositivo WatchGuard a una red fuera de la
organizacin. Con frecuencia, una interfaz externa es el mtodo mediante el cual se conecta Firebox
a Internet. Se puede configurar un mximo de cuatro (4) interfaces externas fsicas.
80 Fireware XTMWeb UI
Configuracin de red
Cuando se configura una interfaz externa, se debe elegir el mtodo que usa el proveedor de
servicios de Internet (ISP) para otorgar una direccin IP a su Firebox. Si no conoce el mtodo, solicite
esta informacin a su ISP o administrador de red.
Interfaces de confianza
Las interfaces de confianza se conectan a la LAN (red de rea local) privada o a la red interna de la
organizacin. Una interfaz de confianza en general provee conexiones a los empleados y recursos
internos seguros.
Interfaces opcionales
Las interfaces opcionales son entornos combinados-de confianza o DMZ que estn separados de la
red de confianza. Ejemplos de computadoras que a menudo se encuentran en una interfaz opcional
son los servidores web pblicos, servidores FTP y servidores de correo electrnico.
Para obtener ms informacin sobre tipos de interfaz, consulte Configuraciones de interfaz comunes en la
pgina 95.
Si tiene un Firebox X Edge, puede utilizar la interfaz de usuario web de Firebox XTM para configurar la
conmutacin por error con un mdem externo en el puerto serie.
Para ms informaciones, vea Conmutacin por error de mdem serie en la pgina 128.
Cuando se configuran las interfaces en el dispositivo WatchGuard, se debe utilizar notacin diagonal para
indicar la subnet mask. Por ejemplo, se ingresa el rango de red 192.168.0.0 subnet mask 255.255.255.0
como 192.168.0.0/24. Una interfaz de confianza con la direccin IP de 10.0.1.1/16 tiene una subnet mask
de 255.255.0.0.
Para obtener ms informacin sobre notacin diagonal, consulte Acerca de las Notacin diagonal en la
pgina 3.
Nmero de
Etiqueta de interfaz en el hardware de Firebox X Edge e-
interfaz en
Series
Fireware XTM
0 WAN 1
2 WAN 2
3 Op
Las interfaces con etiqueta LAN 0, LAN 1 y LAN 2 pueden considerarse como un concentrador de red de
tres interfaces que se conecta a una nica interfaz de Firebox. En Fireware XTM, estas interfaces se
configuran juntas como Interfaz 1.
Una configuracin de red bsica en el modo de enrutamiento combinado utiliza por lo menos dos
interfaces. Por ejemplo, puede conectar una interfaz externa a un mdem por cable u otra conexin a
Internet y una interfaz de confianza a un enrutador interno que conecta a miembros internos de la
organizacin. En esa configuracin bsica, puede agregar una red opcional que protege a los servidores
pero permite un mayor acceso desde redes externas, configurar VLAN y otras funciones avanzadas o
configurar opciones de seguridad adicionales como restricciones de direccin MAC. Tambin puede definir
el modo en que el trfico de red se enva entre las interfaces.
En el modo de enrutamiento combinado es fcil olvidar las direcciones IP y puntos de conexin en la red ,
especialmente si se usan VLAN (redes virtuales de rea local), secondary networks y otras funciones
avanzadas. Recomendamos registrar la informacin bsica acerca de la configuracin de red y VPN en caso
de que necesite contactar a soporte tcnico. Esta informacin puede ayudar al tcnico a resolver su
problema con rapidez.
Cuando se configura una interfaz externa, se debe elegir el mtodo que usa el proveedor de servicios de
Internet (ISP) para otorgar una direccin IP a su dispositivo. Si no conoce el mtodo, solicite esta
informacin a su ISP o administrador de red.
Para obtener informacin acerca de los mtodos utilizados para configurar y distribuir direcciones IP,
consulte estticas y dinmicas Direcciones IP en la pgina 4.
82 Fireware XTMWeb UI
Configuracin de red
7. Haga clic en Configuracin avanzada de PPPoE para configurar opciones de PPPoE adicionales.
El ISP puede informarle si debe cambiar los valores de tiempo de espera o LCP.
8. Si el ISP requiere la etiqueta de host nico para paquetes de descubrimiento de PPPoE, seleccione
la casilla de verificacin Utilizar etiqueta de host nico en paquetes de descubrimiento de PPPoE.
9. Seleccionar cundo el dispositivo se conecta al servidor PPPoE:
n Siempre activo: el dispositivo Firebox o XTM mantiene una conexin PPPoE constante. No es
necesario para el trfico de red atravesar la interfaz externa.
n Marcar a demanda: el dispositivo Firebox o XTM se conecta al servidor PPPoE slo cuando
recibe una solicitud de enviar trfico a una direccin IP en la interfaz externa. Si el ISP
restablece la conexin en forma regular, seleccione esta opcin.
10. En el cuadro de texto Falla en eco de LCP en , ingrese o seleccione el nmero de solicitudes de eco
de LCP permitidas antes de que la conexin PPPoE se considere inactiva y se cierre.
11. En el cuadro de texto Tiempo de espera del eco de LCP en , ingrese o seleccione la cantidad de
tiempo, en segundos, en la que debe recibirse la respuesta a cada tiempo de espera del eco.
12. Para configurar el dispositivo Firebox o XTM para que reinicie automticamente la conexin PPPoE
en forma diaria o semanal, seleccione la casilla de verificacin Programar tiempo para reinicio
automtico.
84 Fireware XTMWeb UI
Configuracin de red
13. En la lista desplegable Programar tiempo para reinicio automtico, seleccione Diario para reiniciar
la conexin al mismo tiempo cada da o seleccione un da de la semana para un reinicio semanal.
Seleccione la hora y minutos del da (en formato de 24 horas) para reiniciar automticamente la
conexin PPPoE.
14. En el cuadro de texto Nombre del servicio , ingrese un nombre del servicio PPPoE.
Las opciones son el nombre del ISP o una clase de servicio que est configurada en el servidor
PPPoE. En general, esta opcin no se usa. Seleccinela slo si hay ms de un concentrador de
acceso o si sabe que debe utilizar un nombre de servicio especfico.
15. En el cuadro de texto Nombre del concentrador de acceso , ingrese el nombre de un concentrador
de acceso PPPoE, conocido tambin como servidor PPPoE. En general, esta opcin no se usa.
Seleccione esta opcin slo si sabe que hay ms de un concentrador de acceso.
16. En el cuadro de texto Reintentos de autenticacin , ingrese o seleccione el nmero de veces que
el dispositivo Firebox o XTM puede intentar realizar una conexin.
El valor predeterminado es de tres (3) intentos de conexin.
17. En el cuadro de texto Tiempo de espera de autenticacin , ingrese un valor para la cantidad de
tiempo entre los reintentos.
El valor predeterminado es 20 segundos entre cada intento de conexin.
18. Haga clic en Volver a las configuraciones principales de PPPoE.
19. Guarde su configuracin.
Usar DHCP
1. En la lista desplegable Modo configuracin , seleccione DHCP.
2. Si el ISP o el servidor DHCO externo requiere un identificador de cliente, como una direccin MAC,
ingrese esta informacin en el cuadro de texto Cliente .
3. Para especificar un nombre de hostpara identificacin,ingrselo enel cuadrode textoNombre dehost .
4. Para asignar una direccin IP en forma manual a la interfaz externa, ingrsela en el cuadro de texto
Utilizar esta direccin IP .
Para configurar esta interfaz para que obtenga una direccin IP automticamente, desmarque el
cuadro de texto Utilizar esta direccin IP.
5. Para cambiar el tiempo de concesin, seleccione la casilla de verificacin Tiempo de concesin y
seleccione el valor deseado en la lista desplegable adyacente.
Las direcciones IP que asigna un servidor DHCP tienen un tiempo de concesin predeterminado de
un da; cada direccin es vlida por un da.
Si el dispositivo WatchGuard est configurado en modo directo, consulte Configurar DHCP en modo directo
en la pgina 91.
Configurar DHCP
1. Seleccione Interfaces de> red.
2. Seleccione una interfaz de confianza u opcional. Haga clic en Configurar.
86 Fireware XTMWeb UI
Configuracin de red
4. Para agregar un grupo de direcciones IP para asignar usuarios en esta interfaz, ingrese una direccin
IP de inicio y una direccin IP de finalizacin desde la misma subnet, luego haga clic en Agregar.
El grupo de direcciones debe pertenecer ya sea a la subnet IP principal o secundaria de la interfaz.
Se puede configurar un mximo de seis rangos de direcciones. Los grupos de direcciones se usan desde el
primero al ltimo. Las direcciones en cada grupo se asignan por nmero, de menor a mayor.
5. Para cambiar el tiempo de concesin predeterminado, seleccione una opcin diferente en la lista
desplegable Tiempo de concesin.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una direccin IP que recibe del servidor DHCP.
Cuando el tiempo de concesin se est por agotar, el cliente enva datos al servidor DHCP para obtener una
nueva concesin.
6. De manera predeterminada, cuando el dispositivo WatchGuard est configurado como servidor
DHCP, revela la informacin del servidor DNS y WINS configurada en la pestaa Configuracin de
red > WINS/DNS. Para especificar informacin diferente para que el dispositivo asigne cuando
revela las direcciones IP, haga clic en ,pestaa DNS/WINS..
1. Ingrese un nombre para la reserva, la direccin IP que desea reservar y la direccin MAC de la
tarjeta de red del cliente.
Para obtener ms informacin sobre el servicio DNS dinmico o para crear una cuenta DynDNS, ingrese en
http://www.dyndns.com.
88 Fireware XTMWeb UI
Configuracin de red
n dyndns; enva actualizaciones para un nombre de host DNS dinmico. Use la opcin dyndns
cuando no tenga control sobre la direccin IP (por ejemplo, no es esttica y cambia en forma
regular).
n custom; enva actualizaciones para un nombre de host DNS personalizado. Las empresas que
pagan para registrar sus dominios en dyndns.com utilizan con frecuencia esta opcin.
Para acceder a una explicacin de cada opcin, consulte http://www.dyndns.com/services/.
8. En el campo Opciones, ingrese una o ms de estas opciones:
n mx=mailexchanger& ; especifica un Mail eXchanger (MX) para usar con el nombre de host.
n backmx=YES|NO& ; solicita que el MX en el parmetro anterior est configurado como MX de
copia de seguridad (incluye al host como MX con un valor de preferencia menor).
n wildcard=ON|OFF|NOCHG& ; activa o desactiva comodines para este host (ON [encendido] para
activar).
n offline=YES|NO ; establece al nombre de host en modo desconectado. Pueden enlazarse una
o ms opciones con el signo &. Por ejemplo:
&mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON
En modo directo:
n Se debe asignar la misma direccin IP principal a todas las interfaces en Firebox (externa, de
confianza y opcional).
n Pueden asignarse secondary networks en cualquier interfaz.
n Lasmismas direccionesIP ypuertas de enlace predeterminadaspueden mantenerse para loshost enlas
redesde confianzay opcionales,y se puede agregar una direccinde secondarynetwork ala interfaz
externaprincipal paraque Fireboxpueda enviar trfico correctamente a loshost de estas redes.
n Los servidores pblicos detrs de Firebox pueden continuar utilizando las direcciones IP pblicas. La
traduccin de direccin de red (NAT) no se utiliza para enrutar trfico desde el exterior de la red
hacia los servidores pblicos.
En algunas ocasiones es necesario Limpiar cach de ARP de cada computadora protegida por Firebox, pero
esto no es frecuente.
Nota Si se mueve una direccin IP de una computadora que se encuentra detrs de una
interfaz a una computadora que se encuentra detrs de una interfaz diferente,
pueden transcurrir varios minutos antes de que el trfico de red se enve a la nueva
ubicacin. Firebox debe actualizar su tabla de enrutamiento interna antes de que
este trfico pueda circular. Los tipos de trfico que se ven afectados incluyen
registro, SNMP y conexiones de administracin de Firebox.
Las interfaces de red pueden configurarse en modo directo cuando se ejecuta el Quick Setup Wizard. Si ya
ha creado una configuracin de red, puede usar el Policy Manager para cambiar al modo directo.
Para ms informaciones, vea Ejecutar el Web Setup Wizard en la pgina 24.
90 Fireware XTMWeb UI
Configuracin de red
3. Desmarque la casilla de verificacin para cualquier interfaz en la que desee agregar una entrada de
host relacionado.
4. En el cuadro de texto Host, ingrese la direccin IP del dispositivo para el cual desea construir una
ruta esttica desde Firebox. Seleccione la Interfaz en la lista desplegable adyacente y luego haga clic
en Agregar. Repita este paso para agregar otros dispositivos.
Usar DHCP
De manera predeterminada, Firebox revela la informacin de configuracin del servidor DNS/WINS cuando
est configurado como servidor DHCP. La informacin DNS/WINS de esta pgina puede configurarse para
anular la configuracin global. Para obtener ms informacin, consulte las instrucciones en Agregar
servidores WINS y Direcciones del servidor DNS en la pgina 98.
4. Para agregar un grupo de direcciones desde el cual Firebox puede entregar direcciones IP: en los
cuadros de texto IP de inicio e IP de finalizacin, ingrese un rango de direcciones IP que se
encuentren en la misma subnet que la direccin IP directa. Haga clic en Agregar.
Repita este paso para agregar ms grupos de direcciones.
Se puede configurar un mximo de seis grupos de direcciones.
92 Fireware XTMWeb UI
Configuracin de red
5. Para reservar una direccin IP especfica de un grupo de direcciones para un dispositivo o cliente,
en la seccin Direcciones reservadas:
4. Ingrese la direccin IP del servidor DHCP en el campo relacionado. Asegrese de Agregue una ruta
esttica al servidor DHCP, si es necesario.
5. Haga clic en Guardar. Haga clic en Guardar nuevamente.
Puede especificar una configuracin DHCP diferente para cada interfaz opcional o de confianza en su
configuracin. Para modificar estas configuraciones:
Para desactivar DHCP para clientes en esa interfaz de red, seleccione Desactivar DHCP.
Para configurar diferentes opciones de DHCP para clientes en una secondary network, seleccione
Utilizar servidor DHCP para secondary network.
5. Para agregar grupos de direcciones IP, configurar el tiempo de concesin predeterminado y
administrar servidores DNS/WINS, complete los Pasos 3-6 de la seccin Utilizar DHCP.
6. Haga clic en OK.
Modo Bridge
El modo Bridge es una funcin que le permite instalar su dispositivo Firebox o XTM entre una red existente
y su puerta de enlace para filtrar o administrar el trfico de red. Cuando se activa esta funcin, el dispositivo
Firebox o XTM procesa y reenva todo el trfico de red a otros dispositivos de la puerta de enlace. Cuando el
trfico llega a la puerta de enlace desde el dispositivo Firebox o XTM, parece haber sido enviado desde el
dispositivo original.
Para utilizar el modo Bridge, debe especificar una direccin IP utilizada para administrar el dispositivo
Firebox o XTM. El dispositivo tambin utiliza esta direccinIP para obtener actualizaciones para elGateway
Antivirus/IPS y para generar rutas a servidores DNS, NTP o WebBlocker internos segn sea necesario.
Debido a esto, asegrese de asignar una direccinIP que pueda enrutarse por Internet.
Cuando utiliza el modo Bridge, el dispositivo Firebox o XTM no puede completar algunas funciones que
requieren que el dispositivo funcione como puerta de enlace. Estas funciones incluyen:
n WAN mltiple
n VLAN (redes virtuales de rea local)
n Puentes de red
n Rutas estticas
n FireCluster
n Secondary networks
n Servidor DHCP o retransmisin DHCP
n Conmutacin por error de mdem serial (Firebox X Edge nicamente)
n 1 a 1 NAT, dinmica o esttica
n Enrutamiento dinmico (OSPF, BGP o RIP)
n Cualquier tipo de VPN para la cual el dispositivo Firebox o XTM sea un extremo o puerta de enlace
n Algunas funciones proxy, incluido el Servidor de cach de Internet HTTP
Si ya ha configurado estas funciones o estos servicios, se desactivarn cuando cambie a modo Bridge. Para
utilizar estas funciones o servicios nuevamente, debe usar un modo de red diferente. Si vuelve al modo de
enrutamiento combinado o directo, es posible que deba configurar algunas funciones nuevamente.
Nota Cuando se activa el modo Bridge, se desactiva cualquier interfaz con un puente de
red o VLAN configurado previamente. Para utilizar esas interfaces, primero debe
cambiar a modo de enrutamiento combinado o directo y configurar la interfaz
como externa, opcional o de confianza y luego volver al modo Bridge. Las
funciones inalmbricas de los dispositivos inalmbricos Firebox o XTM funcionan
correctamente en el modo Bridge.
94 Fireware XTMWeb UI
Configuracin de red
3. Si se le indica que desactive las interfaces, haga clic en S para desactivar las interfaces o en No para
volver a la configuracin anterior.
4. Ingrese la direccin IP del dispositivo Firebox o XTM en notacin diagonal.
Para obtener ms informacin sobre notacin diagonal, consulte Acerca de las Notacin diagonal
en la pgina 3.
5. Ingrese la direccin IP de puerta de enlace que recibe todo el trfico de red desde el dispositivo.
6. Haga clic en Guardar.
2. Seleccione la interfaz que desea configurar y despus haga clic en Configurar. Las opciones
disponibles dependen del tipo de interfaz seleccionada.
Aparece el cuadro de dilogo de interfaz Configuracin.
n Para obtener ms informacin acerca de cmo asignar una direccin IP a una interfaz externa,
consulte Configurar una interfaz externa en la pgina 82. Para configurar la direccin IP de una
interfaz de confianza u opcional, ingrese la direccin IP en notacin diagonal.
n Para asignar direcciones IP en forma automtica a clientes en una interfaz de confianza u
opcional, consulte Configurar el DHCP en modo de enrutamiento mixto en la pgina 86 o
Configurar retransmisin de DHCP en la pgina 97.
n Para usar ms de una direccin IP en una nica interfaz de red fsica, consulte Configurar una
secondary network en la pgina 99.
n Para obtener ms informacin acerca de configuraciones LAN, consulte Acerca de redes
virtuales de rea local (VLAN) en la pgina 108.
n Para quitar una interfaz de su configuracin, consulte Desactivar una interfaz en la pgina 96.
6. Configure la interfaz como se describe en uno de los temas anteriores.
7. Haga clic en Guardar.
96 Fireware XTMWeb UI
Configuracin de red
En el cuadro de dilogo Configuracin de red, el tipo de interfaz ahora aparece como Desactivada.
Si el servidor DHCP que desea utilizar no se encuentra en una red protegida por el dispositivo WatchGuard,
debe configurar un tnel VPN entre el dispositivo WatchGuard y el servidor DHCP para que esta funcin
opere correctamente.
Esta funcin es especialmente til para prevenir cualquier acceso no autorizado a la red desde una
ubicacin dentro de su oficina. Sin embargo, se debe actualizar la lista de control de acceso MAC para cada
interfaz cuando se agrega a la red una nueva computadora autorizada.
Nota Si decide restringir el acceso mediante la direccin MAC, debe incluir la direccin
MAC de la computadora que usa para administrar el dispositivo WatchGuard.
2. Seleccione la interfaz en la que desea activar el control de acceso MAC y luego haga clic en
Configurar.
Aparece la pgina Configuracin de interfaz.
3. Seleccione la pestaa Control de acceso MAC.
n El Firebox utiliza el servidor DNS para resolver nombres con las direcciones IP de las VPN de IPSec y
para que las funciones spamBlocker, antivirus (AV) de puerta de enlace e IPS funcionen
correctamente.
n Los usuarios de Mobile VPN y los clientes DHCP utilizan las entradas de WINS y DNS en las redes de
confianza o en las redes opcionales para resolver las consultas de DNS.
Asegrese de utilizar slo un servidor WINS y DNS interno para DHCP y Mobile VPN. Esto ayuda a garantizar
que no se creen polticas con propiedades de configuracin que impidan a los usuarios conectarse con el
servidor DNS.
98 Fireware XTMWeb UI
Configuracin de red
3. En el cuadro de texto Servidor DNS o Servidor WINS, ingrese las direcciones principal y secundaria
para cada servidor WINS y DNS.
4. Haga clic en Agregar.
5. Repita los pasos 3 al 4 para especificar hasta tres servidores DNS.
6. (Opcional) En el cuadro de texto Domain name, ingrese un domain name para que un cliente DHCP
use con nombres no calificados como watchguard_mail.
Por ejemplo, si configura un dispositivo Firebox o XTM en modo Drop-in, le otorga a cada interfaz del
dispositivo Firebox o XTM la misma direccin IP. Sin embargo, probablemente use un conjunto de
direcciones IP diferente en su red de confianza. Puede agregar esta red privada como secondary network a
la interfaz de confianza del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se crea
una ruta desde una direccin IP en la secondary network a la direccin IP de la interfaz del dispositivo
Firebox o XTM.
Si su dispositivo Firebox o XTM est configurado con una direccin IP esttica, puede agregar una direccin
IP en la misma subnet que la interfaz externa principal como secondary network. Luego se puede
configurar NAT esttica para ms de un tipo de servidor igual. Por ejemplo, configure una secondary
network externa con una segunda direccin IP pblica si tiene dos servidores SMTP pblicos y desea
configurar una regla NAT esttica para cada uno.
Puede agregar hasta 2048 secondary networks por interfaz del dispositivo Firebox o XTM. Puede utilizar
secondary networks con una configuracin de red directa o enrutada. Tambin puede agregar una
secondary network a una interfaz externa de un dispositivo Firebox o XTM si la interfaz externa est
configurada para obtener su direccin IP a travs de PPPoE o DHCP.
n Una direccin IP sin utilizar en la secondary network para asignrsela a la interfaz del dispositivo
Firebox o XTM.
n Una direccin IP sin utilizar en la misma red que la interfaz externa del dispositivo Firebox o XTM.
Establece la velocidad y los parmetros dobles para las interfaces de Firebox en configuracin
automtica o manual. Recomendamos mantener la velocidad de enlace configurada para
negociacin automtica. Si usa la opcin de configuracin manual, debe asegurarse de que el
dispositivo al que se conecta Firebox tambin est manualmente configurado a la misma velocidad y
parmetros dobles que Firebox. Utilice la opcin de configuracin manual slo cuando deba anular
los parmetros de interfaz automticos de Firebox para operar con otros dispositivos en la red.
Cuando utiliza configuraciones de administracin de trfico para garantizar ancho de banda a las
polticas, esta configuracin verifica que no se garantice ms ancho de banda del que efectivamente
existe para una interfaz. Esta configuracin ayuda a asegurar que la suma de configuraciones de
ancho de banda garantizado no complete el enlace de manera tal que el trfico no garantizado no
pueda circular.
Crea diferentes clasificaciones de servicio para distintos tipos de trfico de red. Puede establecer el
comportamiento de marcado predeterminado a medida que el trfico sale de una interfaz. Estas
configuraciones pueden ser anuladas por las configuraciones definidas para una poltica.
Utiliza direcciones de hardware (MAC) de la computadora para controlar el acceso a una interfaz de
Firebox.
5. En el cuadro de texto Unidad Mxima de Transmisin (MTU) , seleccione el tamao mximo del
paquete, en bytes, que pueden enviarse a travs de la interfaz. Recomendamos utilizar el valor
predeterminado, 1500 bytes, a menos que el equipo de red requiera un tamao de paquete
diferente.
Puede configurar la MTU desde un mnimo de 68 a un mximo de 9000.
6. Para cambiar la direccin MAC de la interfaz externa, seleccione la casilla de verificacin Cancelar
direccin MAC e ingrese la nueva direccin MAC.
n La direccin MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen un
valor entre 0 y 9 o entre "a" y "f".
n La direccin MAC debe funcionar con:
o Una o ms direcciones en la red externa.
o La direccin MAC de la red de confianza para el dispositivo.
o La direccin MAC de la red opcional para el dispositivo.
Si la casilla de verificacin Cancelar direccin MAC no est seleccionada cuando se reinicia el dispositivo
WatchGuard, el dispositivo utiliza la direccin MAC predeterminada para la red externa.
Para reducir los problemas con direcciones MAC, el dispositivo WatchGuard verifica que la direccin MAC
que usted asigna a la interfaz externa sea nica en su red. Si el dispositivo WatchGuard encuentra un
dispositivo que usa la misma direccin MAC, vuelve a cambiar a la direccin MAC estndar para la interfaz
externa y se inicia nuevamente.
Copiar
Seleccione Copiar para aplicar la configuracin DF bit del marco original al paquete cifrado IPSec. Si
un marco no tiene configurado DF bit, Fireware XTM no configura DF bit y fragmenta el paquete si es
necesario. Si un marco est configurado para no ser fragmentado, Fireware XTM encapsula el marco
completo y configura DF bit del paquete cifrado para que coincida con el marco original.
Determinar
Limpiar
Seleccione Borrar para dividir el marco en partes que puedan integrarse a un paquete IPSec con el
encabezado ESP o AH, independientemente de la configuracin de bit original.
La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la
unidad mxima de transmisin (MTU) para un tnel VPN IPSec cuando recibe una solicitud de ICMP de
fragmentar un paquete desde un enrutador con una configuracin de MTU ms baja en Internet.
Tambin se puede utilizar esta funcin para restringir todo el trfico de red a los dispositivos que coinciden
con las direcciones MAC e IP en esta lista. Esto es similar a la funcin de control de acceso MAC.
Para ms informaciones, vea Restringir el trfico de red mediante la direccin MAC en la pgina 97.
1. Seleccione Interfaces de >red. Seleccione una interfaz y despus haga clic en Configurar.
2. Haga clic en Avanzado.
3. Ingrese un par de direccin IP y direccin MAC. Haga clic en Agregar. Repita este paso para agregar
otros pares.
4. Si desea que esta interfaz transmita slo trfico que coincida con una entrada en la lista vnculo de
direccin MAC/IP esttico, seleccione la casilla de verificacin Slo permitir trfico enviado desde
o hacia estas direcciones MAC/IP.
Si no desea bloquear trfico que no coincide con una entrada de la lista, desmarque esta casilla de
verificacin.
1. Desde la lnea de comando de la computadora cuya direccin MAC desea averiguar, ingrese
ipconfig /all (Windows) o ifconfig (OS X o Linux).
2. Busque la entrada de "direccin fsica" de la computadora. Este valor es la direccin MAC o de
hardware de la computadora.
Si desea establecer un puente entre todo el trfico de dos interfaces, recomendamos utilizar el modo
puente para la configuracin de red.
Acerca de
Una ruta es la secuencia de dispositivos a travs de los cuales se enva el trfico de red. Cada dispositivo en
esta secuencia, en general llamado enrutador, almacena informacin acerca de las redes a las que est
conectado en una tabla de enrutamiento. Esta informacin se utiliza para reenviar el trfico de red al
siguiente enrutador en la ruta.
Se pueden crear rutas estticas para enviar el trfico a host o redes especficas. El enrutador puede
entonces enviar el trfico desde la ruta especificada al destino correcto. Si tiene una red completa detrs
de un enrutador en la red local, agregue una ruta de red. Si no agrega una ruta a una red remota, todo el
trfico a esa red se enva a la puerta de enlace predeterminada del Firebox.
Antes de comenzar, debe comprender la diferencia entre una ruta de red y una ruta de host. Una ruta de
red es una ruta a una red completa detrs de un enrutador ubicado en la red local. Utilice una ruta de host
si hay slo un host detrs del enrutador o si desea que el trfico se dirija slo a un host.
n Seleccione IP de red si tiene una red completa detrs de un enrutador en la red local.
n Seleccione IP de host si hay slo un host detrs del enrutador o si desea que el trfico se dirija
slo a un host.
3. En el cuadro de texto Ruta hacia, ingrese la direccin IP de destino.
4. En el cuadro de texto Puerta de enlace, ingrese la direccin IP de la interfaz local del enrutador.
La direccin IP de la puerta de enlace debe ser una direccin IP administrada por el dispositivo
WatchGuard.
5. En el cuadro de texto Mtrica, ingrese o seleccione una mtrica para la ruta. Las rutas con las
mtricas ms bajas tienen mayor prioridad.
6. Haga clic en Agregar.
7. Para agregar otra ruta esttica, repita los pasos 2 al 4.
Para eliminar una ruta esttica, seleccione la direccin IP en la lista y haga clic en Eliminar.
8. Haga clic en Guardar.
Las VLAN permiten dividir la red en grupos con una agrupacin o estructura jerrquica lgica en lugar de
una fsica. Esto ayuda a liberar al personal de TI de las restricciones del diseo de red y la infraestructura de
cableado existentes. Las VLAN facilitan el diseo, la implementacin y la administracin de la red. Debido a
que las VLAN se basan en software, la red se puede adaptar de manera rpida y sencilla a incorporaciones,
reubicaciones y reorganizaciones.
Las VLAN utilizan puentes y conmutadores, entonces los broadcast son ms eficientes porque se dirigen
slo a personas en la VLAN y no a todos los conectados. En consecuencia, se reduce el trfico a travs de
los enrutadores, lo cual implica una reduccin en la latencia del enrutador. Firebox puede configurarse para
funcionar como servidor DHCP para dispositivos en la VLAN o puede utilizar retransmisin DHCP con un
servidor DHCP separado.
Nota Si define VLAN, puede ignorar mensajes con el texto 802.1d unknown version
(802.1d versin desconocida). Esto puede ocurrir porque la implementacin de
VLAN de WatchGuard no es compatible con el protocolo de administracin de
enlaces Spanning Tree (rbol de expansin).
Cuando se define una nueva VLAN, se agrega une entrada en la tabla Configuracin de VLAN. Se puede
cambiar la vista de esta tabla:
n Haga clic en el encabezado de columna para ordenar la tabla segn los valores de esa columna.
n La tabla puede ordenarse de mayor a menor o de menor a mayor.
n Los valores en la columna Interfaz muestran las interfaces fsicas que son miembros de esta VLAN.
n El nmero de interfaz en negrita es la interfaz que enva datos no etiquetados a esa VLAN.
Puede configurar Firebox como servidor DHCP para las computadoras en la red VLAN.
1. En la pestaa Red, seleccione Servidor DHCP en la lista desplegable Modo DHCP. para configurar el
Firebox como servidor DHCP para la red VLAN. Si es necesario, ingrese el domain name para
proporcionarlo a los clientes DHCP.
2. Para agregar un conjunto de direcciones IP, Ingrese la primera y la ltima direccin IP en el grupo.
Haga clic en Agregar.
Se puede configurar un mximo de seis grupos de direcciones.
3. Para reservar una direccin IP especfica para un cliente, Ingrese la direccin IP, el nombre de
reserva y la direccin MAC del dispositivo. Haga clic en Agregar.
Ahora puede realizar los siguientes pasos y Asignar interfaces a (red de rea local virtual).
En este ejemplo, los equipos en ambas VLAN se conectan al mismo interruptor 802.1Q y el interruptor se
conecta a la interfaz 3 del dispositivo Firebox o XTM.
18. Ahora, ambas VLAN aparecen en la lista y estn configuradas para utilizar la interfaz de VLAN
definida.
1. Configure la interfaz externa en el dispositivo WatchGuard para obtener su direccin con PPPoE.
Asegrese de configurar el nombre de usuario PPPoE/contrasea en pblico/pblico. Para obtener
ms informacin acerca de cmo configurar la interfaz externa para PPPoE, consulte Configurar una
interfaz externa en la pgina 82.
2. Active la tarjeta de datos de banda ancha. Consulte las instrucciones incluidas en la tarjeta de datos
de banda ancha para obtener ms informacin.
3. Prepare el bridge inalmbrico 3G Extend:
n Inserte la tarjeta de datos de banda ancha en la ranura del bridge inalmbrico 3G Extend.
n Conecte la energa elctrica al bridge inalmbrico 3G Extend.
n Verifique que las luces LED estn activas.
4. Use un cable Ethernet para conectar el bridge inalmbrico 3G Extend a la interfaz externa del
dispositivo WatchGuard.
n Para operar correctamente con el dispositivo WatchGuard, el bridge inalmbrico 3G Extend debe
configurarse para ejecutarse en modo "Autoconexin". Todos los dispositivos 3G Extend/MB5000K
estn preconfigurados para ejecutarse en este modo de manera predeterminada. Para verificar si el
dispositivo 3G Extend est configurado en modo Autoconexin, conctese directamente al
dispositivo y seleccione Interfaces >Acceso a Internet. Seleccione la interfaz WAN#0. En el seccin
Red, asegrese de que el modo Conectar de la lista desplegable est configurado en Auto.
n Si la tarjeta inalmbrica 3G funciona en la red celular GPRS, puede ser necesario agregar un inicio
de sesin de red y contrasea a la configuracin del dispositivo 3G Extend. Para agregar un inicio de
sesin de red red y contrasea, conctese al bridge inalmbrico 3GExtend y seleccione Servicios >
Bridge administrable.
n Para restablecer las configuraciones predeterminadas de fbrica en el MB5000K, conctese al
bridge inalmbrico 3G Extend y seleccione Sistema> Configuraciones predeterminadas de fbrica.
Haga clic en S.
1. Siga las instrucciones en la Gua de inicio rpido del Cradlepoint CBA250 para configurar el
dispositivo Cradlepoint.
2. Configure la interfaz externa en el dispositivo WatchGuard para obtener su direccin con DHCP. Para
aprender cmo configurar la interfaz externa para PPPoE, consulte Configurar una interfaz externa
en la pgina 82.
3. Use un cable Ethernet para conectar el dispositivo Cradlepoint a la interfaz externa de Firebox.
4. Inicie (o reinicie) el dispositivo WatchGuard.
Cuando Firebox se inicia, recibe una direccin DHCP del dispositivo Cradlepoint. Despus de que se asigna una
direccin IP, Firebox puede conectarse a Internet a travs de la red de banda ancha celular.
El Cradlepoint admite un gran nmero de USB o dispositivos inalmbricos de banda ancha ExpressCard.
Para obtener una lista de dispositivos admitidos, consulte http://www.cradlepoint.com/support./cba250.
Con la funcin WAN mltiple, puede configurar hasta cuatro interfaces externas, cada una en una subred
diferente. Eso permite conectar su Firebox a ms de un Proveedor de servicios de Internet (ISP). Cuando
configura una segunda interfaz, la funcin de WAN mltiple es automticamente activada.
n Si tiene una poltica configurada con un alias de interfaz externa individual en su configuracin, debe
alterarla para usar el alias Cualquiera-Externo, u otro alias configurado para interfaces externas. Si no
lo hace, puede ser que sus polticas de firewall nieguen algn trfico.
n La configuracin de WAN mltiple no se aplica al trfico entrante. Cuando configura una poltica
para trfico entrante, puede ignorar todas las configuraciones de WAN mltiple.
n Para anular la configuracin de WAN mltiple en cualquier poltica individual, active el enrutamiento
basado en la poltica para la poltica en cuestin. Para ms informacin acerca del enrutamiento
basado en la poltica, vea Configurar el enrutamiento basado en la poltica en la pgina 269.
n Asigne el Domain Name totalmente cualificado de su empresa a la direccin IP de interfaz externa
del orden ms bajo. Si aade un dispositivo WatchGuard de WAN mltiple a la Management Server
configuration, debe usar la interfaz externa de orden ms inferior para identificarlo cuando agrega
el dispositivo.
n Para usar WAN mltiple, debe usar el modo de enrutamiento combinado para la configuracin de
red. Esa funcin no opera en las configuraciones de red de modo directo o puente.
n Para usar el mtodo de desbordamiento en la interfaz, debe tener el Fireware XTM con una
actualizacin Pro. Tambin debe tener una licencia Pro de Fireware XTM si usa el mtodo de
operacin por turnos y configura diferentes pesos para las interfaces externas del dispositivo
WatchGuard.
Puede usar una de las cuatro opciones de configuracin de WAN mltiple para administrar su trfico de red.
Nota Debe tener un Fireware XTM con una actualizacin Pro para usar la enrutamiento
basado en la poltica.
Si tiene un Fireware XTM con actualizacin Pro, puede asignar un peso para cada interfaz usada en su
configuracin de operacin por turnos. Por defecto y para todos los usuarios de Fireware XTM, cada
interfaz tiene un peso 1. El peso se refiere a la proporcin de carga que el dispositivo WatchGuard enva a
travs de una interfaz. Si tiene un Fireware XTM Pro y asigna un peso de 2 a una interfaz determinada, se
duplica la parte de trfico que pasar por esa interfaz, comparada a la interfaz con peso 1.
Por ejemplo, si tienen tres interfaces externas con 6M, 1.5M y .075 de ancho de banda y desea balancear el
trfico en las tres interfaces, se podra usar 8, 2 y 1 como pesos para esas tres interfaces. El Fireware
intentar distribuir las conexiones de modo que 8/11, 2/11 y 1/11 del trfico total fluya por cada una de las
tres interfaces.
Para ms informaciones, vea Configurar la opcin de operacin por turnos de WAN mltiple en la pgina 122.
Se controla lo que el dispositivo WatchGuard debe hacer con las conexiones existentes; stas pueden
conmutar por recuperacin inmediatamente o continuar a usar la interfaz de resguardo hasta que la
conexin est concluida. La conmutacin por error de WAN mltiple y el FireCluster son configurados
separadamente. La conmutacin por error de WAN mltiple provocada por una conexin con fallas hacia
un host de monitor de enlace no desencadena la conmutacin por error del FireCluster. La conmutacin
por error del FireCluster ocurre solamente cuando la interfaz fsica est desactivada o no responde. La
conmutacin por error del FireCluster tiene precedencia sobre la conmutacin por error de WAN mltiple.
Params informaciones,vea Configurar la opcinde conmutacinpor error de WAN mltiple enla pgina124.
Desbordamiento en la interfaz
Cuando usa el mtodo de configuracin de WAN mltiple de desbordamiento en la interfaz, selecciona el
orden que desea que el dispositivo WatchGuard enve trfico por las interfaces externas y configura cada
interfaz con un valor de umbral de ancho de banda. El dispositivo WatchGuard comienza a enviar el trfico
por la primera interfaz externa en su lista de configuracin de desbordamiento en la interfaz. Cuando el
trfico por esa interfaz alcanza el umbral de ancho de banda definido, el dispositivo WatchGuard comienza a
enviar trfico a la siguiente interfaz externa configurada en la lista de configuracin de desbordamiento en
la interfaz.
Ese mtodo de configuracin de WAN mltiple permite que la cantidad de trfico enviada por cada interfaz
WAN sea restringido a un lmite de ancho de banda especificado. Para determinar el ancho de banda, el
dispositivo WatchGuard examina la cantidad de paquetes enviados (TX) y recibidos (RX) y usa el nmero
ms alto. Cuando configura el umbral ancho de banda para cada interfaz, debe considerar las necesidades
de su red para la interfaz en cuestin y definir el valor de umbral segn esas necesidades. Por ejemplo, si su
ISP es asimtrico y define el umbral de ancho de banda segn una tasa alta de TX, el desbordamiento en la
interfaz no ser desencadenado por una alta tasa de RX.
Si todas las interfaces WAN llegaron al lmite de ancho de banda, el dispositivo WatchGuard usa el algoritmo
de enrutamiento ECMP (Protocolo de mltiples rutas de igual costo) para encontrar la mejor ruta.
Nota Es necesario tener el Fireware XTM con actualizacin Pro para usar ese mtodo de
enrutamiento de WAN mltiple.
Tabla de enrutamiento
Cuando selecciona la opcin de tabla de enrutamiento para su configuracin de WAN mltiple, el
dispositivo WatchGuard usa las rutas en su tabla de enrutamiento interna o las rutas que obtiene de los
procesos de dynamic routing para enviar paquetes por la interfaz externa correcta. Para ver si una ruta
especfica existe para un destino de paquete, el dispositivo WatchGuard examina su tabla de enrutamiento
desde el topo hacia abajo de la lista de rutas. Puede ver la lista de rutas en la tabla de enrutamiento en la
pestaa Estado del Firebox System Manager. La opcin de tabla de enrutamiento es de WAN mltiple
predeterminada.
Si su dispositivo WatchGuard no encuentra una ruta especificada, l selecciona qu ruta usar segn los
valores hash del IP de destino y origen del paquete, usando el algoritmo de ECMP (Protocolo de mltiples
rutas de igual costo) especificado en:
http://www.ietf.org/rfc/rfc2992.txt
Con el ECMP, el dispositivo WatchGuard usa un algoritmo para decidir cul salto siguiente (ruta) usar para
enviar cada paquete. Ese algoritmo no tiene en cuenta la carga de trfico actual.
Para ms informaciones, vea Cuando usar los mtodos de WAN mltiple y enrutamiento en la pgina 127.
Para ms informaciones, vea Conmutacin por error de mdem serie en la pgina 128.
Configurar interfaces
1. Seleccione Red >WAN mltiple.
2. En la lista desplegable de la seccin Modo deWAN mltiple, seleccione Operacin por turnos.
3. Si tiene un Fireware XTM con actualizacin Pro, puede modificar el peso asociado a cada interfaz.
Elija una interfaz, despus ingrese o seleccione un nuevo valor en el campo Peso al lado. El valor
predeterminado es 1 para cada interfaz.
Para ms informacin acerca del peso de interfaz, vea Descubra cmo asignar pesos a interfaces en
la pgina 123.
4. Para asignar una interfaz a la configuracin de WAN mltiple, seleccione una interfaz y haga clic en
Configurar.
5. Seleccione la casilla de verificacin Participar en WAN mltiple y haga clic en Aceptar.
6. Para concluir su configuracin, debe aadir informacin del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la pgina 134.
Solo nmeros enteros pueden ser usados como pesos de interfaz; fracciones o decimales no son
permitidos. Para un balance de carga ptimo, puede ser necesario hacer clculos para saber el peso en
nmero entero que asignar a cada interfaz. Use un multiplicador comn, as se define la proporcin relativa
de ancho de banda dada por cada conexin externa en nmeros enteros.
Por ejemplo, supongamos que tiene tres conexiones a Internet. Un ISP tiene 6 Mbps, otros ISP tiene 1,5
Mbps, y un tercero tiene 769 Kpbs. Convierta la proporcin en nmeros enteros:
n Primero, convierta 768 Kbps a aproximadamente 0,75 Mbps, para usar la misma unidad de medida
para las tres lneas. Sus tres lneas tienen la proporcin de 6, 1,5 y 0,75 Mbps.
n Multiplique cada valor por 100 para quitar los decimales. Proporcionalmente, eso equivale a: [6 : 1,5
: 0,75] es la misma razn que [600 : 150 : 75]
n Encuentre el mayor divisor comn de los tres nmeros. En este caso, 75 es el nmero ms alto que
divide igualmente los tres nmeros, 600, 150 y 75.
n Divida cada uno de los nmeros por el mayor divisor comn.
Los resultados son 8, 2 y 1. Podra usar esos nmeros como pesos en una configuracin deWAN mltiple
de operacin por turnos.
Configurar interfaces
1. Seleccione Red >WAN mltiple.
2. En la lista desplegable Modo de WAN Mltiple, seleccione Conmutacin por error.
3. Seleccione una interfaz en la lista y haga clic Arriba o Abajo para definir el orden de la conmutacin
por error. La primera interfaz de la lista es la principal.
4. Para concluir su configuracin, debe aadir informacin del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la pgina 134.
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea
Acerca de la configuracin avanzada de WAN mltiple en la pgina 132.
5. Haga clic en Guardar.
Configurar interfaces
1. Seleccione Red >WAN mltiple.
2. En la lista desplegable Modo WAN mltiple, seleccione Desbordamiento en la interfaz.
3. En el campo Umbral para cada interfaz, ingrese o seleccione la cantidad de trfico de red en
megabits por segundo (Mbps) que la interfaz debe cargar antes de enviar el trfico a otras
interfaces.
4. Para definir el orden de la operacin de interfaz, seleccione una interfaz en la tabla y haga clic en
Arriba y Abajo para cambiar el orden. Las interfaces son usadas desde la primera a la ltima en la lista.
5. Para concluir su configuracin, debe aadir informacin, tal como se describe en Acerca del Estado
de la interfaz de WAN en la pgina 134.
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea Acerca de
la configuracin avanzada de WAN mltiple.
Configurar interfaces
1. Seleccione Red >WAN mltiple.
2. En la lista desplegable Modo deWAN mltiple, seleccione Tabla de enrutamiento.
3. Para asignar interfaces a la configuracin de WAN mltiple, seleccione una interfaz y haga clic en
Configurar.
4. Seleccione la casilla de verificacin Participar de WAN mltiple. Haga clic en OK.
5. Para concluir su configuracin, debe aadir informacin del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la pgina 134.
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea Acerca de
la configuracin avanzada de WAN mltiple.
n Las rutas que el Firebox aprende de los procesos de dynamic routing en el dispositivo (RIP, OSPF y
BGP), si activa el dynamic routing.
n Las rutas de redes permanentes o rutas de host que se aaden.
n Las rutas que el Firebox crea automticamente cuando lee la informacin de configuracin de red.
Si su Firebox detecta que una interfaz externa est inactiva, l remueve las rutas estticas o dinmicas que
usan esa interfaz. Eso es as si los hosts especificados en el Monitor de enlaces no responden y si un enlace
fsico de Ethernet est inactivo.
Para ms informacin acerca de actualizaciones de tabla de enrutamiento y estado de interfaz, vea Acerca
del Estado de la interfaz de WAN en la pgina 134.
n Activa el dynamic routing (RIP, OSPF o BGP) y los enrutadores en la red externa encaminan rutas al
dispositivo WatchGuard para que el dispositivo pueda aprender las mejores rutas hacia las
ubicaciones externas.
n Debe tener acceso a un sitio externo o red externa a travs de una ruta especfica en una red
externa. Los ejemplos incluyen:
n Tener un circuito privado que usa un enrutador de frame relay en la red externa.
n Preferir que todo el trfico a una ubicacin externa siempre pase por una interfaz externa del
dispositivo WatchGuard.
Puede configurar el Firebox X Edge o el XTM 2 Series para enviar trfico a travs de un mdem serial
cuando no logra enviar trfico con alguna interfaz externa. Debe tener una cuenta de marcado con ISP
(Proveedor de servicios de Internet) y un mdem externo conectado al puerto serie (Edge) o puerto USB
(2 Series) para usar esa opcin.
En el caso de un mdem serial, use un adaptador USBa serial para conectar el mdem al dispositivo XTM2
Series.
3. Completar la configuracin Cuenta, DNS, Marcado y Monitor de enlace, tal como se describe en las
siguientes secciones.
4. Haga clic en Guardar.
Configuraciones de la cuenta
1. Seleccione la pestaa Cuenta.
2. En el cuadro de texto Nmero de telfono, ingrese el nmero de telfono de su ISP.
3. Si tiene otro nmero para su ISP, en el cuadro de texto Nmero de telfono alternativo, ingrselo.
4. En el cuadro de texto Nombre de la cuenta , ingrese el nombre de su cuenta de marcado.
5. Si inicia sesin en su cuenta con un domain name en el cuadro de texto Dominio de cuenta, ingrese
el domain name.
Un ejemplo de domain name es msn.com.
6. En el cuadro de texto Contrasea de cuenta , ingrese la contrasea que utiliza para conectarse a su
cuenta de marcado.
7. Si tiene problemas con su conexin, seleccione la casilla de verificacin Activar rastreo de
depuracin de mdem y PPP. Cuando esa opcin est seleccionada, el Firebox enva registros
detallados para la funcin de conmutacin por error del mdem serial al archivo de registro del
evento.
Configuraciones de DNS
Si su ISP de marcado no ofrece informacin del servidor DNS, o si debe usar un servidor DNS diferente,
puede agregar manualmente las direcciones IP para que un servidor DNS use despus que ocurre una
conmutacin por error.
2. Seleccione la casilla de verificacin Configurar manualmente las direcciones IP del servidor DNS.
3. En el cuadro de texto Servidor DNS principal , ingrese la direccin IP del servidor DNS principal.
4. Si tiene un servidor DNS secundario, en el cuadro de texto Servidor DNS secundario, ingrese la
direccin IP para el servidor secundario.
5. En el cuadro de texto MTU, para fines de compatibilidad, puede definir la Unidad Mxima de
Transmisin (MTU, en sus siglas en ingls) en un valor diferente. La mayora de los usuarios
mantienen la configuracin predeterminada.
Configuracin de marcado
1. Seleccione la pestaa Marcado.
Aparece la pgina "Opciones de marcado".
Configuraciones avanzadas
Algunos ISPs requieren que se especifique una o ms opciones de ppp para establecer conexin. En China,
por ejemplo, algunos ISPs requieren el uso de la opcin de ppp de recibir-todos. La opcin de recibir-todos
hace que el ppp acepte todos los caracteres de control del punto.
2. En el cuadro de texto Opciones de PPP, ingrese las opciones requeridas de PPP. Para especificar
ms de una opcin de PPP, separe cada opcin con una coma.
3. Para enviar un ping a una ubicacin o dispositivo en la red externa, seleccione la casilla Ping e
ingrese una direccinIP o nombre de host en el cuadro de texto al lado.
4. Para crear una conexin TCP a una ubicacin o dispositivo en la red externa, seleccione la casilla TCP
e ingrese una direccinIP o nombre de host en el cuadro de texto al lado. Tambin puede ingresar
o seleccionar un Nmero depuerto.
El nmero de puerto predeterminado es 80 (HTTP).
5. Para que el ping y las conexiones TCP tengan xito antes que una interfaz sea marcada como activa,
seleccione la casilla Ping y TCP deben tener xito.
6. Para cambiar el intervalo de tiempo entre los intentos de conexin, en el cuadro de texto Probar
intervalo , ingrese o seleccione un nmero diferente.
La configuracin predeterminada es de 15 segundos.
7. Para cambiar el nmero de fallas que marcan una interfaz como inactiva, en el cuadro de texto
Desactivar despus de, ingrese o seleccione un nmero diferente.
El valor predeterminado es de tres (3) intentos de conexin.
8. Para cambiar el nmero de conexiones exitosas que marcan una interfaz como activa, en el cuadro
de texto Reactivar despus de , ingrese o seleccione un nmero diferente.
El valor predeterminado es de tres (3) intentos de conexin.
9. Haga clic en OK.
Si una definicin de poltica contiene una configuracin de sticky connection, esa configuracin es usada en
lugar de la configuracin global.
Para cambiar la duracin de sticky connection global para un protocolo o conjunto de protocolos:
Si define una duracin de sticky connection en una poltica, puede anular la duracin de sticky connection
global. Para ms informaciones, vea Defina la duracin de sticky connection para una poltica en la pgina 272.
n Failback inmediata Seleccione esta opcin si desea que el dispositivo WatchGuard detenga
inmediatamente todas las conexiones existentes.
n Failback gradual Seleccione esta opcin si desea que el dispositivo WatchGuard siga usando la
interfaz de conmutacin por error para conexiones existentes hasta que cada conexin est
completa.
El proceso de actualizacin es mucho ms rpido cuando su Firebox detecta una desconexin fsica del
puerto de Ethernet. Cuando eso ocurre, el dispositivo WatchGuard actualiza su tabla de enrutamiento
inmediatamente. Cuando su Firebox detecta que la conexin de Ethernet est activa nuevamente, l
actualiza su tabla de enrutamiento dentro de 20 segundos.
3. Seleccione las casillas de verificacin para cada mtodo de monitor de enlace que desea que el
Firebox use para verificar el estado de cada interfaz externa:
n Ping Agregue una direccin IP o domain name para que el Firebox enve un ping para
verificar el estado de la interfaz.
n TCP Agregue una direccin IP o domain name de un equipo con el que el Firebox puede
negociar un protocolo de enlace de TCP para verificar el estado de la interfaz de WAN.
n Ping y TCP deben tener xito La interfaz es considerada inactiva excepto si tanto el ping
como la conexin TCP son concluidos con xito.
Si una interfaz externa es miembro de una configuracin de FireCluster, una conmutacin por error
de WAN mltiple provocada por una falla de conexin hacia un host de monitor de enlace no
desencadena la conmutacin por error del FireCluster. La conmutacin por error del FireCluster
ocurre solamente cuando la interfaz fsica est desactivada o no responde. Si agrega un domain
name para que el Firebox enve un ping y alguna de las interfaces externas tiene una direccin IP
esttica, debe configurar un servidor DNS, tal como se describe en Agregar direcciones de servidor
DNS y WINS.
4. Para configurar la frecuencia con la que desea que el Firebox verifique el estado de la interfaz,
ingrese o seleccione una configuracin de Probar despus de.
La configuracin predeterminada es de 15 segundos.
5. Para cambiar el nmero de fallas de pruebas consecutivas que debe ocurrir antes de una
conmutacin por error, ingrese o seleccione una configuracin de Desactivar despus de.
La configuracin predeterminada es de tres (3). Despus del nmero de fallas seleccionado, el Firebox intenta
enviar el trfico a travs de la siguiente interfaz especificada en la lista de conmutacin por error de WAN
mltiple.
6. Para cambiar el nmero de pruebas consecutivas exitosas a travs de una interfaz antes que la
interfaz previamente inactiva se vuelva activa nuevamente, ingrese o seleccione una configuracin
de Reactivar despus de.
7. Repita esos pasos para cada interfaz externa.
8. Haga clic en Guardar.
El objetivo principal de NAT es aumentar el nmero de computadoras que pueden funcionar partiendo de
una nica direccin IP pblicamente enrutable y ocultar las direcciones IP privadas de host en su LAN.
Cuando se usa NAT, la direccin IP de origen se cambia en todos los paquetes que se envan.
NAT se puede aplicar como configuracin de firewall general o como una configuracin en una poltica. Las
configuraciones de NAT firewall no se aplican a las polticas BOVPN.
Si tiene Fireware XTM con una actualizacin Pro, puede usar la funcin de Balance de carga en el servidor
como parte de una regla NAT esttica. La funcin de balance de carga en el servidor est diseada para
ayudarle a aumentar la escalabilidad y el rendimiento de una red de alto trfico con mltiples servidores
pblicos protegidos por el dispositivo WatchGuard. Con el balance de carga en el servidor, puede
determinar que el dispositivo WatchGuard controle el nmero de sesiones iniciadas en hasta diez
servidores para cada poltica de firewall que configure. El dispositivo WatchGuard controla la carga segn el
nmero de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide ni compara el ancho de
banda que usa cada servidor.
Para obtener ms informacin sobre el balance de carga en el servidor, consulte Configurar Balance de
carga en el servidor en la pgina 154.
Tipos de NAT
El dispositivo WatchGuard admite tres tipos diferentes de NAT. Su configuracin puede usar ms de un tipo
de NAT al mismo tiempo. Se aplican algunos tipos de NAT a todo el trfico de firewall y otros tipos como
configuracin en una poltica.
NAT dinmico
NAT dinmico tambin se conoce como enmascaramiento IP. El dispositivo WatchGuard puede
aplicar su direccin IP pblica a los paquetes salientes para todas las conexiones o para servicios
especficos. Esto oculta a la red externa la direccin IP real de la computadora que es el origen del
paquete. NAT dinmica en general se usa para ocultar las direcciones IP de host internos cuando
tienen acceso a servicios pblicos.
NAT esttica
NAT esttica, conocida tambin como reenvo de puerto, se configura cuando se configuran las
polticas. NAT esttica es una NAT de puerto-a-host. Un host enva un paquete desde la red externa a
un puerto en una interfaz externa. NAT esttica cambia esta direccin IP a una direccin IP y puerto
detrs del firewall.
1-to-1 NAT
1-to-1 NAT crea una asignacin entre direcciones IP en una red y direcciones IP en una red
diferente. Este tipo de NAT con frecuencia se usa para que las computadoras externas tengan
acceso a los servidores internos pblicos.
Muchas computadoras pueden conectarse a Internet desde una direccin IP pblica. NAT dinmica ofrece
ms seguridad para host internos que usan Internet porque oculta las direcciones IP de host en su red. Con
NAT dinmica, todas las conexiones deben iniciarse desde detrs de Firebox. Los host maliciosos no pueden
iniciar conexiones a las computadoras detrs de Firebox cuando ste est configurado para NAT dinmica.
En la mayora de las redes, la poltica de seguridad recomendada es aplicar NAT a todos los paquetes
salientes. Con Fireware, NAT dinmica est activada de manera predeterminada en el cuadro de dilogo
Red > NAT. Tambin est activada de manera predeterminada en cada poltica que se crea. Puede anular la
configuracin de firewall para NAT dinmica en las polticas individuales, como se describe en Aplicar
reglas NAT en la pgina 271.
n 192.168.0.0/16 Cualquiera-externo
n 172.16.0.0/12 Cualquiera-externo
n 10.0.0.0/8 Cualquiera-externo
Estas tres direcciones de red son las redes privadas reservadas por Internet Engineering Task Force (IETF) y
en general se usan para las direcciones IP en LAN. Para activar NAT dinmica para direcciones IP privadas
distintas de stas, debe agregar una entrada para ellas. El dispositivo WatchGuard aplica reglas NAT
dinmicas en la secuencia en la que aparecen en la lista Entradas de NAT dinmica. Recomendamos colocar
las reglas en una secuencia que coincida con el volumen de trfico al que se aplican las reglas.
3. En la seccin Desde, haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
direccin a utilizar para especificar el origen de los paquetes salientes: IP de host, IP de red, Rango
de host o Alias.
4. En la seccin Desde, debajo de la lista desplegable Tipo de miembro, ingrese la direccin IP de
host, la direccin IP de red o el rango de direcciones IP de host o seleccione un alias en la lista
desplegable.
Debe ingresar una direccin de red en notacin diagonal.
Para obtener ms informacin sobre alias del dispositivo WatchGuard incorporados, consulte Acerca
de los alias en la pgina 257.
5. En la seccin Hasta, haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
direccin a utilizar para especificar el destino de los paquetes salientes.
6. En la seccin Hasta, debajo de la lista desplegable Tipo de miembro, ingrese la direccin IP de host,
la direccin IP de red o el rango de direcciones IP de host , o seleccione un alias en la lista
desplegable.
7. Haga clic en Guardar.
La nueva entrada aparece en la lista Entradas de NAT dinmica.
Para que NAT dinmica basada en polticas funcione correctamente, utilice la pestaa Poltica del cuadro de
dilogo Editar propiedades de polticas para asegurarse de que la poltica est configurada para permitir el
trfico saliente slo a travs de una interfaz de Firebox.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinmica.
Cuando selecciona una direccin IP de origen, cualquier trfico que usa esta poltica muestra una
direccin especfica de su rango de direcciones IP externas o pblicas como el origen. Esto se utiliza
con ms frecuencia para obligar al trfico SMTP saliente a mostrar la direccin de registro MX para
su dominio cuando la direccin IP en la interfaz externa del dispositivo WatchGuard no coincide con
la direccin IP de registro MX. Esta direccin de origen debe estar en la misma subnet que la
interfaz especificada para el trfico saliente.
Recomendamos no utilizar la opcin Establecer IP de origen si tiene ms de una interfaz externa
configurada en su dispositivo WatchGuard.
Si no selecciona la casilla de verificacin Establecer IP de origen, el dispositivo WatchGuard cambia
la direccin IP de origen para cada paquete a la direccin IP de la interfaz desde la cual se enva el
paquete.
6. Haga clic en Guardar.
1-to-1 NAT con frecuencia se utiliza cuando se tiene un grupo de servidores internos con direcciones IP
privadas que deben hacerse pblicas. Se puede usar 1-to-1 NAT para asignar direcciones IP pblicas a los
servidores internos. No es necesario cambiar la direccin IP de los servidores internos. Cuando se tiene un
grupo de servidores similares (por ejemplo, un grupo de servidores de correo electrnico),1-to-1 NAT es
ms fcil de configurar que NAT esttica para el mismo grupo de servidores.
La empresa ABC tiene un grupo de cinco servidores de correo electrnico con direcciones privadas detrs
de la interfaz de confianza de su dispositivo WatchGuard. Estas direcciones son:
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La empresa ABC selecciona cinco direcciones IP pblicas de la misma direccin de red como interfaz
externa de su dispositivo WatchGuard y crea registros DNS para que los servidores de correo electrnico
resuelvan.
50.1.1.1
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La empresa ABC configura una regla 1-to-1 NAT para sus servidores de correo electrnico. La regla 1-to-1
NAT crea una relacin esttica, bidireccional entre los pares correspondientes de direcciones IP. La relacin
tiene el siguiente aspecto:
Cuando se aplica la regla 1-to-1 NAT, el dispositivo WatchGuard crea el enrutamiento bidireccional y la
relacin NAT entre el grupo de direcciones IP privadas y el grupo de direcciones pblicas. 1-to-1 NAT
tambin funciona en trfico enviado desde redes que protege el dispositivo WatchGuard.
1-to-1 NAT se configura para un tnel VPN al configurar el tnel VPN y no en Red> NAT. pgina.
3. En la lista desplegable Tipo de asignacin, seleccione IP nica (para asignar un host), Rango de IP
(para asignar un rango de hosts) o Subnet IP (para asignar una subnet).
Si selecciona Rango de IP o Subnet IP, no incluya ms de 256 direcciones IP en ese rango o subnet.
Para aplicar NAT a ms de 256 direcciones IP, debe crear ms de una regla.
Para obtener ms informacin acerca de cmo usar estos campos, consulte la siguiente seccin
Definir una regla de 1-to-1 NAT.
5. Haga clic en Guardar.
Despus de configurar una regla de 1-to-1 NAT global, debe agregar las direcciones IP NAT a las polticas
correspondientes.
n Si su poltica administra trfico saliente, agregue las direcciones IP de la base real a la seccin Desde
de la configuracin de polticas.
n Si su poltica administra trfico entrante, agregue las direcciones IPde base NAT a la seccin Hasta
de la configuracin de polticas.
En el ejemplo anterior, donde usamos 1-to-1 NAT para otorgar acceso a un grupo de servidores de correo
electrnico descritos en Acerca de las 1-to-1 NAT en la pgina 142, debemos configurar la poltica SMTP
para permitir el trfico SMTP. Para completar esta configuracin, debe cambiar la configuracin de la
poltica para permitir el trfico desde la red externa al rango de direccin IP 10.1.1.1-10.1.1.5.
Nota Para conectarse a una computadora ubicada en una interfaz diferente que usa 1-
to-1 NAT, debe usar la direccin IP pblica (base de NAT) de esa computadora. Si
esto es un problema, puede desactivar 1-to-1 NAT y usar NAT esttica.
Interfaz
El nombre de la interfaz Ethernet en la cual se aplica 1-to-1 NAT. Su dispositivo WatchGuard aplica 1-
to-1 NAT a paquetes enviados hacia y desde la interfaz. En nuestro ejemplo anterior, la regla se
aplica a la interfaz externa.
Base de NAT
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base de NAT es la primera direccin IP disponible en el rango de
direcciones hasta. La direccin IP base de NAT es la direccin a la que cambia la direccin IP de base
real cuando se aplica 1-to-1 NAT. No se puede usar la direccin IP de una interfaz Ethernet existente
como base de NAT. En nuestro ejemplo anterior, la base de NAT es 50.50.50.1.
Base real
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base real es la primera direccin IP disponible en el rango de direcciones
desde. Es la direccin IP asignada a la interfaz Ethernet fsica de la computadora a la cual se aplicar
la poltica de 1-to-1 NAT. Cuando los paquetes de una computadora con una direccin de base real
atraviesan la interfaz especificada, se aplica la accin 1 a 1. En nuestro ejemplo anterior, la base real
es 10.0.1.50.
Tambin puede usar 1-to-1 NAT cuando debe crear un tnel VPN entre dos redes que usan la misma
direccin de red privada. Cuando se crea un tnel VPN, las redes en cada extremo del tnel VPN deben
tener rangos de direcciones de red diferentes. Si el rango de direccin en la red remota es el mismo que
en la red local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT. Luego, se puede
crear el tnel VPN y no cambiar las direcciones IP de un lado del tnel. 1-to-1 NAT se configura para un
tnel VPN al configurar el tnel VPN y no en el cuadro de dilogo Red> NAT.
Para observar un ejemplo de cmo usar 1-to-1 NAT, consulte Ejemplo de 1-to-1 NAT.
4. Desmarque la casilla de verificacin 1-to-1 NAT para desactivar NAT para el trfico controlado por
esta poltica.
5. Haga clic en Guardar.
El siguiente ejemplo ayuda a comprender cmo configurar el bucle invertido de NAT cuando se usa NAT
esttica:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza NAT
esttica para asignar la direccin IP pblica al servidor interno. La empresa desea permitir a los usuarios de
la red de confianza el uso de la direccin IP pblica o el domain name para acceder a este servidor pblico.
La seccin Hasta de la poltica contiene una ruta NAT esttica desde la direccin IP pblica del servidor
HTTP a la direccin IP real de ese servidor.
Para obtener ms informacin acerca de NAT esttica, consulte Acerca de la NAT esttica en la pgina 153.
Si utiliza 1-to-1 NAT para enrutar trfico a servidores dentro de su red, consulte Bucle invertido de NAT y 1-
to-1 NAT en la pgina 150.
Para comprender cmo configurar el bucle invertido de NAT cuando usa 1-to-1 NAT, proponemos este
ejemplo:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza una regla
1-to-1 NAT para asignar la direccin IP pblica al servidor interno. La empresa desea permitir a los usuarios
de la interfaz de confianza el uso de la direccin IP pblica o el domain name para acceder a este servidor
pblico.
n Un servidor con la direccin IP pblica 100.100.100.5 est asignado con una regla 1-to-1 NAT a un
host en la red interna.
En este ejemplo, para permitir el bucle invertido de NAT a todos los usuarios conectados a la interfaz de
confianza, es necesario:
1. Asegurarse de que exista una entrada 1-to-1 NAT para cada interfaz que usa ese trfico cuando las
computadoras internas obtienen acceso a la direccin IP pblica 100.100.100.5 con una conexin
Se debe agregar una asignacin ms de 1-to-1 NAT para aplicar al trfico que se inicia en la interfaz
de confianza. La nueva asignacin 1 a 1 es igual a la anterior, excepto que la Interfaz est
configurada en De confianza en lugar de Externa.
Despus de agregar la segunda entrada 1-to-1 NAT, la seccin de la pestaa 1-to-1 NAT cuadro de
dilogo Configuracin de pgina muestra dos asignaciones de 1-to-1 NAT: una para Externa y una
para De confianza.
En la seccin 1-to-1 NAT de la pgina de configuracin de NAT, agregue estas dos entradas:
2. Agregue una entrada NAT dinmica para cada red en la interfaz a la que est conectado el servidor.
El campo Desde para la entrada NAT dinmica es la direccin IP de red de la red desde la cual las
computadoras obtienen acceso a la direccin IP de 1-to-1 NAT con bucle invertido de NAT.
Elcampo Hasta para laentrada NATdinmica esla direccinbase de NAT enla asignacinde 1-to-1NAT.
En este ejemplo, la interfaz de confianza tiene dos redes definidas y se desea permitir a los usuarios
de ambas redes obtener acceso al servidor HTTP con la direccin IP pblica o nombre de host del
servidor. Se deben agregar dos entradas NAT dinmica.
10.0.1.0/24 - 100.100.100.5
192.168.2.0/24 - 100.100.100.5
3. Agregue una poltica para permitir a los usuarios en su red de confianza utilizar la direccin IP
pblica o el domain name para obtener acceso al servidor pblico en la red de confianza. Para este
ejemplo:
De
Cualquiera de confianza
Para
100.100.100.5
La direccin IP pblica a la que los usuarios desean conectarse es 100.100.100.5. Esta direccin IP
est configurada como direccin IP secundaria en la interfaz externa.
En la seccin Hasta de la poltica, agregue 100.100.100.5.
Para obtener ms informacin acerca de cmo configurar NAT esttica, consulte Acerca de la NAT esttica
en la pgina 153.
Para obtener ms informacin acerca de cmo configurar 1-to-1 NAT, consulte Configurar el firewall 1-to-1
NAT en la pgina 144.
Cuando se usa NAT esttica, se utiliza una direccin IP externa de Firebox en lugar de la direccin IP de un
servidor pblico. Se puede optar por esta posibilidad o se puede utilizar en caso de que el servidor pblico
no tenga una direccin IP pblica. Por ejemplo, se puede ubicar el servidor de correo electrnico SMTP
detrs del dispositivo WatchGuard con una direccin IP privada y configurar NAT esttica en su poltica
SMTP. El dispositivo WatchGuard recibe conexiones en el puerto 25 y se asegura de que todo el trfico
SMTP se enve al servidor SMTP real detrs de Firebox.
Nota NAT esttica slo est disponible para polticas que usan un puerto especfico, que
incluye TCP y UDP. Una poltica que utiliza un protocolo diferente no puede usar
NAT esttica entrante. El botn NAT en el cuadro de dilogo Propiedades de esa
poltica no est disponible. Tambin se puede usar NAT esttica con la poltica
Cualquiera.
6. En la lista desplegable Direccin IP externa, seleccione la direccin IP externa o alias que desea
utilizar en esta poltica.
Por ejemplo, puede usar NAT esttica en esta poltica para paquetes recibidos en slo una direccin
IP externa. O bien, puede usar NAT esttica para paquetes recibidos en cualquier direccin IP
externa si selecciona el alias Cualquiera externo.
7. Ingrese la direccin IP interna. Es el destino en la red opcional o de confianza.
8. Si es necesario, seleccione la casilla de verificacin Determinar puerto interno para un puerto
diferente . Esto activa la traduccin de direccin de puerto (PAT).
Esta funcin permite cambiar el destino del paquete no slo a un host interno especfico sino
tambin a un puerto diferente. Si selecciona esta casilla de verificacin, ingrese el nmero de
puerto o haga clic en la flecha hacia arriba o hacia abajo para seleccionar el puerto que desea
utilizar. En general, esta funcin no se utiliza.
9. Haga clic en OK para cerrar el cuadro de dilogo Agregar NAT esttica.
La ruta de NAT esttica aparece en la lista Miembros y Direcciones.
La funcin de balance de carga en el servidor en Fireware XTM est diseada para ayudarle a aumentar la
escalabilidad y el rendimiento de una red de alto trfico con mltiples servidores pblicos. Con el balance
de carga en el servidor, puede activar al dispositivo WatchGuard para que controle el nmero de sesiones
iniciadas en hasta diez servidores para cada poltica de firewall que configure. El dispositivo WatchGuard
controla la carga segn el nmero de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide
ni compara el ancho de banda que usa cada servidor.
El balance de carga en el servidor se configura como parte de una regla NAT esttica. El dispositivo
WatchGuard puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando se
configura el balance de carga en el servidor, se debe elegir el algoritmo al que desea que se aplique el
dispositivo WatchGuard.
Si selecciona esta opcin, el dispositivo WatchGuard distribuye las sesiones entrantes entre los
servidores que se especifican en la poltica en orden de operacin por turnos. La primera conexin
se enva al primer servidor especificado en su poltica. La prxima conexin se enva al siguiente
servidor en su poltica y as sucesivamente.
Conexin menor
Si selecciona esta opcin, el dispositivo WatchGuard enva cada nueva sesin al servidor en la lista
que actualmente tiene el nmero ms bajo de conexiones abiertas al dispositivo. El dispositivo
WatchGuard no puede determinar cuntas conexiones abiertas tiene el servidor en otras interfaces.
Se pueden aplicar pesos a los servidores en la configuracin del balance de carga en el servidor para
asegurarse de que los servidores con ms capacidad reciban la carga ms pesada. De manera
predeterminada, cada interfaz tiene un peso de uno. El peso se refiere a la proporcin de carga que
el dispositivo WatchGuard enva a un servidor. Si se asigna un peso de 2 a un servidor, se duplica en
nmero de sesiones que el dispositivo WatchGuard enva a ese servidor, en comparacin con un
servidor con un peso de 1.
n Se puede configurar el balance de carga en el servidor para cualquier poltica a la cual se puede
aplicar NAT esttica.
n Si se aplica el balance de carga en el servidor a una poltica, no se puede configurar el enrutamiento
basado en polticas u otras reglas de NAT en la misma poltica.
n Cuando se aplica el balance de carga en el servidor a una poltica, se puede agregar un mximo de
10 servidores a la poltica.
n El dispositivo WatchGuard no modifica al remitente o la direccin IP de origen del trfico enviado a
estos dispositivos. Mientras que el trfico se enva directamente desde el dispositivo WatchGuard,
cada dispositivo que forma parte de la configuracin de balance de carga en el servidor ve la
direccin IP de origen original del trfico de red.
n Si se usa balance de carga en el servidor en una configuracin de FireCluster activa/pasiva, no
ocurre la sincronizacin en tiempo real entre los miembros del cluster cuando ocurre un evento de
conmutacin por error. Cuando la copia de seguridad principal pasiva se convierte en cluster
principal activo, enva conexiones a todos los servidores en la lista de balance de carga en el servidor
para ver cules servidores estn disponibles. Entonces aplica el algoritmo de balance de carga del
servidor a todos los servidores disponibles.
1. Seleccione Firewall >Polticas de Firewall. Seleccione la poltica que dese modificar y haga clic en
Editar.
O bien, agregue una nueva poltica.
4. En la lista desplegable Direccin IP externa, seleccione la direccin IP externa o alias que desea
utilizar en esta poltica.
Por ejemplo, se puede determinar que el dispositivo WatchGuard aplique el balance de carga en el
servidor para esta poltica a paquetes recibidos en slo una direccin IP externa. O bien, se puede
determinar que el dispositivo WatchGuard aplique el balance de carga en el servidor a paquetes
recibidos en cualquier direccin IP externa si selecciona el alias Cualquiera externo.
5. En la lista desplegable Mtodo, seleccione el algoritmo deseado para que use el dispositivo
WatchGuard para el balance de carga en el servidor: Operacin por turnos o Conexin menor.
6. Haga clic en Agregar para agregar las direcciones IP de sus servidores internos para esta poltica.
Puede agregar un mximo de 10 servidores a una poltica. Tambin puede agregar peso al servidor.
De manera predeterminada, cada servidor tiene un peso de 1. El peso se refiere a la proporcin de
carga que el dispositivo WatchGuard enva a un servidor. Si se asigna un peso de 2 a un servidor, se
duplica en nmero de sesiones que el dispositivo WatchGuard enva a ese servidor, en comparacin
con un servidor con un peso de 1.
7. Para establecer sticky connections para los servidores internos, seleccione la casilla de verificacin
Activar sticky connection y configure el perodo en los campos Activar sticky connection.
Una sticky connection es una conexin que contina usando el mismo servidor durante un perodo
definido. Esta cohesin garantiza que todos los paquetes entre un par de direcciones de origen y de
destino se enven al mismo servidor durante el perodo especificado.
8. Haga clic en Guardar.
Ejemplos de NAT
Ejemplo de 1-to-1 NAT
Cuando se activa 1-to-1 NAT, el dispositivo Firebox o XTM cambia y enruta todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente.
Considere una situacin en la que se tiene un grupo de servidores internos con direcciones IP privadas,
cada una de las cuales debe mostrar una direccin IP pblica diferente al mundo exterior. Puede usar 1-to-
1 NAT para asignar direcciones IP pblicas a los servidores internos y no tiene que cambiar las direcciones
IP de sus servidores internos. Para comprender cmo configurar 1-to-1 NAT, considere este ejemplo:
Una empresa tiene un grupo de tres servidores con direcciones privadas detrs de una interfaz opcional de
su Firebox. Las direcciones de estos servidores son:
10.0.2.11
10.0.2.12
10.0.2.13
El administrador selecciona tres direcciones IP pblicas de la misma direccin de red como interfaz externa
de su Firebox y crea registros DNS para que los servidores resuelvan. Estas direcciones son:
50.50.50.11
50.50.50.12
50.50.50.13
Ahora el administrador configura una regla 1-to-1 NAT para los servidores. La regla 1-to-1 NAT crea una
relacin esttica, bidireccional entre los pares correspondientes de direcciones IP. La relacin tiene el
siguiente aspecto:
Cuando se aplica la regla 1-to-1 NAT, Firebox crea el enrutamiento bidireccional y la relacin NAT entre el
grupo de direcciones IP privadas y el grupo de direcciones pblicas.
Para conocer los pasos para definir una regla 1-to-1 NAT, consulte Configurar el firewall 1-to-1 NAT.
Antes de configurar el acceso a la red inalmbrica, consulte Antes de empezar en la pgina 161.
Para obtener informacin sobre cmo configurar la interfaz externa en modo inalmbrico,
consulte Configurar la interfaz externa como interfaz inalmbrica en la pgina 178.
Para ms informaciones, vea Acerca de las configuracin del punto de acceso inalmbrico en la
pgina 160.
Antes de activar el dispositivo inalmbrico WatchGuard como un punto de acceso inalmbrico, debe
examinar cuidadosamente los usuarios inalmbricos que se conectan con el dispositivo y determinar el
nivel de acceso que desea para cada tipo de usuario. Hay tres tipos de acceso inalmbrico que puede
habilitar:
Cuando habilita conexiones inalmbricas a travs de una interfaz de confianza, los dispositivos
inalmbricos tienen acceso total a todas las computadoras en las redes opcionales y de confianza, as
como acceso total a Internet segn las reglas que usted configure para el acceso saliente en su
dispositivo WatchGuard. Si activa el acceso inalmbrico a travs de una interfaz de confianza, se
recomienda especialmente que active y utilice la funcin de restriccin de MAC para habilitar el
acceso a travs del dispositivo WatchGuard slo para los dispositivos que agregue a la lista de
direcciones MAC habilitadas.
Para obtener ms informacin sobre cmo restringir el acceso a travs de direcciones MAC,
consulte Usar vnculo de direccin MAC esttico en la pgina 103.
Cuando habilita conexiones inalmbricas a travs de una interfaz opcional, esos dispositivos
inalmbricos tienen acceso total a todas las computadoras en la red opcional, as como acceso total a
Internet segn las reglas que configure para el acceso saliente en su dispositivo WatchGuard.
Las computadoras que se conectan con la Wireless Guest Network se conectan a travs del
dispositivo WatchGuard a Internet segn las reglas que configure para el acceso saliente en su
dispositivo WatchGuard. Estos dispositivos no tienen acceso a las computadoras de su red opcional o
de confianza.
Para obtener ms informacin sobre cmo configurar una Wireless Guest Network, consulte Activar
una red inalmbrica para invitados en la pgina 170.
Antes de configurar el acceso a la red inalmbrica, consulte Antes de empezar en la pgina 161.
Para habilitar conexiones inalmbricas a su red opcional o de confianza, consulte Habilitar conexiones
inalmbricas a la red opcional o de confianza en la pgina 167.
Antes de empezar
Los dispositivos inalmbricos WatchGuard cumplen con las pautas 802.11n, 802.11b y 802.11g establecidas
por el Instituto de Ingenieros Elctricos y Electrnicos (IEEE). Al instalar un dispositivo inalmbrico
WatchGuard:
Acerca de configuraciones
Cuando activa el acceso a la red opcional, de confianza o inalmbrica para invitados, algunas configuraciones
se definen del mismo modo para cada una de las tres zonas de seguridad. stas pueden configurarse con
distintos valores para cada zona.
Para obtener informacin sobre la configuracin de SSID de broadcast y responder a las consultas sobre la
configuracin del SSID, consulte Activar/desactivar Broadcasts de SSID en la pgina 163.
Para obtener informacin sobre cmo configurar el Nombre de red (SSID), consulte Cambiar la SSID en la
pgina 163.
Para obtener informacin sobre la configuracin Registrar eventos de autenticacin, consulte Registro
eventos de autenticacin en la pgina 163.
Para obtener informacin sobre el Umbral de RTS, consulte Cambiar la Umbral de RTS en la pgina 165.
Para obtener informacin sobre las configuraciones de Autenticacin y de Cifrado, consulte Acerca de
configuraciones de seguridad en la pgina 166.
Para configurar una interfaz inalmbrica de dispositivo WatchGuard a fin de enviar y responder a estas
solicitudes, seleccione la casilla de verificacin Broadcast de SSID y responder a consultas SSID. Por
razones de seguridad, active esta opcin nicamente cuando se encuentre configurando computadoras en
su red a fin de conectar el dispositivo inalmbrico WatchGuard. Desactive esta opcin una vez que todos sus
clientes estn configurados. Si utiliza la funcin de servicios inalmbricos para invitados, quiz deba habilitar
broadcasts de SSID en la operacin estndar.
Cambiar la SSID
El SSID (Identificador de conjunto de servicios) es el nombre especfico de su red inalmbrica. Para utilizar
la red inalmbrica desde la computadora de un cliente, la tarjeta de red inalmbrica en la computadora
debe tener el mismo SSID que la red inalmbrica WatchGuard a la cual se conecta la computadora.
El SO Fireware XTM asigna automticamente un SSID a cada red inalmbrica. Este SSID utiliza un formato
que contiene el nombre de la interfaz, y los dgitos entre el quinto y el noveno del nmero de serie del
dispositivo inalmbrico WatchGuard. Para cambiar el SSID, ingrese un nuevo nombre en el campo SSID para
identificar especficamente su red inalmbrica.
Hay ms posibilidades de que los marcos ms grandes choquen entre s que los pequeos. Para reducir los
paquetes inalmbricos, debe disminuir el umbral de fragmentacin en el dispositivo inalmbrico
WatchGuard. Si disminuye el tamao mximo de los marcos, esto puede reducir la cantidad de
transmisiones de repeticin ocasionadas por los choques y disminuir la sobrecarga ocasionada por las
transmisiones de repeticin.
Los marcos ms pequeos introducen ms sobrecarga en la red. Esto ocurre particularmente en las redes
inalmbricas debido a que cada marco fragmentado enviado desde un dispositivo inalmbrico a otro
requiere que el dispositivo receptor reconozca el marco. Cuando las tasas de error de los paquetes son
altas (mayores a un porcentaje de choques o de errores del cinco o del diez por ciento), puede mejorar el
rendimiento de la red inalmbrica si disminuye el umbral de fragmentacin. El tiempo que se ahorra al
reducir las transmisiones de repeticin puede ser suficiente para compensar la sobrecarga adicional que
agregan los paquetes ms pequeos. Esto puede dar como resultado una mayor velocidad.
Si la tasa de error de los paquetes es baja y usted reduce el umbral de fragmentacin, el rendimiento de la
red inalmbrica disminuye. Esto se produce debido a que cuando usted disminuye el umbral, se agrega
sobrecarga del protocolo y la eficiencia del protocolo se reduce.
Si desea experimentar, comience con el mximo predeterminado 2346 y disminuya el umbral de a una
pequea cantidad por vez. Para lograr un buen aprovechamiento, debe monitorear los errores de los
paquetes de la red en diferentes momentos del da. Compare el efecto que un umbral ms pequeo
produce en el rendimiento de la red cuando los errores son muy altos con el efecto en el rendimiento
cuando los errores son moderadamente altos.
2. Seleccione la red inalmbrica que desea configurar. Junto al Punto de acceso 1, al Punto de acceso
2 o a Invitado inalmbrico, haga clic en Configurar.
Aparecen los ajustes de configuracin automtica para esa red inalmbrica.
Si debe cambiar el umbral de RTS, ajstelo en forma gradual. Redzcalo de a una pequea cantidad por vez.
Luego de cada cambio, aguarde el tiempo necesario para decidir si el cambio en el rendimiento de la red es
positivo antes de cambiarlo nuevamente. Si reduce demasiado este valor, puede introducir ms latencia en
la red, ya que las solicitudes de envo se incrementan tanto que el medio compartido se reserva con ms
frecuencia que la necesaria.
Tanto WEP como WPA utilizan claves compartidas iniciales. WPA y WPA2 utilizan un algoritmo para cambiar
la clave de cifrado a intervalos regulares, lo que mantiene la seguridad de los datos enviados en una
conexin inalmbrica.
Para proteger la privacidad, puede utilizar estas funciones junto con otros mecanismos de seguridad de
LAN, tales como proteccin de contrasea, tneles VPN y autenticacin de usuario.
Sistema abierto
La autenticacin de sistema abierto permite a cualquier usuario autenticar el punto de acceso. Este
mtodo se puede utilizar sin cifrado o con cifrado de privacidad equivalente por cable (WEP).
Clave compartida
Cuando utiliza WPA (Wi-Fi Protected Access) con claves compartidas iniciales, se otorga a cada
usuario inalmbrico la misma contrasea para autenticar el punto de acceso inalmbrico.
WPA/WPA2 (PSK)
Cuando selecciona la autenticacin WPA/WPA2 (PSK), Edge acepta conexiones desde dispositivos
inalmbricos configurados para utilizar WPA o WPA2.
La autenticacin WPA2 con claves compartidas iniciales implementa la norma 802.11i completa y es
el mtodo de autenticacin ms seguro. No funciona con algunas tarjetas de red inalmbrica
anteriores.
1. Si utiliza el cifrado WEP, en los cuadros de texto Clave, ingrese caracteres hexadecimales o ASCII. No
todos los controladores de adaptadores inalmbricos admiten caracteres ASCII. Puede tener un
mximo de cuatro claves.
n Una clave WEP hexadecimal de 64 bits debe tener 10 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 40 bits debe tener 5 caracteres.
n Una clave WEP hexadecimal de 128 bits debe tener 26 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 128 bits debe tener 13 caracteres.
2. Si ingres ms de una clave, en la lista desplegable ndice de claves, seleccione la clave que desea
utilizar de manera predeterminada.
El dispositivo Firebox o XTM inalmbrico slo puede usar una encryption key por vez. Si seleccion
una clave distinta de la primera clave en la lista, tambin debe configurar su cliente inalmbrico para
que utilice la misma clave.
n TKIP Slo use TKIP (Protocolo de integridad de clave temporal) para el cifrado. Esta opcin no
est disponible para los modos inalmbricos que admiten 802.11n.
n AES Slo utilice AES (Estndar de cifrado avanzado) para el cifrado.
n TKIP o AES Utilice TKIP o AES.
Le recomendamos que seleccione TKIP o AES. Esto permite que el dispositivo inalmbrico Firebox o XTM
acepte conexiones de clientes inalmbricos configurados para utilizar cifrado TKIP o AES. En el caso de los
clientes inalmbricos 802.11n, le recomendamos que configure el cliente inalmbrico para utilizar el
cifrado AES.
De confianza
Cualquier cliente inalmbrico en la red de confianza tiene acceso total a las computadoras en
las redes opcionales y de confianza, y acceso a Internet segn lo definen las reglas de firewall
saliente en su dispositivo WatchGuard.
Si el cliente inalmbrico configura la direccin IP en su tarjeta de red inalmbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
Opcional
Cualquier cliente inalmbrico en la red opcional tiene acceso total a las computadoras en la red
opcional y acceso a Internet segn lo definen las reglas de firewall saliente en su dispositivo
WatchGuard.
Si el cliente inalmbrico configura la direccin IP en su tarjeta de red inalmbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
6. Para configurar la interfaz inalmbrica para enviar y responder a las solicitudes de SSID, seleccione la
casilla de verificacin Broadcast de SSID y responder a consultas SSID.
Para obtener informacin sobre esta configuracin, consulte Activar/desactivar Broadcasts de SSID
en la pgina 163.
7. Seleccione la casilla de verificacin Registrar eventos de autenticacin si desea que el dispositivo
WatchGuard enve un mensaje de registro al archivo de registro cada vez que una computadora
inalmbrica intenta conectase con la interfaz.
Para ms informaciones acerca de registros, vea Registro eventos de autenticacin en la pgina 163.
8. Para requerir que los usuarios inalmbricos utilicen Mobile VPN con el cliente IPSec, seleccione la
casilla de verificacin Requerir Mobile VPN cifrado con conexiones IPSec para clientes
inalmbricos.
Cuando selecciona esta casilla de verificacin, los nicos paquetes que Firebox habilita a travs de la
red inalmbrica son DHCP, ICMP, IKE (UDP puerto 500), ARP e IPSec (protocolo IP 50). Si requiere
que los usuarios inalmbricos utilicen Mobile VPN con el cliente IPSec, se puede incrementar la
seguridad para los clientes inalmbricos si no selecciona WPA o WPA2 como el mtodo de
autenticacin inalmbrica.
9. En el cuadro de texto Nombre de red (SSID), ingrese un nombre especfico para su red opcional
inalmbrica o utilice el nombre predeterminado.
Para obtener informacin sobre cmo cambiar el SSID, consulte Cambiar la SSID en la pgina 163.
10. Para cambiar el umbral de fragmentacin, en el cuadro de texto Umbral de fragmentacin ingrese
un valor: 2562346. No se recomienda cambiar esta configuracin.
11. En la lista desplegable Autenticacin, seleccione el tipo de autenticacin para activar las conexiones
inalmbricas con la interfaz opcional. Recomendamos utilizar WPA2 si los dispositivos inalmbricos
de la red son compatibles con WPA2.
Para obtener ms informacin sobre esta configuracin, consulte Definir inalmbricos mtodo de
autenticacin.
12. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexin
inalmbrica y agregue las claves o las contraseas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opcin de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
Para configurar una Wireless Guest Network sin acceso a las computadoras en sus redes opcionales o de
confianza, consulte Activar una red inalmbrica para invitados en la pgina 170.
Se permiten conexiones inalmbricas a Internet a travs del dispositivo WatchGuard segn las reglas
que usted haya configurado para el acceso saliente en su dispositivo. Estas computadoras no tienen
acceso a las computadoras de su red opcional o de confianza.
5. En el cuadro de texto DireccinIP, ingrese la direccin IPprivada que utilizar con la Wireless Guest
Network. La direccin IPque ingrese no debe estar en uso en una de sus interfaces de red.
6. En el cuadro de dilogo Mscara de subred, ingrese la mscara de subred. El valor correcto
generalmente es 255.255.255.0.
7. Para configurar el dispositivo WatchGuard como un servidor DHCP cuando un dispositivo
inalmbrico intenta realizar una conexin, seleccione la casilla de verificacin Activar servidor DHCP
en la Wireless Guest Network.
Para obtener ms informacin sobre cmo establecer la configuracin para el servidor DHCP,
consulte Configurar el DHCP en modo de enrutamiento mixto en la pgina 86.
8. Haga clic en la pestaa Inalmbrica para ver las configuraciones de seguridad para la Wireless Guest
Network.
Aparecen las configuraciones inalmbricas.
9. Seleccione la casilla de verificacin SSID de broadcast y responder a consultas SSID para que su
nombre de Wireless Guest Network est visible para los usuarios invitados.
Para obtener informacin sobre esta configuracin, consulte Activar/desactivar Broadcasts de SSID
en la pgina 163.
10. Para enviar un mensaje de registro al archivo de registro cada vez que una computadora inalmbrica
intenta conectarse con la Wireless Guest Network, seleccione la casilla de verificacin Registrar
eventos de autenticacin.
Para ms informaciones acerca de registros, vea Registro eventos de autenticacin en la pgina 163.
11. Para permitir que los usuarios inalmbricos invitados se enven trfico entre s, desmarque la casilla
de verificacin Prohibir trfico de red inalmbrica de cliente a cliente.
12. En el cuadro de texto Nombre de red (SSID), ingrese un nombre especfico para su Wireless Guest
Network o utilice el nombre predeterminado.
Para obtener informacin sobre cmo cambiar el SSID, consulte Cambiar la SSID en la pgina 163.
13. Para cambiar el umbral de fragmentacin, en el cuadro de texto Umbral de fragmentacin ingrese
un valor: 2562346. No se recomienda cambiar esta configuracin.
Para obtener ms informacin sobre esta configuracin, consulte Definir inalmbricos mtodo de
autenticacin en la pgina 166.
15. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexin
inalmbrica y agregue las claves o las contraseas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opcin de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
Tambin puede restringir el acceso a la red invitada mediante una direccin MAC. Haga clic en la pestaa
Control de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaa de la misma
manera en que restringe el trfico de red en una interfaz segn se describe en Restringir el trfico de red
mediante la direccin MAC en la pgina 97.
Cuando activa la funcin de hotspot inalmbrico, se crea automticamente la poltica Permitir usuarios de
hotspot. Esta poltica permite las conexiones desde la interfaz inalmbrica para invitados a sus interfaces
externas. Esto provee a los usuarios del hotspot inalmbrico un acceso inalmbrico a Internet sin acceso a
las computadoras en sus redes opcionales o de confianza.
Antes de configurar un hotspot inalmbrico, debe establecer la configuracin de su red inalmbrica para
invitados como se describe en Activar una red inalmbrica para invitados.
Como mnimo, debe especificar el Ttulo de la pgina y los Trminos y condiciones para activar esta
funcin.
1. En el cuadro de texto Ttulo de la pgina, ingrese el ttulo que desea que aparezca en la pgina de
presentacin del hotspot.
n Color del texto: ste es el color para el texto en la pantalla de presentacin del hotspot. El color
predeterminado es el #000000 (negro). El color configurado aparece en un recuadro
adyacente al cuadro de texto Color del texto. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el cdigo de color HTML
en el cuadro de texto Color del texto.
n Color de fondo: ste es el color utilizado para el fondo de la pantalla de presentacin del
hotspot. El color predeterminado es el #FFFFFF (blanco). El color configurado aparece en un
recuadro adyacente al cuadro de texto Color de fondo. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el cdigo de color HTML
en el cuadro de texto Color de fondo.
7. Haga clic en la Vista previa de la pantalla de presentacin.
Aparece una vista previa de la pantalla de presentacin en una nueva ventana del navegador.
1. Utilice un cliente inalmbrico para conectase a su red inalmbrica para invitados. Utilice el SSID y
cualquier otra configuracin que haya establecido para la red inalmbrica para invitados.
2. Abra un explorador web. Navegue a cualquier sitio web.
Aparecer la pantalla de presentacin del hotspot inalmbrico en el navegador.
Para desconectar a un cliente hotspot inalmbrico, desde la pgina Clientes hotspot inalmbricospage:
Configuracin manual
Para usar una direccin IP esttica, seleccione esta opcin. Ingrese la Direccin IP, Mscara de
subred y Puerta de enlace predeterminada.
Cliente DHCP
Para configurar la interfaz externa como cliente DHCP, seleccione esta opcin. Ingrese la
configuracin de DHCP.
Para obtener ms informacin acerca de cmo configurar la interfaz externa para usar una
direccin IP esttica o DHCP, consulte Configurar una interfaz externa en la pgina 82.
5. Haga clic en la pestaa Inalmbrico.
Aparece la configuracin de cliente inalmbrico.
6. En el cuadro de texto Nombre de red (SSID), ingrese un nombre nico para la red externa
inalmbrica.
7. En la lista desplegable Autenticacin, seleccione el tipo de autenticacin que desea activar para las
conexiones inalmbricas. Recomendamos utilizar WPA2 si los dispositivos inalmbricos de la red son
compatibles con WPA2.
Para obtener ms informacin acerca de los mtodos de autenticacin inalmbrica, consulte Acerca
de configuraciones de seguridad en la pgina 166.
8. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexin
inalmbrica y agregue las claves o las contraseas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opcin de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
Para obtener informacin acerca de cmo configurar un tnel BOVPN, consulte Acerca de tneles BOVPN
manuales en la pgina 418.
1. En la lista desplegable Regin operativa, seleccione la regin operativa que mejor describa la
ubicacin de su dispositivo.
La lista de regiones operativas inalmbricas que puede seleccionar en su Firebox puede ser
diferente segn dnde lo haya adquirido.
2. En la lista desplegable Canal, seleccione un canal o seleccione Automtico.
Debido a los requisitos normativos de las distintas partes del mundo, no todos los canales inalmbricos estn
disponibles en todas las regiones. Esta tabla incluye los canales disponibles para cada regin operativa
compatible en Firebox X Edge e-Series inalmbrico.
Europa,
Frecuencia Australia Medio Repblica
Canal central Amrica Asia &Nueva Oriente y Francia Israel Japn Taiwn Popular
(MHz) Zelanda frica de China
(EMEA)
1 2412 S S S S -- -- S S S
2 2417 S S S S -- -- S S S
3 2422 S S S S -- S S S S
4 2427 S S S S -- S S S S
5 2432 S S S S -- S S S S
6 2437 S S S S -- S S S S
7 2442 S S S S -- S S S S
8 2447 S S S S -- S S S S
9 2452 S S S S -- S S S S
10 2457 S S S S S -- S S S
11 2462 S S S S S -- S S S
12 2467 -- -- S S S -- S -- S
13 2472 -- -- S S S -- S -- S
14 2484 -- -- -- -- -- -- S -- --
802.11b solamente
Este modo limita el dispositivo inalmbrico WatchGuard para que se conecte con dispositivos que
estn slo en el modo 802.11b.
802.11g solamente
Este modo limita el dispositivo inalmbrico WatchGuard para que se conecte con dispositivos que
estn slo en el modo 802.11g.
802.11g y 802.11b
Si el dispositivo 2 Series an no tiene una regin configurada o si la regin no est actualizada, puede forzar
el dispositivo para actualizar la regin de radio inalmbrico.
ste es el modo predeterminado en la banda 2.4 GHz y es la configuracin recomendada. Este modo
le permite al dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11n, 802.11g u
802.11b.
802.11g y 802.11b
Este modo le permite al dispositivo inalmbrico WatchGuard conectarse con los dispositivos que
utilizan 802.11g u 802.11b.
SLO 802.11b
Este modo le permite al dispositivo inalmbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11b.
ste es el modo predeterminado en la banda 5 GHz. Este modo le permite al dispositivo inalmbrico
WatchGuard conectarse con los dispositivos que utilizan 802.11a u 802.11n.
SLO 802.11a
Este modo le permite al dispositivo inalmbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11a.
Nota Si elige un modo inalmbrico que admite varias normas 802.11, el rendimiento
general puede disminuir considerablemente. Esto se debe en parte a la necesidad
de admitir protocolos de proteccin para la retrocompatibilidad cuando los
La banda 5 GHz provee ms rendimiento que la banda 2.4 GHz, pero puede no ser compatible con todos los
dispositivos inalmbricos. Seleccione la banda y el modo segn las tarjetas inalmbricas de los dispositivos
que se conectarn con el dispositivo inalmbrico WatchGuard.
Seleccionar el canal
Los canales disponibles dependen del pas y del modo inalmbrico que seleccione. En forma
predeterminada, el Canal se configura en Automtico. Cuando el canal se configura en Automtico, el
dispositivo inalmbrico 2-Series selecciona automticamente un canal silencioso de la lista disponible en la
banda que usted ha seleccionado. O puede seleccionar un canal especfico de la lista desplegable Canal.
Si la red utiliza cifrado, ingrese la clave de red dos veces en el cuadro de texto Conexin de red
inalmbrica y haga clic en Conectar nuevamente.
10. Configure la computadora inalmbrica para utilizar la configuracin dinmica de host (DHCP).
Nota El soporte para algunos protocolos de dynamic routing est disponible slo en el
Fireware XTM con actualizacin Pro. El dynamic routing no es soportado en el
Firebox X Edge E-Series.
El Fireware XTM soporta los protocolos RIP v1 y RIP v2. El Fireware XTM con actualizacin Pro soporta los
protocolos RIP v1, RIP v2, OSPF y BGP v4.
n Los caracteres "!" y "#" son puestos antes de los comentarios, que son lneas de texto en archivos de
configuracin que explican la funcin de los comandos siguientes. Si el primer caracter de una lnea
El RIP es mejor para redes pequeas. Eso es as porque la transmisin de la tabla de enrutamiento completa
a cada 30 segundos puede poner una carga grande de trfico en la red y porque las tablas de RIP se limitan
a 15 saltos. El OSPF es una mejor opcin para grandes redes.
Hay dos versiones del RIP. RIP v1 usa la difusin de UDP a travs del puerto 520 para enviar actualizaciones
a las tablas de enrutamiento. RIP v2 usa la multidifusin para enviar actualizaciones de tabla de
enrutamiento.
interfaz-pasiva eth[N]
interfaz-pasiva predeterminada
red [A.B.C.D/M]
vecino [A.B.C.D/M]
redistribuir mapa-ruta conectado Redistribuir rutas de todas las interfaces hacia puntos
[NOMBREMAPA] RIP, con un filtro de mapa de ruta (nombremapa)
redistribuir mapa-ruta ospf Redistribuir rutas desde OSPF a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).
redistribuir mapa-ruta bgp Redistribuir rutas desde BGP a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).
coincidir direccin ip
[NOMBRELISTA]
4. Seleccione Activar .
5. Copie y pegue el texto del archivo de configuracin del demonio de enrutamiento en la ventana.
6. Haga clic en Guardar.
Entonces puede aadir la autenticacin y restringir la poltica de RIP para analizar slo las interfaces
correctas.
4. Seleccione Activar .
Entonces puede aadir la autenticacin y restringir la poltica de RIP para analizar slo las interfaces
correctas.
Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, segn sea necesario.
!! SECCIN 1: Configurar claves de autenticacin MD5.
! Definir el nombre de la clave de autenticacin MD5 (CLAVE), el nmero de la
clave (1),
! y la cadena de la clave de autenticacin (CLAVEAUT).
! clave CLAVE
! clave 1 ! cadena-clave CLAVEAUT
!! SECCIN 2: Configure las propiedades de interfaz.
! Definir autenticacin para interfaz (eth1).
! interfaz eth1
!
! Definir la contrasea de autenticacin simple de RIP (CLAVECOMPARTIDA).
! ip rip cadena de autenticacin CLAVECOMPARTIDA
!
! Definir autenticacin MD5 de RIP y clave MD5 (CLAVE).
! ip rip modo autenticacin md5
El OSPF (Abrir camino ms curto primero) es un protocolo de enrutador interior usado en grandes redes.
Con el OSPF, un enrutador que ve una alteracin en su tabla de enrutamiento o que detecta un cambio en
la red inmediatamente enva una actualizacin de multidifusin a todos los otros enrutadores en la red.
OSPF es diferente del RIP porque:
n El OSPF enva slo la parte de la tabla de enrutamiento que fue alterada en la transmisin. El RIP
enva la tabla de enrutamiento completa todas las veces.
n El OSPF enva una multidifusin slo cuando su informacin fue alterada. El RIP enva una tabla de
enrutamiento a cada 30 segundos.
n Si tiene ms de un rea de OSPF, una debe ser rea 0.0.0.0 (el rea del backbone).
n Todas las reas deben ser adyacentes al rea de backbone. Si no lo son, debe configurar un enlace
virtual al rea de backbone.
Comandos de OSPF
Para crear o modificar un archivo de configuracin de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catlogo de comandos de enrutamiento soportados por OSPF. Las
secciones deben aparecer en el archivo de configuracin en el mismo orden que aparecen en esta tabla.
Tambin puede usar el texto de muestra encontrados en Muestra de archivo de configuracin del
enrutamiento OSPF en la pgina 199.
Configurar interfaz
ip ospf clave-autenticacin
Definir contrasea de autenticacin de OSPF
[CONTRASEA]
interfaz
ancho de banda de referencia de Definir costo global (vea tabla de costo de OSPF
costo-auto[0-429495] abajo); no use con el comando "ip ospf [COSTO]"
La variable "rea" puede ser ingresada en dos formatos: [W.X.Y.Z]; o como un nmero entero [Z].
rea [Z] enlace-virtual [W.X.Y.Z] Definir vecino de enlace virtual para rea 0.0.0.Z
Redistribuir rutasOSPF
coincidir direccin ip
[NOMBRELISTA]
Ethernet 1G 128M 1
4. Seleccione Activar .
Para ms informacin acerca de cmo definir las direcciones de origen y destino para una poltica,
vea Definir reglas de acceso a una poltica en la pgina 267.
4. Haga clic en Guardar.
5. Configurar el enrutador seleccionado en el Paso 3.
6. Despus de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox
y el enrutador estn enviando actualizaciones el uno al otro.
Entonces puede aadir la autenticacin y restringir la poltica de OSPF para analizar slo las
interfaces correctas.
Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, segn sea necesario.
!! SECCIN 1: Configure las propiedades de interfaz.
! Definir propiedades para interfaz eth1.
! interfaz eth1
!
! Definir la contrasea de autenticacin simple (CLAVECOMPARTIDA).
! ip ospf clave-autenticacin CLAVECOMPARTIDA
!
! Definir el IP de clave de autenticacin MD5 (10) y clave de autenticacin MD5
(CLAVEAUT).
! ip ospf clave-resumen-mensaje 10 md5 CLAVEAUT
!
! Definir costo de enlace en 1000 (1-65535) en la interfaz eth1.
! para tabla de costo de enlace OSPF. ! ip ospf costo 1000
!
! Definir intervalo de hello en 5 segundos (1-65535); el predeterminado es 10
segundos.
! ip ospf intervalo-hello 5
!
! Definir intervalo de muerto en 15 segundos (1-65535); el predeterminado es 40
segundos.
! ip ospf intervalo-muerto 15
!
! Definir intervalo entre retransmisiones de anuncios de enlace-estado (LSA)
! en 10 segundos (1-65535); el predeterminado es 5 segundos.
! ip ospf intervalo-retransmitir 10
!
! Definir intervalo de actualizacin LSA en 3 segundos (1-3600); el
predeterminado es 1 segundo.
! ip ospf transmitir-retraso 3
!
! Definir alta prioridad (0-255) para aumentar a elegibilidad para convertirse en
! enrutador asignado (DR).
! ip ospf prioridad 255
!! SECCIN 2: Iniciar OSFP y definir propiedades de demonio.
! Activar demonio OSPF. Debe estar activado para todas las configuraciones
de OSPF.
! router ospf
!
! Definir el ID del enrutador manualmente en 100.100.100.20. Si no definirlo, el
firewall lo har
! definir el propio ID basado en una direccin IP de interfaz.
! ospf router-id 100.100.100.20
!
! Activar compatibilidad RFC 1583 (aumenta la probabilidad de bucles de
enrutamiento).
! ospf rfc1583compatibilidad
!
! Definir tipo de enrutador de adyacencia de rea (ABR) en cisco, ibm, acceso
directo o estndar.
! Ms informacin acerca de los tipos ABR en draft-ietf-ospf-abr-alt-05.txt.
! ospf abr-tipo cisco
!
! Desactivar anuncio de OSPF en interfaz eth0.
! interfaz pasiva eth0
!
! Definir costo global en 1000 (0-429495).
! ancho de banda de referencia de costo-auto 1000
!
! Definir retraso de cronograma de SPF en 25 (0-4294967295) segundos y sostener
! 20 (0-4294967295) segundos; predeterminado es 5 y 10 segundos. ! temporizadores
spf 25 20
!! SECCIN 3: Definir propiedades de rea y red. Definir reas con notacin
W.X.Y.Z
!! o Z.
! Anunciar OSPF en la red 192.168.253.0/24 para rea 0.0.0.0.
! red 192.168.253.0/24 rea 0.0.0.0
!
! Crear rea 0.0.0.1 y definir un rango de redes de clase (172.16.254.0/24)
! para el rea (configuraciones de red de interfaz y rango deben coincidir).
! rea 0.0.0.1 rango 172.16.254.0/24
!
El Border Gateway Protocol (BGP) es un protocolo de dynamic routing usado en la Internet por grupos de
enrutadores para compartir informacin de enrutamiento. El BGP usa parmetros de ruta o atributos para
definir polticas de enrutamiento y crear un ambiente estable de enrutamiento. Ese protocolo permite que
divulgue ms de un camino hacia y desde la Internet a su red y recursos, lo que le ofrece caminos
redundantes y puede aumentar su tiempo de actividad.
Los hosts que usan BGP usan TCP para enviar informacin de tabla de enrutamiento actualizada cuando un
host encuentra una alteracin. El Host enva slo la parte de la tabla de enrutamiento que tiene la
alteracin. El usa el enrutamiento interdominios sin clase (CIDR) para reducir el volumen de las tables de
enrutamiento de Internet. El volumen de la tabla de enrutamiento de BGP en el Fireware XTM est definido
en 32 K.
El volumen de la red de rea amplia (WAN) tpica del cliente WatchGuard es ms adecuado para el dynamic
routing de OSPF. Una WAN tambin puede usar el border gateway protocol externo (EBGP) cuando ms de
una puerta de enlace hacia Internet est disponible. EBGP le permite aprovechar al mximo la posible
redundancia con una red "multi-homed".
Para participar en un BGP con un ISP, debe tener un nmero de sistema autnomo (ASN). Debe obtener un
ASN junto a uno de los registros regionales en la tabla abajo. Despus de que se le asigne su propio ASN,
debe contactar cada ISP para obtener sus ASNs y otras informaciones necesarias.
Comandos BGP
Para crear o modificar un archivo de configuracin de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catlogo de comandos de enrutamiento de BGP. Las secciones deben
aparecer en el archivo de configuracin en el mismo orden que aparecen en esta tabla.
vecino [A.B.C.D] versin 4 o Definir versin de BGP (4, 4+, 4-) para comunicacin con
posterior vecino; la predeterminada es la 4
vecino [A.B.C.D] actualizar- Definir la sesin BGP para que use una interfaz especfica
fuente [PALABRA] para las conexiones TCP
vecino [A.B.C.D]
Anunciar ruta predeterminada para vecino BGP [A,B,C,D]
predeterminado-originar
Listas de comunidades
Filtrado de punto
Reflexin de ruta
vecino [W.X.Y.Z] ruta-reflector- Para configurar el enrutador como reflector de ruta BGP y
cliente configurar el vecino especificado como su cliente
ip prefijo-listas PRELISTA
Definir lista de prefijos
permitir A.B.C.D/E
acceso-lista NOMBRE
Definir lista de acceso
[negar|permitir] A.B.C.D/E
4. Seleccione Activar .
5. Copie y pegue el archivo de configuracin del demonio de enrutamiento en la ventana.
Entonces puede aadir la autenticacin y restringir la poltica de BGP para analizar slo las interfaces
correctas.
Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, segn sea necesario.
!! SECCIN 1: Iniciar demonio de BGP y anunciar bloqueos de red a vecinos de BGP
! Activar BGP y definir ASN local en 100 enrutador bgp 100
! Divulgar red local 64.74.30.0/24 a todos los vecinos definidos en la seccin 2
64.74.30.0/24
! Redistribuir ospf
CCIN6:Reflexin de ruta
! Definir ID de clster y firewall como un cliente de servidor de reflector de ruta
51.210.0.254
! bgp clster-id A.B.C.D
! vecino 51.210.0.254 ruta-reflector-cliente
Puede crear polticas de firewall para dar acceso a recursos especficos de red a usuarios y grupos. Eso es
til en los ambientes de red donde varios usuarios comparten un nico equipo o direccin IP.
Puede configurar su Firebox como servidor de autenticacin local o usar su servidor de Active Directory
Authentication, LDAP o RADIUS existente. Cuando usa la autenticacin de Firebox por el puerto 4100, los
privilegios de cuenta pueden estar basados en el nombre de usuario. Cuando usa una autenticacin de
terceros, los privilegios de cuenta para los usuarios que autentican a servidores de autenticacin de
terceros estn basados en la participacin en un grupo.
La funcin de autenticacin de usuario de WatchGuard permite que un nombre de usuario est asociado a
una direccin IP especfica para ayudarlo a autenticarse y rastrear conexiones de usuarios a travs del
dispositivo. Con el dispositivo, la pregunta fundamental que cada conexin realiza es "debo permitir el
trfico de la origen X hacia el destino Y?" Para que la funcin de autenticacin de WatchGuard funcione
correctamente, la direccin IP del equipo del usuario no debe cambiar mientras el usuario est autenticado
al dispositivo.
En gran parte de los ambientes, la relacin entre una direccin IP y el equipo de usuario es bastante estable
como para ser usada para la autenticacin. Los ambientes en los cuales la asociacin entre el usuario y una
direccin IP no sea consistente, como en terminales o redes en las cuales las aplicaciones sean ejecutadas
desde un servidor de terminal, no suelen ser muy aptos para una utilizacin exitosa de la funcin de
autenticacin de usuario.
WatchGuard soporta control de Autenticacin, Cuentas y Acceso (AAA, en sus siglas en ingls) en los
productos de firewall, basado en el asociacin estable entre la direccin IP y la personal.
Si controla el acceso de SSO con una lista blanca y administra tiempos de espera de inactividad, tiempos de
espera de sesin y quines estn autorizados a autenticarse, puede mejorar su control de autenticacin,
cuentas y control de acceso.
Para evitar que un usuario se autentique, debe desactivar la cuenta para aquel usuario en el servidor de
autenticacin.
Para autenticarse, un usuario debe conectarse a la pgina web del portal de autenticacin en el dispositivo
WatchGuard.
1. Dirjase a:
https://[direccin IP de la interfaz del dispositivo]:4100/
o
https://[nombre del host del dispositivo]:4100
Aparece la pgina web de autenticacin.
2. Ingrese un nombre de usuario y contrasea.
3. Seleccione el servidor de autenticacin en la lista desplegable, si ms de un tipo de autenticacin
est configurado.
El dispositivo WatchGuard enva el nombre y contrasea al servidor de autenticacin usando un PAP (Protocolo
de Autenticacin de Contrasea, segn sus siglas en ingls).
Cuando autenticado, el usuario est autorizado a usar los recursos aprobados de red.
Nota Como el Fireware XTM usa un certificado autofirmado por defecto para HTTPS, se
recibe una advertencia de seguridad de su explorador web cuando se autentica.
Puede ignorar esa advertencia de seguridad sin mayor riesgo. Si desea quitar esa
advertencia, puede usar un certificado externo o crear un certificado
personalizado que coincida con la direccin IP o domain name usado para la
autenticacin.
Nota Si la pgina web del portal de autenticacin est configurada para redireccionar
automticamente hacia otra pgina web, el portal lo redirecciona algunos
segundos despus que lo abre. Asegrese de salir antes que la pgina lo
redireccione.
Despus de autenticarse, puede usar las polticas configuradas para usted en el dispositivo.
Para enviar una solicitud de autenticacin a travs de un Firebox de puerta de enlace a un dispositivo
diferente, debe tener una poltica que permita el trfico de autenticacin en el dispositivo de puerta de
enlace. Si se niega el trfico de autenticacin en el dispositivo de puerta de enlace, agregar la poltica de
WG-Autoriz. Esa poltica controla el trfico en el puerto TCP 4100. Debe configurar la poltica para permitir
el trfico hacia la direccin IP del dispositivo de destino.
Para usuarios autenticados por servidores externos, los tiempos de espera definidos en esos servidores
tambin anulan los tiempos de espera de autenticacin global.
Los valores de tiempos de espera de autenticacin no se aplican a usuarios de Mobile VPN con PPTP.
El perodo de tiempo mximo que un usuario puede enviar trfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o das, la sesin no expira y el usuario puede seguir
conectado por el tiempo que desee.
El perodo de tiempo mximo que el usuario puede permanecer autenticado cuando est inactivo
(sin transmitir cualquier trfico a la red externa). Si define este campo en cero (0) segundos,
minutos, horas o das, la sesin no termina cuando est inactiva y el usuario puede seguir conectado
por el tiempo que desee.
Para usuarios de Mobile VPNwith IPSec y Mobile VPN with SSL, las sesiones de inicio simultneas de la
misma cuenta siempre son compatibles, est la casilla seleccionada o no. Esos usuarios deben iniciar sesin
desde diferentes direcciones IP para el inicio de sesin simultneo, es decir, no pueden usar la misma
cuenta para iniciar sesin si estn detrs de un Firebox que usa NAT. Los usuarios de Mobile VPN con PPTP
no tienen esa restriccin.
Al marcar esta casilla de verificacin, todos los usuarios que todava no estn autenticados sern
redireccionados automticamente al portal de inicio de sesin de autenticacin cuando intenten
acceder a Internet. Si no seleccionar esa casilla de verificacin, los usuarios no autenticados deben
navegar manualmente al portal de inicio de sesin de autenticacin.
El perodo de tiempo mximo que un usuario puede enviar trfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o das, la sesin no expira y el usuario puede seguir
conectado por el tiempo que desee.
El perodo de tiempo mximo que el usuario puede permanecer autenticado cuando est inactivo
(sin transmitir cualquier trfico a la red externa). Si define ese campo en cero (0) segundos, minutos,
horas o das, la sesin no termina cuando el usuario est inactivo y puede seguir conectado por el
tiempo que desee.
Si desea enviar una solicitud de autenticacin a travs de un dispositivo de puerta de enlace hacia un
dispositivo diferente, puede ser necesario agregar la poltica WG-Autoriz manualmente. Si el trfico de
autenticacin es negado en el dispositivo de puerta de enlace, debe usar el Policy Manager para agregar la
poltica WG-Autoriz. Modifique esa poltica para permitir el trfico hacia la direccin IP del dispositivo de
destino.
Para obtener ms informacin sobre cuando modificar la poltica de autenticacin de WatchGuard, vea Use
la autenticacin para restringir el trfico entrante en la pgina 212.
El SSO de WatchGuard es una solucin en dos partes, que incluye el agente SSO y los servicios de cliente
SSO. Para que SSO funcione, el software del agente SSO debe estar instalado en un equipo en su dominio. El
software cliente SSO es opcional y est instalado en el equipo cliente de cada usuario.
El software del agente SSO hace un llamado al equipo cliente por el puerto 4116 para verificar quin est
registrado en el momento. Si no hay respuesta, el agente SSO retorna al protocolo anterior de las versiones
anteriores a WSM 10.2.4, y hace un llamadoNetWkstaUserEnum al equipo cliente. Entonces usa la
informacin recibida para autenticar un usuario en Single Sign-On.
Si el cliente SSO no est instalado, el agente SSO puede obtener ms de una respuesta del equipo que
consulta. Eso puede ocurrir si ms de un usuario inicia sesin en el mismo equipo, o debido a los accesos
por lotes o servicio que ocurren en el equipo. El agente SSO usa slo la primera respuesta recibida del
equipo y reporta aquel usuario a Firebox como el usuario que est registrado. El dispositivo puede
comparar la informacin del usuario con todas las polticas definidas para aquel usuario y/o grupo de
usuarios de una sola vez. El agente SSO, por defecto, pone en cach esos datos por unos 10 minutos para
que no sea necesario generar una consulta para cada conexin.
Cuando el software cliente SSO est instalado, recibe un llamado del agente SSO y devuelve informacin
precisa sobre el usuario que est actualmente registrado en la estacin de trabajo. El agente SSO no
establece contacto con el servidor de Active Directory para obtener credenciales del usuario, porque
recibe la informacin correcta sobre quin est registrado actualmente en un equipo y a cules grupos de
Active Directory el usuario pertenece, desde el cliente SSO.
Si trabaja en un ambiente donde ms de una persona usa un equipo, recomendamos que instale el
software cliente SSO. Si no usa el cliente SSO, hay limitaciones de control de acceso a las que se debe
prestar atencin. Por ejemplo, para servicios instalados en un equipo cliente (tal como un cliente antivirus
administrado de modo central) que hayan sido desplegados para que el inicio de sesin se hiciera con las
credenciales de la cuenta de dominio, Firebox ofrece derechos de acceso a todos los usuarios definidos a
partir del primer usuario registrado (y los grupos a los cuales ese usuario pertenece), y no las credenciales
de usuarios individuales que inician sesin interactivamente. Adems, todos los mensajes de registro
generados a partir de la actividad de usuario muestran el nombre de usuario de la cuenta de servicio y no el
usuario individual.
Nota Si no instala el cliente SSO, recomendamos que no use el SSO en ambientes donde
los usuarios se registran a equipos con inicio de sesin por lote o de servicio.
Cuando ms de un usuario est asociado a una direccinIP, los permisos de red
pueden no funcionar correctamente. Eso puede representar un riesgo de
seguridad.
Antes de empezar
n Debe tener un Active Directory Server configurado en una red de confianza u opcional.
n Su Firebox debe estar configurado para usar la Active Directory Authentication.
n Cada usuario debe tener una cuenta configurada en el Active Directory Server.
n Cada usuario debe registrarse en una cuenta de dominio para que Single Sign-On (SSO)funcione
correctamente. Si los usuarios se registran a una cuenta que existe slo en sus equipos locales, sus
credenciales no son verificadas y el Firebox no reconoce que estn registrados.
n Si usa un software de firewall de terceros en sus equipos en red, asegrese de que el puertoTCP
445 (Samba/Windows Network)est abierto en cada cliente.
n Asegrese de que la opcin de compartir impresoras y archivos est habilitada en todos los equipos
desde los cuales los usuarios se autentican con SSO.
n Asegrese de que los puertos NetBIOS y SMS no estn bloqueados en todos los equipos desde los
cuales los usuarios se autentican con SSO. NetBIOS usa puertos TCP/UDP 137, 138 y 139. SMB usa el
puerto TCP 445.
n Asegrese de que el puerto 4116 est abierto en los equipos cliente.
n Asegrese de que todos los equipos desde los cuales los usuarios se autentican con SSO sean
miembros del dominio con relaciones de confianza absoluta.
Configurar SSO
Para usar el SSO, debe instalar el software del agente SSO. Recomendamos que tambin instale el cliente
SSO en los equipos de los usuarios. Aunque slo pueda usar el SSO con el agente SSO, la seguridad y el
control de acceso aumentan cuando tambin se usa el cliente SSO.
o versin posterior.
Nota Para usar Single Sign-On en su Firebox, debe instalar el agenteSSO en un equipo
dominio con direccinIP esttica. Recomendamos que instale el agenteSSO en su
controlador de dominio.
Antes de instalar
El servicio del agenteSSO debe ser ejecutado como cuenta de usuario, no como cuenta de administrador.
Recomendamos que cree una nueva cuenta de usuario para esa finalidad. Para que el servicio del agente
SSO funcione correctamente, configure la cuenta de usuario con estas propiedades:
Como el instalador del cliente SSO es un archivo MSI, se puede elegir instalarlo automticamente en los
equipos de los usuarios cuando inician sesin en el dominio. Puede usar la Poltica de Grupo de Active
Directory para instalar el software automticamente cuando los usuarios inicien sesin en su dominio. Para
obtener ms informacin acerca del despliegue de instalacin del software para los objetos de poltica de
grupo de Active Directory, vea la documentacin de su sistema operativo.
Para ver cules unidades estn disponibles para instalar el cliente y cunto espacio est disponible
en cada una de las unidades, haga clic en Costo de Disco.
3. Para cerrar el asistente, haga clic en Cerrar.
2. Seleccione la casilla de verificacin Activar Single Sign-On (SSO) con Active Directory.
3. En el cuadro de texto Direccin IP de Agente SSO , ingrese la direccin IP de su Agente SSO.
4. En el cuadro de texto Poner datos en cach por , ingrese o seleccione el perodo de tiempo que se
guardan los datos del agente SSO en cach.
5. En la lista Excepciones de SSO , agregar o remover las direccionesIP del host para las cuales no
desea que el dispositivo enve consultas de SSO.
Puede configurar uno o ms tipos de servidor de autenticacin para un dispositivo WatchGuard. Si usa ms
de un tipo de servidor de autenticacin, los usuarios deben seleccionar el tipo de servidor de autenticacin
en una lista desplegable cuando se autentican.
Cuando se crea un grupo, se define el procedimiento de autenticacin para los usuarios, el tipo de sistema
e informacin que pueden acceder. Un usuario puede ser una red o un equipo. Si su empresa cambia, se
puede agregar o quitar usuarios de sus grupos.
El servidor de autenticacin de Firebox est activado por defecto. No necesita activarlo antes de agregar
usuarios y grupos.
n Firewall autenticacin
n de conexiones de Mobile VPN with PPTP
n Configurar el Firebox para Mobile VPN with IPSec
n Conexiones de Mobile VPN con SSL
n Nombre de usuario
n Grupo (o grupos) de usuarios de Firebox del cual el usuario es un miembro
n Direccin IP del equipo usado para autenticarse
n Direccin IP virtual del equipo usado para conectarse a Mobile VPN
Firewall autenticacin
Se crean cuentas y grupos de usuarios para permitirles que se autentiquen. Cuando un usuario se autentica
con Firebox, sus credenciales y direccin IP del equipo son usadas para encontrar si alguna poltica se aplica
al trfico que el equipo enva y recibe.
Para autenticarse con una conexin HTTPS al Firebox a travs del puerto 4100:
Como el Firebox permite la conexin PPTP desde cualquier usuario Firebox que ofrezca las credenciales
correctas, es importante que se haga una poltica para sesiones de PPTP que incluya slo usuarios que
desea autorizar el envo de trfico a travs de la sesin PPTP. Tambin puede aadir un grupo o usuario
individual a una poltica que restrinja el acceso a los recursos detrs de Firebox. Firebox crea un grupo
preconfigurado denominado usuarios PPTP para esa finalidad.
Cuando el equipo del usuario est correctamente configurado, el usuario hace la configuracin de Mobile
VPN. Si las credenciales usadas para la autenticacin coinciden con una entrada en la base de datos de
usuarios de Firebox, y si el usuario est en el grupo de Mobile VPN creado, la sesin de Mobile VPN es
autenticada.
Como el Firebox permite la conexin SSL desde cualquiera de sus usuarios que ofrezca las credenciales
correctas, es importante que se haga una poltica para sesiones de SSL que incluya slo usuarios que desea
autorizar que enven trfico a travs de la sesin SSL. Tambin se puede agregar esos usuarios a un Grupo
de Usuarios de Firebox y crear una poltica que permita el trfico slo desde ese grupo. Firebox crea un
grupo preconfigurado denominado usuarios SSLVPN para esa finalidad.
1. En el Fireware XTM Web UI, seleccione VPN> Mobile VPN with SSL.
Aparece la pgina "Configuracin de Mobile VPN con SSL".
2. Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL.
5. En el campo Tiempo de espera de sesin, defina el perodo mximo de tiempo que el usuario
puede enviar trfico a la red externa.
La configuracin mnima para este campo es de un (1) segundos, minutos, horas o das. El valor
mximo es de 365 das.
6. En el campo Tiempo de espera inactivo, establezca la cantidad de tiempo que el usuario puede
permanecer autenticado mientras est inactivo (sin transmitir trfico hacia la red externa).
La configuracin mnima para este campo es de un (1) segundos, minutos, horas o das. El valor
mximo es de 365 das.
7. Para agregar un usuario a un Grupo de Autenticacin de Firebox, seleccione el nombre de usuario
en la lista Disponible.
8. Haga clic en para desplazar el nombre a la lista Miembro.
O bien, puede hacer doble clic en el nombre de usuario en la lista Disponible.
El usuario es agregado a la lista de usuarios. Puede entonces agregar ms usuarios.
9. Para cerrar el cuadro de dilogo Configurar usuario de Firebox, haga clic en Aceptar.
Aparece la pestaa "Usuarios de Firebox" con un listado de los nuevos usuarios.
Ahora puede configurar polticas y autenticacin con esos usuarios y grupos, tal como se describe en Use
los usuarios y grupos autorizados en polticas en la pgina 248.
Para ms informacin acerca de la autenticacin porRADIUS, vea Como la autenticacin del servidor
RADIUS funciona en la pgina 230.
Clave de autenticacin
Los mensajes de autenticacin hacia y desde el servidor RADIUS usan una clave de autenticacin, no una
contrasea. Esa clave de autenticacin, o shared secret, debe ser la misma en el cliente y servidor RADIUS.
Sin esa clave, no puede haber comunicacin entre cliente y servidor.
Para autenticacin con PPTP, RADIUS soporta slo MSCHAPv2 ( Protocolo de autenticacin por desafo
mutuo de Microsoft versin 2).
Antes de empezar
Antes de configurar su dispositivo WatchGuard para usar el servidor de autenticacin RADIUS, es necesario
tener esta informacin:
n Agregar la direccin IP del dispositivo WatchGuard al servidor RADIUS, tal como se describe en la
documentacin de su proveedorRADIUS.
n Activar y especificar el servidor RADIUS en la configuracin de su dispositivo WatchGuard.
n Agregar nombres de usuario o nombres de grupo RADIUS a sus polticas.
3. Para activar el servidor RADIUS y activar los campos en este cuadro de dilogo, seleccione la casilla
de verificacin Activar servidor .
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del servidor RADIUS.
5. En el campo Puerto, asegrese de que aparezca el nmero de puerto que RADIUS usa para
autenticacin. El nmero de puerto predeterminado es 1812. Los servidores RADIUS ms antiguos
pueden usar puerto 1645.
6. En el frase de contrasea secreta , ingrese el secreto compartido entre el dispositivo WatchGuard y
el servidor RADIUS.
El secreto compartido distingue maysculas de minsculas, y debe ser igual en el dispositivo
WatchGuard y en el servidor RADIUS.
7. En el cuadro de texto ConfirmarFrase de contrasea, ingrese el secreto compartido nuevamente.
8. Ingrese o seleccione el valor de tiempo de espera.
El valor del atributo Grupo es usado para definir el atributo que lleva la informacin de grupo de
usuarios. Debe configurar el servidor RADIUS para que incluya la cadena FilterID en el mensaje de
autenticacin de usuario que enva al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa informacin luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las polticas del
dispositivo WatchGuard.
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el perodo de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duracin.
Despus que un servidor de autenticacin no haya respondido por un perodo de tiempo, ste
queda marcado como inactivo. Este servidor no realizar intentos seguidos de autenticacin hasta
que est marcado como activo nuevamente.
12. Para agregar un servidor RADIUS de resguardo, seleccione la pestaa Configuracin del servidor
secundario y seleccione .Activar servidor RADIUS secundario .
13. Repetir los pasos 4 - 11 para agregar la informacin en los campos requeridos. Asegrese de que el
secreto compartido sea el mismo en el servidor RADIUS principal y de resguardo.
1. El usuario intenta autenticarse, sea a travs de una conexin de HTTPS por el explorador al Firebox
por el puerto 4100 o a travs de una conexin usando Mobile VPN with PPTP o IPSec. Firebox lee el
nombre de usuario y contrasea.
2. Firebox crea un mensaje llamado mensajes Acceso-Solicitar y lo enva al servidor RADIUS. Firebox
usa el secreto compartido de RADIUS en el mensaje. La contrasea siempre est cifrada en el
mensaje Acceso-Solicitar.
3. El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (el
Firebox). Si el servidor RADIUS no est configurado para aceptar Firebox como cliente, el servidor
rechaza el mensaje Acceso-Solicitar y no retorna el mensaje.
4. Si Firebox es un cliente conocido del servidor RADIUS y el secreto compartido est correcto, el
servidor encuentra el mtodo solicitado de autenticacin en el mensaje Acceso-Solicitar.
10. Firebox lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario con
el atributo FilterID para poner el usuario en un grupo RADIUS.
11. El servidor RADIUS puede incluir grandes volmenes de informacin adicional en el mensaje
Acceso-Aceptar. Firebox ignora gran parte de esa informacin, como los protocolos que el usuario
est permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, tiempo de
espera de inactividad y otros atributos.
12. El nico atributo que Firebox busca en el mensaje Acceso-Aceptar es el atributo FilterID (atributo
RADIUS nmero 11). El FilterID es una cadena de texto que se configura el servidor RADIUS para
incluir en el mensaje Acceso-Aceptar. Ese atributo es necesario para que Firebox asigne el usuario a
un grupo RADIUS.
Cuando Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa ese
valor para asociar el usuario a un grupo RADIUS. (Debe configurar el FilterID manualmente en su
configuracin de RADIUS.) Por lo tanto, el valor del atributo FilterIP es el nombre del grupo RADIUS donde
el Firebox pone el usuario.
Los grupos RADIUS que usa en Fireware XTM Web UI no son los mismos que los grupos Windows definidos
en su controlador de dominio o cualquier otro grupo existente en su base de datos de usuarios de dominio.
Un grupo RADIUS es slo un grupo lgico de usuarios utilizado por Firebox. Asegrese de que la cadena de
texto FilterID est seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupo
local o grupo de dominio en su organizacin, pero eso no es necesario. Recomendamos que use un nombre
descriptivo que lo ayude a recordar cmo defini sus grupos de usuarios.
Por ejemplo, cuando Mara se autentica, la cadena FilterID que RADIUS enva es Ventas, as que Firebox
pone a Mara en el grupo RADIUS de Ventaspor el tiempo que ella est autenticada. Si los usuarios Juan y
Alicia se autentican concomitantemente, y RADIUS pone el mismo valor FilterID Ventas en los mensajes
Acceso-Aceptar para Juan y Alicia, entonces, Mara, Juan y Alicia estn todos en el mismo grupo Ventas.
Puede crear una poltica en Fireware XTMWebUI que permita al grupo Ventas acceder a un recurso.
Puede configurar RADIUS para enviar resultados de un FilterID diferente, tal como Soporte de TI, para los
miembros de su organizacin de soporte interno. Tambin puede crear una poltica diferente para permitir
que los usuarios de Soporte de TI accedan a recursos.
Por ejemplo, puede permitir que el grupo Ventas acceda a Internet usando una poltica de HTTP filtrada.
Tambin puede filtrar su acceso web con WebBlocker. Una poltica diferente en el Policy Manager puede
permitir que los usuarios de Soporte de TI accedan a Internet con la poltica de HTTP no filtrada, para que
puedan acceder a Internet sin el filtro de WebBlocker. Use el nombre del grupo RADIUS (o nombres de
usuario) en el campo De de un poltica para mostrar cules grupos (o cules usuarios) pueden usar la
poltica.
Firebox enva un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, Firebox
espera el nmero de segundos definido en el cuadro Tiempo de espera y entonces enva otro Acceso-
Solicitar. Eso contina por el nmero de veces indicado en el cuadro Reintento (o hasta que haya una
respuesta vlida). Si no hay una respuesta vlida del servidor RADIUS, o si el secreto compartido de RADIUS
no coincide, Fireware XTM lo considera un intento fallido de autenticacin.
Despus de tres intentos fallidos de autenticacin, Fireware XTM usa el servidor RADIUS secundario para el
siguiente intento de autenticacin. Si el servidor secundario tampoco logra contestar despus de tres
intentos de autenticacin, Fireware XTMespera diez minutos para que el administrador corrija el problema.
Despus de diez minutos, Fireware XTMintenta usar el servidor RADIUS principal nuevamente.
Para usar la autenticacin por servidor VASCO con su dispositivo WatchGuard, debe:
n Agregar la direccin IP del dispositivo WatchGuard al VACMAN Middleware Server, tal como se
describe en la documentacin de su proveedor VASCO.
n Activar y especificar el VACMAN Middleware Server en la configuracin de su dispositivo
WatchGuard.
n Agregar nombres de usuario y de grupo a las polticas en el Policy Manager.
La autenticacin por servidor VASCO es configurada usando las configuraciones del servidorRADIUS. El
cuadro de dilogo Servidores de autenticacin no tiene una pestaa separada para servidores VACMAN
Middleware Server.
3. Para activar el VACMAN Middleware Server y activar los campos en ese cuadro de dilogo,
seleccione la casilla de verificacin Servidor.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del VACMAN Middleware Server.
5. En el cuadro de texto Puerto, asegrese de que apareza el nmero de puerto que VASCO usa para
autenticacin. El nmero de puerto predeterminado es 1812.
6. En el cuadro de texto frase de contrasea secreta , inserte el secreto compartido entre el
dispositivo WatchGuard y el VACMAN Middleware Server.
El valor del atributo Grupo es usado para definir cul atributo lleva la informacin de grupo de
usuarios. Debe configurar el servidor VASCO para que incluya la cadena FilterID en el mensaje de
autenticacin de usuario que enva al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa informacin luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las polticas del
dispositivo WatchGuard.
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el perodo de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duracin.
Despus que un servidor de autenticacin no haya respondido por un perodo de tiempo, ste
queda marcado como inactivo. Intentos seguidos de autenticacin, no intente conectarse a este
servidor hasta que est marcado como activo nuevamente.
12. Para agregar un VACMAN Middleware Server de resguardo, seleccione la pestaa Configuraciones
de Servidor Secundario, y seleccione Activar servidor RADIUS secundario .
13. Repetir los pasos 4 - 11 para agregar la informacin en los campos requeridos. Asegrese de que el
secreto compartido sea el mismo en el VACMAN Middleware Server principal y de resguardo.
3. Seleccione Activar SecurID Server casilla de verificacin para activar el servidor SecurID y activar los
campos en ese cuadro de dilogo.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del servidor SecurID.
5. Haga clic en el campo Puerto para subir o bajar, hasta definir el nmero de puerto para usar en la
autenticacin de SecurID.
El nmero predeterminado es 1812.
6. En el frases de contrasea cuadro de texto, ingrese el secreto compartido entre el dispositivo
WatchGuard y el servidor SecurID. El secreto compartido distingue maysculas de minsculas, y
debe ser igual en el dispositivo WatchGuard y en el servidor SecurID.
7. En el cuadro de texto Confirmar , ingrese nuevamente el secreto compartido.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el perodo de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticacin antes de intentar
establecer una nueva conexin.
9. En el Reintentos , inserte o seleccione el nmero de veces que el dispositivo WatchGuard intenta
conectarse al servidor de autenticacin antes de reportar una conexin fallida por un intento de
autenticacin.
10. En el cuadro de texto atributo Grupo , ingrese o seleccione un valor del atributo Grupo.
Recomendamos que no altere ese valor.
El valor del atributo Grupo es usado para definir el atributo que lleva la informacin de grupo de
usuarios. Cuando el servidor SecurID enva un mensaje al dispositivo WatchGuard al cual el usuario
est autenticado, tambin enva una cadena de grupo de usuarios. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa informacin luego es utilizada para control de acceso.
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el perodo de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas en la
lista desplegable al lado para determinar la duracin.
Despus que un servidor de autenticacin no haya respondido por un perodo de tiempo, ste
queda marcado como inactivo. Intentos seguidos de autenticacin, no use este servidor hasta que
est marcado como activo nuevamente, despus que se alcance el valor del tiempo muerto.
12. Para agregar un servidor SecurID de resguardo, seleccione la pestaa Configuracin del servidor
secundario y seleccione Activar un servidor SecurID secundario.Server .
13. Repetir los pasos 4 - 11 para agregar la informacin en los campos requeridos. Asegrese de que el
secreto compartido sea el mismo en el servidor SecurID principal y de resguardo.
3. Seleccionar la casilla de verificacin Activar LDAPServer para activar el servidor de LDAP y activar
los campos en ese cuadro de dilogo.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del servidor de LDAP principal a la cual el
dispositivo WatchGuard debe contactarse para solicitudes de autenticacin.
El servidor de LDAP puede estar ubicado en cualquier interfaz del dispositivo WatchGuard. Tambin
puede configurar su dispositivo para usar un servidor de LDAP en una red remota a travs de un
tnel VPN.
5. En el cuadro de texto Puerto, seleccione el nmero del puerto TCP para ser usado por el dispositivo
WatchGuard para conectar con el servidor de LDAP. El nmero de puerto predeterminado es 389.
LDAP por TLS no est soportado.
6. En el cuadro de texto Base de bsqueda , ingrese las configuraciones de base de bsqueda.
El formato estndar es: ou=unidad organizacional,dc=primera parte del nombre de distincin del
servidor,dc=cualquier parte del nombre de distincin del servidor que aparece despus del punto.
Se determina una base de bsqueda para imponer lmites a los directorios en el servidor de
autenticacin en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticacin. Por ejemplo, si las cuentas de usuario estn en una OU (unidad organizativa) a la que
se refiere como cuentas y el domain name es ejemplo.com, su base de bsqueda es:
ou=cuentas,dc=ejemplo,dc=com
Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchos
servidores de LDAP, la cadena predeterminada de grupo es uniqueMember, en otros servidores es
member.
8. En el cuadro de texto DN del usuario de bsqueda , inserte el Nombre de Distincin (DN) para una
operacin de bsqueda.
El atributo de inicio de sesin es el nombre usado para vincular a la base de datos de LDAP. El
atributo de inicio de sesin predeterminado es uid. Si usa uid, el campo DN de usuario buscando y
el campo Contrasea de Usuario buscando pueden estar vacos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione el perodo de tiempo a partir del cual
un servidor inactivo est marcado como activo nuevamente. Seleccione minutos o horas en la lista
desplegable al lado para determinar la duracin.
Despus que un servidor de autenticacin no haya respondido por un perodo de tiempo, ste
queda marcado como inactivo. Intentos seguidos de autenticacin, no intente con este servidor
hasta que est marcado como activo nuevamente.
12. Para agregar un servidor de LDAP de resguardo, seleccione la pestaa Configuraciones de Servidor
de Resguardo, y seleccione Activar un servidor de LDAP secundario .
13. Repetir los pasos 4 - 11 para agregar la informacin en los campos requeridos. Asegrese de que el
secreto compartido sea el mismo en el servidor de LDAP principal y de resguardo.
Para ms informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la pgina 243.
Puede usar un servidor de Active Directory Authentication para que los usuarios puedan autenticar el
dispositivo WatchGuard con sus credenciales actuales de red. Debe configurar el dispositivo y el Active
Directory Server.
Antes de empezar, asegrese de que sus usuarios puedan autenticarse con xito en el Active Directory
Server.
El Active Directory Server puede estar ubicado en cualquier interfaz del dispositivo WatchGuard.
Tambin es posible configurar el dispositivo para usar un Active Directory Server disponible a travs
de un tnel VPN.
5. En el cuadro de texto Puerto , ingrese o seleccione el nmero de puerto de TCP a ser usado por el
dispositivo para conectarse al Active Directory Server. El nmero de puerto predeterminado es 389.
Si su Active Directory Server es un servidor de catlogo global, puede ser til alterar el puerto
predeterminado. Para ms informaciones, vea Alterar el puerto predeterminado de Active Directory
Server en la pgina 242.
6. En el cuadro de texto Base de bsqueda, inserte la ubicacin en el directorio para empezar la
bsqueda.
No es necesario insertar nada en este cuadro de texto si mantiene el atributo de inicio de sesin de
sAMAccountName . Si altera el atributo del inicio de sesin, debe agregar un valor en el campoDN del
usuario de bsqueda para su configuracin. Puede usar cualquier DN de usuario con el privilegio de
bsqueda en el Active Directory/LDAP, como un Administrador. No obstante, un DN de usuario ms
dbil, slo con un privilegio de bsqueda, suele ser suficiente.
9. En el cuadro de texto Contrasea de usuario de bsqueda , inserte el nombre de distincin (DN)
para una operacin de bsqueda.
10. En el atributo de inicio de sesin lista desplegable, seleccione un atributo de inicio de sesin de
Active Directory para ser usado para autenticacin.
El atributo de inicio de sesin es el nombre usado para vincular a la base de datos del Active
Directory. El atributo de inicio de sesin predeterminado es sAMAccountName. Si usa el
sAMAccountName, el campoDN de usuario de bsqueda y el campo Contrasea de usuario de
bsqueda pueden estar vacos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione una hora a partir de la cual un servidor
inactivo est marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegable
al lado para determinar la duracin.
Despus que un servidor de autenticacin no haya respondido por un perodo de tiempo, ste
queda marcado como inactivo. Intentos seguidos de autenticacin, no intente con este servidor
hasta que est marcado como activo nuevamente.
12. Para agregar un Active Directory Server de resguardo, seleccione la pestaa Configuracin de
servidor de resguardo y seleccione la casilla Activar Active Directory Server secundario.
13. Repetir los pasos 4 - 11 para agregar la informacin en los campos requeridos. Asegrese de que el
secreto compartido sea el mismo en el Active Directory Server principal y de resguardo.
Para ms informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la pgina 243.
Antes de empezar, debe tener un Active Directory Server operativo que contenga los datos de cuenta de
todos los usuarios para los cuales desea configurar autenticacin en el dispositivo WatchGuard.
Los componentes del domain name tienen el formato dc=componente de domain name, estn
incluidos al final de la cadena de base de bsqueda y estn separados por comas.
Para cada nivel del domain name, debe incluir un componente de domain name separado en su
base de bsqueda de Active Directory. Por ejemplo, si su domain name es prefijo.ejemplo.com, el
componente del domain name en su base de bsqueda es DC=prefijo,DC=ejemplo,DC=com .
DC=kunstlerandsons,DC=com
Si usa un valor diferente para Atributo de inicio de sesin, el usuario que intente autenticarse da un
formato diferente del nombre de usuario. En ese caso, debe agregar Credenciales de usuario de bsqueda a
la configuracin de su Firebox.
Un servidor de catlogo global es un controlador de dominio que almacena informaciones sobre todos los
objetos en el bosque. Eso permite que las aplicaciones busquen en el Active Directory, pero sin tener que
referirse a controladores de dominio especficos que almacenan los datos solicitados. Si tiene slo un
dominio, Microsoft recomienda que configure todos los controladores de dominio como servidores de
catlogo global.
Si la casilla de verificacin Catlogo Global est seleccionada, el Active Directory Server est
configurado para ser un catlogo global.
Antes de empezar
Para usar esas configuraciones opcionales es necesario:
n Ampliar el esquema de directorio para agregar nuevos atributos para esos elementos.
n Hacer que los nuevos atributos estn disponibles para la clase de objeto a la que pertenecen las
cuentas de usuario.
n Otorgar valores a los atributos para los objetos de usuario que deberan usarlos.
2. Haga clic en la pestaa LDAP o en Active Directory y asegrese de que el servidor est activado.
4. Ingrese los atributos que desea incluir en la bsqueda del directorio en los campos de cadenas.
Cadena de atributos de IP
Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una direccin IP
virtual al cliente de Mobile VPN. Debe ser un atributo de valor nico y una direccin IP en
formato decimal. La direccin IP debe estar dentro del grupo de direcciones IP virtuales que
son especificadas en la creacin del Grupo de Mobile VPN.
Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una Subnet Mask a la
direccin IP virtual del cliente de Mobile VPN. Debe ser un atributo de valor nico y una Subnet
Mask en formato decimal.
Ingrese el nombre del atributo que Fireware XTM usa para asignar una o ms direcciones de
DNS al cliente de Mobile VPN para el perodo de duracin de la sesin de Mobile VPN. Eso
puede ser un atributo de mltiples valores y debe ser una direccin IP decimal normal con
puntos. Si Firebox no encuentra el atributo de DNS en el resultado de bsqueda, o si no se
especifica un atributo en Fireware XTM Web UI, l usa las direcciones WINS insertadas cuando
Configurado servidores WINS y DNS..
Ingrese el nombre del atributo que Fireware XTM debera usar para asignar una o ms
direcciones WINS al cliente de Mobile VPN para el perodo de duracin de la sesin de Mobile
VPN. Eso puede ser un atributo de mltiples valores y debe ser una direccin IP decimal
normal con puntos. Si Firebox no encuentra el atributo de WINS en el resultado de bsqueda, o
si no se especifica un atributo en Fireware XTM Web UI, l usa las direcciones WINS insertadas
cuando Configurado servidores WINS y DNS..
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticacin por firewall.
Ingrese el nombre del atributo para que Fireware XTM use para controlar la duracin mxima
que un usuario puede permanecer autenticado (tiempo de espera de sesin). Despus de ese
perodo de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor nico. Fireware XTMinterpreta el valor del atributo como un nmero decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticacin por firewall.
Ingrese el nombre del atributo que Fireware XTM usa para controlar el perodo de tiempo que
un usuario puede permanecer autenticado cuando no se transmite trfico hacia el Firebox
desde el usuario (tiempo de espera inactivo). Si no se enva trfico al dispositivo por ese
perodo de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor nico. Fireware XTM interpreta el valor del atributo como un nmero decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.
Mobile VPN puede enviar trfico a travs de un tnel de Mobile VPN. Aunque el usuario slo de Mobile
VPN pueda autenticarse y abrir un tnel PPTP, no puede enviar el trfico a travs de ese tnel.
Si usa la autenticacin por Active Directory y la membresa a un grupo para el usuario no coincide con la
poltica de Mobile VPN, encuentra un mensaje de error que dice que el Trfico descifrado no coincide con
ninguna poltica. Si encuentra ese mensaje de error, asegrese de que el usuario est en un grupo con el
mismo nombre que su grupo de Mobile VPN.
El trmino usuarios y grupos autorizados se refiere a usuarios y grupos que estn autorizados a acceder a
los recursos de red.
Las opciones disponibles incluyen Cualquiera, Firebox-DB, RADIUS (para autenticacin a travs de
un servidor RADIUS o VACMAN Middleware Server ), SecurID, LDAP, o Active Directory.
7. Haga clic en Agregar.
8. Haga clic Guardar.
5. En la lista desplegable a la izquierda Tipo, seleccione si el usuario o grupo est autorizado como
usuario de firewall, VPN SSL o PPTP.
Para ms informacin sobre esos tipos de autenticacin, vea Tipos de autenticacin de Firebox en la
pgina 223.
6. De la lista desplegable Tipo a la derecha, seleccione Usuario o Grupo.
7. Si el usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en
Seleccionar.
Reaparece el cuadro de dilogo "Agregar direccin" con el usuario o grupo en el cuadro Miembros o
Direcciones Seleccionados.
Haga clic en Aceptar para cerrar el cuadro de dilogo Editar Propiedades de Poltica.
8. Si el usuario o grupo no aparece en la lista en el cuadro de dilogo Agregar Usuarios o Grupos
Autorizados, vea Definir un nuevo usuario para autenticacin en Firebox en la pgina 225, Definir un
nuevo grupo para autenticacin de Firebox en la pgina 227, o el procedimiento anterior Definir
usuarios y grupos para autenticacin externa.
Despus que se agrega un usuario o grupo a una configuracin de polticas, Fireware XTM Web UI agrega
automticamente una poltica de autenticacin de WatchGuard a su configuracin de Firebox. Use esa
poltica para controlar el acceso a la pgina web del portal de autenticacin.
Para obtener instrucciones para editar esa poltica, vea Use la autenticacin para restringir el trfico
entrante en la pgina 212.
Acerca de polticas
La poltica de seguridad de una empresa es un conjunto de definiciones para proteger la red de equipos y la
informacin que la recorre. El Firebox rechaza todos los paquetes que no estn especficamente
permitidos. Cuando se agrega una poltica al archivo de configuracin del Firebox, se agrega un conjunto de
reglas que indican al Firebox que debe permitir o rechazar trfico en funcin de factores como el origen y
el destino del paquete o el puerto TCP/IP o el protocolo utilizado para el paquete.
Como ejemplo del modo en que puede usarse una poltica, supongamos que el administrador de red de
una empresa desea conectarse en forma remota a un servidor web protegido por el Firebox. El
administrador de red administra el servidor web con una conexin de Escritorio Remoto. Al mismo tiempo,
el administrador de red desea asegurarse de que ningn otro usuario de la red pueda utilizar el Escritorio
Remoto. Para crear esta configuracin, el administrador de red agrega una poltica que permite conexiones
RDP slo desde la direccin IP de su propio equipo de escritorio a la direccin IP del servidor web.
Una poltica tambin puede aportar al Firebox ms instrucciones sobre cmo administrar el paquete. Por
ejemplo, el usuario puede definir configuraciones de registro y notificacin que se aplican al trfico o usar
NAT (Traduccin de direccin de red) para cambiar la direccin IP de origen y el puerto del trfico de red.
Un proxy examina tanto la informacin del encabezado como el contenido de cada paquete para
asegurarse de que las conexiones sean seguras. Esto tambin se denomina inspeccin profunda de
paquetes. Si la informacin del encabezado del paquete es legtima y el contenido del paquete no se
considera una amenaza, entonces Firebox acepta el paquete. De lo contrario, Firebox lo rechaza.
Cuando se configura Firebox con el Quick Setup Wizard, el asistente agrega varios filtrados de paquetes:
Saliente (TCP-UDP), FTP, ping y hasta dos polticas de administracin de WatchGuard. Si el usuario tiene ms
aplicaciones de software y trfico de red para que examine Firebox, debe:
n Configurar las polticas en Firebox para que permitan la circulacin del trfico necesario.
n Definir las propiedades y hosts aprobados para cada poltica
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.
Accin
La accin que toma la poltica para el trfico que coincide con la definicin de la poltica. El smbolo en
esta columna tambin indica si la poltica es una poltica de filtro de paquetes o una poltica de proxy.
Nombre de la poltica
Tipo de poltica
El protocolo que la poltica administra. Los servidores proxy incluyen el protocolo y "-proxy".
Tipo de trfico
Registro
Alarma
De
Direcciones desde las cuales se aplica el trfico para esta poltica (direcciones de origen).
Para
Direcciones desde las cuales se aplica el trfico para esta poltica (direcciones de destino).
PBR
Indica si la poltica utiliza enrutamiento basado en polticas. Si ste es el caso y no est habilitada la
conmutacin por error, aparece el nmero de interfaz. Si el enrutamiento basado en la poltica y la
conmutacin por error estn habilitados, aparece una lista de nmeros de interfaz, con la interfaz
principal en el primer lugar de la lista.
Para ms informacin acerca del enrutamiento basado en polticas, vea Configurar el enrutamiento
basado en la poltica en la pgina 269.
Puerto
De manera predeterminada, la Fireware XTM Web UI clasifica a las polticas desde la ms especfica hasta la
ms general. El orden determina cmo fluye el trfico a travs de las polticas. Si desea establecer el orden
de las polticas de manera manual, junto a El orden automtico est activado, haga clic en Desactivar.
Para obtener ms informacin sobre el orden de las polticas, consulte Acerca de la precedencia de
polticas.
El Firebox incluye una definicin predeterminada para cada poltica incluida en la configuracin del Firebox.
La definicin predeterminada consiste en configuraciones que son apropiadas para la mayora de las
instalaciones. Sin embargo, pueden modificarse de acuerdo con los fines comerciales especficos o si se
desea incluir propiedades de poltica especiales como acciones de administracin de trfico y cronogramas
operativos.
Para obtener ms informacin sobre propiedades de polticas, consulte Acerca de propiedades de polticas
en la pgina 265.
n Cualquiera: cualquier alias de origen o destino correspondiente a interfaces del Firebox, como De
confianza o Externa.
n Firebox: un alias para todas las interfaces del Firebox.
n Cualquiera de confianza: un alias para todas las interfaces del Firebox configuradas como interfaces
de confianza y cualquier red a la que se puede obtener acceso a travs de estas interfaces.
n Cualquiera externa: un alias para todas las interfaces del Firebox configuradas como externas y
cualquier red a la que se puede obtener acceso a travs de estas interfaces.
n Cualquiera opcional: un alias para todas las interfaces del Firebox configuradas como opcionales y
cualquier red a la que se puede obtener acceso a travs de estas interfaces.
n Cualquiera BOVPN: un alias para cualquier tnel BOVPN (IPSec).
Cuando se utiliza el asistente de la poltica BOVPN para crear una poltica para permitir el trfico a
travs de un tnel BOVPN, el asistente automticamente crea alias .in y .out para los tneles
entrantes y salientes.
Los nombres de alias son diferentes de los nombres de usuario o grupo utilizados en la autenticacin de
usuario. Con la autenticacin de usuario, se puede monitorear una conexin con un nombre y no como una
direccin IP. La persona se autentica con un nombre de usuario y una contrasea para obtener acceso a los
protocolos de Internet.
Miembros de alias
Puede agregarse estos objetos a un alias:
n IP de host
n IP de red
Crear un alias
Para crear un alias para utilizar con las polticas de seguridad:
3. En el cuadro de texto Nombre de alias ingrese un nombre nico para identificar al alias.
Este nombre aparece en listas cuando se configura una poltica de seguridad.
4. En el campo Descripcin, ingrese una descripcin del alias.
5. Haga clic en Guardar.
Para quitar una entrada de la lista de miembros, seleccione la entrada y haga clic en Eliminar miembro.
1. Especificidad de la poltica
2. Protocolos configurados para el tipo de poltica
3. Reglas de trfico del campo Hasta
4. Reglas de trfico del campo Desde
5. Accin de firewall (permitido, negado o negado (enviar restablecer)) aplicada a las polticas
6. Cronogramas aplicados a las polticas
7. Secuencia alfanumrica basada en el tipo de poltica
8. Secuencia alfanumrica basada en el nombre de la poltica
Las secciones subsiguientes incluyen ms detalles acerca de lo que hace el dispositivo Firebox o XTM dentro
de estos ocho pasos.
Reglas de trfico
El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar la regla de trfico ms
general de una poltica con la regla de trfico ms general de una segunda poltica. Asigna mayor
precedencia a la poltica con la regla de trfico ms detallada.
1. Rango de direcciones IP de la
2. direccin de host (menor al de la subnet con la que se compara)
3. Rango de direcciones IP de la
4. subnet (mayor al de la subnet con la que se compara)
5. Nombre de usuario de autenticacin
6. Grupo de autenticacin
7. Interfaz, dispositivo Firebox o XTM
8. Cualquiera externa, Cualquiera de confianza, Cualquiera opcional
9. Cualquier
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las reglas de trfico,
examina las acciones de firewall.
Acciones de firewall
El dispositivo Firebox o XTM compara las acciones de firewall de dos polticas para establecer la
precedencia. La precedencia de acciones de firewall de mayor a menor es:
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las acciones de
firewall, examina los cronogramas.
Cronogramas
El dispositivo Firebox o XTM compara los cronogramas de dos polticas para establecer la precedencia. La
precedencia de cronogramas de mayor a menor es:
1. Siempre desactivado
2. A veces activo
3. Siempre activo
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara los cronogramas,
examina los nombres y tipos de polticas.
Por ejemplo, una organizacin desea restringir ciertos tipos de trfico de red durante el horario comercial
normal. El administrador de red podra crear un cronograma que se active en los das laborables y
establecer cada poltica en la configuracin para que use el mismo cronograma.
1. Seleccione Firewall>Programacin.
Aparece la pgina Programacin.
2. Para crear un nuevo cronograma, haga clic en Agregar.
Para modificar un cronograma, haga clic en Editar.
3. En el cuadro de texto Nombre, ingrese un nombre o una descripcin para el cronograma. Este
nombre no puede modificarse despus de guardar el cronograma.
4. Seleccione los horarios en los que desea que el cronograma funcione para cada da de la semana.
5. Haga clic en Guardar.
1. Seleccione Firewall>Programacin.
Aparece la pgina Programacin.
n Puertos TCP
n Puertos UDP
n Un protocolo IP que no sea TCP o UDP, como GRE, AH, ESP, ICMP, IGMP y OSPF. El usuario identifica
un protocolo IP que no es TCP o UDP con el nmero de protocolo IP.
Para crear una poltica personalizada, primero debe crear o editar una plantilla de poltica personalizada
que especifique los puertos y protocolos utilizados por polticas de ese tipo. Luego, crea una o ms polticas
a partir de esa plantilla para establecer reglas de acceso, registro, QoS y otras configuraciones.
Nota Fireware XTM no circula trfico multicast IGMP a travs de Firebox o entre
interfaces de Firebox. Circula trfico multicast IGMP slo entre una interfaz y
Firebox.
10. En la lista desplegable Puerto de servidor, seleccione el puerto para esta nueva poltica.
Si selecciona Intervalo de puertos, elija un puerto de servidor de inicio y un puerto de servidor de
finalizacin.
11. Haga clic en Guardar.
La plantilla de la poltica se agrega a la carpeta Polticas personalizadas.
Ahora puede utilizar la plantilla de la poltica que cre para agregar una o ms polticas personalizadas a su
configuracin. Siga el mismo procedimiento que para una poltica predefinida.
Las polticas de Mobile VPN se crean y funcionan del mismo modo que las polticas de firewall. Sin
embargo, se debe especificar un grupo de Mobile VPN al que se aplica la poltica.
Para configurar las propiedades de una poltica, en la pgina Polticas de Firewall, haga doble clic en la
poltica para abrir la pgina Configuracin de polticas. O bien, si acaba de agregar una poltica a la
configuracin, aparece automticamente la pgina Configuracin de polticas.
Pestaa Poltica
Utilice la pestaa Poltica para definir informacin bsica acerca de una poltica, como si permite o rechaza
trfico y cules dispositivos administra. Las configuraciones de la pestaa Poltica pueden utilizarse para
crear reglas de acceso para una poltica o configurar el enrutamiento basado en la poltica, NAT esttica o el
balance de carga en el servidor.
Para obtener ms informacin sobre las opciones para esta pestaa, consulte los siguientes temas:
Pestaa Propiedades
La pestaa Propiedades muestra el puerto y el protocolo al que se aplica la poltica, adems de una
descripcin de la poltica configurada. Las configuraciones en esta pestaa pueden utilizarse para definir las
preferencias de registro, notificaciones, bloque automtico y tiempo de espera.
Para obtener ms informacin sobre las opciones para esta pestaa, consulte los siguientes temas:
Pestaa Avanzada
La pestaa Avanzada incluye configuraciones para NAT y Administracin de trfico (QoS), adems de
opciones de WAN mltiples e ICMP.
Para obtener ms informacin sobre las opciones para esta pestaa, consulte los siguientes temas:
Configuraciones de proxy
Cada poltica de proxy tiene configuraciones especficas de la conexin que pueden personalizarse. Para
conocer ms acerca de las opciones para cada proxy, consulte el tema Acerca de para el protocolo
deseado.
Acerca del DNS proxy en la pgina 280 Pgina Acerca de Proxy POP3 en la pgina 305
El campo Las conexiones estn define si el trfico que coincide con las reglas de la poltica est permitido o
negado. Para configurar el modo en que se administra el trfico, utilice estas configuraciones:
Permitido
El Firebox permite el trfico que usa esta poltica si coincide con las reglas establecidas en la poltica.
El usuario puede configurar la poltica para crear un mensaje de registro cuando el trfico de red
coincide con la poltica.
Negado
Firebox rechaza todo el trfico que coincide con las reglas de esta poltica y no enva una notificacin
al dispositivo que envi el trfico. El usuario puede configurar la poltica para crear un mensaje de
registro cuando un equipo intenta utilizar esta poltica. La poltica tambin puede agregar
automticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexin
con esta poltica.
El Firebox rechaza todo el trfico que coincide con las reglas de esta poltica. El usuario puede
configurar la poltica para crear un mensaje de registro cuando un equipo intenta utilizar esta
poltica. La poltica tambin puede agregar automticamente un equipo o red a la lista de Sitios
bloqueados si intenta establecer una conexin con esta poltica.
Con esta opcin, el Firebox enva un paquete para informar al dispositivo que envi el trfico de red
que la sesin se rechaz y la conexin se cerr. El usuario puede configurar una poltica para
informar otros errores en cambio, que indican al dispositivo que el puerto, el protocolo, la red o el
host no pueden alcanzarse. Recomendamos utilizar estas opciones con precaucin para asegurarse
de que la red funciona correctamente con otras redes.
n Una lista Desde (u origen) que especifica quin puede enviar (o no puede enviar) trfico de red con
esta poltica.
n Una lista Hasta (o destino) que especifica a quin el Firebox puede enrutar trfico si el trfico
coincide (o no coincide) con las especificaciones de la poltica.
Por ejemplo, puede configurar un filtro de paquetes ping para permitir el trfico de ping desde todos los
equipos de la red externa a un servidor web de la red opcional. Sin embargo, cuando se abre la red de
destino a conexiones a travs del puerto o puertos que la poltica controla, la red puede volverse
vulnerable. Asegrese de configurar las polticas con cuidado para evitar vulnerabilidades.
1. Para agregar miembros a sus especificaciones de acceso, haga clic en Agregar junto a la lista de
miembros Desde o Hasta.
Aparece el cuadro de dilogo Agregar miembro.
2. El contiene a los miembros que el usuario puede agregar a las listas Desde o Hasta. Un miembro
puede ser un alias, usuario, grupo, direccin IP o rango de direcciones IP.
3. En la lista desplegable Tipo de miembro, especifique el tipo de miembro que desea agregar al
cuadro.
4. Seleccione el miembro que desea agregar y haga clic en Agregar o haga doble clic en una entrada
de esta ventana.
5. Para agregar otros miembros al campo Desde o Hasta, repita los pasos anteriores.
6. Haga clic en OK.
El origen y el destino pueden ser una direccin IP de host, un rango de host, un nombre de host, una
direccin de red, un nombre de usuario, un alias, un tnel VPN o cualquier combinacin de esos objetos.
Para obtener ms informacin sobre los alias que aparecen como opciones en la lista Desde y Hasta,
consulte el tema Acerca de los alias en la pgina 257.
Para obtener ms informacin acerca de cmo crear un nuevo alias, consulte Crear un alias en la pgina 258.
El enrutamiento basado en la poltica puede usarse cuando hay ms de una interfaz externa y Firebox se ha
configurado para WAN mltiples. Con el enrutamiento basado en la poltica, el usuario puede asegurarse de
que todo el trfico para una poltica siempre atraviese la misma interfaz externa, aunque la configuracin
de WAN mltiples est definida para enviar trfico en una configuracin de operacin por turnos. Por
ejemplo, si el usuario desea que el correo electrnico se enrute a travs de una interfaz particular, puede
usar el enrutamiento basado en la poltica en la definicin de proxy POP3 o SMTP.
Nota Para usar enrutamiento basado en la poltica, debe tener Fireware XTM con una
actualizacin Pro. Tambin debe configurar por lo menos dos interfaces externas.
Las configuraciones de failback (definidas en la pestaa WAN mltiples del cuadro de dilogo Configuracin
de red) tambin se aplican al enrutamiento basado en la poltica. Si ocurre un evento de conmutacin por
error y la interfaz original luego pasa a estar disponible, Firebox puede enviar conexiones activas a la
interfaz de conmutacin por error o puede retornar a la interfaz original. Las nuevas conexiones se envan a
la interfaz original.
4. Para especificar la interfaz para enviar trfico saliente que coincida con la poltica, seleccione el
nombre de la interfaz en la lista desplegable adyacente. Asegrese de que la interfaz seleccionada
sea miembro del alias o red definido en el campo Hasta de la poltica.
5. (Opcional) Configurar el enrutamiento basado en la poltica con conmutacin por error de WAN
mltiples, como se describe a continuacin. Si no selecciona Conmutacin por error y la interfaz
definida para esta poltica pasa a estar inactiva, el trfico se rechaza hasta que la interfaz vuelva a
estar disponible.
6. Haga clic en Guardar.
Para cambiar las configuraciones de administracin de errores de ICMP para la poltica actual:
Para obtener ms informacin sobre configuraciones de ICMP, consulte Defina las configuraciones
globales del Firebox en la pgina 67.
1-to-1 NAT
Con este tipo de NAT, el dispositivo WatchGuard utiliza rangos de direcciones IP pblicas y privadas
configurados por el usuario, segn se describe en Acerca de las 1-to-1 NAT en la pgina 142.
NAT dinmico
Con este tipo de NAT, el dispositivo WatchGuard asigna direcciones IP privadas a direcciones IP pblicas.
Todas las polticas tienen NAT dinmica activada de manera predeterminada.
Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinmica establecidas para
el dispositivo WatchGuard.
Seleccione Todo el trfico en esta poltica si desea aplicar NAT a todo el trfico en esta poltica.
En el campo Configurar IP de origen, puede seleccionar una direccin IP de origen NAT dinmica para
cualquier poltica que use NAT dinmica. De este modo se garantiza que cualquier trfico que usa esta
poltica muestra una direccin especfica de su rango de direcciones IP externas o pblicas como el origen.
Esto resulta til si se desea obligar al trfico SMTP saliente a mostrar la direccin de registro MX para su
dominio cuando la direccin IP en la interfaz externa del dispositivo WatchGuard no coincide con la
direccin IP de registro MX.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinmica.
Una poltica de proxy o ALG abre cada paquete en secuencia, elimina el encabezado del nivel de red y
examina la carga del paquete. Un proxy luego reescribe la informacin de la red y enva el paquete a su
destino, mientras que una ALG restablece la informacin de la red original y reenva el paquete. Como
resultado, un proxy o ALG puede encontrar contenido prohibido o malicioso oculto o integrado en la carga
de datos. Por ejemplo, un proxy SMTP examina todos los paquetes SMTP (correo electrnico) entrantes
para encontrar contenido prohibido, como programas o archivos ejecutables escritos en lenguajes de
script. Los atacantes con frecuencia usan estos mtodos para enviar virus informticos. Un proxy o ALG
puede imponer una poltica que prohbe estos tipos de contenido, mientras el filtro de paquetes no puede
detectar el contenido no autorizado en la carga de datos del paquete.
Configuracin de proxy
Al igual que los filtrados de paquetes, las polticas de proxy incluyen opciones comunes para administrar el
trfico de red, incluidas las funciones de administracin del trfico y programacin. Sin embargo, las
polticas de proxy tambin incluyen configuraciones que se relacionan con el protocolo de red especfico.
Por ejemplo, puede configurar una poltica de proxy DNS para permitir slo las solicitudes que coinciden
con la clase IN o configurar un proxy SMTP para denegar los mensajes de correo electrnico si los
encabezados no estn definidos correctamente. Estas opciones pueden configurarse en las pestaas
General y Contenido de cada poltica de proxy.
Fireware XTM admite polticas de proxy para muchos protocolos comunes, entre ellos DNS, FTP, H.323,
HTTP, HTTPS, POP3, SIP, SMTP y TCP-UDP. Para obtener ms informacin sobre una poltica de proxy,
consulte la seccin para dicha poltica.
Acerca del DNS proxy en la pgina 280 Pgina Acerca de Proxy POP3 en la pgina 305
Pgina Acerca de Proxy FTP en la pgina
Pgina Acerca de Proxy SIP en la pgina 309
284
Pgina Acerca de ALG H.323 en la pgina
Pgina Acerca de Proxy SMTP en la pgina 314
287
Pgina Acerca de Proxy HTTP en la pgina
Pgina Acerca de Proxy de TCP-UDP en la pgina 319
292
Pgina Acerca de Proxy HTTPS en la pgina
301
Nota El Application Blocker no puede bloquear las sesiones de Skype que ya estn
activas. Para ms informaciones, vea Acerca de Skype y el Application Blocker.
n BitTorrent
n Ed2k (eDonkey2000)
n Gnutella
n Kazaa
n Napster
n Winny
Nota No se requiere que el Intrusion Prevention service utilice la funcin del Application
Blocker.
Aplicaciones de IM
Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones AIM, ICQ y Yahoo!
estn seleccionadas. Como la accin est configurada para Eliminar, el proxy de TCP-UDP
permite el trfico de IM de IRC, Skype y MSN.
Aplicaciones de P2P
Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones Kazaa, Ed2k, Napster y
Gnutella estn seleccionadas. Como la accin est configurada para Eliminar, el proxy permite
cualquier otro tipo de trfico P2P.
Para obtener informacin acerca de dnde establecer las configuraciones del Application Blocker en los
servidores proxy HTTP y TCP-UDP, consulte:
El Application Blocker puede configurarse para bloquear el inicio de sesin de un usuario en la red de
Skype. Es importante comprender que el Application Blocker slo puede bloquear el proceso inicio de
sesin en Skype. No puede bloquear el trfico para un cliente de Skype que ya ha iniciado sesin y tiene
una conexin activa. Por ejemplo:
n Si un usuario remoto inicia sesin en Skype cuando el equipo no est conectado a la red y luego el
usuario se conecta a la red mientras el cliente de Skype an est activo, el Application Blocker no
puede bloquear el trfico de Skype hasta que el usuario cierre la sesin de la aplicacin de Skype o
reinicie el equipo.
n Cuando se configura el Application Blocker por primera vez para bloquear Skype, cualquier usuario
que ya est conectado a la red de Skype no puede bloquearse hasta que cierre la sesin en Skype o
reinicie su equipo.
Cuando el Application Blocker bloquea un inicio de sesin en Skype, agrega las direcciones IP de los
servidores Skype a la lista de Sitios bloqueados. Para estas direcciones IP bloqueadas, el Origen activador es
"admin" y el Motivo es "manejo predeterminado de paquetes". Adems, aparece un mensaje de registro
en Control de trfico que muestra que el acceso al servidor de Skype fue denegado porque la direccin
est en la lista de Sitios bloqueados.
Nota Debido a que la lista de Sitios bloqueados bloquea el trfico entre los servidores de
Skype y todos los usuarios de su red, el acceso a Skype se bloquea para todos los
usuarios.
Las direcciones IP del servidor de Skype permanecen en la lista de Sitios bloqueados durante el perodo
especificado por el usuario en el cuadro de texto Duracin de sitios bloqueados automticamente en la
configuracin de Sitios bloqueados. La duracin predeterminada es 20 minutos. Si se bloquea Skype y luego
se cambia la configuracin para dejar de bloquear Skype, las direcciones IP del servidor de Skype en la lista
de Sitios bloqueados permanecern bloqueadas hasta que venza el bloqueo o hasta quitarlas de la lista de
Sitios bloqueados en forma manual.
Para obtener ms informacin acerca de cmo crear una configuracin del Application Blocker, consulte
Acerca de las configuraciones de Application Blocker en la pgina 274.
Pueden usarse las configuraciones predeterminadas de la poltica de proxy o ALG o pueden cambiarse estas
configuraciones para adaptarlas al trfico de red de su organizacin. Tambin pueden crearse polticas de
proxy o ALG adicionales para administrar diferentes partes de la red.
Es importante recordar que una poltica de proxy o ALG requiere ms capacidad de procesamiento que un
filtro de paquetes. Si se agrega un gran nmero de polticas de proxy o ALG a la configuracin, las
velocidades del trfico de red podran disminuir. Sin embargo, un proxy o ALG utiliza mtodos que los filtros
de paquetes no pueden utilizar para capturar paquetes peligrosos. Cada poltica de proxy incluye varias
configuraciones que pueden ajustarse para crear un equilibrio entre los requisitos de seguridad y
rendimiento.
Puede usar Fireware XTM Web UI para agregar una poltica de proxy.
Para obtener ms informacin sobre las propiedades bsicas de todas las polticas, consulte Acerca de
propiedades de polticas en la pgina 265.
Para obtener ms informacin acerca de las configuraciones predeterminadas para una poltica de proxy o
ALG, consulte el tema "Acerca de" para el tipo de poltica agregada.
Acerca del DNS proxy en la pgina 280 Pgina Acerca de Proxy POP3 en la pgina 305
Pgina Acerca de Proxy FTP en la pgina
Pgina Acerca de Proxy SIP en la pgina 309
284
Pgina Acerca de ALG H.323 en la pgina
Pgina Acerca de Proxy SMTP en la pgina 314
287
Pueden crearse muchas acciones de proxy diferentes tanto para clientes como para servidores o para un
tipo de poltica de proxy especfico. Sin embargo, puede asignarse slo una accin de proxy a cada poltica
de proxy. Por ejemplo, una poltica POP3 est vinculada a una accin de proxy POP3-Cliente. Si desea crear
una accin de proxy POP3 para un servidor POP3 o una accin de proxy adicional para clientes POP3,
deben agregarse nuevas polticas de proxy POP3 que usen esas nuevas acciones de proxy al Policy
Manager.
Para cambiar una accin de proxy para una poltica de proxy existente, haga clic en el botn Cambiar en la
parte superior de la pgina, luego seleccione la accin deseada en la lista desplegable y haga clic en OK.
Para obtener ms informacin sobre las configuraciones de acciones de proxy para cada proxy, consulte el
tema Acerca de para ese proxy.
Acerca del DNS proxy en la pgina 280 Pgina Acerca de Proxy POP3 en la pgina 305
Pgina Acerca de Proxy FTP en la pgina
Pgina Acerca de Proxy SIP en la pgina 309
284
Pgina Acerca de ALG H.323 en la pgina
Pgina Acerca de Proxy SMTP en la pgina 314
287
Pgina Acerca de Proxy HTTP en la pgina Pgina Acerca de Proxy de TCP-UDP en la pgina 319
292
Pgina Acerca de Proxy HTTPS en la pgina
301
Por ejemplo, si desea modificar una configuracin en la accin de proxy HTTP Cliente, debe guardarla con
un nombre diferente, como HTTP Cliente.1. Esto es necesario slo cuando se realizan modificaciones en los
conjuntos de reglas. Si se realizan cambios en configuraciones generales como los orgenes o destinos
permitidos o las configuraciones NAT para una poltica, no es necesario guardarlas con un nuevo nombre.
Cuando se crea un nuevo archivo de configuracin, ste automticamente incluye una poltica de filtrado
de paquetes salientes que admite todas las conexiones TCP y UDP desde las redes de confianza y opcional a
las externas. Esto permite a los usuarios conectarse a un servidor DNS externo con los puertos TCP 53 y
UDP 53 estndar. Dado que Saliente es un filtro de paquetes, no puede ofrecer proteccin contra troyanos
salientes UDP comunes, explotaciones de DNS y otros problemas que ocurren cuando se abre todo el
trfico UDP saliente de las redes de confianza. El proxy DNS tiene funciones para proteger la red de estas
amenazas. Si se utilizan servidores DNS externos para la red, el conjunto de reglas DNS Saliente ofrece
mtodos adicionales de controlar los servicios disponibles a la comunidad de red.
Para agregar el proxy DNS a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
configuracin en la pgina 277.
Pestaa Poltica
n Las conexiones DNS Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas o
Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa Poltica
de la definicin de proxy). Vea Definir reglas de acceso a una poltica en la pgina 267.
n Usar el enrutamiento basado en la poltica: consulte Configurar el enrutamiento basado en la
poltica en la pgina 269.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor. Vea Acerca de la NAT
esttica en la pgina 153 y Configurar Balance de carga en el servidor en la pgina 154.
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin en la pgina 360.
n Si configura la lista desplegable Las conexiones estn (en la pestaa Poltica) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS. Vea Bloquear sitios
temporalmente con configuracin de polticas en la pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticacin, Configurar un tiempo de espera inactivo personalizado en la pgina 270.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de proxy:
Tipos de consulta
Esta lista muestra cada tipo de registro DNS y su valor. Para denegar solicitudes de registro DNS
de un tipo especfico, desmarque la casilla de verificacin adyacente.
Nombres de consulta
Para denegar solicitudes DNS por patrn, seleccione la casilla de verificacin Denegar estos
nombres de consulta. Ingrese un nombre de host en el campo de texto adyacente y haga clic
en Agregar.
Para borrar una entrada de la lista Nombres de consulta, seleccione la entrada y haga clic en
Eliminar.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
La mayora de las solicitudes DNS utilizan la clase IN o Internet. Muchos ataques, en cambio,
utilizan las clases CH (caos) o HS (Hesiod). Sin embargo, algunas configuraciones de red
requieren que estas clases funcionen correctamente. Por ejemplo, se puede usar el servicio de
nombres Hesiod para distribuir automticamente informacin de usuarios y grupos a travs de
una red con el sistema operativo Unix. La accin predeterminada es denegar estas solicitudes.
Seleccione una opcin para solicitudes DNS que usan las clases CH o HS:
n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automticamente
durante un perodo determinado. Seleccione la opcin apropiada en la lista desplegable
adyacente.
Un atacante pueden intentar enviar solicitudes DNS que no coinciden con los estndares del
protocolo para obtener el control de la red. Sin embargo, otras aplicaciones a veces pueden
enviar solicitudes con formato inadecuado que son necesarias para la organizacin.
Recomendamos utilizar la configuracin predeterminada y denegar las solicitudes DNS con
formato inadecuado.
n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automticamente
durante un perodo determinado. Seleccione la opcin apropiada en la lista desplegable
adyacente.
Para enviar un mensaje de registro para cada solicitud de conexin administrada por el DNS-
Servidor proxy, seleccione esta casilla de verificacin. Debe activar esta opcin para crear
informes precisos sobre el trfico DNS Servidor proxy.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
n Establecer la longitud mxima del nombre de usuario, la longitud de la contrasea, la longitud del
nombre de archivo y la longitud de la lnea de comandos permitidas a travs del proxy para ayudar a
proteger la red de ataques de fallas en la memoria intermedia.
n Controlar el tipo de archivos que el proxy FTP permite para cargas y descargas.
El proxy TCP/UDP est disponible para protocolos en puertos no estndares. Cuando el FTP utiliza un puerto
que no es el puerto 20, el proxy TCP/UDP retransmite el trfico al proxy FTP. Para obtener informacin
sobre el proxy TCP/UDP, consulte Pgina Acerca de Proxy de TCP-UDP en la pgina 319.
Para agregar el proxy FTP a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
configuracin en la pgina 277.
Pestaa Poltica
La pestaa Poltica se utiliza para definir reglas de acceso y otras opciones.
n Las conexiones FTP-Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas o
Negadas (enviar restablecer). Defina quin figura en la lista Desde y Hasta (en la pestaa Poltica de
la definicin de proxy).
Para ms informaciones, vea Definir reglas de acceso a una poltica.
n Usar el enrutamiento basado en la poltica: Configurar el enrutamiento basado en la poltica.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor.
Para obtener ms informacin, consulte Acerca de la NAT esttica en la pgina 153 o Configurar
Balance de carga en el servidor en la pgina 154.
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin en la pgina 360.
n Si configura la lista desplegable Las conexiones de FTP Servidor proxy estn (en la pestaa Poltica)
en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar FTP.
Para ms informaciones, vea Bloquear sitios temporalmente con configuracin de polticas en la
pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticacin, Configurar un tiempo de espera inactivo personalizado en la pgina 270.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de proxy:
Defina el nmero mximo de caracteres que un usuario puede enviar en un comando FTP. Los
usuarios envan comandos a un servidor FTP para completar tareas con archivos. Los comandos
muy extensos pueden ser signo de un ataque de fallas en la memoria intermedia.
Defina el nmero mximo de veces que un usuario puede intentar iniciar sesin antes de que
se denieguen las conexiones. Los mltiples intentos de inicio de sesin fallidos pueden ser
resultado de un atacante que utiliza ataques de diccionario para obtener acceso al servidor.
Para enviar un mensaje de registro para cada solicitud de conexin administrada por el FTP
Servidor proxy, seleccione esta casilla de verificacin. Debe activar esta opcin para crear
informes precisos sobre el trfico FTP Servidor proxy.
4. Para bloquear automticamente conexiones que no coinciden con la configuracin en esa opcin,
seleccione la casilla de verificacin adyacente Bloqueo automtico.
5. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
6. Haga clic en Guardar.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa mediante el uso de:
En una conexin punto a punto, cada uno de los dos dispositivos conoce la direccin IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrs de Firebox,
ste puede enrutar el trfico de llamada correctamente.
Conexiones hospedadas
Con H.323, el componente clave de la gestin de llamadas se conoce como gatekeeper. Un gatekeeper
gestiona las llamadas VoIP para un grupo de usuarios y puede encontrarse en una red protegida por el
dispositivo WatchGuard o en una ubicacin externa. Por ejemplo, algunos proveedores VoIP hospedan un
gatekeeper en la red a la que el usuario debe conectarse antes de que ste pueda realizar una llamada
VoIP. Otras soluciones requieren que el usuario configure y mantenga un gatekeeper en su red.
La coordinacin del gran nmero de componentes de una instalacin VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una ALG H.323, el dispositivo WatchGuard:
Muchos dispositivos y servidores VoIP utilizan NAT (traduccin de direccin de red) para abrir y cerrar
puertos automticamente. Las ALG H.323 y SIP tambin cumplen esta funcin. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP.
Pestaa Poltica
n Las conexiones ALG-H.323 estn: especifica si las conexiones estn Permitidas, Negadas o Negadas
(enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa Poltica de la
definicin de ALG).
Para ms informaciones, vea Definir reglas de acceso a una poltica en la pgina 267.
n Usar el enrutamiento basado en la poltica : si desea utilizar el enrutamiento basado en la poltica en
la definicin de proxy, consulte Configurar el enrutamiento basado en la poltica en la pgina 269.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor.
Para ms informaciones, vea Acerca de la NAT esttica en la pgina 153 y Configurar Balance de
carga en el servidor en la pgina 154.
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin en la pgina 360.
n Si configura la lista desplegable Las conexiones estn (en la pestaa Poltica) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS.
Para ms informaciones, vea Bloquear sitios temporalmente con configuracin de polticas en la
pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticacin, Configurar un tiempo de espera inactivo personalizado.
Pestaa Avanzada
Tambin puede usar estas opciones en la definicin de proxy:
Codecs negados
Utilice esta funcin para denegar uno o ms codecs VoIP. Cuando se abre una conexin VoIP
H.323 que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexin
automticamente. Esta lista est vaca de manera predeterminada. Recomendamos agregar un
codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario lograr que la solucin VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan ms de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.
n En el cuadro de texto Codecs, ingrese el nombre del codec o el patrn de texto nico.
No use caracteres comodn ni sintaxis de expresin regular. Los patrones de codec
distinguen maysculas de minsculas.
n Haga clic en Agregar.
Seleccione esta casilla de verificacin para activar la funcin de control de acceso. Cuando est
activada, la ALG H.323 permite o restringe llamadas segn las opciones configuradas.
Configuracin predeterminada
n Seleccione la casilla de verificacin Iniciar llamadas VoIP para permitir que todos los
usuarios VoIP inicien llamadas de manera predeterminada.
n Seleccione la casilla de verificacin Recibir llamadas VoIP para permitir que todos los
usuarios VoIP reciban llamadas de manera predeterminada.
n Seleccione la casilla de verificacin adyacente Registro para crear un mensaje de
registro para cada conexin VoIP H.323 iniciada o recibida.
Niveles de acceso
Se puede permitir que los usuarios inicien llamadas nicamente, reciban llamadas
nicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican slo al trfico VoIP H.323.
Las conexiones realizadas por usuarios que tienen una excepcin de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepcin de nivel de acceso, desmarque la casilla de verificacin Registro
cuando cree la excepcin.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
Seleccione esta casilla de verificacin para asegurarse de que los atacantes no puedan robar
informacin de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opcin es activada por
defecto.
Sesiones mximas
Esta funcin para restringe el nmero mximo de sesiones de audio o video que pueden
crearse con una nica llamada VoIP. Por ejemplo, si el usuario define el nmero de sesiones
mximas en una y participa en una llamada VoIP con audio y video, la segunda conexin se
descarta. El valor predeterminado es dos sesiones y el valor mximo es cuatro sesiones.
Firebox crea una entrada de registro cuando niega una sesin multimedia por encima de este
nmero.
Para identificar el trfico H.323 saliente como un cliente especfico, ingrese una nueva cadena
de agente usuario en el cuadro de texto Reescribir agente usuario como.
Tiempos de espera
Cuando no se envan datos durante un perodo determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexin de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor mximo es 3600 segundos (60 minutos). Para especificar un intervalo de
tiempo diferente, ingrese el nmero en segundos en el cuadro de texto Canales de medios
inactivos.
Seleccione esta casilla de verificacin para enviar un mensaje de registro para cada solicitud de
conexin administrada por la ALG H.323. Esta opcin es necesaria para que Informes
WatchGuard cree informes precisos sobre el trfico H.323. Esa opcin es activada por defecto.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
El proxy HTTP es un filtro de contenido de alto rendimiento. Examina el trfico web para identificar
contenido sospechoso que puede ser un virus u otro tipo de intrusin. Tambin puede proteger de ataques
a su servidor HTTP.
n Ajuste los tiempos de espera y los lmites de duracin de las solicitudes y respuestas HTTP para
evitar el mal desempeo de la red, como tambin varios ataques.
n Personalizar el deny message que los usuarios ven cuando intentan conectarse a un sitio web
bloqueado por el proxy HTTP.
n Filtrar tipos MIME de contenido web.
Tambin se puede usar el proxy HTTP con la suscripcin de seguridad WebBlocker. Para ms informacin,
vea Acerca de las WebBlocker en la pgina 561.
El proxy TCP/UDP est disponible para protocolos en puertos no estndares. Cuando HTTP utiliza un puerto
que no es el puerto 80, el proxy TCP/UDP enva el trfico al proxy HTTP. Para obtener informacin sobre el
proxy TCP/UDP, consulte Pgina Acerca de Proxy de TCP-UDP en la pgina 319.
Para agregar el proxy HTTP a la configuracin del dispositivo Firebox o XTM, consulte Agregar una poltica
de proxy a la configuracin en la pgina 277.
Pestaa Poltica
n Las conexiones HTTP Servidor proxy estnE specifique si las conexiones estn Permitidas, Negadas
o Negadas (enviar restablecer) y seleccione los usuarios, equipos o redes que aparecen en las listas
Desde y Hasta (en la pestaa Poltica de la definicin de proxy). Para ms informacin, vea Definir
reglas de acceso a una poltica en la pgina 267.
n Usar el enrutamiento basado en polticasPara utilizar el enrutamiento basado en polticas en la
definicin de proxy, consulte Configurar el enrutamiento basado en la poltica en la pgina 269.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor.
Para ms informacin, vea Acerca de la NAT esttica en la pgina 153 y Configurar Balance de carga
en el servidor en la pgina 154.
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Generacin de registros y Determinar
preferencias de registro y notificacin .
n Si configura la lista desplegable Las conexiones estn (en la pestaa Poltica) en Negadas o Negadas
(enviar restablecer), se pueden bloquear los dispositivos que intentan conectarse por el puerto 80.
Para ms informacin, vea Bloquear sitios temporalmente con configuracin de polticas en la
pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por el dispositivo Firebox o
XTM o el servidor de autenticacin, Configurar un tiempo de espera inactivo personalizado.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de proxy:
Vea tambin
1. Asegrese de que Firebox permita conexiones salientes en el puerto 443 y el puerto 80.
Estos son los puertos que usan los equipos para contactar a los servidores Windows Update.
2. Seleccione la pestaa Configuracin de la poltica de proxy HTTPS.
3. En el cuadro de texto a la izquierda del botn Agregar , ingrese o pegue cada uno de estos dominios
y haga clic en Agregar despus de cada uno:
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com
4. Haga clic en Guardar.
Microsoft no limita las actualizaciones slo a estos dominios. Examine los registros de trfico negado a un
dominio de propiedad de Microsoft. Busque el trfico negado por el proxy HTTP. La lnea de registro debe
incluir el dominio. Agregue cualquier nuevo dominio de Microsoft a la lista de excepciones de proxy HTTP y
luego vuelva a ejecutar Windows Update.
Tipo de contenido
Cuando un servidor web enva trfico HTTP, en general agrega un tipo MIME o tipo de contenido al
encabezado del paquete que muestra el tipo de contenido que incluye el paquete. El encabezado HTTP en
el tren de datos contiene este tipo MIME. Se agrega antes de enviar los datos.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imgenes JPEG, debe agregar
imagen/jpg a la definicin de proxy. Tambin puede usar el asterisco (*) como comodn. Para permitir
cualquier formato de imagen, se agrega imagen/* .
1. Seleccione la casilla de verificacin Permitir slo los tipos de contenido seguro si desea limitar los
tipos de contenido permitidos a travs a travs del proxy. De manera predeterminada se incluye
una lista de tipos de MIME comunes.
2. Para agregar tipos de contenido comunes a la lista, en la lista Tipos de contenido predefinidos ,
seleccione el tipo de MIME y haga clic en <.
3. Para agregar otros tipos de contenido, en el cuadro de texto Tipos de contenido, ingrese un tipo de
contenido y haga clic en Agregar.
4. Para eliminar un tipo de contenido, seleccinelo en la lista Tipos de contenido y haga clic en
Eliminar.
No se pueden eliminar tipos de contenido predefinidos.
n Para bloquear todas las pginas que tienen el nombre de host www.prueba.com, ingrese el patrn:
www.prueba.com*
n Para bloquear todas las rutas que contienen la palabra sexo, en todos los sitios web, ingrese: *sexo*
n Para bloquear rutas de URL que terminan en *.prueba, en todos los sitios web, ingrese: *.prueba
1. Para usar reglas de rutas de URL para filtrar el contenido del host, la ruta y los componentes de la
cadena de consulta de una URL, seleccione la casilla de verificacin Denegar los patrones de nombres
de archivos no seguros.
El nombre especifica los nombres de archivos pero cualquier patrn que se ingresa se aplica a toda la ruta de URL.
2. Para agregar un nuevo patrn de ruta, ingrese la ruta y haga clic en Agregar.
3. Para eliminar un patrn de ruta, seleccione el patrn y haga clic en Eliminar.
Cookies
Las cookies HTTP son pequeos archivos de texto alfanumrico que los servidores web ponen en los
clientes web. Las cookies controlan la pgina en la que est un cliente web para permitir al servidor web
enviar ms pginas en la secuencia correcta. Los servidores web tambin usan cookies para reunir
informacin acerca de un usuario final. Muchos sitios web usan cookies para autenticacin y otras funciones
legtimas y no pueden funcionar correctamente sin cookies.
El proxy HTTP busca paquetes segn el dominio asociado con la cookie. El dominio puede especificarse en
la cookie. Si la cookie no contiene un dominio, el proxy usa el nombre de host en la primera solicitud. Por
ejemplo, para bloquear todas las cookies para nosy-adware-site.com, use el patrn: *.nosy-adware-
site.com . Si desea rechazar cookies de todos los subdominios en un sitio web, use el smbolo comodn (*)
antes y despus del dominio. Por ejemplo, *google.com* bloquea todos los subdominios de google.com,
como images.google.com y mail.google.com.
1. Para bloquear cookies de un sitio en particular, seleccione la casilla de verificacin Denegar las
cookies de estos sitios.
2. En el siguiente cuadro de texto, ingrese el domain name del sitio web o dominios parcial con
comodines.
3. Haga clic en Agregar.
4. Haga clic en Enviar.
Solicitudes HTTP
Tiempo de espera de conexin inactivo
Determina el tiempo que la conexin TCP de la sesin HTTP permanece abierta cuando no han
circulado paquetes a travs de ella. Si ningn paquete atraviesa la conexin TCP durante el tiempo
especificado, la conexin TCP se cierra. Dado que toda sesin de TCP utiliza una pequea cantidad
de memoria en Firebox y los exploradores y servidores no siempre cierran las sesiones HTTP
correctamente, esta opcin se usa para controlar el rendimiento. En el campo adyacente, ingrese la
cantidad de minutos antes de que el proxy se desconecte.
Define el nmero mximo de caracteres permitidos en una URL. En esta rea del proxy, URL incluye
a todo lo que compone a la direccin web despus del dominio de nivel superior. Esto incluye el
carcter diagonal pero no el nombre de host (www.miejemplo.com o miejemplo.com). Por ejemplo,
la URL www.miejemplo.com/productos cuenta diez caracteres para este lmite porque /productos
tiene diez caracteres.
El valor predeterminado de 2048 en general es suficiente para cualquier URL solicitado por un
equipo detrs de Firebox. Una URL que es muy larga puede indicar un intento de comprometer a un
servidor web. La extensin mnima es de 15 bytes. Se recomienda mantener esta configuracin
activada con las configuraciones predeterminadas. Esto ayuda a protegerse contra clientes web
infectados en las redes que protege el proxy HTTP.
Seleccione esta casilla de verificacin para enviar un mensaje de registro para cada solicitud de
conexin administrada por el HTTP Servidor proxy. Esta opcin es necesaria para que Informes
WatchGuard cree informes precisos sobre el trfico HTTP.
Respuestas HTTP
Tiempo de espera
Controla durante cunto tiempo el proxy HTTP espera que el servidor web enve la pgina web.
Cuando un usuario hace clic en un hipervnculo o ingresa una URL en la barra de direccin del
explorador web, enva una solicitud HTTP a un servidor remoto para obtener el contenido. En la
mayora de los exploradores, la barra de estado muestra, Contactando al sitio... o un mensaje
similar. Si el servidor remoto no responde, el cliente HTTP contina enviando la solicitud hasta que
recibe una respuesta o hasta que la solicitud ingresa en tiempo de espera. Al mismo tiempo, el
proxy HTTP contina controlando la conexin y usa recursos de red valiosos.
Controla la extensin mxima permitida de una lnea de caracteres en los encabezados de respuesta
HTTP. Defina este valor para proteger a sus equipos contra explotaciones por fallas en la memoria
intermedia. Dado que las URL para muchos sitios de comercio continan aumentando la extensin
con el tiempo, es posible que en el futuro necesite ajustar este valor.
Seleccione esta casilla de verificacin para enviar un mensaje de registro para cada solicitud de
conexin administrada por el HTTP Servidor proxy. Debe activar esta opcin para crear informes
precisos sobre el trfico HTTP Servidor proxy.
Mensaje de negacin
Cuando se niega el contenido, el dispositivo WatchGuard enva un deny message predeterminado que
reemplaza al contenido negado. El usuario puede escribir un nuevo deny message para reemplazar el deny
message predeterminado. Puede personalizar el deny message con HTML estndar. Tambin puede usar
caracteres Unicode (UTF-8) en el mensaje de negacin. La primera lnea del deny message es un
componente del encabezado HTTP. Debe incluir una lnea vaca entre la primera lnea y el cuerpo del
mensaje.
El deny message de Firebox aparece en el explorador web cuando el usuario realiza una solicitud que el
proxy HTTP no permite. Tambin recibe un deny message cuando la solicitud est permitida, pero el proxy
HTTP niega la respuesta del servidor web remoto. Por ejemplo, si un usuario intenta descargar un archivo
.exe y se ha bloqueado ese tipo de archivo, el usuario visualiza un deny message en el explorador web. Si el
usuario intenta descargar una pgina web que tiene tipo de contenido desconocido y la poltica de proxy
est configurada para bloquear tipos MIME desconocidos, el usuario visualiza un mensaje de error en el
explorador web. El deny message predeterminado puede verse en el campo Mensaje de negacin. Para
cambiar este mensaje por otro personalizado, utilice estas variables:
%(transaccin)%
Incluye Solicitud o Respuesta en el deny message para mostrar qu lado de la transaccin caus la
negacin del paquete.
%(motivo)%
%(mtodo)%
%(Host de URL)%
Incluye el nombre de host del servidor de la URL negada. Si no se incluy un nombre de host, se
incluye la direccin IP del servidor.
%(ruta de URL)%
El usuario puede agregar nombres de host o patrones como excepciones de proxy HTTP. Por ejemplo, si
bloquea todos los sitios web terminados en .prueba pero desea permitir que los usuarios visiten el sitio
www.ejemplo.com, puede agregar www.ejemplo.com como una excepcin de proxy HTTP.
El usuario especifica la direccin IP o el domain name de los sitios que desea permitir. El domain name (o
host) es la parte de un URL que termina en .com, .net, .org, .biz, .gov o .edu. Los domain names tambin
pueden terminar en un cdigo de pas, como .de (Alemania) o .jp (Japn).
Para agregar un domain name, ingrese el patrn de URL sin el inicio http://. Por ejemplo, para permitir que
los usuarios visiten el sitio web de WatchGuard http://www.watchguard.com, ingrese
www.watchguard.com . Si desea permitir todos los subdominios que contienen watchguard.com, puede
usar el asterisco (*) como carcter comodn. Por ejemplo, para permitir que los usuarios visiten
watchguard.com, www.watchguard.com y support.watchguard.com, ingrese:
*.watchguard.com
1. En el cuadro de texto adyacente a Agregar, ingrese la direccin IP de host o el domain name del
sitio web que desea permitir.
2. Haga clic en Agregar.
Repita este proceso para cada host o domain name adicional que desea agregar.
3. Si desea que se grabe un mensaje de registro en el archivo de registro cada vez que ocurre una
transaccin web en un sitio web en la lista de excepciones, seleccione la casilla de verificacin
Registrar cada excepcin de HTTP.
En la pestaa Application Blocker, seleccione los tipos de aplicacin IM y P2P a detectar y sus acciones
asociadas.
Para obtener informacin acerca de estas configuraciones, consulte Acerca de las configuraciones de
Application Blocker en la pgina 274.
HTTPS es ms seguro que HTTP porque usa un certificado digital para cifrar y descifrar solicitudes de pgina
del usuario adems de las pginas reenviadas por el servidor web. Debido a que el trfico HTTPS est
cifrado, Firebox debe descifrarlo para poder examinarlo. Despus de examinar el contenido, Firebox cifra
el trfico con un certificado y lo enva al destino previsto.
El usuario puede exportar el certificado predeterminado creado por Firebox para esta funcin o importar
un certificado para que Firebox use. Si se usa el proxy HTTPS para examinar el trfico web solicitado por los
usuarios de la red, se recomienda exportar el certificado predeterminado y distribuirlo a cada usuario para
que no reciban advertencias del explorador acerca de certificados que no son de confianza. Si se usa el
proxy HTTPS para asegurar un servidor web que acepta solicitudes de una red externa, se recomienda
importar el certificado del servidor web existente por la misma razn.
Cuando un cliente o servidor HTTPS usa un puerto distinto del puerto 443 en la empresa, se puede usar el
proxy TCP/UDP para retransmitir el trfico al proxy HTTPS. Para obtener informacin sobre el proxy
TCP/UDP, consulte Pgina Acerca de Proxy de TCP-UDP en la pgina 319.
Pestaa Poltica
n Las conexiones HTTPS Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa
Poltica de la definicin de proxy). Para ms informaciones, vea Definir reglas de acceso a una
poltica en la pgina 267.
n Usar el enrutamiento basado en la poltica : para utilizar el enrutamiento basado en la poltica en la
definicin de proxy, consulte Configurar el enrutamiento basado en la poltica en la pgina 269.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor
. Para obtener ms informacin, consulte Acerca de la NAT esttica en la pgina 153 y Configurar
Balance de carga en el servidor en la pgina 154.
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin .
n Si configura la lista desplegable Las conexiones estn (en la pestaa Poltica) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar HTTPS. Para ms informaciones,
vea Bloquear sitios temporalmente con configuracin de polticas en la pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticacin, Configurar un tiempo de espera inactivo personalizado.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de proxy:
Proxy deHTTPS:Contenido
Cuando se agrega una poltica de proxy HTTPS, se pueden configurar opciones adicionales relacionadas con
el protocolo HTTPS.
Cuando esta casilla de verificacin est seleccionada, Firebox descifra el trfico HTTPS, examina
el contenido y vuelve a cifrar el trfico con un nuevo certificado. La poltica de proxy HTTP que
se elige en esta pgina examina el contenido.
Nota Si otro tipo de trfico usa el puerto HTTPS, como el trfico SSL VPN, se
recomienda evaluar esta opcin con atencin. El proxy de HTTPS intenta examinar
todo el trfico en el puerto 443de TCP de la misma manera. Para asegurarse de
que otras fuentes de trfico funcionen correctamente, se recomienda agregar esas
fuentes a la lista de derivacin. Para obtener ms informacin consulte la siguiente
seccin.
Para ms informaciones, vea Acerca de los certificados en la pgina 385 o Usar Certificados
para el proxy de HTTPS en la pgina 397.
Accin de proxy
Seleccione una poltica de proxy HTTP para que Firebox use cuando inspecciona contenido
HTTPS descifrado.
Seleccione esta casilla de verificacin para que Firebox automticamente verifique las
revocaciones de certificados con OCSP (Protocolo de estado de certificado en lnea). Cuando
esta funcin est activada, Firebox usa informacin en el certificado para contactar a un
servidor OCSP que mantiene un registro del estado del certificado. Si el servidor OCSP
responde que el certificado ha sido revocado, Firebox desactiva el certificado.
Si selecciona esta opcin, puede ocurrir una demora de varios segundos mientras Firebox
solicita una respuesta del servidor OCSP. Firebox guarda entre 300 y 3000 respuestas de OCSP
para mejorar el rendimiento para sitios web visitados con frecuencia. El modelo de Firebox
determina el nmero de respuestas guardadas en el cach.
Cuando esta opcin est seleccionada y un respondedor OCSP no enva una respuesta a una
solicitud de estado de revocacin, Firebox considera el certificado original como no vlido o
revocado. Esta opcin puede hacer que los certificados se consideren no vlidos si hay un error
de enrutamiento o un problema con la conexin de red.
Lista de derivacin
Firebox no inspecciona contenido enviado hacia o desde direcciones IP en esta lista. Para
agregar un sitio web o nombre de host, ingrese la direccin IP en el cuadro de texto y haga clic
en el botn Agregar.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
Seleccione esta casilla de verificacin para cerrar conexiones HTTPS que no han enviado o
recibido trfico durante el tiempo especificado. Para cambiar el lmite de tiempo, ingrese o
seleccione un nmero en el cuadro de texto adyacente.
El usuario puede permitir o negar el acceso a sitios web cuando el certificado coincide con un
patrn de esta lista desplegable. Esta funcin acta aunque no se use la inspeccin de
contenido profunda para descifrar el trfico de red HTTPS.
n Permitir: seleccione esta opcin para permitir trfico desde sitios que coinciden con los
patrones en la lista Nombres del certificado.
n Negar : seleccione esta opcin para rechazar conexiones de sitios que coinciden y enviar
un deny message al sitio.
n Descartar : seleccione esta opcin para rechazar conexiones sin un mensaje de
negacin.
n Bloquear : seleccione esta opcin para descartar conexiones y automticamente agregar
el sitio a la lista Sitios bloqueados.
Para agregar un sitio web, ingrese el domain name (en general la URL) del certificado en el
cuadro de texto adyacente y haga clic en Agregar.
Seleccione esta casilla de verificacin para enviar un mensaje de registro para cada solicitud de
conexin administrada por el HTTPS Servidor proxy. Debe activar esta opcin para crear
informes precisos sobre el trfico HTTPS Servidor proxy.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
n Ajustar los lmites de tiempo de espera y extensin de lnea para asegurarse de que el proxy POP3
no use demasiados recursos de red y para impedir algunos tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrnico que se les enva.
n Filtrar contenido integrado en el mensaje de correo electrnico con tipos MIME.
n Bloquear patrones de ruta y URL especificados.
Para agregar el proxy POP3 a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
configuracin en la pgina 277.
Pestaa Poltica
n Las conexiones POP3-Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa
Poltica de la definicin de proxy). Para ms informaciones, vea Definir reglas de acceso a una
poltica en la pgina 267.
n Usar el enrutamiento basado en la poltica : para utilizar el enrutamiento basado en la poltica en la
definicin de proxy, consulte Configurar el enrutamiento basado en la poltica en la pgina 269.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor.
Para ms informaciones, vea Acerca de la NAT esttica en la pgina 153 y Configurar Balance de
carga en el servidor en la pgina 154.
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin en la pgina 360.
n Si configura la lista desplegable Las conexiones estn (en la pestaa Poltica) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar POP3.
Para ms informaciones, vea Bloquear sitios temporalmente con configuracin de polticas en la
pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticacin, Configurar un tiempo de espera inactivo personalizado.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de proxy:
En la lista Tipos de contenido, el usuario puede configurar valores para el filtrado de contenido
y la accin a seguir para tipos de contenido que no coinciden con los criterios. Para la poltica
de proxy de POP3 servidor, se definen los valores para el filtrado de contenido entrante. Para la
poltica de proxy de POP3 cliente, se definen los valores para el filtrado de contenido saliente.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imgenes JPEG, se
agrega imagen/jpg . Tambin puede usar el asterisco (*) como comodn. Para permitir
cualquier formato de imagen, se agrega imagen/* a la lista.
Este conjunto de reglas se usa en una accin de proxy POP3 servidor para poner lmites en los
nombres de archivo para adjuntos de correo electrnico entrante. Este conjunto de reglas se
usa en una accin de proxy POP3 cliente para poner lmites en los nombres de archivo para
adjuntos de correo electrnico saliente. El usuario puede agregar, eliminar o modificar reglas.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
Tiempo de espera
Utilice esta configuracin para limitar la cantidad de minutos en los que el cliente de correo
electrnico intenta abrir una conexin con el servidor de correo electrnico antes de que la
conexin se cierre. Esto impide que el proxy use demasiados recursos de red cuando el
servidor POP3 est lento o no se puede alcanzar.
Utilice esta configuracin para impedir algunos tipos de ataques de fallas en la memoria
intermedia. Las extensiones de lnea muy largas pueden causar fallas en la memoria intermedia
en algunos sistemas de correo electrnico. La mayora de los clientes y sistemas de correo
electrnico envan lneas relativamente cortas, pero algunos sistemas de correo electrnico
web envan lneas muy extensas. Sin embargo, es poco probable que el usuario tenga que
cambiar esta configuracin, a menos que evite el acceso a correo electrnico legtimo. La
configuracin predeterminada es 1000 bytes.
Mensaje de negacin
En el cuadro de texto Mensaje de negacin, puede escribir un mensaje de texto sin cifrar
personalizado en HTML estndar que aparece en el correo electrnico del destinatario cuando
el proxy bloquea ese correo electrnico. Se pueden usar las siguientes variables:
Seleccione esta casilla de verificacin para enviar un mensaje de registro para cada solicitud de
conexin administrada por el POP3 Servidor proxy. Debe activar esta opcin para crear
informes precisos sobre el trfico POP3 Servidor proxy.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
Nota El proxy SIP admite conexiones SIP de tipo amigo pero no de tipo par.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa con:
En una conexin punto a punto, cada uno de los dos dispositivos conoce la direccin IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrs de Firebox,
ste puede enrutar el trfico de llamada correctamente.
Conexiones hospedadas
En el SIP estndar, dos componentes clave de la gestin de llamadas son el Log Server SIP y el Proxy SIP.
Juntos, estos componentes administran las conexiones hospedadas por el sistema de gestin de llamadas.
La SIP-ALG de WatchGuard abre y cierra los puertos necesarios para que funcione SIP. La SIP-ALG de
WatchGuard puede admitir tanto al Log Server SIP como al Proxy SIP cuando se usan con un sistema de
gestin de llamadas externo a Firebox. En esta versin, no se admite SIP cuando el sistema de gestin de
llamadas est protegido por Firebox.
La coordinacin del gran nmero de componentes de una instalacin VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una SIP-ALG, Firebox:
Muchos dispositivos y servidores VoIP utilizan NAT (traduccin de direccin de red) para abrir y cerrar
puertos automticamente. Las ALG H.323 y SIP tambin cumplen esta funcin. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP.
Para agregar la SIPALG a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
configuracin en la pgina 277.
Pestaa Poltica
n Las conexionesSIP-ALG estn: especifica silas conexionesestn Permitidas,Negadas oNegadas
(enviar restablecer)y define el contenidode lalista Desdey Hasta (en lapestaa Poltica de la definicin
de ALG).Para msinformaciones, veaDefinir reglasde accesoa unapoltica enla pgina267.
n Usar el enrutamiento basado en la poltica: para utilizar el enrutamiento basado en la poltica en la
definicin de ALG, consulte Configurar el enrutamiento basado en la poltica en la pgina 269.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor.
Para ms informaciones, vea Acerca de la NAT esttica en la pgina 153 y Configurar Balance de
carga en el servidor en la pgina 154.
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin .
n Si configura la lista desplegable Las conexiones estn (en la pestaa Poltica) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar SIP. Para ms informaciones, vea
Bloquear sitios temporalmente con configuracin de polticas en la pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticacin, consulte Configurar un tiempo de espera inactivo personalizado en la pgina 270.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de ALG:
Codecs negados
Utilice esta funcin para denegar uno o ms codecs VoIP. Cuando se abre una conexin SIP
VoIP que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexin
automticamente. Esta lista est vaca de manera predeterminada. Recomendamos agregar un
codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario para que la solucin VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan ms de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.
Para agregar un codec a la lista, ingrese el nombre del codec o el patrn de texto nico en el
cuadro de texto y haga clic en Agregar. No use caracteres comodn ni sintaxis de expresin
regular. Los patrones codec distinguen maysculas de minsculas.
Seleccione esta casilla de verificacin para activar la funcin de control de acceso. Cuando est
activada, la SIP ALG permite o restringe llamadas segn las opciones configuradas.
Configuracin predeterminada
Seleccione la casilla de verificacin Iniciar llamadas VoIP para permitir que todos los usuarios
VoIP inicien llamadas de manera predeterminada. Seleccione la casilla de verificacin Recibir
llamadas VoIP para permitir que todos los usuarios VoIP reciban llamadas de manera
predeterminada. Seleccione la casilla de verificacin adyacente Registro para crear un mensaje
de registro para cada conexin SIP VoIP iniciada o recibida.
Niveles de acceso
Se puede permitir que los usuarios inicien llamadas nicamente, reciban llamadas
nicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican slo al trfico SIP VoIP.
Las conexiones realizadas por usuarios que tienen una excepcin de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepcin de nivel de acceso, desmarque la casilla de verificacin Registro
cuando cree la excepcin.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
Seleccione esta casilla de verificacin para negar encabezados SIP extremadamente largos o
malformados. Aunque estos encabezados a menudo indican un ataque en Firebox, si es
necesario se puede desactivar esta opcin para que la solucin VoIP funcione correctamente.
Esta funcin reescribe los encabezados de trfico SIP para eliminar informacin de red privada,
como direcciones IP. Recomendamos mantener esta opcin activada, salvo que tenga un
dispositivo de puerta de enlace VoIP actual que realice la ocultacin de topologa.
Seleccione esta casilla de verificacin para asegurarse de que los atacantes no puedan robar
informacin de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opcin es activada por
defecto.
Sesiones mximas
Utilice esta funcin para restringir el nmero mximo de sesiones de audio o video que
pueden crearse con una nica llamada VoIP. Por ejemplo, si el usuario define el nmero de
sesiones mximas en una y participa en una llamada VoIP con audio y video, la segunda
conexin se descarta. El valor predeterminado es dos sesiones y el valor mximo es cuatro
sesiones. Firebox crea una entrada de registro cuando niega una sesin multimedia por encima
de este nmero.
Seleccione esta casilla de verificacin para enviar un mensaje de registro para cada solicitud de
conexin administrada por la SIP ALG. Debe activar esta opcin para crear informes precisos
sobre el trfico SIP.
Para identificar el trfico SIP saliente como un cliente especfico, ingrese una nueva cadena de
agente usuario en el cuadro de texto Reescribir agente usuario como. Para eliminar el agente
usuario falso, desmarque el cuadro de texto.
Cuando no se envan datos durante un perodo determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexin de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor mximo es 600 segundos (diez minutos). Para especificar un intervalo de
tiempo diferente, ingrese el nmero en segundos en el cuadro de texto Canales de medios
inactivos.
3. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
4. Haga clic en Guardar.
n Ajustar los lmites de tiempo de espera, tamao mximo del correo electrnico y extensin de lnea
para asegurarse de que el proxy SMTP no use demasiados recursos de red y pueda impedir algunos
tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrnico que intentan recibir.
n Filtrar contenido integrado en el mensaje de correo electrnico con tipos MIME y patrones de
nombre.
n Limitar las direcciones de correo electrnico a las que se pueden enviar mensajes de correo
electrnico y automticamente bloquear mensajes de correo electrnico de remitentes especficos.
Para agregar el proxy SMTP a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
configuracin en la pgina 277.
Pestaa Poltica
n Las conexiones SMPT Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa
Poltica de la definicin de proxy). Para ms informaciones, vea Definir reglas de acceso a una
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin .
n Si configura la lista desplegable Las conexiones estn (en la pestaa Poltica) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar SMTP. Para ms informaciones,
vea Bloquear sitios temporalmente con configuracin de polticas en la pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticacin, consulte Configurar un tiempo de espera inactivo personalizado en la pgina 270.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de proxy:
Seleccione esta casilla de verificacin para limitar quines pueden enviar mensajes de correo
electrnico a destinatarios en su red. Para agregar un remitente a la lista, ingrese la direccin
de correo electrnico en el cuadro de texto adyacente y haga clic en el botn Agregar. El
asterisco (*) puede usarse como carcter comodn para hacer coincidir ms de un remitente.
Seleccione esta casilla de verificacin para permitir que slo usuarios especificados reciban
mensajes de correo electrnico. Para agregar un destinatario a la lista, ingrese la direccin de
correo electrnico en el cuadro de texto adyacente y haga clic en el botn Agregar. El asterisco
(*) puede usarse como carcter comodn para hacer coincidir ms de un destinatario.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
Para permitir slo los tipos MIME configurados en la lista Tipos de contenido, seleccione esta
casilla de verificacin.
Para agregar un nuevo tipo de contenido, ingrese el tipo MIME en la lista adyacente y haga clic
en Agregar. El asterisco (*) puede usarse como carcter comodn para hacer coincidir ms de
un tipo MIME al mismo tiempo.
Para eliminar un tipo de contenido, seleccione la entrada y haga clic en Eliminar. No pueden
eliminarse tipos de contenido en la lista Tipos de contenido predefinidos.
Seleccione esta casilla de verificacin para negar mensajes de correo electrnico con adjuntos
que tienen nombres de archivo que coinciden con un patrn en la lista adyacente.
Para eliminar un patrn de nombre de archivo, seleccinelo en la lista y haga clic en Eliminar.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
Tiempo de espera
El usuario puede establecer la cantidad de tiempo que una conexin SMTP entrante puede
estar inactiva antes de que la conexin se cierre. El valor predeterminado es 10 minutos.
Utilice esta opcin para configurar la extensin mxima de los mensajes SMTP entrantes. El
valor predeterminado es de 10.000.000bytes o 10MB.
La codificacin puede aumentar la extensin de los archivos incluso en un tercio. Por ejemplo,
para permitir mensajes de hasta 10KB, debe configurar este campo en un mnimo de 1.334
bytes para asegurarse de recibir los mensajes de 10KB.
Puede configurar la extensin mxima de lnea para las lneas de los mensajes SMTP. Las
extensiones de lnea muy largas pueden causar fallas en la memoria intermedia en algunos
sistemas de correo electrnico. La mayora de los clientes de correo electrnico envan
extensiones de lnea cortas, pero algunos sistemas de correo electrnico Web envan lneas
muy largas.
Para permitir extensiones de lnea de cualquier tamao, configure el valor en cero (0).
Seleccione esta casilla de verificacin para enviar un mensaje de registro por cada solicitud de
conexin administrada mediante el proxy SMTP. Debe activar esta opcin para crear informes
precisos acerca del trfico proxy SMTP.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
Para configurar el proxy SMTP para colocar mensajes de correo electrnico en cuarentena:
Tambin se puede seleccionar la accin Cuarentena para mensajes de correo electrnico identificados por
la Virus Outbreak Detection como portadores de virus. Para ms informaciones, vea Configurar acciones de
Virus Outbreak Detection para una poltica en la pgina 593.
Para agregar el proxy de TCP-UDP a su configuracin de Firebox, consulte Agregar una poltica de proxy a
la configuracin en la pgina 277.
Pestaa Poltica
n Las conexiones del proxy de TCP-UDP estn Especifique si las conexiones estn Permitidas,
Negadas o Negadas (enviar restablecer), y defina quin aparece en la lista De y A (en la pestaa
Poltica de la definicin de proxy). Para obtener ms informacin, consulte Definir reglas de acceso
a una poltica en la pgina 267.
n Usar el enrutamiento basado en la poltica : para utilizar el enrutamiento basado en la poltica en la
definicin de proxy, consulte Configurar el enrutamiento basado en la poltica en la pgina 269.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor.
Para ms informaciones, vea Acerca de la NAT esttica en la pgina 153 y Configurar Balance de
carga en el servidor en la pgina 154.
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin .
n Si configur la lista desplegable Las conexiones estn (en la pestaa Poltica) como Negadas o
Negadas (enviar restablecer), puede bloquear los sitios que intenten utilizar el TCP-UDP. Vea
Bloquear sitios temporalmente con configuracin de polticas en la pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto de configurado por el dispositivo WatchGuard
o el servidor de autenticacin, Configurar un tiempo de espera inactivo personalizado.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de proxy:
En la pestaa Contenido, marque la casilla de seleccin para los tipos de aplicacin IM y P2P que desea que
el proxy TCP-UDP detecte, como tambin la accin asociada.
Para ms informacin, vea Acerca de las configuraciones de Application Blocker en la pgina 274.
Para especificar las polticas de proxy que filtran distintos tipos de trfico de red:
El proxy de TCP-UDP puede pasar el trfico HTTP, HTTPS, SIP y FTP a polticas de proxy que ya
haya creado cuando este trfico se enve por puertos no estndar. En el caso de cada uno de
estos protocolos, en las listas desplegables adyacentes, seleccione la poltica de proxy que
desea para administrar este trfico.
Si no desea que su Firebox utilice una poltica de proxy para filtrar un protocolo, seleccione
Permitir o Negar en la lista desplegable adyacente.
Seleccione esta casilla de verificacin para enviar un mensaje de registro por cada solicitud de
conexin administrada mediante el proxy TCP-UDP. Debe activar esta opcin para crear
informes precisos acerca del trfico proxy TCP-UDP.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
5. Haga clic en Guardar.
Para aplicar la administracin de trfico a las polticas, usted define una accin de administracin de trfico,
que es una coleccin de configuraciones que puede aplicar a una o ms definiciones de la poltica. De esta
manera, no necesita ajustar la configuracin de la administracin de trfico de manera independiente en
cada poltica. Puede definir acciones de administracin de trfico adicionales si desea aplicar diferentes
configuraciones a diferentes polticas.
2. Seleccione la casilla de verificacin Activar todas las funciones de administracin de trfico y QoS.
3. Haga clic en Guardar.
Por ejemplo, supongamos que la compaa tiene un servidor FTP en una red externa y desea garantizar que
el FTP siempre tenga por lo menos 200kilobytes por segundo (KBps) mediante la interfaz externa. Tambin
puede considerar la configuracin de un ancho de banda mnimo para la interfaz de confianza para
asegurarse de que la conexin tenga un ancho de banda garantizado de extremo a extremo. Para hacer
esto, debera crear una accin de administracin de trfico que defina un mnimo de 200KBps para el
trfico FTP en la interfaz externa. Entonces, creara una poltica FTP y aplicara la accin de administracin
de trfico. Esto permitir ejecutar el comando ftp put a 200KBps. Si desea permitir la ejecucin del
comando ftp get a 200KBps, debe configurar el trfico FTP en la interfaz de confianza para que tambin
tenga un mnimo de 200KBps.
Como ejemplo adicional, supongamos que su compaa utiliza materiales multimedia (streaming media)
para capacitar a clientes externos. Estos materiales multimedia utilizan RTSP mediante el puerto 554. Tiene
cargas frecuentes al FTP de la interfaz de confianza a la interfaz externa y no desea que estas cargas
compitan con la capacidad de los clientes para recibir los materiales multimedia. Para garantizar el ancho de
banda suficiente, puede aplicar una accin de administracin de trfico a la interfaz externa para el puerto
de materiales multimedia.
Marcado QoS
El marcado QoS crea diferentes clases de servicio para distintos tipos de trfico de red saliente. Cuando
marca el trfico, puede cambiar hasta seis bits en los campos del encabezado del paquete definidos para
este fin. Otros dispositivos pueden utilizar este marcado para administrar un paquete de la manera
adecuada mientras viaja de un punto a otro de la red.
Puede activar el marcado QoS para una interfaz individual o una poltica individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz est marcado. Cuando define el
marcado QoS para una poltica, todo el trfico que utiliza esa poltica tambin est marcado.
Prioridad de trfico
Puede asignar diferentes niveles de prioridad a las polticas o al trfico de una interfaz en particular. La
priorizacin del trfico en el firewall le permite administrar cosas de clase de servicio (CoS) mltiples y
reservar la prioridad ms alta para los datos en tiempo real o la transmisin de datos. Una poltica con alta
prioridad puede extraer ancho de banda de las conexiones existentes de baja prioridad cuando el enlace
est congestionado; entonces, el trfico debe competir por el ancho de banda.
Despus de configurar este lmite, Firebox completa las tareas de priorizacin bsica sobre el trfico de red
para evitar problemas de trfico excesivo en la interfaz especificada. Adems, aparece una advertencia en
Fireware XTM Web UI si asigna demasiado ancho de banda al crear o ajustar las acciones de administracin
de trfico.
Si no cambia la configuracin de Ancho de banda de interfaz saliente en ninguna interfaz del valor
predeterminado en 0, est configurada para autonegociar la velocidad de enlace para esa interfaz.
La funcin de QoS debe poder diferenciar los varios tipos de secuencias de datos que fluyen por su red.
Entonces, debe marcar los paquetes de datos. El marcado QoS crea diferentes clasificaciones de servicio
para distintos tipos de trfico de red. Cuando marca el trfico, puede cambiar hasta seis bits en los campos
del encabezado del paquete definidos para este fin. Firebox y otros dispositivos aptos para QoS pueden
utilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otro
de la red.
Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (tambin conocida como Clase de
servicio) y marca de Differentiated Service Code Point (DSCP). Para obtener ms informacin acerca de estos
tipos de marcado y los valores que puede configurar, consulte Marcado: tipos y valores en la pgina 328.
Antes de empezar
n Asegrese de que su equipo de LAN soporte el marcado y la administracin QoS. Es posible que
tambin deba asegurarse de que su ISP soporte el marcado QoS.
n El uso de procedimientos de QoS en una red requiere una planificacin exhaustiva. Primero puede
identificar el ancho de banda terico disponible y luego determinar qu aplicaciones de red son de
alta prioridad, especialmente sensibles a la latencia y la oscilacin o ambas opciones.
Por ejemplo, supongamos que su Firebox recibe trfico con marcado QoS de una red de confianza y lo
enva a una red externa. La red de confianza ya tiene aplicado el marcado QoS, pero usted desea que el
trfico a su equipo ejecutivo obtenga una prioridad ms alta que el resto del trfico de red de la interfaz de
confianza. Primero, configure el marcado QoS de la interfaz de confianza en un valor determinado. Luego,
agregue una poltica con configuracin de marcado QoS para el trfico a su equipo ejecutivo con un valor
ms alto.
Tambin puede elegir si desea preservar el marcado existente cuando se encapsula un paquete marcado
en un encabezado IPSec.
Los valores de DSCP se pueden expresar de forma numrica o mediante nombres de palabras clave
especiales que corresponden al comportamiento por salto (PHB). El comportamiento por salto es la
prioridad aplicada a un paquete cuando viaja de un punto a otro dentro de una red. La marca DSCP de
Fireware soporta tres tipos de comportamiento por salto:
Mejor esfuerzo
El Assured Forwarding se recomienda para el trfico que requiere mejor confiabilidad que el
servicio de mejor esfuerzo. Dentro del tipo de comportamiento por salto denominado Assured
Forwarding (AF), el trfico puede asignarse a tres clases: baja, media y alta.
Este tipo tiene la prioridad ms alta. Generalmente se reserva para el trfico crtico de la misin y en
tiempo real.
Los puntos de cdigo del selector de clase (CSx) se definen como compatibles con las versiones anteriores
de los valores de precedencia IP. CS1 a CS7 son idnticos a los valores de precedencia IP 1 a 7.
La tabla subsiguiente muestra los valores de DSCP que usted puede seleccionar, el valor de precedencia IP
correspondiente (que es igual al valor CS) y la descripcin en palabras clave de PHB.
8 1 Scavenger*
10 AF Clase 1 - Baja
12 AF Clase 1 - Media
14 AF Clase 1 - Alta
16 2
18 AF Clase 2 - Baja
20 AF Clase 2 - Media
22 AF Clase 2 - Alta
24 3
26 AF Clase 3 - Baja
28 AF Clase 3 - Media
30 AF Clase 3 - Alta
32 4
34 AF Clase 4 - Baja
36 AF Clase 4 - Media
38 AF Clase 4 - Alta
40 5
46 EF
48 6 Control de Internet
56 7 Control de red
* La clase Scavenger se utiliza para el trfico de prioridad ms baja (por ejemplo, para compartir medios o
utilizar aplicaciones de juegos). Este trfico tiene una prioridad ms baja que Mejor esfuerzo.
Para obtener ms informacin acerca de los valores de DSCP consulte esta referencia: http://www.rfc-
editor.org/rfc/rfc2474.txt
n Preservar: no cambiar el valor actual del bit. Firebox prioriza el trfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
8. Si seleccion Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccion el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad ms alta).
Si seleccion el tipo de marcado DSCP, los valores son de 0 a 56.
Para obtener ms informacin acerca de estos valores, consulte Marcado: tipos y valores en la
pgina 328.
9. Seleccione la casilla de verificacin Priorizar trfico basado en el marcado QoS.
10. Haga clic en Guardar.
4. Seleccione la casilla de verificacin Cancelar configuraciones por interfaz para activar otros campos
de marcado QoS y priorizacin.
5. Complete la configuracin como se describe en las secciones subsiguientes.
6. Haga clic en Guardar.
n Preservar: no cambiar el valor actual del bit. Firebox prioriza el trfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
3. Si seleccion Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccion el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad ms alta).
Si seleccion el tipo de marcado DSCP, los valores son de 0 a 56.
4. En la lista desplegable Priorizar trfico basado en, seleccione MarcadoQoS.
Configuracin de priorizacin
Se pueden utilizar muchos algoritmos para priorizar el trfico de red. Fireware XTM utiliza un mtodo de
cola de alto rendimiento segn la clase basado en el algoritmo de marcado jerrquico de paquetes
(Hierarchical Token Bucket, HTB). La priorizacin en el Fireware XTM se aplica por poltica y es equivalente a
los niveles de 0 a 7 de CoS (clase de servicio), donde 0 es la prioridad normal (predeterminada) y 7 es la
prioridad ms alta. El nivel 5 comnmente se utiliza para transmitir datos como VoIP o videoconferencias.
Reserve los niveles 6 y 7 para las polticas que permiten las conexiones de administracin del sistema, para
asegurarse de que estn siempre disponibles y evitar la interferencia de otro trfico de red de alta
prioridad.Utilice la tabla de niveles de prioridad como gua cuando asigne las prioridades.
Niveles de prioridad
Le recomendamos asignar una prioridad superior a 5 slo a las polticas administrativas de WatchGuard,
como la poltica WatchGuard, la poltica WG-Logging o la poltica WG-Mgmt-Server. El trfico comercial de
alta prioridad deber obtener una prioridad de 5 o menor.
Prioridad Descripcin
1 Prioridad
2 Inmediata (DNS)
4 Cancelar Flash
5 Crtica (VoIP)
el ancho de banda mximo terico para esa red. Tambin debe considerar tanto las necesidades de envo
como de recepcin de una interfaz y configurar el valor de umbral sobre la base de estas necesidades. Si su
conexin a Internet es asimtrica, utilice el ancho de banda del enlace ascendente establecido por su ISP
como el valor de umbral.
Todas las polticas que utilizan una accin de administracin de trfico comparten su tasa de conexin y sus
configuraciones de ancho de banda. Cuando son creadas, las polticas pertenecen automticamente a la
accin de administracin de trfico predeterminada, que no impone restricciones ni reservas. Si crea una
accin de administracin de trfico para configurar un ancho de banda mximo de 10Mbps y se la aplica a
una poltica FTP y a una poltica HTTP, todas las conexiones manejadas por esas polticas deben compartir 10
Mbps. Si ms tarde aplica la misma accin de administracin de trfico a una polticaSMTP, las tres polticas
debern compartir 10Mbps. Esto tambin se aplica a los lmites de la tasa de conexin y al ancho de banda
mnimo garantizado. El ancho de banda garantizado sin utilizar reservado por una accin de administracin
de trfico puede ser utilizado por otras acciones.
3. Ingrese un Nombre y una Descripcin (opcional) para la accin. Utilizar el nombre de la accin para
hacer referencia a sta cuando la asigne a una poltica.
4. En la lista desplegable, seleccione una interfaz. Ingrese el ancho de banda mnimo y mximo para
esa interfaz en los cuadros de texto adyacentes.
5. Haga clic en Agregar.
3. En la columna adyacente, haga clic en la lista desplegable y seleccione una accin de administracin
de trfico.
4. Para configurar una accin para otras polticas, repita los pasos 2 al 3.
5. Haga clic en Guardar.
Nota Si tiene una configuracin multi-WAN, los lmites de ancho de banda se aplican de
manera independiente a cada interfaz.
Si utiliza un ancho de banda limitado en una interfaz para varias aplicaciones, cada una con puertos nicos,
es posible que necesite que todas las conexiones de alta prioridad compartan una accin de administracin
de trfico. Si tiene mucho ancho de banda libre, podra crear acciones de administracin de trfico
independientes para cada aplicacin.
Con la proteccin contra amenazas predeterminada, el firewall examina el origen y el destino de cada
paquete que recibe. Mira la direccin IP y el nmero de puerto y monitorea los paquetes en busca de
patrones que muestran si su red est en riesgo. Si existe algn riesgo, puede configurar el dispositivo
WatchGuard para bloquear automticamente un posible ataque. Ese mtodo proactivo de deteccin de
intrusin y prevencin mantiene a los atacantes fuera de su red.
Tambin puede adquirir una actualizacin para su dispositivo WatchGuard para usar Intrusion Prevention
basada en firmas. Para ms informaciones, vea Acerca de las Gateway AntiVirus y prevencin de intrusiones
en la pgina 613.
n Rechazar un paquete que podra ser un riesgo de seguridad, incluyendo paquetes que podran ser
parte de un ataque de suplantacin de paquetes o ataque de congestin del servidor SYN.
n Bloquear automticamente todo el trfico hacia y desde una direccin IP
n Agregar un evento al archivo de registro
n Enviar una captura SNMP al Management Server de SNMP
n Enviar una notificacin de posibles riesgos de seguridad
2. Seleccione las casillas para los patrones de trfico contra los cuales desea tomar medidas, tal como
se explic en esos tpicos:
La configuracin predeterminada del dispositivo WatchGuard busca abandonar los ataques de suplantacin
de paquetes. Para alterar la configuracin de esa funcin:
La configuracin predeterminada del dispositivo WatchGuard busca abandonar los ataques de ruta de
origen de IP. Para alterar la configuracin de esa funcin:
Cuando las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de espacio de direccin
estn seleccionadas, todo el trfico entrante en cualquier interfaz externa es examinado por el dispositivo
WatchGuard. No se puede desactivar esas funciones para direcciones IP especficas o por diferentes
perodos de tiempo.
2. Seleccione o limpie las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de
espacios de direccin.
3. Para cada direccin IP de origen, haga clic en las flechas para seleccionar el nmero mximo de
sondeos de direccin o puerto permitidos por segundo. El valor predeterminado para cada uno es
de 10 por segundo. Eso significa que el origen es bloqueado si establece conexiones a 10 puertos o
hosts diferentes en un segundo.
4. Haga clic en Guardar.
Para bloquear atacantes ms rpidamente, se puede definir en un valor mnimo el umbral de nmero
mximo permitido de sondeos de direccin o puerto por segundo. Si el nmero est definido en
demasiado bajo, el dispositivo WatchGuard tambin podran negar trfico legtimo de red. Es menos
probable que bloquee trfico legtimo de red si usa un nmero ms alto, pero el dispositivo WatchGuard
debe enviar paquetes de restablecer TCP para cada conexin que abandona. Eso consume ancho de banda
y recursos en el dispositivo WatchGuard y provee informacin al atacante acerca de su firewall.
n IPSec
n IKE
n Protocolo de control de mensajes en Internet (ICMP)
n SYN
n Protocolo de datagrama de usuario (UDP)
Los ataques de congestin tambin son conocidos como ataques de negacin de servicio (DoS). La
configuracin predeterminada del dispositivo WatchGuard busca bloquear ataques de congestin.
Para cambiar las configuraciones para esa funcin, o para cambiar el nmero mximo de conexiones
permitidas por segundo:
Por ejemplo, se define el umbral del ataque de congestin del servidor de SYN en 18 paquetes/seg. Cuando
el dispositivo WatchGuard recibe 18 paquetes/seg, le informa un posible ataque de congestin del servidor
de SYN, pero no abandona ningn paquete. Si el dispositivo recibe 20 paquetes por segundo, abandona el
25% de los paquetes recibidos (5 paquetes). Si el dispositivo recibe 36 paquetes o ms, los ltimos 18 o ms
son abandonados.
Seleccione para enviar un restablecer TCP o error de ICMP de vuelta al cliente cuando el
dispositivo WatchGuard recibe un paquete no controlado.
La configuracin predeterminada del dispositivo WatchGuard busca bloquear ataques DDoS. Puede cambiar
configuraciones para esa funcin y tambin el nmero mximo de conexiones permitidas por segundo.
2. Seleccione o limpie las casillas de verificacin Cuota por cliente o Cuota por servidor.
3. Haga clic en las flechas para definir el nmero mximo de conexiones permitidas por segundo
desde una direccin IP de origen protegida por el dispositivo WatchGuard (Cuota por cliente) o una
direccin IP de destino protegida por el dispositivo WatchGuard (Cuota por servidor): Las
conexiones que exceden esa cuota son desechadas.
representan un riesgo de seguridad. Despus de encontrar la fuente del trfico sospechoso, puede
bloquear todas las conexiones desde esa direccin IP. Tambin puede configurar el dispositivo WatchGuard
para enviar un mensaje de registro cada vez que la fuente intenta establecer conexin con su red. A partir
del archivo de registro, puede ver los servicios que las fuentes usan para lanzar los ataques.
El Firebox niega todo el trfico a partir de una direccin IP bloqueada. Puede definir dos tipos diferentes de
direcciones IP bloqueadas: permanente y bloqueo automtico.
Para bloquear automticamente los sitios que envan trfico negado, vea Bloquear sitios temporalmente con
configuracin de polticas en la pgina 346.
Tambin puede bloquear automticamente sitios que sean fuente de paquetes que no coincidan con ninguna
regla de poltica. Para ms informaciones, vea Acerca de los paquetes no controlados en la pgina 342.
2. En la lista desplegable Elegir tipo, seleccione si desea insertar una direccin IP de host, una
direccin de red o rango de direcciones IP.
3. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar. Si debe bloquear un rango
de direcciones que incluya una o ms direcciones IP asignadas al dispositivo WatchGuard, primero
debe aadir esas direcciones IP a la lista de excepciones de sitios bloqueados.
Para aadir excepciones, vea Crear Excepciones sitios bloqueados en la pgina 345.
4. Haga clic en Guardar.
3. En la lista desplegable Elegir tipo, seleccione si desea insertar una direccin IP de host, una
direccin de red o rango de direcciones IP.
4. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar.
5. Haga clic en Guardar.
1. En el Fireware XTMWeb UI, seleccione Firewall > Polticas de Firewall. Haga doble clic en una
poltica para editarla.
Aparece el cuadro de dilogo "Configuracin de polticas".
Tambin puede usar la configuracin de polticas para bloquear automticamente sitios que intenten usar
un servicio negado. Para ms informaciones, vea Bloquear sitios temporalmente con configuracin de
polticas en la pgina 346.
Para definir el perodo de tiempo que los sitios son automticamente bloqueados:
3. Para alterar el perodo de tiempo que un sitio es bloqueado automticamente, en el cuadro de texto
Duracin para sitios de bloqueo automtico, ingrese o seleccione el nmero de minutos para
bloquear un sitio. El tiempo predeterminado es de 20 minutos.
4. Haga clic en Guardar.
Cuando bloquea un puerto, se anulan todas las reglas en sus definiciones de polticas. Para bloquear un
puerto, vea Bloquear un puerto en la pgina 349.
Diversas versiones del X Windows operan los servidores de fuentes X. Los servidores de fuentes X
funcionan como un superusuario en algunos hosts.
El NFS (Sistema de archivos de red) es un servicio de TCP/IP en el cual muchos usuarios usan los
mismos archivos en una red. Las nuevas versiones tienen problemas graves de seguridad y
autenticacin. Proveer NFS por Internet puede ser muy peligroso.
Nota El servicio portmap suele usar el puerto 2049 para NFS. Si usa NFS, asegrese de el
NFS usa el puerto 2049 en todos sus sistemas.
Esos servicios ofrecen acceso remoto a otros equipos. Representan un riesgo de seguridad y
muchos atacantes sondean esos servicios.
Los servicios RPC usan el puerto 111 para encontrar qu puertos un servidor RPC determinado
utiliza. Los servicios RPC son fciles de atacar a travs de Internet.
puerto 8000
Muchos proveedores usan ese puerto y muchos problemas de seguridad estn relacionados a l.
puerto 1
El servicio PCPmux usa el puerto 1, pero no con frecuencia. Se puede bloquearlo para dificultar el
anlisis de los puertos por esas herramientas.
puerto 0
Ese puerto siempre est bloqueado por el dispositivo WatchGuard. No se puede permitir el trfico
en el puerto 0 a travs del dispositivo.
Bloquear un puerto
Nota Tenga mucho cuidado se bloquea nmeros de puerto superiores a 1023. Los
clientes suelen usar esos nmeros de puerto de origen.
Un archivo de registro es una lista de eventos, junto con la informacin acerca de esos eventos. Un evento
es una actividad que ocurre en el dispositivo Firebox o XTM. Un ejemplo de un evento es cuando el
dispositivo niega un paquete. Su dispositivo Firebox o XTM tambin puede capturar informacin acerca de
eventos permitidos para darle una imagen ms completa de la actividad en su red.
El sistema de mensaje de registro tiene varios complementos, que estn descritos abajo.
Log Servers
Hay dos mtodos para salvar los archivos de registro con el Fireware XTM Web UI:
Ese es un componente del WatchGuard System Manager (WSM). Si tiene un Firebox III, Firebox X
Core o Firebox X Peak, Firebox X Edge con Fireware XTM o WatchGuard XTM 2 Series, 5 Series, 8
Series o 1050, puede configurar un Log Server principal para recoger mensajes de registro.
Syslog
sta es una interfaz de registro desarrollada para UNIX pero que tambin es utilizada en muchos
otros sistemas computarizados. Si utiliza un host de syslog, puede configurar su dispositivo Firebox o
XTM para que enve mensajes de registro a su servidor de syslog. Para encontrar un servidor de
syslog compatible con su sistema operativo, ingrese una bsqueda en Internet para "syslog
daemon".
Si su dispositivo Firebox o XTM est configurado para enviar archivos de registro a un WatchGuard Log
Server y la conexin falla, los archivos de registro no son recogidos. Es posible configurar su dispositivo para
tambin enviar mensajes de registro a un host de syslog que est en la red de confianza local para prevenir
la prdida de archivos de registro.
Para ms informacin acerca del envo de mensajes de registro a un WatchGuard Log Server, vea Enviar
mensajes de registro al WatchGuard Log Server en la pgina 353.
Para ms informacin acerca del envo de mensajes de registro a un host de syslog, vea Enviar informacin
de registro a un host de Syslog en la pgina 355.
Para ms informaciones, vea Use el Syslog para ver los datos de mensaje de registro en la pgina 361.
n Trfico
n Alarma
n Evento
n Depurar
n Estadstica
Hay ocho categoras de mensajes de registro de Alarma: Sistema, IPS, AV, Poltica, Proxy, Contador,
Negacin de Servicio y Trfico. El Firebox no enva ms de 10 alarmas en 15 minutos para las mismas
condiciones.
Si el Firebox no puede conectarse al Log Server principal, intenta conectarse al siguiente Log Server en la
lista de prioridad. Se el Firebox examina cada Log Server en la lista y no puede conectar, l intenta
conectarse al primer Log Server en la lista nuevamente. Cuando el Log Server principal no est disponible,
el Firebox se conecta al Log Server de resguardo, el Firebox intenta reconectarse al Log Server principal a
cada 6 minutos. Eso no afecta la conexin de Firebox con el Log Server de resguardo hasta que el Log
Server principal est disponible.
Para ms informacin acerca de los WatchGuard Log Servers e instrucciones para configurar el Log Server
para que acepte mensajes de registro, vea el Gua del usuario del WatchGuard System Manager.
2. Para enviar mensajes de registro a uno o ms WatchGuard Log Servers, seleccione la casilla de
verificacin Enviar mensajes de registro a WatchGuard Log Servers.
3. En el campo Direccin de Log Server, ingrese la direccin IP del Log Server principal.
4. En el campo Encryption Key, ingrese la Log Server encryption key.
5. En el campo Confirmar, ingrese la clave de cifrado nuevamente.
6. Haga clic en Agregar.
La informacin para el Log Server aparece en la lista Log Server.
7. Repita los pasos 3 a 6 para agregar ms Log Servers a la lista Servidor.
8. Para alterar la prioridad de un Log Server en la lista, seleccione una direccin IP en la lista y haga clic
en Arriba o Abajo.
El nmero de prioridad cambia a medida que la direccin IP sube o baja en la lista.
9. Haga clic en Guardar.
Para configurar el dispositivo WatchGuard para que enve mensajes de registro a un host de syslog, debe
tener un host de syslog configurado, en funcionamiento y listo para recibir mensajes de registro.
Si selecciona NINGUNO, los detalles para ese tipo de mensaje no son enviados al host de syslog.
Para ms informacin acerca de los diferentes tipos de mensajes, vea Tipos de mensajes de registro
en la pgina 352.
El recurso de syslog se refiere a uno de los campos en el paquete syslog y tambin al archivo al cual
syslog enva un mensaje de registro. Puede usar Local0 para mensajes syslog de alta prioridad, como
alarmas. Puede usar Local1Local7 para asignar prioridades para otros tipos de mensajes de registro
(nmeros inferiores tienen mayor prioridad). Vea su documentacin de syslog para ms
informacin acerca de los recursos de registro.
6. Haga clic en Guardar.
Nota Como el trfico de syslog no es cifrado, los mensajes de syslog que son enviados a
travs de Internet disminuyen la seguridad de la red de confianza. Es ms seguro si
pone su host de syslog en su red de confianza.
Configurar Registros
Es posible elegir guardar los mensajes de registro en su Firebox y seleccionar las estadsticas de desempeo
que incluir en sus archivos de registro.
n Apagado
n Error
n Advertencia
n Informacin
n Depurar
Cuando Apagado (el nivel ms bajo) est seleccionado, los mensajes de diagnstico para esa
categora estn desactivados.
4. Haga clic en Guardar.
4. En la seccin Registros, defina los parmetros para que coincidan con su poltica de seguridad.
Para ms informacin acerca de los campos en la seccin Registros, vea Determinar preferencias de
registro y notificacin en la pgina 360.
5. Haga clic en Guardar.
Cuando selecciona esa casilla de verificacin, el Firebox enva un mensaje de registro cuando ocurre
un evento.
Cuando selecciona esa casilla de verificacin, el Firebox enva una notificacin de evento al sistema
de administracin del SNMP. El Protocolo de Administracin de Red Simple (SNMP, en sus siglas en
ingls) es un conjunto de herramientas usado para monitorear y administrar redes. Una captura
SNMP es una notificacin de evento que el Firebox enva al sistema de administracin de SNMP
cuando una condicin especificada ocurre.
Para ms informacin acerca del SNMP, vea Acerca del SNMP en la pgina 59.
Para activar las capturasSNMP o solicitudes de informes, vea Activar Capturas y estaciones de
administracin de SNMP en la pgina 62.
Enviar notificacin
Cuando selecciona esa casilla, el Firebox enva una notificacin cuando el evento especificado
ocurre. Por ejemplo, cuando una poltica permite un paquete.
El intervalo de lanzamiento controla los intervalos de tiempo entre cada evento (1, 2, 3, 4 y 5). Eso
se defini en 5 minutos. Multiplique el "repetir conteo" por el intervalo de lanzamiento. Ese es el
intervalo de tiempo que un evento debe continuar para que se inicie la repeticin de notificacin.
Cuando usa el campo Filtrar para especificar cules mensajes de registro aparecen, los resultados de
bsqueda por filtro incluyen todas las entradas que son coincidencias parciales para el filtro seleccionado.
2. Para ver slo un tipo de mensaje de registro, en la lista desplegable Tipo de cuadro, seleccione un
tipo de mensaje:
n Trfico
n Alarma
n Evento
n Depurar
n Estadstica
3. Para ver todos los tipos de mensaje de registro nuevamente, en la lista desplegable Tipo de cuadro,
seleccione Todos.
4. Para ordenar los mensajes de registro por un tipo de dato, haga clic en el encabezado de la columna
para ver el tipo de dato en cuestin. Las columnas diferentes aparecen segn el tipo de mensaje de
registro seleccionado en la lista desplegable Tipo de cuadro.
5. Para ver slo mensajes de registro con un detalle de mensaje especfico, en el cuadro de texto Filtro
, ingrese el detalle deseado.
La pantalla del Syslog se actualiza automticamente para mostrar slo los mensajes de registro que incluyen
en detalle especificado. Si ningn mensaje coincide con el filtro insertado, la pgina del Syslog queda en
blanco.
Por ejemplo, si slo desea ver mensajes de registro del usuarioAdmin, ingrese IDusuario=Admin .
Los resultados incluyen mensajes de registro con el usuario Admin, Admins, Administrador y
cualquier otro nombre de usuario que incluya los caracteres Admin.
6. Para remover un filtro, limpie todos los detalles del cuadro de texto Filtro .
La pantalla de Syslog se actualiza automticamente.
7. Para copiar los datos del mensaje de registro de la lista, seleccione uno o ms tems en la lista y haga
clic en Copiar.
Monitorear su Firebox
Para monitorear el estado y la actividad en el dispositivo Firebox o XTM, utilice las pginas de Panel de
control y Estado del sistema.
El Panel de control
El Panel de control incluye dos pginas: la pgina Sistema y la pgina Servicios de suscripcin.
La pgina Sistema incluye una vista rpida del estado del dispositivo. Si tiene acceso a la configuracin (de
lectura y escritura), puede reiniciar el dispositivo desde esta pgina. La pgina Sistema del panel de control
aparece automticamente al conectarse a la Fireware XTM Web UI.
Para consultar las estadsticas de un perodo ms prolongado o para ver ms detalles acerca de las
estadsticas en el Panel de control:
Tambin puede ver informacin acerca de las suscripciones al Gateway AntiVirus, el Intrusion Prevention
Service, WebBlocker y spamBlocker.
Para obtener ms informacin acerca de actualizaciones de firma manuales, consulte Ver estado de
servicios de suscripcin y actualizar firmas manualmente en la pgina 623.
Las pginas Estado del sistema estn configuradas para actualizarse automticamente cada 30 segundos.
1. Para modificar el intervalo de actualizacin, haga clic y arrastre el tringulo en la barra deslizante
Intervalo de actualizacin.
2. Para detener las actualizaciones en forma temporal, haga clic en Pausa.
3. Para forzar una actualizacin inmediata, haga clic en Pausa y luego haga clic en Reiniciar.
Los nmeros en el eje x de las tablas indican la cantidad de minutos atrs. Las tablas estadsticas en el Panel
de control muestran datos de los ltimos 20 minutos.
Tabla ARP
Para ver la tabla ARP para Firebox:
La pgina Tabla ARP incluye dispositivos que han respondido a una solicitud ARP (Protocolo de resolucin
de direccin) de Firebox:
Direccin IP
Tipo HW
Marcadores
Nota Una direccin de hardware vlida puede mostrarse brevemente como no vlida
mientras Firebox espera una respuesta a la solicitud ARP.
Direccin HW
La direccin MAC de la tarjeta de interfaz de red que est asociada con la direccin IP.
Dispositivo
La interfaz de Firebox donde se encontr la direccin de hardware para esa direccin IP. El nombre
de ncleo Linux para la interfaz se muestra entre parntesis.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Autenticaciones
Para ver la lista de usuarios autenticados para Firebox:
La pgina Lista de autenticacin incluye informacin acerca de cada usuario actualmente autenticado para
Firebox.
Usuario
Tipo
Dominio de autenticacin
Hora de inicio
ltima actividad
Direccin IP
La direccin IP interna que utiliza el usuario; en el caso de usuarios mviles, esta direccin IP es la
direccin IP que Firebox les ha asignado.
De direccin
La direccin IP en el equipo a partir del cual el usuario se autentica. Para los usuarios mviles, esa
direccin IP es la misma que en el equipo utilizado para conectarse al Firebox. Para los usuarios de
firewall, la direccin IP y la Direccin De son las mismas.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
La pgina Sitios bloqueados incluye una lista de direcciones IP que actualmente se encuentran el la lista de
Sitios bloqueados, el motivo por el que se agregaron a la lista y el tiempo de vencimiento (cuando se
elimina al sitio de la lista Sitios bloqueados).
IP
Origen
El origen del sitio bloqueado. Los sitios agregados en la pgina Estado del sistema>Sitios
bloqueados se muestran como administracin, mientras que los sitios agregados desde la pgina
Firewall> Sitios bloqueados se muestran como configuracin.
Motivo
Tiempo de espera
Caducidad
La cantidad de tiempo que falta hasta que termine el perodo de tiempo de espera.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Suma de comprobacin
Para ver la suma de comprobacin de los archivos del OS (sistema operativo) instalado actualmente en
Firebox:
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Conexiones
Para monitorear las conexiones a Firebox:
La pgina Conexiones incluye un nmero de conexiones que atraviesan a Firebox. El nmero actual de
conexiones para cada protocolo aparece en la columna Conexiones.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Lista de componentes
Para ver una lista de los componentes de software instalados en Firebox:
n Nombre
n Versin
n Build
n Fecha
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Uso de CPU
Para monitorear el uso de CPU en Firebox:
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
La pgina Concesiones de DHCP incluye al servidor DHCP y las concesiones utilizadas por Firebox, con las
reservas de DHCP.
Interfaz
Direccin IP
La direccin IP de la concesin.
Host
El nombre de host. Si no hay un nombre de host disponible, este campo est vaco.
Direccin MAC
Hora de inicio
Hora de finalizacin
Tipo de hardware
El tipo de hardware.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Diagnsticos
Se puede utilizar la pgina Diagnsticos para hacer ping a una direccin IP o host, trazar la ruta a una
direccin IP o host, buscar informacin de DNS para el host o visualizar informacin acerca de los paquetes
transmitidos a travs de la red (Depsito de protocolo de control de transmisin, TCP).
n Ping
n Rastrear ruta
n BuscarDNS
n Volcado de TCP
Si selecciona ping, traceroute o dnslookup, aparece el campo Direccin.
Si selecciona tcpdump, aparece el campo Interfaz.
2. En el campo Direccin, ingrese una direccin IP o nombre de host.
O seleccione Interfaz en la lista desplegable.
3. Haga clic en Ejecutar tarea.
El resultado del comando aparece en la ventana Resultados y aparece el botn Detener tarea.
4. Para detener la tarea de diagnstico, haga clic en Detener tarea.
n Ping
n Rastrear ruta
n BuscarDNS
n Volcado de TCP
2. Seleccione la casilla de verificacin Opciones avanzadas.
El campo Argumentos est activado y el campo Direccin o Interfaz est desactivado.
3. En el campo Argumentos, ingrese los argumentos del comando.
Para ver los argumentos disponibles para un comando, deje el campo Argumentos en blanco.
4. Haga clic en Ejecutar tarea.
El resultado del comando aparece en la ventana Resultados y aparece el botn Detener tarea.
5. Para detener la tarea de diagnstico, haga clic en Detener tarea.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
DNS dinmico
Para ver la tabla de rutas de DNS dinmico:
La pgina DNS dinmico contiene la tabla de rutas DNS con la siguiente informacin:
Nombre
El nombre de la interfaz.
Usuario
Dominio
Sistema
Agregar
IP
ltimo
Siguiente fecha
Estado
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Tecla de funcin
La tecla de funcin es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.
Al comprar una opcin o actualizacin y obtener una nueva tecla de funcin, aumenta la funcionalidad de
su dispositivo.
n Nmero de serie del dispositivo WatchGuard al cual esa tecla de funcin se aplica
n ID y nombre del dispositivo WatchGuard
n Modelo y nmero de versin de dispositivo
n Funciones disponibles
Para ver informacin acerca de las funciones con licencia para el dispositivo WatchGuard:
2. Para ver informacin para cada funcin, utilice la barra de desplazamiento en la pestaa Tecla de
funcin.
Aparece la siguiente informacin:
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Interfaces
Para ver informacin sobre las interfaces de red de Firebox:
Alias
El nombre de la interfaz.
Activado
Puerta de enlace
IP
Direccin MAC
Nombre
El nmero de interfaz.
Mscara de red
Zona
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
LiveSecurity
La Fireware XTM Web UI incluye una pgina con las notificaciones de alertas ms recientes enviadas desde
LiveSecurity Service de WatchGuard. Las alertas de LiveSecurity proveen informacin que se aplica al
dispositivo, como las notificaciones acerca de las actualizaciones de software disponibles. Las notificaciones
de alertas se envan no ms de una vez al da.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Memoria
Para monitorear el uso de memoria en Firebox:
En la pgina Panel de control tambin puede verse una versin ms pequea de este grfico.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
La tecla de funcin para su dispositivo Firebox X Edge activa el dispositivo para que tenga un nmero
especfico de direcciones IP con acceso de salida. La Web UI de Fireware XTM puede usarse para ver el
nmero mximo de direcciones IP que tienen permitido acceso saliente y las direcciones IP que
actualmente tienen acceso saliente. Tambin puede remover las direcciones IP de la lista de acceso de
salida, que permite que otra direccinIP remplace aqulla removida. Eso ayuda si tiene un nmero
limitado de direccionesIP con acceso de salida. Fireware XTM limpia automticamente todas las
direcciones IP de la Lista de acceso saliente una vez por hora.
La informacin acerca del nmero mximo de direcciones IP con acceso saliente tambin est disponible
en la tecla de funcin. Para ms informacin, vea Acerca de las teclas de funcin en la pgina 51.
Nota Esta funcin se aplica solo a los dispositivos Firebox X Edge con Fireware XTM. Si
no tiene un dispositivo Firebox X Edge con Fireware XTM, esta pgina no aparece
en la Web UI.
2. Para quitar una o ms direcciones IP de la lista, seleccione las direcciones y haga clic en Eliminar.
3. Para quitar todas las direcciones IP de la lista, haga clic en Borrar lista.
4. Para copiar la informacin de determinados elementos de la lista, seleccione los elementos y haga
clic en Copiar.
5. Para cambiar la frecuencia con la que se actualiza la informacin de la pgina, deslice el control
Intervalo de actualizacin.
6. Para detener temporalmente la actualizacin de informacin en la pgina, haga clic en Pausa.
Procesos
Para ver una lista de procesos que se ejecutan en Firebox:
La pgina Procesos incluye informacin acerca de todos los procesos que se ejecutan en Firebox.
La identificacin del proceso es un nmero nico que muestra cundo se inici el proceso.
NOMBRE
ESTADO
R: en ejecucin
S: suspendido
D,Z: inactivo
RSS
PARTE
HORA
El tiempo que ha utilizado el proceso despus de la ltima vez que se inici el dispositivo.
CPU
El porcentaje de tiempo de CPU que el proceso ha utilizado despus del ltimo reinicio del
dispositivo.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Rutas
Para ver la tabla de rutas para Firebox:
Destino
Interfaz
Puerta de enlace
Marca
Indicador
Mscara
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Syslog
Se puede usar syslog para ver los datos de registro en el archivo de registro de Firebox.
Para obtener ms informacin sobre cmo utilizar esta pgina, consulte Use el Syslog para ver los datos de
mensaje de registro en la pgina 361.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Administracin de trfico
Para ver las estadsticas de administracin de trfico:
Interfaz
Bytes (%)
Bytes/segundo
Paquetes
Paquetes/segundo
Para obtener informacin acerca de la administracin de trfico, consulte Acerca de las Administracin de
trfico y QoS en la pgina 323.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Estadsticas de VPN
Para ver estadsticas acerca de tneles VPN:
Nombre
Local
Remoto
Puerta de enlace
Entrada de paquetes
Entrada de bytes
Salida de paquetes
Salida de bytes
Reingresos
2. Para forzar a un tnel BOVPN a reingresar, seleccione un tnel BOVPN y haga clic en el botn
Reingresar tnel BOVPN seleccionado.
3. Para ver informacin adicional para usar en la solucin de problemas, haga clic en Depurar.
Recomendamos utilizar esta funcin cuando se resuelve un problema de VPN con un representante
de soporte tcnico.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Estadsticas inalmbricas
Para ver estadsticas acerca de la red inalmbrica:
El resumen incluye:
Si el dispositivo es un WatchGuard XTM 2 Series modelo inalmbrico, en esta pgina tambin se puede
actualizar la informacin del pas inalmbrica para este dispositivo. Las opciones disponibles para la
configuracin de radio inalmbrica se basan en los requisitos normativos del pas en el cual el dispositivo
detecta que se encuentra.
Para obtener ms informacin acerca de las configuraciones de radio en el dispositivo WatchGuard XTM2
Series, consulte Acerca de las configuraciones de radio inalmbrico en el dispositivo inalmbrico
WatchGuard XTM2 Series.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Para obtener ms informacin acerca de cmo activar la funcin de hotspot inalmbrico, consulte Activar
un hotspot inalmbrico.
Para obtener ms informacin acerca de cmo administrar las conexiones hotspot inalmbricas, consulte
Consulte Conexiones hotspot inalmbricas.
La clave privada usada para firmar un certificado puede ser del mismo par de claves usado para generar el
certificado o de un par de claves diferentes. Si la clave privada es el mismo par de claves usado para crear
el certificado, el resultado se llama certificado autofirmado. Si la clave privada es de un par de claves
diferentes, el resultado es un certificado comn. Los certificados con claves privadas que pueden ser
utilizados para firmar otros certificados son llamados CertificadosCA(Autoridad de Certificacin, en sus
siglas en ingls). Una autoridad de certificacin es una organizacin o aplicacin que firma o revoca los
certificados.
Si su organizacin tiene una configuracin de PKI (infraestructura de clave pblica), usted mismo puede
firmar certificados como CA. La mayora de las aplicaciones y dispositivos automticamente aceptan
certificados de CAs de confianza y relevantes. Los certificados que no son firmados por CAs relevantes, tal
como un certificado autofirmado, no son aceptados automticamente por diversos servidores o programas
y no funcionan correctamente con algunas funciones del Fireware XTM.
Tambin podra ser necesario importar todos esos certificados en cada dispositivo cliente para que el
ltimo certificado tambin sea de confianza para los usuarios.
Por defecto, su Firebox crea certificados autofirmados para proteger los datos de sesin de administracin
e intentos de autenticacin para el Fireware XTM Web UI y para la inspeccin de contenido proxy de HTTPS.
Para asegurar que el certificado usado para la inspeccin de contenido HTTPS sea nico, su nombre incluye
el nmero de serie de su dispositivo y la hora en la cual el certificado fue creado. Como esos certificados no
son firmados por una CA de confianza, los usuarios en su red ven alertas en sus exploradores web.
1. Puede importar certificados firmados por una CA en los cuales su organizacin confa, tal como un
PKI ya configurado para su organizacin, para ser usado con esas funciones. Recomendamos que use
esa opcin si posible.
2. Puede crear un certificado autofirmado personalizado que coincida con el nombre y ubicacin de su
organizacin.
3. Puede usar el certificado autofirmado predeterminado.
En la segunda y tercera opciones, puede pedir que los clientes de red acepten esos certificados
autofirmados manualmente cuando se conectan al Firebox. O puede exportar los certificados y distribuirlos
con las herramientas de administracin de red. Debe tener el WatchGuard System Manager instalado para
exportar certificados.
A veces la CA revoca o desactiva los certificados antes que caduquen. Su Firebox mantiene una lista
actualizada de esos certificados revocados, llamada Lista de Revocacin de Certificados (CRL, las siglas en
ingls), para verificar que los certificados usados por una autenticacinde VPN son vlidos. Si tiene el
WatchGuard System Manager instalado, esa lista puede ser actualizada manualmente con el Firebox System
Manager (FSM), o automticamente con la informacin de un certificado. Cada certificado incluye un
nmero nico usado para identificarlo. Si el nmero nico en un certificado de servidor web, BOVPN o
Mobile VPN with IPSec coincide con un identificador de su CRL asociado, el Firebox desactiva el certificado.
Para ms informaciones acerca de las opciones deOCSP, vea Proxy deHTTPS:Contenido en la pgina 302.
Si desea crear un certificado para ser usado con la funciones de inspeccin de contenido proxy deHTTPS,
debe ser un certificadoCA que pueda firmar nuevamente otros certificados. Si crea una CSR con el Firebox
System Manager y lo firma por una CA relevante, esa CSR puede ser usada como un certificado CA.
Si no tiene un PKI configurado en su organizacin recomendamos que elija una CA relevante para firmar las
CSRs usadas, excepto para el certificado CA del proxy de HTTPS. Si una CA relevante firma sus certificados,
stos son automticamente considerados de confianza por la mayora de los usuarios. WatchGuard prob
los certificados firmados por VeriSign, Microsoft CAServer, Entrust y RSA KEON. Tambin puede importar
certificados adicionales para que su Firebox confe en otras CAs.
Para obtener una lista completa de las CAs automticamente de confianza, vea Autoridades de Certificacin
confiadas por Firebox en la pgina 387.
Si tiene instalado el WatchGuard System Manager, una copia de cada certificado es almacenada en su disco
duro en:
C:\Documents and Settings\WatchGuard\wgauth\certs\README
Tanusitvanykiado/direccinEmail=info@netlock.hu
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.
- Slo para uso autorizado, CN=VeriSign Class 2 Public Primary Certification
Authority - G3
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X2,
CN=DST RootCA X2/direccinEmail=ca@digsigtrust.com
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE3 Certification
Authority, CN=IPS CA CLASE3 Certification Authority/direccinEmail=ips@m
IPSail.ips.es
O=RSA Security Inc, OU=RSA Security 1024 V3
C=US, O=Equifax Secure, OU=Equifax Secure eBusiness CA-2
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte,
Inc. - Slo para uso autorizado, CN=thawte Primary Root CA
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X1,
CN=DST RootCA X1/direccinEmail=ca@digsigtrust.com
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Server CA/direccinEmail=server-certs@thawte.com
C=US, O=VeriSign, Inc., OU=Class 4 Public Primary Certification Authority -
G2, OU=(c) 1998 VeriSign, Inc. - Slo para uso autorizado, OU=VeriSign Trust
Network
C=NL, O=DigiNotar, CN=DigiNotar Root CA CA/=info@diginotar.nl
C=US, O=America Online Inc., CN=America Online Root Certification Authority 2
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Timestamping Certification
Authority, CN=IPS CA Timestamping Certification
Authority/direccinEmail=ips@mail.ips.es
C=US, O=DigiCert Inc., CN=DigiCert Security Services CA
C=US, O=Digital Signature Trust, OU=DST ACES, CN=DST ACES CA X6
C=DK, O=TDC, CN=TDC OCES CA
C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA3 Certification
Authority, CN=IPS CA CLASEA3 Certification
Authority/direccinEmail=ips@mail.ips.es
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN-USERFirst-Correo electrnico y
autenticacin del cliente
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA CA Limited, CN=AAA
Certificate Services
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 1 Policy
Validation Authority,
CN=http://www.valicert.com//direccinEmail=info@valicert.com
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE1 Certification
Authority, CN=IPS CA CLASE1 Certification
Authority/direccinEmail=ips@mail.ips.es
C=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis Root
Certification Authority
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=CH, O=SwissSign AG, CN=SwissSign Silver CA - G2
C=US, O=Digital Signature Trust Co., OU=DSTCA E2
Nota Debe usar el Firebox System Manager (FSM) para crear solicitudes de firma de
certificado (CSRs), importar listas de revocacin de certificado (CRLs), remover o
eliminar certificados.
Para obtener ms informacin, vea el sistema de Ayuda del WatchGuard System
Manager.
Para ms informaciones, vea Acerca de los certificados en la pgina 385 y Usar Certificados para el proxy de
HTTPS en la pgina 397.
n Autoridad proxy de HTTPS (para inspeccin profunda de paquetes) - Seleccione esta opcin si
el certificado es para una poltica de proxy de HTTPS que administra el trfico web solicitado
por los usuarios en una red de confianza u opcional desde un servidor web en una red externa,
seleccione Un certificado importado con esa finalidad debe ser un certificadoCA. Antes de
importar el certificadoCA usado para reencriptar el trfico con un proxy de HTTPS, asegrese
de que el certificadoCA usado para reencriptar firmar ese certificado haya sido importado con
la categora Otro.
n Servidor proxy deHTTPS - Seleccione esta opcin si el certificado es para una poltica de proxy
de HTTPS que administra el trfico web solicitado por usuarios en una red externa desde un
servidor web protegido por el Firebox. Antes de importar el certificadoCA usado para
reencriptar el trfico desde el servidor web de HTTPS, asegrese de que el certificadoCA
utilizado para firmar ese certificado haya sido importado con la categora Otro.
n CA de confianza para proxy de HTTPS - Seleccione esta opcin para un certificado usado para
confiar en trficoHTTPS que no sea reencriptado por el proxy deHTTPS. Por ejemplo, un
certificado raz o de CA intermediario usado para firmar el certificado de un servidor web
externo.
n IPSec, Servidor web, Otro - Seleccione esta opcin si el certificado es para autenticacin u
otros propsitos, o si desea importar un certificado para crear una cadena de confianza para un
certificado que sea usado para reencriptar el trfico de red con un proxy de HTTPS.
4. Copie y pegue los contenidos del certificado en el cuadro de texto grande. Si el certificado incluye
una clave privada, ingrese la contrasea para descifrar la clave.
5. Haga clic en Importar certificado.
Se agrega el certificado al Firebox.
3. Para crear un nuevo certificado para la autenticacin Firebox, seleccione Personalizar certificado
firmado por Firebox.
4. Ingrese un domain name o direccin IP de una interfaz en su Firebox en el cuadro de texto en la
parte inferior del cuadro de dilogo. Haga clic en Agregar. Cuando haya aadido todos los domain
names deseados, haga clic en Aceptar.
5. Ingrese el nombre comn de su organizacin. ste suele ser su domain name.
Tambin puede ingresar un nombre de organizacin y un nombre de departamento de la
organizacin (ambos opcionales) para identificar la parte de su organizacin que cre el certificado.
6. Haga clic en Guardar.
Para crear un certificado temporal y autofirmado hasta que la CA emita su certificado firmado:
Ese comando crea un certificado dentro de su directorio actual que caduca en 30 das con la clave privada y
la CSR creada en el procedimiento anterior.
Cada solicitud de firma de certificado (CSR) debe ser firmada por una autoridad de certificacin (CA) antes
que sea usada para autenticacin. Al crear un certificado con ese procedimiento, uno acta como la CA y
firma digitalmente su propia CSR. No obstante, por cuestiones de compatibilidad, recomendamos que enve
su CSR a una CA ampliamente conocida. Los certificados races para esas organizaciones estn inslados por
defecto en la mayora de los exploradores de Internet y dispositivos WatchGuard, as no hace falta que uno
mismo distribuya los certificados races.
Se puede usar la mayora de los sistemas operativos de Windows Server para completar una CSR y crear un
certificado. Las instrucciones siguientes son para el Windows Server 2003.
Emitir el certificado
1. Conctese al servidor donde est instalada la Autoridad de Certificacin, si necesario.
2. Seleccione Inicio > Panel de control> Herramientas administrativas > Autoridad de certificacin.
3. En el rbol Autoridad de certificacin (Local), seleccione Su domain name> Solicitudes pendientes.
4. Seleccione la CSR en el panel de navegacin derecho.
5. En el menu Accin, seleccione Todas las tareas > Emitir.
6. Cierre la ventana de Autoridad de Certificacin.
Descargar el certificado
1. Abra su explorador web. En la ubicacin o barra de direccin, ingrese la direccin IP del servidor
donde est instalada la autoridad de certificacin, seguido de certsrv.
Ejemplo: http://10.0.2.80/certsrv
2. Haga clic en el enlace Ver el estado de una solicitud de certificado pendiente.
3. Haga clic en la solicitud de certificado con la hora y fecha que fue enviada.
4. Para elegir el formato PKCS10 o PKCS7, seleccione Codificacin de base 64.
5. Haga clic en Descargar certificado para guardar el certificado en su disco duro.
Por defecto, el Firebox cifra nuevamente el contenido inspeccionado con un certificado autofirmado
generado automticamente. Los usuarios sin una copia de ese certificado ven un alerta de certificado
cuando se conectan a una sitio web seguro con HTTPS. Si un sitio web remoto usa un certificado vencido, o
si ese certificado est firmado por una CA (Autoridad de Certificacin) que el Firebox no reconoce, ste
forma nuevamente el contenido como Fireware HTTPSProxy:Certificado no reconocido o simplemente
Certificado invlido.
Esta seccin incluye informacin acerca de cmo exportar un certificado desde el Firebox e importarlo en
un sistema con Microsoft Windows o Mac OSX para que funcione con el proxy de HTTPS. Para importar el
certificado en otros dispositivos, sistemas operativos o aplicaciones, vea la documentacin de sus
fabricantes.
Si su organizacin ya tiene un PKI (Infraestructura de Clave Pblica) configurado con una CA de confianza,
entonces puede importar un certificado en el Firebox que est firmado por la CA de su organizacin. Si el
certificadoCA no es automticamente confiable, debe importar cada certificado previo en la cadena de
confianza para que ese recurso funcione correctamente. Para ms informaciones, vea Ver y administrar
certificados de FireboxVer y administrar Certificados de Firebox en la pgina 393.
Antes de activar esa funcin, recomendamos que provea el(los) certificado(s) usado(s) para firmar el trfico
HTTPS para todos los clientes en su red. Puede poner los certificados en un adjunto de correo electrnico
con las instrucciones, o usar el software de administracin de red para instalar los certificados
automticamente. Tambin recomendamos que pruebe el proxy de HTTPS con un pequeo nmero de
usuarios para asegurarse de que funciona correctamente antes de aplicarlo al trfico en una red grande.
Cuando activa la inspeccin de contenido, las configuraciones de WebBlocker de la accin del proxy de
HTTP anulan las configuraciones de WebBlocker del proxy deHTTPS. Si aade direccionesIP a la lista de
Derivaciones, se filtra el trfico de esos sitios con las configuraciones WebBlocker del proxy de HTTPS.
Para ms informacin en la configuracin del WebBlocker, vea Acerca de las WebBlocker en la pgina 561.
Si el certificado proxy de HTTPS usado para la inspeccin de contenido requiere otro certificadoCA
intermediario o raz antes que sea de confianza para los clientes de la red, tambin debe exportar esos
certificados. Tambin puede copiar los certificados de la fuente original para distribucin.
Si import el certificado anteriormente en un cliente, puede exportar ese certificado directamente del
sistema operativo o tienda del certificado del explorador. En la mayora de los casos, eso exporta el
certificado en el formato x.509. Los usuarios de Windows y Mac OSX pueden hacer doble clic en un
certificado de formato x.509 para importarlo.
Si las conexiones hacia los servidores web remotos se interrumpen a menudo, asegrese de que fueron
importados todos los certificados necesarios para confiar en el certificado CA usado para reencriptar el
contenido HTTPS, as como los certificados necesarios para confiar en el certificado del servidor web
original. Debe importar todos esos certificados en el Firebox y cada dispositivo cliente para que las
conexiones tengan xito.
Para usar los certificados para un nuevo tnel de Mobile VPN con IPSec:
Para ms informaciones, vea Configurar el Firebox para Mobile VPN with IPSec en la pgina 483.
Para cambiar un tnel de Mobile VPN existente para que use certificados para autenticacin:
Cuando usa certificados, debe otorgar tres archivos a cada usuario de Mobile VPN:
Copie todos los archivos en el mismo directorio. Cuando el usuario de Mobile VPN importa el archivo .wgx,
los certificados cliente y raz en los archivos cacert.pem y .p12 son cargados automticamente.
Params informacionesacerca de Mobile VPN con IPSec,vea Acercadel MobileVPN conIPSec enla pgina481.
2. En la seccin Puertas de enlace, haga clic enAgregar para crear nueva puerta de enlace.
O seleccione una puerta de enlace existente y haga clic en Editar.
3. Seleccione Utilizar Firebox Certificate de IPSec.
4. Seleccione el certificado que desea usar.
5. Defina otros parmetros, segn sea necesario.
6. Haga clic en Guardar.
n El Firebox System Manager debe reorganizar el certificado como un certificado de tipo IPSec.
n Asegrese de que los certificados para los dispositivos en cada gateway endpoint usen el mismo
algoritmo. Ambos extremos deben usar o DSS o RSA. El algoritmo para los certificados aparece en el
cuadro en la pgina Puerta de enlace.
n Si no tiene un certificado de terceros o autofirmado, debe usar una autoridad de certificacin en un
WatchGuard Management Server.
Nota Si normalmente usa el Fireware XTMWeb UI, debe instalar el Firebox System
Manager antes de exportar los certificados.
1. En el men Inicio del Windows, ingrese certmgr.msc en el cuadro de texto Buscar y presione
Entrar.
Si se le solicita que autentique como administrador, inserte su contrasea o confirme su acceso.
Cuando tiene ms de un dispositivo Firebox que usa un certificado autofirmado para inspeccin de
contenido HTTPS, los clientes en su red deben importar una copia de cada Firebox Certificate. No obstante,
los certificados de Firebox autofirmados predeterminados usan el mismo nombre y el Mozilla Firefox slo
reconoce el primer certificado importado cuando ms de un certificado tiene el mismo nombre.
Recomendamos que remplace los certificados autofirmados por el certificado firmado por una CA
diferente, y luego distribuya esos certificados a cada cliente.
Introduccin a VPNs
Para que los datos se transfieren con seguridad entre dos redes por una red desprotegida, como es la
Internet, puede crear una red privada virtual (VPN). Tambin puede usar una VPN para establecer una
conexin segura entre un host y una red. Las redes y hosts en los extremos de una VPN pueden ser sedes
corporativas, sucursales o usuarios remotos. Las VPNs usan el cifrado para proteger datos y la autenticacin
para identificar el emisor y el destinatario de los datos. Si la informacin de autenticacin est correcta, los
datos son cifrados. Slo el emisor y el destinatario del mensaje pueden leer los datos enviados por la VPN.
Un tnel VPN es una ruta virtual entre dos redes privadas de VPN Nos referimos a esa ruta como tnel
porque se usa un protocolo de tnel, como IPSec, SSL o PPTP, para proteger el envo de paquetes de datos.
La puerta de enlace o PC que usa una VPN usa ese tnel para enviar paquetes de datos por la Internet
pblica hacia direcciones IP privadas detrs de una puerta de enlace de VPN.
BOVPN manual
Puede usar el Policy Manager o el Fireware XTMWeb UI para configurar manualmente una BOVPN
entre dos dispositivos que soportan protocolos de VPN de IPSec.
BOVPN administrada
Puede usar el WatchGuard System Manager para configurar una BOVPN administrada en dos
dispositivos WatchGuard.
Para obtener ms informacin, vea el Gua del usuario del WatchGuard System Manager o el
sistema de ayuda online.
Todas las BOVPNs de WatchGuard usan el conjunto de protocolo IPSec para proteger el tnel BOVPN.
Para obtener ms informacin acerca de las VPNs de IPSec, vea Acerca de la VPNs de IPSec en la pgina 408.
Mobile VPN
Una Mobile VPN es una conexin cifrada entre un dispositivo de hardware exclusivo y un PC de escritorio o
laptop. Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con
seguridad a la red corporativa. WatchGuard soporta tres tipos de Mobile VPNs:
Para comparar las soluciones de Mobile VPN, vea Seleccione una Mobile VPN en la pgina 413.
Algoritmos de cifrado
Los algoritmos de cifrado protegen los datos para que no puedan ser ledos por terceros mientras estn en
trnsito. El Fireware XTM soporta tres algoritmos de cifrado:
n DES (Estndar de Cifrado de Datos) Usa una clave de cifrado con extensin de 56 bits. Ese es el
ms dbil de los tres algoritmos.
n 3DES(Triple-DES) Un algoritmode cifradobasado enDES que usa DESparacifrar losdatos tresveces.
n AES (Estndar de Cifrado Avanzado) El algoritmo de cifrado ms fuerte que existe. Fireware XTM
puede usar claves de cifrado AES para esas extensiones: 128, 192, o 256 bits.
Algoritmos de autenticacin
Los algoritmos de autenticacin verifican la integridad y autenticidad de los datos de un mensaje. El
Fireware XTM soporta dos algoritmos de autenticacin:
Protocolo IKE
Definido en RFC2409, IKE(siglas en ingls para intercambio de clave de Internet) es un protocolo usado
para configurar las asociaciones de seguridad para IPSec. Esas asociaciones de seguridad establecen
secretos de sesin compartidos a partir de los cuales se derivan las claves para el cifrado de datos en tnel.
El IKE tambin es usado para autenticar los dos puntos de IPSec.
Un grupo de clave Diffie-Hellman es un grupo de nmeros enteros usados para el intercambio de clave
Diffie-Hellman. Fireware XTM puede usar grupos DH 1, 2 y 5. Los nmeros ms altos del grupo ofrecen
seguridad ms fuerte.
AH
Definido en RFC 2402, el AH (Encabezado de autenticacin) es un protocolo que puede usar en las
negociaciones de VPN de Fase 2 de BOVPN manual. Para ofrecer seguridad, el AH agrega informacin de
autenticacin al datagrama de IP. La mayora de los tneles VPN no usan AH porque no ofrece cifrado.
ESP
Definido en RFC 2406, el ESP (Carga de seguridad de encapsulacin) ofrece autenticacin y cifrado de datos.
El ESP toma la carga original de un paquete de datos y la reemplaza por datos cifrados. Aade verificaciones
de integridad para asegurar que los datos no sean alterados en trnsito y que vienen de una fuente
adecuada. Recomendamos que use el ESP en negociaciones de Pase 2 de BOVPN porque el ESP es ms
seguro que el AH. El Mobile VPN with IPSec siempre usa ESP.
Configuraciones
El principal propsito de la Fase 1 es configurar un canal cifrado seguro a travs del cual los dos
puntos pueden negociar la Fase 2. Cuando la Fase 1 termina con xito, los puntos pasan rpidamente
hacia las negociaciones de Fase 2. Si la Fase 1 falla, los dispositivos no pueden empezar la Fase 2.
Fase 2
El propsito de las negociaciones de Fase 2 es que los dos puntos concuerden en un conjunto de
parmetros que definen qu trfico puede pasar por la VPN y cmo encriptar y autenticar el trfico.
Ese acuerdo se llama Asociacin de Seguridad.
Las configuraciones de Fase 1 y Fase 2 deben coincidir en los dispositivos en ambos extremos del tnel.
Negociaciones de Fase 1
En las negociaciones de Fase 1, los dos puntos intercambian credenciales. Los dispositivos se identifican y
negocian para encontrar un conjunto comn de configuraciones de Fase 1 que usar. Cuando se concluyen
las negociaciones de Fase 1, los dos puntos tienen una Asociacin de Seguridad (SA) de Fase 1. Esa SA es
vlida slo por un perodo de tiempo determinado. Despus que la SA de Fase 1 caduca, si dos los puntos
deben concluir las negociaciones de Fase 2 nuevamente, tambin deben negociar la Fase 1 nuevamente.
Las credenciales pueden ser un certificado o una clave precompartida. Ambos extremos de puerta
de enlace deben usar el mismo mtodo de credenciales. Si un punto usa una clave precompartida,
el otro punto tambin debe usar una y las claves deben coincidir. Si un punto usa un certificado, el
otro tambin debe usar un certificado.
2. Los dispositivos se identifican uno al otro.
Cada dispositivo ofrece un identificador de Fase 1, que puede ser una direccinIP, domain name,
informacin de dominio o nombre de X500. La configuracin de VPN en cada punto contiene un
identificador de Fase 1 del dispositivo local y del remoto, y las configuraciones deben coincidir.
3. Los puntos deciden si usar el Modo Principal o Modo Agresivo.
Las negociaciones de Fase 1 pueden usar uno de los dos modos: Modo Principal o Modo Agresivo. El
dispositivo que inicia las negociaciones IKE (el iniciador) enva una propuesta de Modo Principal o
una propuesta de Modo Agresivo. El respondedor puede rechazar la propuesta caso no est
configurado para usar ese modo. Las comunicaciones de Modo Agresivo ocurren con menos
intercambios de paquetes. El Modo Agresivo es menos seguro, pero ms rpido que el Modo
Principal.
4. Los puntos concuerdan respecto a los parmetros de Fase 1.
Negociaciones de Fase 2
Despus que dos puntos de IPSec concluyen las negociaciones de Fase 1, empiezan las negociaciones de
Fase 2. Las negociaciones de Fase 2 establecen la SA de Fase 2 (a veces denominada SA de IPSec). La SA de
IPSec es un conjunto de especificaciones de trfico que informan al dispositivo qu trfico enviar por la
VPN y cmo cifrarlo y autenticarlo. En las negociaciones de Fase 2, los dos puntos concuerdan en un
conjunto de parmetros de comunicacin. Cuando configura el tnel BOVPN en el Policy Manager o en el
Fireware XTMWeb UI, especifica los parmetros de Fase 2.
Como los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2, y define las
configuraciones de SA de Fase 1 en las configuraciones de puerta de enlace de BOVPN, debe especificar la
puerta de enlace que usar para cada tnel.
Las negociaciones de Fase 2 slo pueden empezar despus que se haya establecido la SA de Fase 1.
2. Los pares intercambian identificadores de Fase 2 (IDs).
Los IDs de Fase 2 siempre son enviados como un par en una propuesta de Fase 2: uno indica cules
direcciones IP detrs del dispositivo local pueden enviar trfico por la VPN y el otro indica cules
direcciones IP detrs del dispositivo remoto pueden enviar trfico por la VPN. Eso tambin se
conoce como una ruta de tnel. Puede especificar los IDs de Fase 2 para el punto local y remoto
como una direccinIP de host, una direccinIP de red o un rango de direccionesIP.
3. Los puntos concuerdan respecto al uso del Perfect Forward Secrecy (PFS).
El PFS especifica cmo se derivan las claves de Fase 2. Cuando se selecciona el PFS, ambos paresIKE
deben usar el PFS, sino la regeneracin de claves de Fase 2 falla. El PFS garantiza que si una clave de
cifrado usada para proteger la transmisin de datos est comprometida, un atacante puede acceder
slo a los datos protegidos por aquella clave, no por claves siguientes. Si los puntos concuerdan con
usar el PFS, deben tambin concordar con el grupo de claves Diffie-Hellman que usar para el PFS.
4. Los puntos concuerdan con una propuesta de Fase 2.
La propuesta de Fase 2 incluye las direcciones IP que pueden enviar trfico por el tnel, y un grupo
de parmetros de cifrado y autenticacin. El Fireware XTM enva esos parmetros en una propuesta
de Fase 2. La propuesta incluye el algoritmo que usar para autenticar datos, para cifrar datos y con
qu frecuencia generar nuevas claves de cifrado de Fase 2.
Los tems que puede definir en una propuesta de Fase 2 incluyen:
Tipo
Para un BOVPN manual, puede seleccionar el tipo de protocolo que usar: Encabezado de
autenticacin (AH) o Carga de seguridad de encapsulacin (ESP). El ESP ofrece autenticacin y
cifrado de los datos. El AH ofrece autenticacin sin el cifrado. Recomendamos que seleccione
ESP. La BOVPN administrada y el Mobile VPN with IPSec siempre usan ESP.
Autenticacin
Cifrado
El cifrado mantiene los datos confidenciales. Puede seleccionar el DES, 3DES o AES. El AES es el
ms seguro.
Para asegurarse de que las claves de cifrado de Fase 2 cambian peridicamente, siempre active
la caducidad de clave. Cuanto ms tiempo una clave de cifrado de Fase 2 est en uso, ms datos
un atacante puede recoger para usar en un ataque contra la clave.
Para ms informacin acerca de cmo usar un certificado para autenticacin de tnel, vea:
Cuando una Mobile VPN, primero configura su Firebox y despus configura los equipos de clientes
remotos. El Policy Manager o el Fireware XTMWeb UI son usados para configurar cada usuario o grupo de
usuarios. Para la Mobile VPN with IPSec y Mobile VPN with SSL, se usa el Policy Manager o la interfaz de
usuario web para crear un archivo de configuracin de perfil de usuario final que incluya todas las
configuraciones necesarias para conectarse al Firebox. Tambin puede configurar sus polticas para permitir
o negar trfico desde clientes Mobile VPN. Los usuarios de Mobile VPN se autentican en la base de datos de
usuario de Firebox o en un servidor de autenticacin externo.
Nota En el caso del Mobile VPN con SSL, puede elegir un puerto y protocolo diferentes.
Para ms informaciones, vea Elegir un puerto y protocolo para Mobile VPN with
SSL en la pgina 550
El tipo de Mobile VPN que selecciona depende mucho de su infraestructura existente y sus preferencias de
poltica de red. El Firebox puede administrar tres tipos de Mobile VPN simultneamente. Un equipo cliente
puede ser configurado para usar uno o ms mtodos. Algunos de los aspectos que considerar cuando
seleccione qu tipo de Mobile VPN usar estn descritos en las siguientes secciones.
Para el nmero mximo y bsico de tneles soportados por Mobile VPN with IPSec y Mobile VPN with SSL,
vea las especificaciones detalladas para su modelo de dispositivo WatchGuard.
Vasco
Mobile RSA Active
Firebox RADIUS Vasco/ RADIUS Challenge LDAP
VPN SecurID Directory
Response
Mobile
VPN with S S No No No No No
PPTP
Mobile
VPN with S S S N/A S S S
IPSec
Mobile
VPN with S S S N/A S S S
SSL
Debe instalar el cliente Mobile VPN con IPSec de WatchGuard y manualmente importar el perfil del
usuario final. El cliente Mobile VPN con IPSec requiere ms pasos para ser configurado que el
cliente Mobile VPN con SSL.
Compatible con: Windows XP SP2 (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) y Windows 7
(32 bits y 64 bits).
Debe instalar el cliente Mobile VPN con SSL de WatchGuard y el archivo de configuracin.
Compatible con: Windows XP SP2 (32 bits solamente), Windows Vista (32 bits solamente), Windows
7 (32 bits y 64 bits), Mac OSX10.6 Snow Leopard y Mac OSX 10.5 Leopard
Forzar todo el trfico de cliente a travs del tnel (VPN de ruta predeterminada)
La opcin ms segura es requerir que todo el trfico de Internet del usuario remoto sea enrutado a
travs del tnel VPN hacia el dispositivo WatchGuard. Despus, el trfico es enviado de vuelta a
Internet. Con esa configuracin (conocida como VPN de ruta predeterminada), el dispositivo
WatchGuard puede examinar todo el trfico y ofrecer mayor seguridad, aunque se use ms
potencia de procesamiento y ancho de banda.
Al usar una VPN de ruta predeterminada con Mobile VPN para IPSec o Mobile VPNpara PPTP, una
poltica de NAT dinmica debe incluir el trfico saliente de la red remota. Eso permite que los
usuarios remotos naveguen en Internet cuando envan todo el trfico al dispositivo WatchGuard.
Otra opcin de configuracin es activar el tnel dividido. Con esa opcin, los usuarios pueden
navegar en Internet, pero el trfico de Internet no es enviado a travs del tnel VPN. El tnel
dividido mejora el desempeo de red, pero disminuye la seguridad debido a que las polticas
creadas no son aplicadas al trfico de Internet. Si usa el tnel dividido, recomendamos que cada
equipo cliente tenga un firewall de software.
n En el caso del Mobile VPNcon IPSec y Mobile VPN con SSL, instale el software cliente y el
archivo de configuracin.
n Para el Mobile VPN con PPTP, configure manualmente la conexin de PPTP en la configuracin
de red del equipo cliente.
Para ms informacin y pasos detallados para configurar cada tipo de Mobile VPN, vea:
n Debe tener dos dispositivos WatchGuard o un dispositivo WatchGuard y un segundo dispositivo que
usa estndares IPSec. Debe activar la opcin VPN en otro dispositivo si todava no est activa.
n Debe tener una conexin de Internet.
n El ISP para cada dispositivo de VPN debe permitir el trfico IPSec en sus redes.
Algunos ISPs no permiten la creacin de tneles VPN en sus redes excepto si actualiza su servicio de
Internet para un nivel que soporte tneles VPN. Hable con un representante de cada ISP para
asegurarse de que esos puertos y protocolos estn permitidos:
n Puerto UDP 500 (Intercambio de clave de red o IKE)
n Si en el otro extremo del tnel VPN hay un dispositivo WatchGuard y cada dispositivo es
administrado, puede usar la opcin Managed VPN. La Managed VPN es ms fcil de configurar que
la "Manual VPN". Para usar esa opcin, debe obtener informacin junto al administrador del
dispositivo WatchGuard en el otro extremo del tnel VPN.
n Debe saber si la direccin IP asignada a la interfaz externa de su dispositivo WatchGuard es esttica o
dinmica.
Para obtener ms informacin acerca de las direcciones IP, vea Acerca de las Direcciones IP en la
pgina 3.
n Su modelo de dispositivo WatchGuard informa el nmero mximo de tneles VPN que puede crear.
Si su modelo de Firebox puede ser actualizado, puede adquirir la actualizacin del modelo que
aumente el nmero mximo de tneles VPN soportados.
n Si se conecta a dos redes Microsoft Windows NT, ambas deben estar en el mismo dominio de
Microsoft Windows o deben ser dominios de confianza. Esa es una cuestin de Microsoft
Networking, no una limitacin de Firebox.
n Si desea usar los servidores DNS y WINS de la red en el otro extremo del tnel VPN, debe conocer
las direccin IP de esos servidores.
El Firebox puede dar direcciones IP de WINS y DNS a equipos en su red de confianza si stos
obtienen sus direcciones IP de Firebox con DHCP.
n Si desea dar a los equipos las direcciones IP de los servidores WINS y DNS en el otro extremo de la
VPN, puede ingresarlas en las configuraciones de DHCP en la configuracin de la red de confianza.
Para ms informacin acerca de cmo configurar el Firebox para distribuir las direccin IP con
DHCP, vea Configurar el DHCP en modo de enrutamiento mixto en la pgina 86.
n Debe conocer la direccin de red de las redes privadas (de confianza) detrs de su Firebox y de la
red detrs del otro dispositivo de VPN, as como de sus mscaras de subred.
Nota Las direcciones IP privadas de los equipos detrs de su Firebox no pueden ser las
mismas que las direcciones IP de los equipos en el otro extremo del tnel VPN. Si su
red de confianza usa las mismas direcciones IP que la oficina hacia la cual se
establecer un tnel VPN, entonces su red o la otra red debe cambiar los ajustes de
direccin IP para evitar conflictos de direccin IP.
Las Redes Privadas Virtuales de Sucursal (BOVPN, en las siglas en ingls) permiten a las organizaciones
ofrecer conectividad segura y cifrada entre oficinas separadas geogrficamente. Las redes y hosts en un
tnel BOVPN pueden ser sedes corporativas, sucursales, usuarios remotos o trabajadores a distancia. Esas
comunicaciones suelen contener tipos de datos crticos intercambiados dentro de un firewall corporativo.
En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza la
comunicacin, reduce el costo de lneas exclusivas y mantiene la seguridad en cada extremidad.
Manual Los Tneles BOVPN son creados con el Fireware XTMWeb UI, ofreciendo diversas opciones
adicionales de tneles. Otro tipo de tnel es un tnel BOVPN administrado, que es un tnel BOVPN que se
crea en el WatchGuard System Manager con el procedimiento de arrastrar y soltar, un asistente y el uso de
plantillas. Para ms informacin acerca de ese tipo de tnel, vea el Gua del Usuario o el sistema de ayuda
online de WatchGuard System Manager.
n Debe saber si la direccin IP asignada al otro dispositivo VPN es esttica o dinmica. Si el otro
dispositivo VPN tiene una direccinIP dinmica, su Firebox debe encontrar el otro dispositivo por el
domain name y el otro dispositivo debe usar DNS Dinmico.
n Se debe conocer la clave compartida (frase de contrasea) del tnel. La misma clave compartida
debe ser usada por cada dispositivo.
n Se debe conocer el mtodo de cifrado usado en el tnel (D 3DESES, 3DES, AES 128 bits, AES 192 bits
o AES 256 bits). Los dos dispositivos de VPN deben usar el mismo mtodo de cifrado.
n Se debe conocer el mtodo de autenticacin de cada extremo del tnel (MD5 o SHA-1). Los dos
dispositivos de VPN deben usar el mismo mtodo de autenticacin.
Para ms informaciones, vea Lo que necesita para crear un BOVPN en la pgina 417.
Recomendamos que tome nota de su configuracin de Firebox y la informacin relacionada para el otro
dispositivo. Vea Muestra cuadro de informacin de direccin de VPN en la pgina 420 para registrar esa
informacin.
1. Definir puertasde enlacepuntos de conexin tantoen laextremidad localcomo enla remotadel tnel.
2. Establezca tneles entre los extremos de puertas de enlace configure rutas para el tnel,
especifique cmo los dispositivos controlan la seguridad y cree una poltica para el tnel.
Algunas otras opciones pueden ser usadas para los tnelesBOVPN estn descritas en las secciones abajo.
Failover de VPN
Los tneles VPN automticamente hacen la conmutacin por error para la interfaz WAN de resguardo
durante la conmutacin por error de WAN. Puede configurar tneles BOVPN para hacer conmutacin por
error a un extremo de punto de resguardo si el extremo principal deja de estar disponible. Para hacer eso,
debe definir al menos un extremo de resguardo, tal como se describe en Configurar Failover de VPN en la
pgina 456.
Para cambiar esas configuraciones, en el Fireware XTMWeb UI, seleccione VPN >Configuraciones
Globales. Para ms informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de
VPN Global en la pgina 438.
Sitio B: 68.130.44.15
Direccin usada para identificar una red local. Esas son las
direcciones IP de los equipos en cada extremo que estn
autorizados a enviar trfico a travs del tnel VPN.
Recomendamos que use una direccin de uno de los
rangos reservados:
10.0.0.0/8255.0.0.0
172.16.0.0/12255.240.0.0
Ejemplo:
Sitio A: 192.168.111.0/24
Sitio B: 192.168.222.0/24
Asignado
Elemento Descripcin
por
Ejemplo:
Sitio A: OurSharedSecret
Sitio B: OurSharedSecret
Ejemplo:
n Las configuraciones la Fase 1 de la negociacin de Intercambio de Claves de Internet (IKE). Esa fase
define la asociacin de seguridad o protocolos y configuraciones que los extremos de la puerta de
enlace usarn para comunicarse, para proteger datos que son transmitidos en la negociacin.
1. En el Fireware XTMWeb UI, seleccione VPN> VPN de Sucursal.
Aparece la pgina de configuracin de VPN de Sucursal, con la lista de Puertas de Enlace en el topo.
2. Para agregar una puerta de enlace, haga clic en Agregar al lado de la lista Puertas de enlace.
Aparece la pgina de configuraciones Puerta de enlace.
3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta
de enlace para este Firebox.
4. En lapgina Puerta de enlace, seleccione o Usar clave precompartida o Usar Firebox Certificate de
IPSec para identificar el procedimiento de autenticacin utilizado por ese tnel.
ingrese o pegue la clave compartida. Debe usar la misma clave compartida en el dispositivo
remoto. Esa clave compartida debe usar slo caracteres ASCII estndares.
La tabla abajo del botn de radio muestra los certificados actuales en el Firebox. Seleccione el
certificado que usar para la puerta de enlace.
Para ms informaciones, vea Usar un certificado para autenticacin del tnel BOVPN en la pgina 400.
Cualquier interfaz externa puede ser un gateway endpoint. Si tiene ms de una interfaz externa, puede
configurar mltiples puertas de enlace para Configurar Failover de VPN.
1. En la seccin Extremos de la puerta de enlace del cuadro de dilogo Puerta de enlace pgina, haga
clic en Agregar.
Aparece el cuadro de dilogo Configuraciones de extremos de la nueva puerta de enlace.
n Por direccin IP - Seleccione el botn de radio Por direccin IP. Ingrese la direccinIP de la
direccinIP de la interfaz de Firebox .
n Por domain name - Ingrese su domain name.
n Por ID de usuario en dominio - Ingrese el nombre de usuario y dominio con el
formatoNombreUsuario@NombreDominio .
n Por nombre x500-Ingrese el nombre x500.
3. En la lista desplegable Interfaz externa, seleccione la interfaz en el Firebox con la direccinIP o
dominio que elige para el ID de puerta de enlace.
n DireccinIP esttica - Seleccione esta opcin si el dispositivo remoto tiene una direccinIP
esttica. Para direccinIP, ingrese la direccinIP o seleccinela en la lista desplegable.
n DireccinIP dinmica - Seleccione esta opcin si el dispositivo remoto tiene una direccinIP
dinmica.
2. Seleccione el ID de la puerta de enlace.
n Por direccin IP - Seleccione el botn de radio Por direccin IP. Ingrese la direccinIP.
n Por domain name - Ingrese el domain name.
n Por ID de usuarioen dominio - Ingrese el ID de usuario y dominio.
n Por nombre x500-Ingrese el nombre x500.
Nota Si el extremo de la VPN remota usa DHCP o PPPoE para obtener su direccin IP
externa, defina el tipo de ID de la puerta de enlace remota en Nombre del dominio.
Defina el campo del nombre del punto en domain name totalmente cualificado del
extremo de la VPN remota. El Firebox usa la direccin IP y el domain name para
encontrar el extremo del VPN. Asegrese de que el servidor DNS usado por Firebox
pueda identificar el nombre.
Haga clic en Aceptar para cerrar el cuadro de dilogo Configuraciones de extremos de la nueva puerta de
enlace. El Puerta de enlace pgina . Aparece el par de la puerta de enlace definido en la lista de extremos
de la puerta de enlace. Vaya a Configurar modo y transformaciones (Configuraciones de la Fase 1) para
configurar la Fase 1 para esa puerta de enlace.
Un intercambio de Fase 1 puede usar o el Modo Principal o el Modo Agresivo. El modo determina el tipo y
el nmero de intercambios de mensajes realizados durante esa fase.
Una transformacin es un conjunto de protocolos de seguridad y algoritmos usados para proteger los datos
de VPN. Durante la negociacin IKE, los puntos hacen un acuerdo para usar determinada transformacin.
Se puede definir un tnel para que ofrezca un punto ms de un conjunto de transformacin para
negociacin. Para ms informaciones, vea Agregar una transformacin de Fase 1 en la pgina 428.
Modo principal
Ese modo es un modo seguro y utiliza tres intercambios de mensajes separados para un total
de seis mensajes. Los dos primeros mensajes negocian la poltica, los dos siguientes
intercambian datos de Diffie-Hellman y los ltimos dos autentican el intercambio Diffie-
Hellman. El Modo Principal soporta grupos Diffie-Hellman 1, 2 y 5. Ese modo tambin le
permite usar transformaciones mltiples, tal como se describe en Agregar una transformacin
de Fase 1 en la pgina 428.
Modo Agresivo
Ese modo es ms rpido porque usa slo tres mensajes, que intercambian Acerca de los grupos
Diffie-Hellman datos e identifican los dos extremos de la VPN. La identificacin de los extremos
de la VPN hace el Modo Agresivo menos seguro.
El Firebox intenta el intercambio con el Modo Principal. Si falla la negociacin, utiliza el Modo
Agresivo.
3. Si desea crear un tnel BOVPN entre el Firebox y otro dispositivo que est detrs de un dispositivo
NAT, seleccione la casilla de verificacin NAT Traversal. NAT Traversal o Encapsulacin de UDP
permite que el trfico llegue a los destinos correctos.
4. Para que el Firebox enve mensajes a su par de IKE para mantener el tnel VPN abierto, seleccione
la casilla de verificacin IKE keep-alive. Para determinar el Intervalo de mensajes, ingrese el
nmero de segundos o use el control de valores para seleccionar el nmero de segundos que
desea.
Nota El IKE keep-alive slo es utilizado por los dispositivos WatchGuard. No actvelo si el
extremo remoto es un dispositivo IPSec de terceros.
5. Para definir un nmero mximo de veces que el Firebox intenta enviar un mensaje de IKE keep-
alive antes de intentar negociar la Fase 1 nuevamente, inserte el nmero deseado en el cuadro
Mx. Fallas.
6. Use la casilla de verificacin Dead Peer Detection para activar o desactivar la Dead Peer Detection
basada en trfico. Cuando se activa la deteccin de punto puerto, Firebox se conecta a un punto slo
si no se recibe el trfico del punto por un perodo determinado de tiempo y si se est esperando
que un paquete sea enviado al punto. Ese mtodo es ms escalable que los mensajes de IKE keep-
alive.
Si desea cambiar los valores predeterminados de Firebox, ingrese el perodo de tiempo (en
segundos) en el campo tiempo de espera inactivo de trfico antes que el Firebox intente
conectarse al punto. En el campo Mx. de reintentos, ingrese el nmero de veces que Firebox
debera intentar conectarse antes que el punto sea considerado inactivo.
La Dead Peer Detection es un estndar usado por la mayora de los dispositivos IPSec.
Recomendamos que seleccione la Dead Peer Detection si ambos dispositivos extremos lo soportan.
Nota Si configura un failover de VPN, debe activar la Dead Peer Detection. Para ms
informacin acerca del failover de VPN, vea Configurar Failover de VPN en la
pgina 456
Puede incluir un mximo de nuevo conjuntos de transformaciones. Debe especificar el Modo Principal en
las configuraciones de Fase 1 para usar transformaciones mltiples.
5. En la lista desplegable Grupo de Claves, seleccione el grupo Diffie-Hellman que desea. El Fireware
XTM soporta grupos 1, 2 y 5.
Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de
intercambio de claves. Cuanto ms alto el nmero del grupo, ms fuerte la seguridad pero se
requiere ms tiempo para hacer las claves. Para ms informaciones, vea Acerca de los grupos Diffie-
Hellman en la pgina 429.
6. Se puede agregar hasta nueve conjuntos de transformaciones. Se puede seleccionar una
transformacin y hacer clic en Arriba o Abajo para cambiar su prioridad. El conjunto de
transformaciones en la parte superior de la lista es usado primero.
7. Haga clic en OK.
Ambos puntos en un intercambio de VPN deben usar el mismo grupo DH, que es negociado durante la Fase
1 del proceso de negociacin de IPSec. Cuando define un tnel BOVPN manual, se especifica el grupo
Diffie-Hellman como parte de la Fase 1 de la creacin de una conexin IPSec. Es ah donde los dos puntos
forman un canal seguro y autenticado que pueden usar para comunicar.
Adems de la Fase 2, tambin se puede especificar el grupo Diffie-Hellman en la Fase 2 de una conexin
IPSec. La configuracin de Fase 2 incluye las configuraciones para una asociacin de seguridad (SA), o cmo
los paquetes de datos son protegidos cuando pasan entre dos extremos. Se especifica el grupo Diffie-
Hellman en la Fase 2 slo cuando selecciona el Perfect Forward Secrecy (PFS).
PFS vuelve las claves ms seguras porque las nuevas claves no estn hechas de las claves anteriores. Si una
clave est comprometida, las claves de la nueva sesin an estarn seguras. Cuando especifica un PFS
durante la Fase 2, ocurre un intercambio Diffie-Hellman cada vez que una nueva SA es negociada.
El grupo DH que elige para Fase 2 no necesita coincidir con el grupo que elige para la Fase 1.
El grupo DH predeterminado tanto para Fase 1 como para Fase 2 es el grupo Diffie-Hellman 1. Ese grupo
ofrece seguridad bsica y buen desempeo. Si la velocidad para la inicializacin del tnel y la regeneracin
de clave no es una preocupacin, use el Grupo 2 o Grupo 5. La velocidad real inicializacin y de
regeneracin de clave dependen de diversos factores. Puede querer intentar el Grupo DH 2 o 5 y luego
decidir si el tiempo de desempeo ms lento es un problema para su red. Si el desempeo no es aceptable,
cambie por un grupo DH inferior.
Anlisis de desempeo
La siguiente tabla muestra el resultado de una aplicacin de software que genera 2000 valores Diffie-
Hellman. Esos nmeros son para un CPU Pentium 4 Intel 1.7GHz.
Para eliminar una puerta de enlace, seleccione la puerta de enlace y haga clic en Remover.
Para desactivar el inicio automtico para tneles que usan una puerta de enlace
Los dispositivos que no hacen NAT suelen tener algunas funciones bsicas de firewall. Para establecer un
tnel VPN hacia su Firebox cuando el Firebox est instalado detrs de un dispositivo que hace NAT, el
dispositivo NAT debe dejar que pase el trfico. Esos puertos y protocolos deben estar abiertos en el
dispositivo NAT:
Vea la documentacin de su dispositivo NAT para obtener informacin acerca de cmo abrir esos puertos y
protocolos en el dispositivo NAT.
Si la interfaz externa de su Firebox tiene una direccin IP privada, no puede usar una direccin IP como tipo
de ID local en las configuraciones de Fase 1.
n Si el dispositivo NAT al cual Firebox est conectado tiene una direccin IP pblica dinmica:
n Primero, defina el dispositivo en modo puente. Para ms informaciones, vea Modo
Servicio DNS dinmico en la pgina 88. En las configuraciones de Fase 1 del Manual VPN,
defina el tipo de ID local en Domain Name. Ingrese el domain name de DynDNS como el
ID local. El dispositivo remoto debe identificar su Firebox por domain name y debe usar
el domain name DynDNS asociado a su Firebox en su configuracin de Fase 1.
n Si el dispositivo NAT al cual Firebox est conectado tiene una direccin IP pblica esttica:
n En las configuraciones de Fase 1 de la Manual VPN, defina en la lista desplegable el tipo
n Definir un tnel
n Configuraciones de Fase 2 para la negociacin de Intercambio de Claves de Internet (IKE). Esa fase
define las asociaciones de seguridad para el cifrado de paquetes de datos.
Definir un tnel
1. En el Fireware XTMWeb UI, seleccione VPN> VPN para Sucursales.
Aparece la pgina VPN de Sucursal.
Ahora puede Agregar rutas para un tnel, Configuraciones de Fase 2o Activar enrutamiento de
multidifusin a travs de un tnel BOVPN.
Para eliminar un tnel de la pgina BOVPN, seleccione el tnel y haga clic en Remover.
2. En la seccin IP local, seleccione el tipo de direccin local en la lista desplegable Elegir tipo.
Despus, ingrese el valor en el cuadro de texto abajo. Puede ingresar una direccin IP de host,
direccin de red, un rango de direcciones IP de host o nombre DNS.
3. En la seccin IP remoto, seleccione el tipo de direccin remota en la lista desplegable Elegir tipo.
Despus, ingrese el valor en el cuadro de texto abajo. Puede ingresar una direccin IP de host,
direccin de red, un rango de direcciones IP de host o nombre DNS.
4. En la lista desplegable Direccin, seleccione la direccin del tnel. La direccin del tnel determina
cul extremo del tnel VPN puede iniciar una conexin VPN a travs del tnel.
5. Se puede usar la pestaa NAT para activar la 1-to-1 NAT y NAT dinmica para el tnel si los tipos de
direccin y el sentido del tnel seleccionado son compatibles. Para ms informaciones, vea
Configurar NAT dinmica saliente a travs de un tnel BOVPN y Usar 1-to-1 NAT a travs de un
tnel BOVPN en la pgina 440.
6. Haga clic en OK.
Configuraciones de Fase 2
Las configuraciones de Fase 2 incluyen los ajustes para una asociacin de seguridad (SA), que define cmo
los paquetes de datos son protegidos cuando pasan entre dos extremos. La SA mantiene toda la
informacin necesaria para que Firebox sepa qu debera hacer con el trfico entre los extremos. Los
parmetros en SA pueden incluir:
2. Seleccione la casilla PFS si desea activar el Perfect Forward Secrecy (PFS). Si activa el PFS, seleccione
el grupo Diffie-Hellman.
El Perfect Forward Secrecy ofrece ms proteccin a las claves creadas en una sesin. Las claves
hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior est
comprometida despus de una sesin, las claves de su nueva sesin quedan protegidas. Para ms
informaciones, vea Acerca de los grupos Diffie-Hellman en la pgina 429.
3. El Firebox contiene una propuesta predeterminada que aparece en la lista Propuestas de IPSec. Esa
propuesta especifica el mtodo de proteccin de datos de ESP, cifrado AES y autenticacin SHA1.
Puede:
n Hacer clic en Agregar para agregar una propuesta predeterminada.
n Agregar una propuesta adicional, tal como se explica en Agregar una Propuesta de Fase 2 en
la pgina 436.
Si planea usar la funcin de puerto de transferencia IPSec, debe usar una propuesta con ESP (Carga de
seguridad de encapsulacin) como mtodo de propuesta. El puerto de transferencia IPSec soporta ESP,
pero no AH. Para ms informacin acerca del puerto de transferencia IPSec, vea Acerca de las
configuraciones de VPN Global en la pgina 438.
Para agregar una nueva propuesta, haga clic en la pestaa Configuraciones de Fase 2 en el pgina Tnel .
1. En la pgina Tneles en la seccin Propuestas IPSec, seleccione la propuesta que desea aadir.
2. Haga clic en Agregar.
En el cuadro de texto Descripcin, ingrese una descripcin que identifique esa propuesta (opcional).
3. En la lista desplegable Tipo, seleccione ESP o AH, como mtodo de propuesta. Recomendamos que
use el ESP (Carga de seguridad de encapsulacin). Las diferencias entre ESP y AH (Encabezado de
autenticacin) son:
estn puestos en cero, el Firebox intenta usar la hora del caducidad de la clave definida para el
punto. Si sta tambin est desactivada o en cero, Firebox usa una hora predeterminada de
caducidad de clave de 8 horas.
El tiempo mximo antes de forzar la caducidad de clave es de un ao.
7. Haga clic en Guardar.
2. Seleccione un tnel y haga clic en Subir o Bajar para ir hacia arriba o abajo en la lista.
Cuando crea una propuesta de Fase 2 y planea usar la funcin de puerto de transferencia IPSec, debe
especificar el ESP (Carga de seguridad de encapsulacin) como mtodo de propuesta. El puerto de
transferencia IPSec soporta IPSec, pero no AH (Encabezado de autenticacin). Para informaciones acerca de
cmo crear una propuesta de Fase 2, vea Agregar una Propuesta de Fase 2 en la pgina 436.
Cuando activa el puerto de transferencia de IPSec, se agrega automticamente una poltica llamada
WatchGuard IPSec al Policy Manager. La poltica permite el trfico desde cualquier red de confianza u
opcional hacia cualquier destino. Cuando desactiva el puerto de transferencia de IPSec, la poltica
WatchGuard IPSec es automticamente eliminada.
Si no seleccionar la casilla de verificacin Activar TOS para IPSec, todos os paquetes IPSec no tienen los
sealadores TOS. Si los sealadores TOS fueron definidos anteriormente, ellos son removidos cuando
Fireware encapsula el paquete en un encabezado IPSec.
Cuando est seleccionada la casilla de verificacin Activar TOS para IPSec y el paquete original tiene
sealadores TOS y el Fireware los mantiene cuando encapsula el paquete en un encabezado IPSec. Si el
paquete original no tiene sealadores TOS definidos, Fireware no define el indicador TOS cuando encapsula
el paquete en un encabezado IPSec.
Analice la configuracin de esta casilla de verificacin si desea aplicar un marcado QoS al trfico de IPSec. El
marcado QoS puede cambiar la configuracin del sealador TOS. Para ms informaciones sobre el marcado
QoS, vea Acerca de las Marcado QoS en la pgina 327.
La 1-to-1 NAT asigna una o ms direcciones IP en un rango a un segundo rango de direccin IP del mismo
tamao. Cada direccin IP en el primer rango asigna a una direccin IP en el segundo rango. En este
documento, llamamos al primer rango de direcciones IP reales y al segundo rango direcciones IP
enmascaradas. Para ms informaciones acerca de 1-to-1 NAT, vea Acerca de las 1-to-1 NAT en la pgina 142.
n Cuando un equipo en su red enva trfico a un equipo en la red remota, el Firebox cambia la
direccin IP de origen del trfico para una direccin IP en el rango de IPs enmascaradas. La red
remota ve las direcciones IP enmascaras como el origen del trfico.
n Cuando un equipo en la red remota enva trfico a un equipo en su red a travs de VPN, la oficina
remota enva el trfico al rango de direccin de IP enmascarada. El Firebox cambia la direccin IP de
destino a la direccin correcta en el rango de direccin IP real y despus enva el trfico al destino
correcto.
La 1-to-1 NAT por una VPN slo afecta el trfico que pasa por esa VPN. Las reglas que ve en Fireware XTM
Web UIRed >NAT no afectan al trfico que pasa por una VPN.
Otras razones por las cuales usar una 1-to-1 NAT por una VPN
Adems de la situacin anterior, tambin podra usar una 1-to-1 NAT por una VPN si la red a la cual desea
establecer un tnel VPN ya tiene una VPN a una red que usa las mismas direcciones IP privadas usadas en
su red. Un dispositivo IPSec no puede enrutar trfico a dos redes remotas diferentes cuando dos redes usan
las mismas direcciones IP privadas. Se usa 1-to-1 NAT por VPN para que los equipos en su red parezcan
tener direcciones IP diferentes (enmascaradas). No obstante, al contrario de la situacin descrita al
principio de este tpico, necesita usar el NAT slo en su lado de la VPN y no en ambos extremos.
Una situacin similar se da cuando dos oficinas remotas usan las mismas direcciones IP privadas y ambas
desean hacer una VPN hacia su Firebox. En ese caso, una de las oficinas remotas debe usar NAT por la VPN
hacia su Firebox para solucionar el conflicto de direcciones IP.
El nmero de direccionesIP en el cuadro de texto debe ser exactamente el mismo que el nmero de
direccionesIP en el cuadro de texto Local en el topo del cuadro de dilogo. Por ejemplo, si usa la
notacin diagonal para indicar un subred, el valor despus de la barra diagonal debe ser igual en
ambos cuadros de texto. Para ms informaciones, vea Acerca de las Notacin diagonal en la pgina 3.
No es necesario definir nada en las configuraciones Red>NAT en el Fireware XTMWeb UI. Esas
configuraciones no afectan el trfico de VPN.
Ejemplo
Supongamos que dos empresas, Sitio A y Sitio B, desean hacer una VPN de Sucursal entre sus redes de
confianza. Ambas empresas usan un Firebox con Fireware XTM. Ambas empresas usan las mismas
direcciones IP para sus redes de confianza, 192.168.1.0/24. El Firebox de cada empresa usa una 1-to-1 NAT
a travs de la VPN. El Sitio A enva trfico al rango enmascarado del Sitio B y el trfico sale de la subred local
del Sitio A. Adems, el Sitio B enva trfico al rango enmascarado que el Sitio A utiliza. Esa solucin resuelve
el conflicto de direcciones IP en ambas redes. Las dos empresas aceptan que:
n El Sitio A hace que su red de confianza parezca venir del rango 192.168.100.0/24 cuando el trfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
n El Sitio B hace que su red de confianza parezca venir del rango 192.168.200.0/24 cuando el trfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
El primer paso es crear una puerta de enlace que identifique el dispositivo IPSec remoto. Cuando crea una
puerta de enlace, ella aparece en la lista de puertas de enlace en Fireware XTM Web UI. Para ver a lista de
puertas de enlace en el Fireware XTMWeb UI, seleccione VPN> VPN de Sucursal.
7. En la seccin IP local, seleccione IP de red en la lista desplegable Elegir tipo. En IP de red , ingrese
el rango de direcciones IP reales de los equipos locales que usan ese VPN. Este ejemplo usa
192.168.1.0/24.
8. En la seccin Remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto
IP de red ingrese el rango de direcciones IP privadas a las cuales los equipos locales envan trfico.
En este ejemplo, el Sitio B de oficina remota usa 1-to-1 NAT por su VPN. Eso hace que los equipos
del Sitio B parezcan venir del rango enmascarado del Sitio B, 192.168.200.0/24. Los equipos locales
en Sitio A envan trfico al rango de direccin IP enmascarado del Sitio B. Si la red remota no usa
NAT por su VPN, ingrese el rango de direcciones IP reales en el cuadro de texto Remoto.
9. Haga clic en la pestaa NAT. Seleccione la casilla de verificacin 1-to-1 NAT e ingrese el rango de
direcciones IP enmascaradas para esa oficina. Ese es el rango de direcciones IP que los equipos
protegidos por ese Firebox muestran como direccin IP de origen, cuando el trfico viene de ese
Firebox y va hacia el otro extremo de la VPN. La casilla de verificacin 1-to-1 NAT queda activada
despus que inserta una direccin IP de host vlida, una direccin IP de red vlida o un rango de
direcciones IP de host vlido en el cuadro de texto Local en la pestaa Direcciones.) El Sitio A usa
192.168.100.0/24 para su rango de direcciones IP enmascaradas.
10. Haga clic en OK. El Firebox agrega un nuevo tnel a las polticas BOVPN-Allow.out y BOVPN-Allow.in.
11. Guardar el archivo de configuracin.
Si necesita una 1-to-1 NAT en su extremo de la VPN solamente, puede parar aqu. El dispositivo en el otro
extremo de la VPN debe configurar su VPN para aceptar trfico desde su rango enmascarado.
4. Haga clic en la pestaa NAT. Seleccione la casilla de verificacin 1-to-1 NAT e ingrese el rango de
direcciones IP enmascaradas de ese sitio. Ese es el rango de direcciones IP que los equipos de ese
Firebox muestran como direccin IP de origen, cuando el trfico viene de ese Firebox y va al otro
extremo del VPN. El Sitio B usa 192.168.200.0/24 para su rango de direcciones IP enmascaradas.
5. Haga clic en OK. El Firebox agrega un nuevo tnel a las polticas BOVPN-Allow.out y BOVPN-Allow.in.
Cuando defina una ruta predeterminada a travs de un tnel BOVPN, se deben hacer tres cosas:
n Configurar una BOVPN en el Firebox remoto (cuyo trfico desea enviar a travs del tnel) para
enviar todo el trfico desde su propia direccin de red hacia 0.0.0.0/0.
n Configurar una BOVPN en el Firebox central para permitir que el trfico pase por l hacia el Firebox
remoto.
n Agregar una ruta en el Firebox central desde 0.0.0.0/0 hacia la direccin de red del Firebox remoto.
Antes de empezar los procedimientos en este tpico, ya se debe haber creado una Branch Office VPN
(BOVPN) manual entre los Fireboxes central y remoto. Para ms informacin acerca de cmo hacer eso,
vea Acerca de tneles BOVPN manuales en la pgina 418.
4. En IP local, en el cuadro de texto IP del host, ingrese la direccin de red de confianza del Firebox
remoto.
5. En IP remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de
host, ingrese 0.0.0.0/0 y haga clic en Aceptar.
6. Seleccione cualquier otro tnel hacia el Firebox central y haga clic en Remover.
7. Haga clic en Guardar para guardar el cambio de configuracin.
192.168.0.0/16 - Cualquiera-Externa
172.16.0.0/12 - Cualquiera-Externa
10.0.0.0/8 - Cualquiera-Externa
Cuando configura una ruta predeterminada a travs de un tnel Branch Office VPN (BOVPN) hacia otro
Firebox, debe agregar una entrada de NAT dinmica para la subred detrs del Firebox remoto si sus
direcciones IP no se encuentran dentro de uno de los tres rangos de red privada.
Advertencia
El enrutamiento de multidifusin a travs de un tnel BOVPN slo es soportado
entre dispositivos WatchGuard.
Cuando activa el enrutamiento de multidifusin a travs de un tnel BOVPN, el tnel enva el trfico de
multidifusin desde una nica direccin IP en un lado del tnel a una direccin IP de grupo de
multidifusin. Se configura la multidifusin en el tnel para enviar el trfico de multidifusin a esa direccin
IP de grupo de multidifusin a travs del tnel.
Debe configurar la multidifusin en cada Firebox de modo diferente. Debe configurar el tnel en un Firebox
para enviar el trfico de multidifusin a travs del tnel y hacer las configuraciones del tnel en el otro
Firebox para recibir el trfico de multidifusin. Puede configurar slo una direccin IP de origen por tnel.
10. En la seccin Direcciones auxiliares , ingrese las direcciones IP para cada extremo del tnel de
multidifusin. El Firebox usa esas direcciones como extremos de tnel GRE de
difusin/multidifusin dentro del tnelBOVPN de IPSec. Puede definir el IP local y el IP remoto en
cualquier direccin IP no utilizada. Recomendamos que use direcciones IP que no sean usadas en
ninguna red conocida por Firebox.
n En el campo IP local, ingrese una direccinIP para ser usada por el extremo local del tnel.
n En el campo IP remoto, ingrese una direccinIP para ser usada por el extremo remoto del tnel.
n En el campo IP local, ingrese la direccinIP que insert en el campo IP remoto para el Firebox
en el otro extremo del tnel.
n En el campo IP remoto, ingrese la direccinIP que insert en el campo IP Local para el Firebox
en el otro extremo del tnel.
Puede configurar su Firebox para que soporte enrutamiento de difusin limitado a travs de un tnel
Branch Office VPN (BOVPN). Cuando activa el enrutamiento de difusin, el tnel soporta la difusin para
direccionesIP de difusin limitada, 255.255.255.255. El trfico de difusin de subred no es enrutado por el
tnel. El enrutamiento de difusin soporta la difusin slo de una red a otra a travs de un tnel BOVPN.
Para un ejemplo que muestre cules difusiones pueden ser enrutadas a travs de un tnel BOVPN, vea
Ejemplo: Enrutamiento de difusin a travs de un tnel BOVPN.
Algunas aplicaciones de software requieren la posibilidad de hacer la difusin hacia otros dispositivos de
red para que funcionen. Si los dispositivos que necesitan comunicarse de esa forman estn en redes
conectadas por un tnel BOVPN, puede activar el enrutamiento de difusin a travs del tnel para que la
aplicacin pueda encontrar dispositivos en la red en el otro extremo del tnel.
4. Haga clic en la casilla de verificacin Activar enrutamiento de difusin por el tnel. Haga clic en OK.
Vuelva al cuadro de dilogo pgina Tnel. Aparecen Direcciones auxiliares en la parte inferior de la pestaa
Direcciones.
5. En la seccin Direcciones auxiliares, ingrese las direccionesIP para cada extremo del tnel de
difusin. El Firebox usa esas direcciones como extremos de tnel GRE de difusin/multidifusin
dentro del tnelBOVPN de IPSec. Puede definir el IP localy el IP remoto en cualquier direccin IP
no utilizada. Recomendamos que use direcciones IP que no sean usadas en ninguna red conocida
por Firebox.
n En el campo IP local, ingrese una direccinIP para ser usada por el extremo local del tnel.
n En el campo IP remoto, ingrese una direccinIP para ser usada por el extremo remoto del tnel.
n En el campo IP local, ingrese la direccinIP que insert en el campo IP remoto para el Firebox
en el otro extremo del tnel.
n En el campo IP remoto, ingrese la direccinIP que insert en el campo IP Local para el Firebox
en el otro extremo del tnel.
Cuando tiene una conmutacin por error de WAN mltiple configurada, los tneles VPN automticamente
hacen la conmutacin por error hacia una interfaz externa de resguardo, caso ocurra una falla. Puede
configurar tneles VPN para hacer conmutacin por error a un extremo de resguardo si el extremo
principal queda no disponible.
n Un enlace fsico est inactivo. El Firebox monitorea el estado de la puerta de enlace de la VPN y los
dispositivos identificados en la configuracin del monitor de enlace de WAN mltiple. Si en enlace
fsico est inactivo, ocurre un failover de VPN.
n El Firebox detecta el par de VPN que no est activo.
Cuando ocurre una conmutacin por error, si el tnel usa el IKEkeep-alive, ste contina a enviar los
paquetes activos de Fase 1 al punto. Cuando obtiene una respuesta, IKE desencadena la failback hacia la
puerta de enlace de la VPN principal. Si el tnel usa Dead Peer Detection, la failback ocurre cuando se
recibe una respuesta de una puerta de enlace de la VPN principal.
Cuando ocurre un evento de conmutacin por error, gran parte de las conexiones nuevas y existentes
hacen la conmutacin por error automticamente. Por ejemplo, si inicia un comando "PUT" de FTP y la ruta
de la VPN principal queda inactiva, la conexin de FTP continua en la ruta de la VPN de resguardo. No se ha
perdido la conexin, pero hay demora. Observe que slo puede ocurrir un failover de VPN si:
n Los dispositivos Firebox en cada extremo del tnel tienen el Fireware v11.0 o posterior instalado.
n La conmutacin por error de WAN mltiples est configurada, tal como se describe en Acerca de
usar mltiples interfaces externas en la pgina 119.
n Las interfaces de su Firebox figuran como pares de puerta de enlace en el Firebox remoto. Si ya
configur la conmutacin por error de WAN mltiples, sus tneles VPN automticamente harn la
conmutacin por error hacia la interfaz de resguardo.
n Si la puerta de enlace est activada en las configuraciones de Fase 1 para la puerta de enlace de
sucursal en cada extremo del tnel.
El failover de VPN no ocurre para los tneles BOVPN con NAT dinmica habilitada como parte de su
configuracin de tnel. Para los tneles BOVPN que no usan NAT, el failover de VPN ocurre y la sesin de
BOVPN continua. Con los tneles de Mobile VPN, la sesin no contina. Debe autenticar su cliente de
Mobile VPN nuevamente para hacer un nuevo tnel de Mobile VPN.
externas en cada lado del tnel. Por ejemplo, suponga que su extremo local principal sea 23.23.1.1/24 con
un resguardo en 23.23.2.2/24. Su extremo remoto principal es el 50.50.1.1/24 con un resguardo en
50.50.2.1/24. Para un failover completo de VPN, necesitara definir esos cuatro pares de puertas de enlace:
23.23.1.1 - 50.50.1.1
23.23.1.1 - 50.50.2.1
23.23.2.1 - 50.50.1.1
23.23.2.1 - 50.50.2.1
1. Seleccione VPN >VPN para sucursales . Haga clic en Agregar al lado de la listaPuertas de enlace
para agregar una nueva puerta de enlace. Asigne un nombre a la puerta de enlace y defina el
mtodo de credenciales, tal como se describe en Definir puertas de enlace en la pgina 421.
2. En la seccin Extremos de la Puerta de enlace la pgina de configuraciones Puerta de enlace., haga
clic en Agregar.
El Aparece el cuadro de dilogo "Configuraciones de extremos de puerta de enlace".
3. Especifique la ubicacin de las puertas de enlace local y remota. Seleccione el nombre de la interfaz
externa que coincida con la direccin IP o domain name de puerta de enlace local que agregue.
Se puede agregar tanto una direccin IP como un ID de puerta de enlace para la puerta de enlace
remota. Eso puede ser necesario si la puerta de enlace remota est detrs de un dispositivo NAT y
requiera ms informacin para autenticarse en la red detrs del dispositivo NAT.
4. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuraciones de extremos de la nueva
puerta de enlace.
El Aparece el cuadro de dilogo "Puerta de enlace". Aparece el par de la puerta de enlace definido en la lista
de extremos de la puerta de enlace.
5. Repita ese procedimiento para definir pares adicionales de puertas de enlace. Se puede agregar
hasta nueve pares de puertas de enlace. Puede seleccionar un par y hacer clic en Subir o Bajar para
cambiar el orden en el cual Firebox intenta establecer conexiones.
6. Haga clic en Guardar.
Preguntas relacionadas
Por qu necesito una direccin externa esttica?
Para establecer una conexin de VPN, cada dispositivo debe conocer la direccin IP del otro dispositivo. Si
la direccin para un dispositivo es dinmica, la direccin IP puede cambiar. Si la direccin IP cambia, no se
pueden establecer las conexiones entre los dispositivos excepto si los dos dispositivos saben como
encontrarse mutuamente.
Puede usar un DNS Dinmico si no puede obtener una direccin IP externa. Para ms informaciones, vea
Pgina Acerca de Servicio DNS dinmico en la pgina 88.
Por ejemplo, en el Sitio A, enve un ping a la direccin IP del Sitio B. Si no recibe una respuesta,
asegrese de que estn correctas las configuraciones de la red externa del Sitio B. El Sitio B debe ser
configurado para responder a las solicitudes de ping en aquella interfaz. Si las configuraciones est
correctas, asegrese que los equipos en el Sitio B tengan conexin a Internet. Si los equipos en el
Sitio B no logran conectarse, hable con su administrador de red o ISP.
2. Si puede enviar un ping a la direccin externa de cada Firebox, intente enviar un ping a la direccin
local en la red remota.
Desde un equipo en el Sitio A, enve un ping a la direccin IP de la interfaz interna del Firebox
remoto. Si el tnel VPN est activo, el Firebox remoto retorna el ping. Si no recibe una respuesta,
asegrese de que la configuracin local est correcta. Cercirese de que los rangos de direccin de
DHCP local para las dos redes conectadas por el tnel VPN no usan direcciones IP similares. Las dos
redes conectadas por el tnel no deben usar las mismas direcciones IP.
Gran parte de los tneles BOVPN permanecen disponibles para el pasaje de trfico en todos los momentos.
Los problemas suelen estar asociados a una o ms de estas tres condiciones:
n Una o ambas extremidades poseen conexiones externas no confiables. Alta latencia, alta
fragmentacin de paquetes y alta prdida de paquetes pueden convertir una conexin en no
confiable. Esos factores tienen un impacto ms fuerte en el trfico de BOVPN que en otro trfico
comn, como HTTPy SMTP. Con el trfico de BOVPN, los paquetes cifrados deben llegar a la
extremidad de destino, ser decodificados y luego rearmados antes que el trfico no cifrado sea
enrutado a la direccin IP de destino.
n Un extremo no es un dispositivo WatchGuard o es uno ms antiguo con un software de sistema
anterior. Las pruebas de compatibilidad entre los productos WatchGuard y dispositivos ms antiguos
se hacen con el software ms reciente disponible para dispositivos ms antiguos. Con el software
ms antiguo puede haber problemas que ya hayan sido arreglados en la versin ms reciente del
software.
Como estn basados en el estndar IPSec, los dispositivos WatchGuard son compatibles con la
mayora de los extremos de terceros. No obstante, algunos dispositivos de extremos de terceros no
son compatibles con IPSec debido a problemas de software o configuraciones con derechos de
autor.
n Si hay un volumen bajo de trfico a travs del tnel o si hay largos perodos de tiempo sin que pase
trfico por el tnel, algunos extremos terminan la conexin de la VPN. Los dispositivos WatchGuard
que ejecutan los dispositivos Fireware y WatchGuard Edge no hacen eso. Algunos dispositivos de
terceros y dispositivos WatchGuard con versiones ms antiguas del softwareWFS usan esa condicin
como forma de cerrar los tneles que parecen estar muertos.
Tanto las configuraciones de IKE keep-alive como Dead Peer Detection pueden mostrar cuando un
tnel est desconectado. Cuando encuentran un tnel desconectado, inician una nueva negociacin de
Fase 1. Si selecciona tanto IKE keep-alive como Dead Peer Detection, la renegociacin de Fase 1 que se
inicia puede hacer que el otro identifique el tnel como desconectado e inicie una segunda
negociacin de Fase 1. Cada negociacin de Fase 1 detiene todo el trfico del tnel hasta que ste haya
sido negociado. Para mejorar la estabilidad del tnel, seleccione o IKEkeep-alive o Dead Peer
Detection. No seleccione ambas.
La configuracin de IKE keep-alive es usada solamente por los dispositivos WatchGuard. No usar si
el extremo remoto es un dispositivo IPSec de terceros.
Cuando habilita IKE keep-alive, Firebox enva un mensaje a un dispositivo de puerta de enlace
remota en un intervalo regular y espera una respuesta. El intervalo de mensaje determina con
qu frecuencia se enva un mensaje. Fallas mx. indica cuntas veces el dispositivo de puerta
de enlace remota puede presentar fallas al responder antes que Firebox intente renegociar la
conexin de Fase 1.
La Dead Peer Detection es un estndar usado por la mayora de los dispositivos IPSec. Seleccione la
Dead Peer Detection si ambos dispositivos extremos la soportan.
Al activar la Dead Peer Detection, Firebox monitorea el trfico de tnel para identificar si un
tnel est activo. Si no se activ el trfico desde el punto remoto para el perodo de tiempo
insertado en tiempo de espera inactivo de trfico, y un paquete est esperando para ser
enviado al punto, el Firebox enva una consulta. Si no hay respuestas despus del nmero de
Mx. reintentos, Firebox renegocia la conexin de Fase 1. Para ms informaciones acerca de la
Dead Peer Detection, vea http://www.ietf.org/rfc/rfc3706.txt.
Las configuraciones de IKEkeep-alive y Dead Peer Detection forman parte de las configuraciones de
Fase 1.
Configuraciones generales
Configuraciones generales
NATTraversal S
Grupo Diffie-Hellman 2
Tipo ESP
Si no hay trfico a travs del tnel por un perodo de tiempo, un extremo puede decidir que el otro no
est disponible y no intenta renegociar el tnel VPN inmediatamente. Una forma de asegurar que el
trfico no deje de pasar por el tnel es configurar el Firebox para que enve registro de trfico a travs
del tnel. No necesita que un Log Server reciba y mantenga los registros de trfico. En ese caso, se
configura intencionadamente el Firebox para enviar el trfico de registro a un Log Server que no
existe. Eso crea un pequeo pero consistente volumen de trfico enviado a travs del tnel, lo que
puede ayudar a mantenerlo ms estable.
Hay dos tipos de datos de registro: registro WatchGuard y registro syslog. Si el Firebox est configurado
para enviar datos de registro tanto al WatchGuard Log Server como al servidor de syslog, no se puede
usar ese mtodo para enviar el trfico por el tnel.
Debe elegir una direccinIP del Log Server a la cual enviar los datos de registro. Para elegir la
direccinIP, use estas directrices.
n La direccin IP delLog Server utilizada debe ser una direccinIP que est incluida en las
configuraciones de ruta de tnel. Para ms informaciones, vea Agregar rutas para un tnel en
la pgina 434.
n La direccinIP del Log Server no debera ser una direccinIP usada por un dispositivo real.
Registro de WatchGuard
No se enva ningn dato de registro hasta que Firebox se haya conectado al Log Server. Los
nicos tipos de trfico enviados a travs del tnel son intentos de conectase al Log Server,
enviados a cada tres minutos. Eso puede ser un volumen de trfico suficiente para ayudar en la
estabilidad del tnel con un mnimo impacto en otro trfico de BOVPN.
Registro de syslog
Los datos de registro son enviados inmediatamente a la direccinIP del servidor de syslog. El
volumen de datos de registro depende del trfico que Firebox maneja. El registro de syslog
suele generar bastante trfico para que siempre estn pasando paquetes por el tnel. El
volumen de trfico puede a veces hacer que el trfico normal de BOVPN quede ms lento,
pero eso no es comn.
Para mejorar la estabilidad y tener menor impacto sobre el trfico de BOVPN, intente primero la
opcin de Registro de WatchGuard. Si eso no mejora la estabilidad del tnel BOVPN, intente el registro
de syslog. Los procedimientos siguientes suponen que ambos dispositivos extremos son dispositivos
Firebox de WatchGuard y que ningn extremo est configurado para enviar datos de registro ni al
WatchGuard Log Server ni a un servidor de syslog. Si el extremo ya est configurado para enviar datos
de registro que son recogidos por un servidor, no cambie esas configuraciones de registro.
n Configurar un extremo para enviar trfico de registro WatchGuard a travs del tnel.
n Configurar el otro extremo para enviar trfico de registro de WatchGuard a travs del tnel.
n Configurar ambos extremos para enviar trfico de registro de WatchGuard a travs del tnel.
n Configurar un extremo para enviar trfico de registro de syslog a travs del tnel.
n Configurar slo el otro extremo para enviar trfico de registro de syslog a travs del tnel.
n Configurar ambos extremos para enviar trfico de registro de syslog a travs del tnel.
n Las direcciones IP para que el cliente remoto use para las sesiones de Mobile VPN con PPTP.
Paratneles de Mobile VPN con PPTP,el dispositivoWatchGuard ofrece a cadausuario remotouna
direccinIP virtual.Estas direccionesIP nopueden ser direcciones que utilice lared detrsdel
dispositivoWatchGuard. Elprocedimiento msseguro paraasignar direccionesa usuariosde Mobile
VPN es instalar una secondarynetwork "marcadorade posicin".Luego, seleccione una direccinIP de
ese rango de red. Por ejemplo, cree una nuevasubnet comosecondary networken sured de confianza
10.10.0.0/24.Seleccione lasdirecciones IPen estasubnet parasu rangode direccionesPPTP.
n Las direcciones IP de los servidores DNS y WINS que determinan los nombres de host para las
direcciones IP.
n Los nombres de usuario y contraseas de los usuarios autorizados a conectarse al dispositivo
WatchGuard con Mobile VPN with PPTP.
Niveles de cifrado
Para Mobile VPN with PPTP, se puede seleccionar un cifrado de 128bits o un cifrado de 40bits. Las
versiones de software de Windows XP en los Estados Unidos tienen activado un cifrado de 128bits. Puede
obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows. Firebox
siempre intenta utilizar cifrado de 128bits en primer lugar. Puede configurarse para usar cifrado de 40bits
si el cliente no puede usar una conexin cifrada de 128bits.
Para obtener ms informacin sobre cmo admitir el cifrado de 40 bits consulte Configurar Mobile VPN
with PPTP en la pgina 466.
Si no reside en los Estados Unidos y desea tener cifrado de alta seguridad activado en su cuenta
LiveSecurity Service, enve un mensaje de correo electrnico a supportid@watchguard.com e incluya toda
la informacin que se indica a continuacin:
Si reside en los Estados Unidos y an no utiliza WatchGuard System Manager (WSM) con cifrado de alta
seguridad, debe descargar el software de cifrado de alta seguridad de la pgina de Descargas de software
en el sitio web de LiveSecurity Service.
Antes de instalar el software de WatchGuard System Manager con cifrado de alta seguridad, debe
desinstalar de su computadora cualquier otra versin de WatchGuard System Manager.
Autenticacin
Los usuarios de Mobile VPN con PPTP pueden autenticarse en la base de datos interna de Firebox o usar
autenticacin extendida en un servidor RADIUS o VACMAN Middleware Server como alternativa a Firebox.
Las instrucciones para usar un VACMAN Middleware Server son idnticas a las instrucciones para usar un
servidor RADIUS.
Para usar la base de datos interna de Firebox, no seleccione la casilla de verificacin Usar autenticacin
RADIUS para usuarios de PPTP.
Nota Para establecer la conexin de PPTP, el usuario debe ser miembro de un grupo
denominado PPTP-Users (usuarios de PPTP). Cuando el usuario ya est
autenticado, Firebox mantiene una lista de todos los grupos del que el usuario es
miembro. Use cualquiera de los grupos en una poltica para controlar el trfico
para el usuario.
Configuraciones de cifrado
Las versiones nacionales estadounidenses de Windows XP tienen activado un cifrado de 128bits. Puede
obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows.
n Si desea solicitar el cifrado de 128bits para todos los tneles PPTP, seleccione Solicitar cifrado de
128bits.
Recomendamos utilizar cifrado de 128bits para VPN.
n Para permitir que los tneles bajen el cifrado de 128bits a 40bits para conexiones menos
confiables, seleccione Permitir bajar cifrado de 128bits a 40bits.
Firebox siempre intenta utilizar cifrado de 128bits en primer lugar. Se utiliza el cifrado de 40bits si
el cliente no puede usar la conexin cifrada de 128bits. En general, slo los clientes fuera de los
Estados Unidos seleccionan esta casilla de verificacin.
n Para permitir trfico que no est cifrado a travs de la VPN, seleccione No requiere cifrado.
1. En la seccin Conjunto de direcciones IP, en la lista desplegable Elegir tipo, seleccioneIP de host
(para una sola direccin IP) o Rango de host (para un rango de direcciones IP).
rango es Hasta.
3. Haga clic en Agregar para agregar la direccin IP de host o el rango de host al conjunto de
direcciones IP.
Se pueden configurar hasta 50direcciones IP.
Si selecciona IP de host, debe agregar por lo menos dos direcciones IP.
Si selecciona Rango de host y agrega un rango de direcciones IP superior a 50direcciones, Mobile
VPN with PPTP utiliza las primeras 50direcciones del rango.
4. Repita los pasos 1al 3 para configurar todas las direcciones para usar con Mobile VPN with PPTP.
Puede definir dos configuraciones de tiempo de espera para tneles PPTP si usa autenticacin RADIUS:
El perodo de tiempo mximo que un usuario puede enviar trfico a una red externa. Si configura
este campo en cero (0) segundos, minutos, horas o das, no se usa tiempo de espera de sesin y el
usuario puede permanecer conectado durante el tiempo que desee.
El tiempo mximo que el usuario puede permanecer autenticado cuando est inactivo (sin trfico
hacia la interfaz de red externa). Si configura este campo en cero (0) segundos, minutos, horas o
das, no se usa tiempo de espera inactivo y el usuario puede permanecer inactivo durante el tiempo
que desee.
Si no usa RADIUS para autenticacin, el tnel PPTP usa la configuracin de tiempo de espera especificada
por usted para cada usuario de Firebox. Para obtener ms informacin acerca de la configuracin de
usuario de Firebox, consulte Definir un nuevo usuario para autenticacin en Firebox en la pgina 225.
Otras configuraciones
Los tamaos de la Unidad mxima de transmisin (MTU) o Unidad mxima de recepcin (MRU) se envan al
cliente como parte de los parmetros de PPTP para usar durante la sesin de PPTP. No modifique los valores
de MTUo MRU a menos que est seguro de que la modificacin soluciona un problema en la configuracin.
Los valores de MTUo MRU incorrectos ocasionan la falla del trfico a travs de la VPN with PPTP.
Para ms informacin acerca de grupos Firebox, vea Configure su Firebox como servidor de autenticacin
en la pgina 223.
4. Ingrese un Nombre y una Frase de contrasea para el nuevo usuario. Ingrese la frase de contrasea
nuevamente para confirmarla.
No se requiere una descripcin. Recomendamos no cambiar los valores predeterminados para el tiempo de
espera de sesin y el tiempo de espera inactivo.
5. En la lista Disponible, seleccione Usuarios de PPTP y haga clic .
Usuarios de PPTP aparece en la lista de Miembros.
6. Haga clic en OK.
7. Haga clic en Guardar.
Configurarpolticasparapermitirel trficodeMobileVPNcon
PPTP
Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a travs de un Firebox en forma
predeterminada. Para permitir a usuarios remotos el acceso a recursos de red especficos, se deben
agregar nombres de usuarios o el grupo de usuarios de PPTP, como orgenes y destinos en las definiciones
de poltica individual.
Para ms informaciones, vea Use los usuarios y grupos autorizados en polticas en la pgina 248.
Para usar WebBlocker para controlar el acceso de usuarios remotos, agregue usuarios de PPTP o el grupo
de usuarios de PPTP a una poltica de proxy que controle a WebBlocker.
Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el trfico
desde el usuario de PPTP no se considera de confianza. De manera
predeterminada, todo trfico de Mobile VPN con PPTP no es de confianza.
Independientemente de las direcciones IP asignadas, se deben crear polticas para
permitir a los usuarios de PPTP obtener acceso a los recursos de red.
Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el trfico
desde el usuario de PPTP no se considera de confianza. De manera
predeterminada, todo trfico de Mobile VPN con PPTP no es de confianza.
Independientemente de la direccin IP asignada, se deben crear polticas para
permitir a los usuarios de PPTP obtener acceso a los recursos de red.
13. En la lista Miembros seleccionados, seleccione Cualquiera de confianza y haga clic en OK.
14. Haga clic en Guardar.
Para ms informaciones acerca de polticas, vea Agregar polticas en la configuracin en la pgina 254.
Para obtener ms informacin sobre cmo utilizar usuarios y grupos en polticas, consulte Use los usuarios y
grupos autorizados en polticas en la pgina 248.
Nota Si usa los comandos "route print" o "ipconfig" despus de iniciar un tnel Mobile
VPN en una computadora que tiene instalado Microsoft Windows, ver
informacin incorrecta de la puerta de enlace predeterminada. La informacin
correcta se encuentra en la pestaa Detalles del cuadro de dilogo Estado de la
conexin privada virtual.
n Asegrese de que las direcciones IP que ha agregado al conjunto de direcciones PPTP estn
incluidas en la configuracin de NAT dinmica en el dispositivo WatchGuard.
Desde el Administrador de la poltica, seleccione Red > NAT.
n Modifique la configuracin de la poltica para permitir conexiones desde el grupo de usuarios de
PPTP a travs de la interfaz externa.
Por ejemplo, si usa WebBlocker para controlar el acceso web, agregue el grupo de usuarios de PPTP
a la poltica de proxy que est configurada con WebBlocker activado.
1. Para Windows Vista, XP o 2000, ingrese en Panel de control> Conexiones de red y haga clic con el
botn derecho en la conexin VPN.
2. Seleccione Propiedades.
Aparece el cuadro de dilogo de propiedades de VPN.
3. Seleccione la pestaa Red .
4. Seleccione Protocolo de Internet (TCP/IP) en el men y haga clic en Propiedades.
Aparece el cuadro de dilogo "Protocolo de internet (TCP/IP)".
5. En la pestaa General , haga clic en Avanzada.
Aparece el cuadro de dilogo Configuracin avanzada de TCP/IP.
6. Windows XP y Windows 2000: en la pestaa General (XP y Windows 2000), desmarque la casilla de
verificacin Usar puerta de enlace predeterminada en red remota.
Windows Vista: en la pestaa Configuracin (XP y Windows 2000), desmarque la casilla de
verificacin Usar puerta de enlace predeterminada en red remota.
n Instalar la versin necesaria del Acceso telefnico a redes de Microsoft y los paquetes de servicio
necesarios.
n Preparar el sistema operativo para conexiones de VPN.
n Instalar un adaptador de VPN (no es necesario en todos los sistemas operativos).
Para Mobile VPN with PPTP, deben tenerse instaladas las siguientes actualizaciones:
Para instalar estas actualizaciones o paquetes de servicio, ingrese al sitio web del Centro de descargas de
Microsoft en:
http://www.microsoft.com/downloads/
Los pasos para configurar y establecer una conexin PPTP son diferentes para cada versin de Microsoft
Windows.
Para establecer una conexin PPTP en Windows Vista, consulte: Crear y conectar una Mobile VPN with
PPTP para Windows Vista en la pgina 478
Para establecer una conexin PPTP en Windows XP, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows XP en la pgina 479
Para establecer una conexin PPTP en Windows 2000, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows 2000 en la pgina 480
Crear y conectar una Mobile VPN with PPTP para Windows Vista
Crear una conexin PPTP
Para preparar una computadora cliente con Windows Vista, debe configurar la conexin PPTP en la
configuracin de red.
1. Haga clic en Inicio > Configuracin > Conexiones de red > [nombre de la conexin]
El botn de Inicio de Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Ingrese el nombre de usuario y la contrasea para la conexin y haga clic en Conectar.
3. La primera vez que se conecta, debe seleccionar una ubicacin de red. Seleccione Ubicacin
pblica.
O
n Para una conexin por mdem, seleccione Marcar automticamente esta conexin inicial y
Cree y conecte una Mobile VPN with PPTP para Windows 2000
Parapreparar unhost remotocon Windows2000, debe configurar laconexin PPTPen laconfiguracin de red.
1. Desde el men Inicio de Windows, seleccione Configuracin> Conexiones de red> Crear una
conexin nueva.
Aparece el asistente de conexin nueva.
2. Haga clic en Siguiente.
3. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.
4. Haga clic en Conexin de red privada virtual.
5. Ingrese un nombre para la conexin nueva (como "Conectarse con Mobile VPN") y haga clic en
Siguiente.
6. Seleccione no marcar (para conexin de banda ancha) o marcar esta conexin en forma automtica
(para conexin con mdem) y haga clic en Siguiente.
7. Ingrese el nombre de host o la direccin IP de la interfaz externa de Firebox y haga clic en Siguiente.
8. Seleccione Agregar acceso directo a esta conexin en mi escritorio y haga clic en Finalizar.
Para agregar una poltica, consulte Agregar polticas en la configuracin en la pgina 254.
Esos tpicos incluyen instrucciones para ayudar a configurar un tnel Mobile VPN entre el cliente de
Mobile VPN con IPSec y un dispositivo WatchGuard con Fireware XTM instalado.
En el Fireware XTMWeb UI, seleccione , seleccione >VPN Mobile VPN con IPSec.
El usuario debe ser un miembro de un grupo de Mobile VPN para poder establecer una conexin de
Mobile VPN con IPSec. Cuando agrega un grupo de Mobile VPN, se agrega una poltica Cualquiera a las
Polticas de Mobile VPN> de Firewall que permite que el trfico pase hacia y desde el usuario autenticado
de Mobile VPN.
Haga clic en el botn Generar para crear un perfil de usuario final (archivo .wgx) que puede guardar.
El usuario debe tener ese archivo .wgx para configurar el equipo cliente de Mobile VPN. Si usa un
certificado para autenticacin, tambin se generan los archivos .p12 y cacert.pem. Esos archivos pueden
ser encontrados en la misma ubicacin que el perfil de usuario final de .wgx.
Para restringir el acceso del cliente Mobile VPN, elimine la poltica Cualquiera y aada polticas a Firewall
>Polticas de Mobile VPN que permitan el acceso a recursos.
Cuando el dispositivo WatchGuard est configurado, el equipo cliente debe ser configurado con el software
cliente Mobile VPN con IPSec. Para ms informacin acerca de cmo instalar el software cliente Mobile
VPN con IPSec, vea Instalar el software cliente de Mobile VPN con IPSec en la pgina 512.
Cuando el equipo del usuario est correctamente configurado, el usuario hace la configuracin de Mobile
VPN. Si las credenciales usadas para la autenticacin coinciden con una entrada en la base de datos de
usuarios del dispositivo WatchGuard, y si el usuario est en el grupo Mobile VPN creado, la sesin Mobile
VPN es autenticada.
Puede instalar el Mobile VPN con software cliente IPSec en cualquier computadora con Windows
2000 Professional, Windows XP (32bits y 64bits) o Windows Vista (32bits y 64-bits). Antes de
instalar el software cliente, asegrese de que el equipo remoto no tenga un software cliente Mobile
User VPN de IPSec instalado. Tambin debe desinstalar cualquier software de firewall de escritorio
(que no sea el software de firewall de Microsoft) de cada equipo remoto. Para ms informaciones,
vea Requisitos del cliente en la pgina 512.
Nota Slo necesita usar WatchGuard System Manager si desea distribuir el perfil de
usuario final como archivo cifrado (.wgx). Se recomienda esta accin. Puede usar
la Fireware XTMWeb UI para configurar el Mobile VPN with IPSec y generar el
perfil de usuario final sin cifrar (.ini). Para obtener ms informacin sobre los dos
tipos de archivos de configuracin de perfil de usuario final, consulte Acerca de
archivos de configuracin de cliente MobileVPN en la pgina 483.
Para ms informacin acerca de NAT dinmica, vea Agregar firewall a entradas de NAT dinmicas en la
pgina 138.
El archivo .wgx est cifrado con una frase de contrasea con ocho caracteres de extensin o ms. Tanto el
administrador como el usuario remoto deben conocer esa frase de contrasea. Cuando usa el software
cliente de Mobile VPN con IPSec para importar el archivo .wgx, la frase de contrasea es usada para
descifrar el archivo y configurar el cliente. El archivo .wgx no configura la Administracin de Lnea.
El archivo de configuracin .ini no est cifrado. Slo debe ser usado si la configuracin de Administracin
de Lnea fue alterada para algo diferente de Manual. Para ms informacin, vea Administracin de Lnea
en la pestaa Avanzado en Modificar un perfil de grupo existente de Mobile VPN con IPSec en la pgina 493.
Puede crear o recrear el archivo .wgx e .ini en cualquier momento. Para ms informaciones, vea Archivos
de configuracin de Mobile VPN con IPSec en la pgina 507.
Si desea bloquear los perfiles para usuarios mviles, puede convertirlos en solo lectura. Para ms
informaciones, vea Bloquear un perfil del usuario final en la pgina 506.
Servidor de autenticacin
Seleccione el autenticacin que usar para ese grupo de Mobile VPN. Puede autenticar usuarios
con la base de datos interna de Firebox (Firebox-DB) o con un servidor RADIUS, VASCO,
SecurID, LDAP o Active Directory Server. Asegrese de que el mtodo de autenticacin elegido
est activado.
frases de contrasea
Ingrese una frase de contrasea para cifrar el perfil de Mobile VPN (archivo .wgx) que
dinstribuye en ese grupo. La clave compartida puede contener slo caracteres ASCII
estndares. Si usa un certificado para autenticacin, ese es el PIN para el certificado.
Confirmar
Direccin IP externa
Ingrese la direccin IP externa principal a la cual los usuarios de Mobile VPN en ese grupo
pueden conectarse.
Direccin IP de resguardo
Ingrese la direccin IP externa de resguardo a la cual los usuarios de Mobile VPN en ese grupo
pueden conectarse. Esa direccin IP de resguardo es opcional. Si aade una direccin IP de
resguardo, asegrese de que sea una direccin IP asignada a una interfaz externa de Firebox.
Seleccione el tiempo mximo en minutos por el cual una sesin de Mobile VPN puede estar
activa.
Seleccione el tiempo en minutos antes que el Firebox cierre una sesin ociosa de Mobile VPN.
Los valores de tiempo de espera inactivo y sesin son valores predeterminados de tiempo de
espera si el servidor de autenticacin no tiene sus propios valores de tiempo de espera. Si usa
el Firebox como servidor de autenticacin, los tiempos de espera para el grupo de Mobile VPN
son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario
de Firebox.
La sesin y los tiempos de espera inactivos no pueden ser ms extensos que el valor en el
campo de Duracin de SA.
Para definir ese valor, en el cuadro de dilogo Configuracin de Mobile VPN con IPSec, haga
clic en la pestaa Tnel IPSec y haga clic en Avanzado para Configuracin de Fase 1. El valor
predeterminado es de 8 horas.
6. Configure:
Utilice la frase de contrasea del perfil del usuario final como clave precompartida
Seleccione esa opcin para usar la frase de contrasea del perfil del usuario final como la clave
precompartida para la autenticacin de tnel. Debe usar la misma clave compartida en el
dispositivo remoto. Esa clave compartida puede contener slo caracteres ASCII estndares.
Usar un certificado
Direccin IP de CA
Si usa un certificado, ingrese la direccin IP del Management Server que fue configurado como
autoridad de certificacin.
Tiempo de espera
Si usa un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile VPN
with IPSec deja de intentar conectarse si no hay respuesta de la autoridad de certificacin.
Recomendamos que se mantenga el valor predeterminado.
Configuraciones de Fase 1
Seleccione los mtodos de autenticacin y cifrado para los tneles VPN. Esa configuracin debe
ser la misma para ambos extremos de VPN. Para realizar configuraciones avanzadas, tal como
NAT Traversal o grupo de clave, haga clic en Avanzado y vea Definir configuraciones avanzadas
de Fase 1 en la pgina 501.
Las opciones de Cifrado estn en la lista en orden del ms simple y menos seguro al ms
complejo y ms seguro:
DES
3DES
Configuraciones de Fase 2
Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-
Hellman.
Para cambiar otra configuracin de propuestas, haga clic en Avanzado y vea Definir
configuraciones avanzadas Configuraciones de Fase 2 en la pgina 503.
8. Configure:
Para enviar todo el trfico de Internet de usuario de Mobile VPN a travs del tnel VPN,
seleccione esa casilla de verificacin.
Si seleccione esa casilla, el trfico de Internet del usuario de Mobile VPN es enviado a travs de
la VPN. Eso es ms seguro, pero disminuye el desempeo de la red.
Si no seleccione esa casilla, el trfico de Internet del usuario de Mobile VPN es enviado
directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet
ms rpidamente.
Esa lista incluye los recursos a los cuales los usuarios en el grupo de autenticacin de Mobile
VPN puede acceder en la red.
Para agregar una direccin IP o una direccin IP de red a la lista de recursos de red, seleccione
IP del host o IP de red, ingrese la direccin y haga clic en Agregar.
Esa lista incluye las direcciones IP internas que son usadas por los usuarios de Mobile VPN por
el tnel. Esas direcciones no pueden ser usadas por ningn dispositivo de red ni por otro grupo
de Mobile VPN.
Para agregar una direccin IP o una direccin IP de red al conjunto de direcciones IP virtuales,
seleccione IP de host o IP de red, ingrese la direccin y haga clic en Agregar.
Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una direccinIP de
red y haga clic en Remover.
Modo de conexin
Manual En ese modo, el cliente no intenta reiniciar el tnel VPN automticamente caso est
desactivado. Esa es la configuracin predeterminada.
Para reiniciar el tnel VPN, debe hacer clic en el botn Conectar en el Monitor de Conexin, o
hacer clic con el botn derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.
Automtico En ese modo, el cliente intenta iniciar la conexin cuando su equipo enva
trfico a un destino que puede alcanzar a travs de la VPN. El cliente tambin intenta reiniciar
el tnel VPN automticamente caso est quede sin disponibilidad.
Variable En ese modo, el cliente intenta reiniciar el tnel VPN automticamente hasta que
se haga clic en Desconectar. Despus de desconectar, el cliente no intenta reiniciar el tnel
VPN nuevamente hasta que se haga clic en Conectar.
Los usuarios que son miembros del grupo creado no pueden conectarse hasta que importen el archivo de
configuracin correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo de
configuracin y luego proveerlo a los usuarios finales.
Nota El Fireware XTM Web UI slo puede generar el archivo de configuracin .ini de
usuario mvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
Si usa Active Directory como su servidor de autenticacin, los usuarios deben pertenecer a un grupo de
seguridad de Active Directory con el mismo nombre que el nombre de grupo configurado para Mobile VPN
with IPSec.
Para RADIUS, VASCO o SecurID, asegrese de que el servidor RADIUS enva un atributo Filtro-Id (atributo 11
de RADIUS) cuando un usuario se autentica con xito, para informar al Firebox a qu grupo el usuario
pertenece. El valor del atributo Filter-Id debe coincidir con el nombre del grupo Mobile VPN como aparece
en las configuraciones del servidor de autenticacin de Fireware XTM RADIUS. Todos los usuarios de Mobile
VPN que se autentiquen en el servidor deben pertenecer a ese grupo.
Para ms informacin acerca de grupos Firebox, vea Tipos de autenticacin de Firebox en la pgina 223.
Para aadir usuarios a un grupo caso use un servidor de autenticacin de terceros, use las instrucciones en
la documentacin de su proveedor.
4. Ingrese un Nombre y una Frase de contrasea para el nuevo usuario. La frase de contrasea debe
tener al menos 8 caracteres de extensin. Ingrese la frase de contrasea nuevamente para
confirmarla.
La descripcin no es obligatoria. Recomendamos que no cambie los valores de Tiempo de espera de sesin y
Tiempo de espera inactivo.
5. En la seccin Grupo de autenticacin de Firebox , en la lista Disponible, seleccione el nombre de
grupo y haga clic en .
6. Haga clic en OK.
El cuadro de dilogo "Configurar Usuario de Firebox" se cierra. Aparece el nuevo usuario en la pgina
"Servidores de autenticacin" en la lista Usuarios.
7. Haga clic en Guardar.
Servidor de autenticacin
Seleccione el autenticacin que usar para ese grupo de Mobile VPN. Puede autenticar usuarios
al Firebox (Firebox-DB) o a un servidor RADIUS, VASCO, SecurID, LDAP o Active Directory
Server. Asegrese de que ese mtodo de autenticacin est activado.
frases de contrasea
Para cambiar la frase de contrasea que cifra el archivo .wgx, ingrese una nueva frase de
contrasea. La clave compartida puede contener slo caracteres ASCII estndares. Si usa un
certificado para autenticacin, ese es el PIN para el certificado.
Confirmar
Principal
Ingrese la direccin IP externa principal o dominio al cual los usuarios de Mobile VPN en ese
grupo pueden conectarse.
Resguardo
Ingrese la direccin IP externa de resguardo o dominio al cual los usuarios de Mobile VPN en
ese grupo pueden conectarse. Esa direccin IP de resguardo es opcional. Si aade una
direccin IP de resguardo, asegrese de que sea una direccin IP asignada a una interfaz
externa de Firebox.
Seleccione el tiempo mximo en minutos por el cual una sesin de Mobile VPN puede estar
activa.
Seleccione el tiempo en minutos antes que el Firebox cierre una sesin ociosa de Mobile VPN.
Los valores de tiempo de espera inactivo y sesin son valores predeterminados de tiempo de
espera si el servidor de autenticacin no emite valores especficos de tiempo de espera. Si usa
el Firebox como servidor de autenticacin, los tiempos de espera para el grupo de Mobile VPN
son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario
de Firebox.
La sesin y los tiempos de espera inactivos no pueden ser ms extensos que el valor en el
campo de Duracin de SA .
Para definir ese valor, en el cuadro de dilogo Configuracin de Mobile VPN con IPSec, haga
clic en la pestaa Tnel IPSec y haga clic en Avanzado para Configuracin de Fase 1. El valor
predeterminado es de 8 horas.
Use la frase de contrasea del perfil de usuario final como la clave precompartida
Seleccione esa configuracin para usar la frase de contrasea del perfil del usuario final como
la clave precompartida para la autenticacin de tnel. La frase de contrasea es definida en la
pestaa General en la seccin Frase de contrasea. Debe usar la misma clave compartida en el
dispositivo remoto y esa clave puede contener solamente caracteres ASCII estndares.
Usar un certificado
Direccin IP de CA
Si elige usar un certificado, ingrese la direccin IP del Management Server que fue configurado
como autoridad de certificacin.
Tiempo de espera
Si elige usar un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile
VPN with IPSec deja de intentar conectarse a la autoridad de certificacin que no responde.
Recomendamos que use la configuracin predeterminada.
Configuraciones de Fase 1
Seleccione los mtodos de autenticacin y cifrado para los tneles de Mobile VPN.
Para realizar configuraciones avanzadas, tal como NAT Traversal o grupo de clave, haga clic en
Avanzado y Definir configuraciones avanzadas de Fase 1.
Las opciones de Cifrado aparecen en la lista en orden del ms simple y menos seguro al ms
complejo y ms seguro.
DES
3DES
Configuraciones de Fase 2
Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-
Hellman.
Para alterar otra configuracin de propuesta, haga clic en Avanzado y Definir configuracin
avanzada de Fase 2.
Para enviar todo el trfico de Internet de usuario de Mobile VPN a travs del tnel VPN,
seleccione esa casilla de verificacin.
Si seleccione esa casilla, el trfico de Internet del usuario de Mobile VPN es enviado a travs de
la VPN. Eso es ms seguro, pero el acceso al sitio web puede ser lento.
Si no seleccione esa casilla, el trfico de Internet del usuario de Mobile VPN es enviado
directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet
ms rpidamente.
Esa lista incluye los recursos de red que estn disponibles a los usuarios en el grupo Mobile VPN.
Para agregar una direccin IP o una direccin IP de red a la lista de recursos de red, seleccione
IP del host o IP de red, ingrese la direccin y haga clic en Agregar.
Las direcciones IP internas que son usadas por los usuarios de Mobile VPN por el tnel
aparecen en esa lista. Esas direcciones no pueden ser usadas por ningn dispositivo de red ni
por otro grupo de Mobile VPN.
Para agregar una direccin IP o una direccin IP de red al conjunto de direcciones IP virtuales,
seleccione IP de host o IP de redo ingrese la direccin y haga clic en Agregar.
Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una direccinIP de
red y haga clic en Remover.
Modo de conexin
Manual En ese modo, el cliente no intenta reiniciar el tnel VPN automticamente caso est
desactivado. Esa es la configuracin predeterminada.
Para reiniciar el tnel VPN, debe hacer clic en Conectar en el Monitor de Conexin, o hacer
clic con el botn derecho en el icono de Mobile VPN en la barra de herramientas del escritorio
Windows y hacer clic en Conectar.
Automtico En ese modo, el cliente intenta iniciar la conexin cuando su equipo enva
trfico a un destino que puede alcanzar a travs de la VPN. El cliente tambin intenta reiniciar
el tnel VPN automticamente caso est quede sin disponibilidad.
Variable En ese modo, el cliente intenta reiniciar el tnel VPN automticamente hasta que
se haga clic en Desconectar. Despus de desconectar, el cliente no intenta reiniciar el tnel
VPN nuevamente hasta que se haga clic en Conectar.
Si define el Modo de conexin en Automtico o Variable, el software cliente Mobile VPN with
IPSec no intenta renegociar la conexin de VPN por el tiempo especificado.
Los usuarios finales que son miembros del grupo editado no pueden conectarse hasta que importen el
archivo de configuracin correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo
de configuracin y luego proveerlo a los usuarios finales.
Nota El Fireware XTM Web UI slo puede generar el archivo de configuracin .ini de
usuario mvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
1. En la pgina Editar Mobile VPN with IPSec, haga clic en la pestaa Tnel IPSec.
2. En la seccin Configuracin de Fase 1, haga clic en Avanzado.
Aparece la "Configuracin Avanzada de Fase 1".
3. Configurar las opciones para el grupo, tal como se describe en las siguientes secciones.
Recomendamos que use las configuraciones predeterminadas.
4. Haga clic en Guardar.
Opciones de Fase 1
Duracin de SA
Grupo de claves
NAT Traversal
Seleccione esta casilla de verificacin para establecer un tnel de Mobile VPN entre el Firebox y
otro dispositivo que est detrs de un dispositivo NAT. La NAT Traversal, o la Encapsulacin de UDP,
permite que el trfico sea enrutado a los destinos correctos.
IKE keep-alive
Seleccione esta casilla de verificacin solo si este grupo se conecta a un dispositivo WatchGuard ms
antiguo y no soporta la Dead Peer Detection. Todos los dispositivos WatchGuard con Fireware v9.x o
inferior, Edge v8.x o inferior y todas las versiones del WFS no soportan la Dead Peer Detection. Para
esos dispositivos, seleccione esta casilla de verificacin para activar el Firebox para que enve
mensajes a su punto IKE para mantener el tnel VPN abierto. No seleccionar IKEkeep-alive y
Deteccin de punto.
Intervalo de mensajes
Mx. de fallas
Estipule un nmero mximo de veces que el Firebox espera una respuesta de los mensajes de
mantener conexin IKE antes de terminar la conexin de VPN e iniciar nueva negociacin de Fase 1.
Seleccione esta casilla de verificacin para activar la Dead Peer Detection (DPD). Ambos extremos
deben soportar la DPD. Todos los dispositivos WatchGuard con Fireware v10.x y Edge v10.x o
superior soportan la DPD. No seleccionar IKEkeep-alive y Deteccin de punto.
La DPD est basada en RFC 3706 y usa estndares de trfico de IPSec para determinar si una
conexin est disponible antes que se enve un paquete. Cuando selecciona la DPD, se enva un
mensaje al punto cuando no se recibi ningn trfico del punto dentro del perodo de tiempo
seleccionado. Si la DPD determina que un punto no est disponible, no se hacen intentos adicionales
de conexin.
Defina el nmero de segundos que el Firebox espera antes de verificar si el otro dispositivo est
activo.
Defina el nmero mximo de veces que el Firebox intenta conectarse antes de determinar que el
punto no est disponible, terminar la conexin de VPN e iniciar nueva negociacin de Fase 1.
1. En la pgina Editar Mobile VPN with IPSec, haga clic en la pestaa Tnel IPSec.
2. En la seccin Configuracin de Fase 2, haga clic en Avanzado.
Aparece la "Configuracin Avanzada de Fase 2".
Opciones de Fase 2
Tipo
Las dos opciones de mtodo de propuesta son ESP o AH. Slo el ESP es compatible actualmente.
Autenticacin
Cifrado
Seleccione un mtodo de cifrado. Las opciones estn en la lista en orden del ms simple y menos
seguro al ms complejo y ms seguro.
n DES
n 3DES
n AES(128 bits)
n AES (192 bits)
n AES (256 bits)
Para regenerar los extremos de puerta de enlace e intercambiar nuevas claves despus de un
perodo de tiempo o despus que pase una cantidad de trfico por la puerta de enlace, seleccione
esa casilla de verificacin.
En el campo Forzar caducidad de clave, seleccione la perodo de tiempo y nmero de kilobytes que
puede pasar antes que la clave caduque.
Si Forzar caducidad de Clave est desactivado, o si est activado y la hora y el nmero de kilobytes
est puestos en cero, el Firebox usa la hora de caducidad de la clave definida para el punto. Si sta
tambin est desactivada o en cero, Firebox usa una hora predeterminada de caducidad de clave de
8 horas. El perodo mximo de tiempo que puede pasar antes que caduque una clave es un ao.
Asegrese de utilizar slo un servidor DNS interno. No utilice servidores DNS externos.
2. En el cuadro de texto Domain name, ingrese un domain name para el servidor DNS.
3. En los cuadros de texto Servidores DNS y Servidores WINS , ingrese las direcciones de los servidores
WINS y DNS.
4. Haga clic en Guardar.
Nota Esa configuracin se aplica solamente a archivos .wgx. Debe usar el Policy
Manager para generar archivos .wgx para sus usuarios.
.wgx
Los archivos .wgx son cifrados y pueden ser configurados para que el usuario final no pueda cambiar
las configuraciones en el software cliente Mobile VPN con IPSec. Un archivo .wgx no puede
configurar la Administracin de Lnea en el software cliente. Si define la Administracin de Lnea en
otro modo que no sea Manual, debe usar un archivo de configuracin .ini.
.ini
Cuando configura un grupo Mobile VPN with IPSec por primera vez, o si hace un cambio en las
configuraciones de un grupo, debe generar el archivo de configuracin para el grupo y proveerlo a los
usuarios finales.
Para usar el Fireware XTM Web UI para generar un perfil de usuario final para un grupo:
Nota El Fireware XTM Web UI slo puede generar el archivo de configuracin .ini de
usuario mvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
Nota La frase de contrasea, nombre de usuario y contrasea del perfil de usuario final
son informaciones confidenciales. Por cuestiones de seguridad, recomendamos
que no ofrezca esa informacin por correo electrnico. Como el correo electrnico
no es seguro, un usuario no autorizado puede usar la informacin para obtener
acceso a su red interna. Ofrezca la informacin al usuario a travs de un mtodo
que no permita que personas no autorizadas la intercepten.
Para ms informacin acerca de cmo activar polticas, vea Acerca de polticas en la pgina 251.
Como la poltica de IPSec activa un tnel para el servidor de IPSec y no realiza ninguna verificacin de
seguridad en el firewall, agregue a esa poltica slo los usuarios en los que confa.
Para cambiar esa configuracin, en el Fireware XTMWeb UI, seleccione VPN >Configuraciones Globales..
Para ms informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Global
en la pgina 438.
2. Deslice hacia abajo hasta Usuarios de Mobile VPN en la columna Funcin, y busque el nmero en la
columna Valor. Ese es el nmero mximo de usuarios de Mobile VPN que pueden conectarse al
mismo tiempo.
Las licencias estn disponibles a travs de su revendedor local o en el sitio web de WatchGuard:
http://www.watchguard.com/sales
Si la conmutacin por error (failover) de VPN est configura y ocurre una conmutacin por error, las
sesiones de Mobile VPN no tienen continuidad. Debe autenticar su cliente de Mobile VPN nuevamente
para hacer un nuevo tnel de Mobile VPN.
Si ninguna de esas opciones es posible y la direccin IP externa del Firebox cambia, debe otorgar un nuevo
archivo de configuracin .wgx a los usuarios de IPSec remoto o pedirles que editen la configuracin cliente
para que sta incluya la nueva direccinIP siempre que la direccinIP cambie. De lo contrario, los usuarios
IPSec no pueden conectarse hasta que obtengan el nuevo archivo de configuracin o direccinIP.
Use estas instrucciones para configurar el Firebox y dar soporte a los usuarios del cliente IPSec si el Firebox
tiene una direccinIP dinmica y no puede usar un DNS dinmico.
Esa es la direccinIP guardada en los archivos de configuracin .wgx. Cuando los usuarios remotos dicen
que no pueden conectarse, verifique la direccinIP externa del Firebox para ver si la direccin IP cambi.
n Otorgue un nuevo archivo de configuracin .wgx a los usuarios remotos para que lo importen.
n Solicite a los usuarios remotos que editen manualmente la configuracin del cliente IPSec. Para esa
opcin, debe configurar el Firebox para que los usuarios remotos puedan editar la configuracin.
Para ms informaciones, vea Bloquear un perfil del usuario final en la pgina 506.
1. En el Fireware XTM Web UI, seleccione VPN >Mobile VPN with IPSec.
2. Seleccione un grupo de usuarios de Mobile VPN y haga clic en Generar para crear y descargar los
archivos .wgx.
3. Distribuya los archivos .wgx a los usuarios remotos.
4. Solicite que los usuarios remotos Importar el perfil de usuario final.
1. Otorgue a los usuarios remotos la nueva direccinIP externa del Firebox y solicite que sigan los
prximos cinco pasos.
2. En el equipo cliente IPSec seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Mobile VPN Monitor.
3. Seleccione Configuracin > Configuracin de perfil.
4. Seleccione el perfil y haga clic en Configurar.
El cliente Mobile VPN crea un tnel cifrado hacia sus redes de confianza y opcional, que estn protegidas
por un Firebox de WatchGuard. El cliente Mobile VPN permite proveer acceso remoto a sus redes internas
y no comprometer su seguridad.
Debe configurar su Firebox para que funcione con Mobile VPN with IPSec. Si todava no lo hizo, vea los
tpicos que describen cmo configurar su Firebox para usar Mobile VPN.
n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000,
Windows XP (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) o Windows 7 (32 bits y 64 bits).
Antes de instalar el software cliente, asegrese de que el equipo remoto no tenga un software
cliente Mobile User VPN de IPSec instalado. Tambin debe desinstalar cualquier software de
firewall de escritorio (que no sea el software de firewall de Microsoft) de cada equipo remoto.
n Si el equipo cliente usa Windows XP, debe iniciar sesin usando una cuenta que tenga derechos de
administrador para instalar el software cliente Mobile VPN e importar el archivo de configuracin
.wgx o .ini. Despus que el cliente haya sido instalado y configurado, los derechos de administrador
no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, debe iniciar sesin usando una cuenta que tenga derechos
de administrador para instalar el software cliente Mobile VPN. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse despus que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estn instalados antes de
instalar el software cliente Mobile VPN.
n Se obtiene la configuracin de WINS y DNS para el cliente Mobile VPN en el perfil del cliente que
importa cuando configura su cliente Mobile VPN.
n Recomendamos que no altere la configuracin de ningn cliente Mobile VPN que no est
explcitamente descrita en esta documentacin.
n frases de contrasea
n Un archivo cacert.pem y un .p12 (si usa certificados para autenticar)
n Nombre de usuario y contrasea
Nota Tome nota de la clave compartida y mantngala en un lugar seguro. Debe usarla
durante los pasos finales del procedimiento de instalacin.
1. Copie el archivo de instalacin de Mobile VPN en el equipo remoto y extraiga los contenidos del
archivo.
2. Copie el perfil del usuario final (el archivo .wgx o .ini) en el directorio raz en el equipo remoto
(cliente o usuario). No ejecute el software de instalacin a partir de un CD u otra unidad externa.
Si usa certificados para autenticarse, copie los archivos cacert.pem y .p12 en el directorio raz.
3. Haga doble clic en el archivo .exe extrado en el Paso 1. Eso inicia el WatchGuard Mobile VPN
Installation wizard. Debe reiniciar su equipo cuando el asistente de instalacin se reinicia.
Para instrucciones detalladas para usuarios finales clientes de Mobile VPN con IPSec, vea Instrucciones de
usuario final para la instalacin del cliente VPN Mobile con IPSec de WatchGuard en la pgina 526.
Para apagar la funcionalidad de inicio automtico del Connection Monitor, seleccione Ver > Inicio
automtico > No iniciar automticamente.
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Importar perfil.
Se inicia el Asistente de Importacin de Perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicacin del archivo de configuracin .wgx
o .ini.
4. Haga clic en Siguiente.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contrasea. La
frase de contrasea distingue maysculas de minsculas.
6. Haga clic en Siguiente.
7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo
nombre. Eso es til si su administrador de red le ofrece un nuevo archivo .wgx para importar.
8. Haga clic en Siguiente.
Antes de iniciar, desconecte todos los tneles y cierre el Mobile VPN Connection Monitor. Desde el
escritorio de Windows:
5. Haga clic en Aceptar para remover completamente todos los componentes. Si no selecciona esa
casilla de verificacin al final de la desinstalacin, la prxima vez que instala el software Mobile VPN,
la configuracin de conexin de esa instalacin ser usada para la nueva instalacin.
Establezca su conexin a Internet a travs de una conexin de red de marcado o una conexin LAN. Luego,
use las instrucciones abajo para seleccionar su perfil, conectar y desconectar, haciendo clic con el botn
derecho en el icono en su barra de herramientas de Windows.
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
2. En la lista desplegable Perfil, seleccione el nombre del perfil creado para sus conexiones de Mobile
VPN al Firebox.
Para definir manualmente el comportamiento del cliente Mobile VPN cuando el tnel VPN deja de estar
disponible:
4. Use la lista desplegable Modo de conexin para definir un comportamiento de conexin para ese
perfil.
n Manual Cuando selecciona el modo de conexin manual, el cliente no intenta
reiniciar el tnel VPN automticamente caso est desactivado. Para reiniciar el tnel
VPN, debe hacer clic en el botn Conectar en el Monitor de Conexin, o hacer clic con el
botn derecho en el icono de Mobile VPN en la barra de herramientas del escritorio
Windows y hacer clic en Conectar.
Para ver los mensajes de registro de Mobile VPN, seleccione Registro> Libro de registro del Monitor de
Conexin.
Aparece el cuadro de dilogo "Libro de Registros".
Firewall de enlace
El firewall de enlace no est activado por defecto. Cuando el firewall de enlace est activado, su
equipo desecha los paquetes recibidos de otros equipos. Puede elegir activar el firewall de enlace
slo cuando un tnel de Mobile VPN est activo, mantngalo habilitado todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su equipo. Puede definir redes
conocidas y definir reglas de acceso separadamente para redes desconocidas o conocidas.
Redes VPN
Redes desconocidas
Redes conocidas
Para ms informacin acerca de cmo activar un firewall de escritorio, vea Activar firewall de escritorio en
la pgina 519.
conexiones hacia o desde su equipo, excepto si cre una regla para permitir la conexin.
n Configuracin bsica abierta Cuando activa ese modo, el firewall permite todas las
Para ms informacin acerca de cmo definir redes conocidas y crear reglas de firewall, vea Definir redes
conocidas en la pgina 520 y Crear reglas de firewall en la pgina 521.
La funcin de deteccin automtica de Red Conocida no funciona correctamente en esta versin del
software cliente Mobile VPN con IPSec.
Seleccione o limpie las casillas de verificacin abajo Ver configuracin para mostrar o ocultar categoras de
reglas de firewall. Algunas opciones no estn disponibles en el Mobile VPN para la versin de Windows
Mobile del firewall de escritorio.
Para crear una regla, haga clic en Agregar. Use las cuatro pestaas en el cuadro de dilogo Entrada de regla
de firewall para definir el trfico que desea controlar:
n Pestaa General
n Pestaa Local
n Pestaa Remoto
n Pestaa Aplicaciones
Pestaa General
Puede definir las propiedades bsicas de sus reglas de firewall en la pestaa General del cuadro de dilogo
Entrada de regla de firewall.
Nombre de la regla
Ingrese un nombre descriptivo para esa regla. Por ejemplo, puede crear una regla llamada
"navegacin web" que incluya trfico en puertos de TCP 80 (HTTP), 8080 (HTTP alternativo) y 443
(HTTPS).
Estado
Para hacer que una regla est inactiva, seleccione Desactivar. Las nuevas reglas son activas por
defecto.
Direccin
Para aplicar la regla al trfico proveniente de su equipo, seleccione saliente. Para aplicar la regla al
trfico que es enviado a su equipo, seleccione entrante. Para aplicar la regla a todo el trfico,
seleccione bidireccional.
Asignar regla a
Seleccionar las casillas al lado de los tipos de red a los que se aplica esa regla.
Protocolo
Use esa lista desplegable para seleccionar el tipo de trfico de red que desea controlar.
Pestaa Local
Puede definir los puertos y las direcciones IP locales que son controlados por su regla de firewall en la
pestaa Local en el cuadro de dilogo Entrada de regla de firewall. Recomendamos que, en cualquier
regla, configure las Direcciones IP locales para activar el botn de radio Cualquier direccin IP. Si configura
una poltica entrante, puede aadir los puertos con los cuales controlar esa poltica en la configuracin de
Puertos Locales. Si desea controlar ms de un puerto a en la misma poltica, seleccione Varios puertos o
rangos. Haga clic en Nuevo para agregar cada puerto.
Si seleccione el botn de radio Explicitar direccin IP, asegrese de que especifica una direccin IP. La
direccin IP no debe estar definida en 0.0.0.0.
Pestaa Remoto
Puede definir los puertos y direcciones IP remotas que son controlados por esa regla en la pestaa Remoto
del cuadro de dilogo Entrada de regla de firewall.
Por ejemplo, si su firewall est definido para que niegue todo el trfico y desea crear una regla para
permitir conexiones POP3 salientes, agregue la direccin IP de su servidor POP3 como Explicitar direccin
IP en la seccin Direcciones IP remotas. Despus, en la seccin Puertos remotos, especifique el puerto
110 como un Explicitar puerto para esa regla.
Si seleccione el botn de radio Explicitar direccin IP, asegrese de que especifica una direccin IP. La
direccin IP no debe estar definida en 0.0.0.0.
Pestaa Aplicaciones
Puede limitar su regla de firewall para que se aplique solo cuando se usa un programa especificado.
2. Haga clic en Seleccionar aplicacin para examinar su equipo local en busca de una lista de
aplicaciones disponibles.
3. Haga clic en OK.
El cliente Mobile VPN con IPSec de WatchGuard crea una conexin cifrada entre su equipo y el Firebox con
una conexin a Internet estndar. El cliente Mobile VPN le permite tener acceso a recursos protegidos de
red desde cualquier ubicacin remota con una conexin a Internet.
n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000
Pro, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 bits).
n Asegrese de que el equipo no tenga ningn otro software cliente Mobile User VPN de IPSec
instalado.
n Desinstale cualquier software de firewall de escritorio (que no sea el software de firewall de
Microsoft) de su equipo.
n Si el equipo cliente usa el Windows XP para instalar el software cliente Mobile VPN y para importar
el archivo de configuracin .wgx, debe iniciar sesin con una cuenta que tenga derechos de
administrador. Despus que el cliente haya sido instalado y configurado, los derechos de
administrador no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, para instalar el software cliente Mobile VPN, debe iniciar
sesin usando una cuenta que tenga derechos de administrador. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse despus que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estn instalados antes de
instalar el software cliente Mobile VPN.
n Recomendamos que no altere la configuracin de ningn cliente Mobile VPN que no est
explcitamente descrita en esta documentacin.
Despus de instalar el software cliente, reinstale el software del firewall de escritorio o configure el firewall
que forme parte del software cliente. Si usa un firewall de escritorio de terceros, asegrese de configurarlo
para permitir que el trfico establezca el tnel VPN y que fluya trfico por ese tnel. Contacte su
administrador de red para obtener instrucciones.
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Importar perfil.
Se inicia el Asistente de Importacin de Perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicacin del archivo de configuracin .wgx
o .ini.
4. Haga clic en Siguiente.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contrasea. La
frase de contrasea distingue maysculas de minsculas.
6. Haga clic en Siguiente.
7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo
nombre. Eso es til si su administrador de red le ofrece un nuevo archivo .wgx para importar.
8. Haga clic en Siguiente.
9. En la pantalla Autenticacin, puede seleccionar si desea ingresar el nombre de usuario y contrasea
que usa para autenticar el tnel VPN.
Si mantiene esos campos vacos, debe insertar su nombre de usuario y contrasea siempre que se
conecte.
Si inserta su nombre de usuario y contrasea, el Firebox los almacena y no hace falta inserir esa
informacin siempre que se conecte. No obstante, eso representa un riesgo de seguridad. Tambin
puede ingresar slo su nombre de usuario y mantener el campo contrasea vaco.
10. Haga clic en Siguiente.
11. Haga clic en Finalizar.
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
Aparece el cuadro de dilogo Mobile VPN de WatchGuard.
2. En la lista desplegable Perfil, seleccione el nombre del perfil importado.
Nota Si importa un archivo .ini para configurar el software cliente, no altere ninguna
configuracin de la Administracin de Lnea. El archivo .ini realiza esas
configuraciones.
Para definir el comportamiento del cliente Mobile VPN cuando el tnel VPN deja de estar disponible:
4. Use la lista desplegable Modo de conexin para definir un comportamiento de conexin para ese
perfil.
o Manual Cuando selecciona el modo de conexin manual, el cliente no intenta reiniciar el
tnel VPN automticamente caso est desactivado.
Para reiniciar el tnel VPN, debe hacer clic en el botn Conectar en el Monitor de Conexin,
o hacer clic con el botn derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.
El El icono del Mobile User VPN aparece en la bandeja de sistema de Windows mostrando el estado de la
conexin de VPN. Puede hacer clic con el botn derecho en el icono para reconectar y desconectar el
Mobile VPN y para ver el perfil en uso.
El Mobile VPN para Windows Mobile usa los mismos archivos .wgx de perfil de usuario final que son usados
para configurar el Mobile VPN with IPSec. Para crear el perfil de usuario final, vea Configurar el Firebox
para Mobile VPN with IPSec en la pgina 483.
Debe Configurar el Firebox para Mobile VPN with IPSec. Ese proceso crea el perfil del usuario final
necesario para configurar el software cliente de Windows Mobile.
Nota Los dispositivos de esa lista fueron probados con el Mobile VPN de WatchGuard
para Windows Mobile. Para aprender si otros usuarios configuraron otro
dispositivo con xito, verifique el Foro de Usuario WatchGuard, en
http://forum.watchguard.com/.
Para instalar el Mobile VPNWM Configurator de Windows Mobile en algunos sistemas operativos, debe
iniciar sesin en el equipo con una cuenta con derechos de administrador e importar el archivo de
configuracin .wgx. Los derechos de administrador no son necesarios para subir el cliente y la configuracin
al dispositivo Windows Mobile.
Nota Tome nota de la clave compartida y mantngala en un lugar seguro. Debe usarla
cuando importe el perfil de usuario final.
1. Copie el archivo .zip del Mobile VPN WM Configurafor en el equipo y extraiga los contenidos de
archivo.
2. Copie el perfil del usuario final (archivo .wgx) en el directorio raz del equipo remoto.
3. Haga doble clic en el archivo .exe extrado en el Paso 1. Eso inicia el WatchGuard Mobile VPN WM
Installation Wizard.
4. Siga los pasos en el asistente. En el cuadro de dilogo Asistente InstallShield Concluido mantenga el
casilla de verificacin Iniciar instalacin de PDA seleccionado slo si el dispositivo Windows Mobile
est actualmente conectado a travs del ActiveSync.
1. Seleccione Inicio >Todos los programas >WatchGuard Mobile VPN>WatchGuard Mobile VPN
WM para iniciar el Configurator.
2. Seleccione Configuracin > Importar perfil.
Se inicia el Asistente de Importacin de Perfil.
3. En la pantalla Seleccionar perfil de usuario, navegue hasta la ubicacin del archivo de configuracin
.wgx provisto por su administrador de red. Haga clic en Siguiente.
4. En la pantalla Descifrar Perfil del usuario, ingrese la clave compartida o frase de contrasea provista
por su administrador de red. La clave compartida distingue maysculas de minsculas. Haga clic en
Siguiente.
5. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo
nombre. Eso es til si su administrador de red le ofrece un nuevo archivo .wgx y hace falta
importarlo nuevamente. Haga clic en Siguiente.
6. En la pantalla Autenticacin, puede ingresar el el nombre de usuario y contrasea que usa para
autenticar el tnel VPN. Si inserta su nombre de usuario y contrasea aqu, el Firebox los almacena y
no hace falta ingresar esa informacin siempre que se conecte. No obstante, eso representa un
riesgo de seguridad. Puede ingresar slo su nombre de usuario y mantener el campo contrasea
vaco. Eso minimiza la cantidad de datos necesarios para la conexin de VPN.
Si mantiene esos campos vacos, debe ingresar su nombre de usuario y contrasea la primera vez
que se conecta a la VPN. La vez siguiente, el campo del nombre de usuario estar automticamente
llenado con el ltimo nombre de usuario insertado.
Nota Si la contrasea que usa es la misma del Active Directory o del Servidor de LDAP y
elije almacenarla, la contrasea se vuelve invlida cuando cambia en el servidor de
autenticacin.
Nota Despus que el software WatchGuard Mobile VPN est instalado en su dispositivo
Windows Mobile, debe reiniciarlo.
2. Para iniciar el Configurator, seleccione Inicio >Todos los programas >WatchGuard Mobile VPN>
WatchGuard Mobile VPN WM.
3. Si el software WatchGuard Mobile VPN WM todava no fue instalado en el dispositivo Windows
Mobile, se abre el cuadro de dilogo Confirmacin. Haga clic en S.
5. El software cliente WatchGuard Mobile VPN WM se ejecuta en el dispositivo Windows Mobile. Haga
clic en OK.
Si la VPN usa un certificado para autenticarse, debe cargarlo en el dispositivo Windows Mobile. Antes de
cargar el certificado, el Configurator debe ser configurado para usar el certificado.
Conecteydesconecteel ClienteMobileVPNparaWindows
Mobile
El software cliente WatchGuard Mobile VPN para Windows Mobile usa la conexin de datos del dispositivo
Windows Mobile para establecer una conexin segura a las redes protegidas por un Firebox. El dispositivo
Windows Mobile debe poder establecer una conexin de datos a Internet.
1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN
Monitor.
Si el WatchGuard Mobile VPN Servive no est en ejecucin, se abre un cuadro de dilogo. Haga clic
en S para iniciar servicio.
2. Se abre el cuadro de dilogo WatchGuard Mobile VPN. Seleccione el perfil del usuario final de la
lista desplegable en la parte superior del cuadro de dilogo de WatchGuard Mobile VPN.
3. Haga clic en Conectar e ingrese su nombre de usuario y contrasea. Haga clic en OK.
Nota Despus de establecer la primera conexin VPN con xito, el cliente guarda el
nombre de usuario y slo solicita una contrasea. Para alterar el nombre de
usuario, haga clic en Aceptar con el rea del contrasea limpia. Se abre uncuadro
de dilogo en el cual puede ingresar un nombre de usuario y contrasea
diferentes.
4. Aparece una lnea amarilla con la palabra Conectando entre telfono y equipo en el cuadro de
dilogo de WatchGuard Mobile VPN. La lnea se pone verde cuando el tnel VPN est listo.
1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN
Monitor.
2. Haga clic en Desconectar. La lnea verde cambia al amarillo.
Cuando no hay una lnea entre el telfono y el equipo, la VPN est desconectada.
Firewall de enlace
El firewall de enlace no est activado por defecto. Cuando el firewall de enlace est activado, su
dispositivo Windows Mobile desecha los paquetes recibidos desde otros equipos. Puede elegir
activar el firewall de enlace slo cuando un tnel de Mobile VPN est activo, mantngalo habilitado
todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su dispositivo Windows Mobile.
Puede definir redes conocidas y definir reglas de acceso separadamente para redes desconocidas o
conocidas.
Para ms informaciones, vea Activar el firewall del enlace en la pgina 518 y Activar firewall de escritorio en
la pgina 519.
1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN
Service.
2. Se abre el cuadro de dilogo WatchGuard Mobile VPN. Haga clic en S para detener el servicio.
n Seleccione Bridge de trfico de VPN para el bridge del trfico de VPN con SSL a una red que
especifique. Esta es la configuracin predeterminada para Firebox X Edge. Cuando selecciona
esta opcin, no puede filtrar el trfico entre los usuarios de VPN con SSL y la red a la que se
conecta el trfico de VPN con SSL.
n Seleccione Trfico de VPN enrutado para enrutar el trfico de VPN hacia redes y recursos
especficos. Esta es la configuracin predeterminada para los dispositivos Firebox X Core o Peak
e-Series y WatchGuard XTM.
2. Seleccione o desmarque la casilla de seleccin Forzar todo el trfico de cliente a travs del tnel.
n Seleccione Forzar todo el trfico de cliente a travs del tnel para enviar todo el trfico de
red privada e Internet a travs del tnel. Esta opcin enva todo el trfico externo a travs de
las polticas del dispositivo Firebox o XTM que usted crea y ofrece una seguridad constante a los
usuarios mviles. Sin embargo, debido a que requiere mayor capacidad de procesamiento en
el dispositivo Firebox o XTM, el acceso a los recursos de Internet puede ser muy lento para el
usuario mvil. Para permitir a los clientes acceder a Internet cuando esta opcin est
seleccionada, consulte Opciones de acceso a Internet a travs de un tnel de Mobile VPN con
SSL en la pgina 551.
n Desmarque la casilla de seleccin Forzar todo el trfico de cliente a travs del tnel para
enviar slo la informacin de la red privada a travs del tnel. Esta opcin permite a los
usuarios una mejor velocidad de red al enrutar slo el trfico necesario a travs del dispositivo
Firebox o XTM, pero el acceso a los recursos de Internet no est restringido por las polticas del
dispositivo Firebox o XTM. Para restringir el acceso del cliente de Mobile VPN con SSL slo a los
dispositivos especificados en su red privada, seleccione el botn de radioEspecificar recursos
autorizados. Ingrese la direccin IP del recurso de red en notacin diagonal y haga clic en
Agregar.
3. Configurar las direcciones IP que el dispositivo Firebox o XTM asigna a las conexiones de los clientes
de Mobile VPN with SSL. Las direcciones IP virtuales en este conjunto de direcciones no pueden
formar parte de una red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede
a travs de una ruta o BOVPN, asignada por DHCP a un dispositivo detrs del dispositivo Firebox o
XTM, o utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL.
Las direcciones IP virtuales en este conjunto de direcciones no pueden formar parte de una
red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede a travs de
una ruta o BOVPN, asignada por DHCP a un dispositivo detrs del dispositivo Firebox o XTM, o
utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with PPTP.
En la lista desplegable Bridge a interfaz, seleccione el nombre de la interfaz con la que desea
conectar. En los campos Inicio y Finalizacin, ingrese la primera y la ltima direccin IP en el
rango asignado a las conexiones cliente de Mobile VPN con SSL. Las direcciones IP de Inicio y
Finalizacin deben encontrarse en la misma subred que la interfaz puenteada.
Nota La opcin Bridge a interfaz no conecta el trfico de VPN con SSL a ninguna
secondary network en la interfaz seleccionada.
4. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM.
Despus de guardar los cambios en el dispositivo Firebox o XTM, debe configurar la autenticacin de
usuario para Mobile VPN with SSL antes de que los usuarios puedan descargar e instalar el software. Todo
cambio que realice se distribuye a los clientes en forma automtica la prxima vez que se conectan
utilizando Mobile VPN with SSL.
Para obtener ms informacin sobre el uso de notacin diagonal, consulte Acerca de las Notacin diagonal
en la pgina 3.
Autenticacin
Mtodo de autenticacin utilizado para establecer la conexin. Las opciones son MD5, SHA, SHA-1,
SHA-256 y SHA-512.
Cifrado
Algoritmo que se utiliza para cifrar el trfico. Las opciones son Blowfish, DES, 3DES, AES (128bits),
AES (192bits) o AES (256bits). Los algoritmos se muestran en orden del de menor seguridad al de
mayor seguridad, con la excepcin de Blowfish, que usa una clave de 128bits para cifrado de alta
seguridad.
Para un rendimiento ptimo con un alto nivel de cifrado, recomendamos seleccionar autenticacin
MD5 con cifrado Blowfish.
Canal de datos
El protocolo y puerto Mobile VPN with SSL se utiliza para enviar datos despus de establecer una
conexin de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo
y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. ste es tambin el
protocolo y puerto estndar para trfico HTTPS. La Mobile VPN with SSL puede compartir el puerto
443 con HTTPS.
Para ms informacin, vea Elegir un puerto y protocolo para Mobile VPN with SSL en la pgina 550.
Canal de configuracin
El protocolo y puerto Mobile VPN with SSL se utiliza para negociar el canal de datos y para descargar
archivos de configuracin. Si configura el protocolo del canal de datos en TCP, el canal de
configuracin utiliza automticamente el mismo puerto y protocolo. Si configura el protocolo del
canal de datos en UDP, puede establecer el protocolo del canal de configuracin en TCP o UDP y
puede utilizar un puerto diferente al canal de datos.
Mantener conexin
Define la frecuencia con la que el dispositivo Firebox o XTM enva trfico a travs del tnel para
mantener la actividad del tnel cuando no se enva otro trfico a travs del tnel.
Tiempo de espera
Define durante cunto tiempo el dispositivo Firebox o XTM espera una respuesta. Si no hay
respuesta antes del valor de tiempo de espera, el tnel se cierra y el cliente debe volver a
conectarse.
Si una conexin Mobile VPN with SSL ha estado activa durante la cantidad de tiempo especificada en
el cuadro de texto Renegociar el canal de datos, el cliente de Mobile VPN con SSL debe crear un
tnel nuevo. El valor mnimo es de 60 minutos.
Puede utilizar servidores DNS y WINS para determinar las direcciones IP de recursos que estn
protegidos por el dispositivo Firebox o XTM. Si desea que los clientes de Mobile VPN with SSL usen
un servidor DNS o WINS detrs del dispositivo Firebox o XTM en lugar de los servidores asignados
por la red remota a la que estn conectados, ingrese el domain name y las direcciones IP de los
servidores DNS y WINS en su red. Para obtener ms informacin sobre DNS y WINS, consulte
Determinacin del nombre para Mobile VPN with SSL en la pgina 552.
Haga clic en la pestaa Avanzada para restablecer los valores predeterminados. Se elimina toda la
informacin de los servidores DNS y WINS en la pestaa Avanzada.
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexin de Mobile VPN
con SSL. Los usuarios no pueden conectarse si son miembros de un grupo que forma parte del grupo
Usuarios-SSLVPN. El usuario debe ser miembro directo del grupo Usuarios-SSLVPN.
Para ms informacin, vea Configure su Firebox como servidor de autenticacin en la pgina 223 y Acerca
de la utilizacin de servidores de autenticacin de terceros en la pgina 222.
Nota Si asigna direcciones de una red de confianza a usuarios de Mobile VPN con SSL, el
trfico desde el usuario de Mobile VPN con SSL no se considera de confianza. De
manera predeterminada, todo trfico de Mobile VPN con SSL no es de confianza.
Independientemente de la direccin IP asignada, deben crearse polticas para
permitir el acceso de los usuarios de Mobile VPN con SSL a los recursos de red.
Permitir a los usuarios de Mobile VPN con SSL el acceso a una red de
confianza
En este ejemplo, se utiliza Fireware XTM Web UI para agregar la opcin Cualquier poltica para otorgar
acceso a los recursos a todos los miembros del grupo Usuarios-SSLVPN en todas las redes de confianza.
Para ms informacin acerca de polticas, vea Agregar polticas en la configuracin en la pgina 254.
Usar otros grupos o usuarios en una poltica de Mobile VPN con SSL
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexin de Mobile VPN
con SSL. Puede usar polticas con otros grupos para restringir acceso a recursos despus de que el usuario
se conecta. Puede usar Fireware XTM Web UI para seleccionar un usuario o grupo distinto de Usuarios-
SSLVPN.
Para obtener ms informacin sobre cmo utilizar usuarios y grupos en polticas, consulte Use los usuarios y
grupos autorizados en polticas en la pgina 248.
Las configuraciones de red comunes que requieren el uso de TCP 443 incluyen:
Si tiene una direccin IP externa adicional que no acepta conexiones de puerto TCP 443 entrantes, puede
configurarla como direccin IP principal para Mobile VPN with SSL.
Nota El trfico de Mobile VPN con SSL siempre se cifra utilizando SSL, aunque utilice un
puerto o protocolo diferente.
Mobile VPN with PPTP y Mobile VPN con IPSec utilizan protocolos y puertos especficos que algunas
conexiones de Internet pblica bloquean. De manera predeterminada, Mobile VPN with SSL
funciona en el protocolo y puerto utilizado para el trfico de sitio web cifrado (HTTPS) para evitar el
bloqueo. sta es una de las principales ventajas de SSL VPN sobre otras opciones de Mobile VPN.
Recomendamos seleccionar el puerto TCP 80 (HTTP), el puerto TCP 53 o el puerto UDP 53 (DNS)
para mantener esta ventaja.
Casi todas las conexiones de Internet admiten estos puertos. Si el sitio de acceso utiliza filtrados de
paquetes, el trfico de SSL debera pasar. Si el sitio de acceso utiliza servidores proxy, es probable
que el trfico de SSL sea rechazado porque no cumple con los protocolos de comunicacin estndar
HTTP o DNS.
Normalmente TCP funciona al igual que UDP, pero TCP puede ser mucho ms lento si la conexin ya
es lenta o poco confiable. La latencia adicional surge por la verificacin de error que forma parte del
protocolo TCP. Debido a que la mayora del trfico que pasa a travs de un tnel VPN utiliza TCP, la
suma de la verificacin de error de TCP a la conexin VPN es redundante. Con conexiones lentas y
poco confiables, los tiempos de espera de la verificacin de error de TCP hacen que el trfico de
VPN se enve cada vez con mayor lentitud. Si esto sucede en forma repetida, el usuario percibe el
rendimiento deficiente de la conexin.
UDP es una buena opcin si la mayora del trfico generado por los clientes de MVPN con SSL se
basa en TCP. Los protocolos HTTP, HTTPS, SMTP SMTP, POP3 y Microsoft Exchange utilizan TCP de
manera predeterminada. Si la mayora del trfico generado por los clientes de Mobile VPN con SSL
es UDP, recomendamos seleccionar TCP para el protocolo MVPN con SSL.
trfico va directamente a Internet y a la red a la que est conectada el usuario SSL VPN remoto. Esta opcin
puede afectar su seguridad porque cualquier trfico enviado a Internet o a la red cliente remota no est
cifrado ni sujeto a las polticas configuradas en Firebox.
La poltica de proxy HTTP prevalece sobre la poltica Cualquiera. Puede dejar que la poltica Cualquiera
administre el trfico que no sea HTTP o puede seguir estos mismos pasos con otra poltica para administrar
el trfico desde los clientes SSL.
Para obtener ms informacin sobre cmo configurar una poltica de proxy HTTP, consulte Pgina Acerca
de Proxy HTTP en la pgina 292.
Un servidor WINS mantiene una base de datos de determinacin de nombres NetBIOS para la red
local. DNS funciona de un modo similar. Si el dominio utiliza slo el Active Directory , debe usar DNS
para la determinacin de nombres.
Archivo LMHOSTS
Un archivo LMHOSTS es un archivo creado en forma manual que se instala en todas las
computadoras que tienen instalado Mobile VPN with SSL. El archivo contiene una lista de nombres
de recursos y sus direcciones IP asociadas.
ConfigurarunarchivoLMHOSTS paraproporcionardeterminacinde
nombre
Cuando usa un archivo LMHOSTS para obtener determinacin de nombres para sus clientes MUVPN, no se
requieren cambios en Firebox ni en el software cliente MUVPN. A continuacin se muestran instrucciones
bsicas para ayudarle a crear un archivo LMHOSTS. Para obtener ms informacin sobre archivos LMHOSTS,
consulte http://support.microsoft.com/kb/q150800/.
n Microsoft Windows 7
n Microsoft Windows Vista
n Microsoft Windows XP
n Mac OS X 10.5 (Leopard)
Si la computadora cliente tiene Windows Vista o Windows XP, debe ingresar con una cuenta que tenga
derechos de administrador para instalar el software cliente de Mobile VPN con SSL. No se requieren
derechos de administrador para conectarse despus de que el cliente de SSL ha sido instalado y
configurado. En Windows XP Professional, el usuario debe ser miembro del grupo Operadores de
configuracin de red para ejecutar el cliente de SSL.
Si la computadora cliente tiene Mac OS X, no se requieren derechos de administrador para instalar o utilizar
el cliente de SSL.
3. Haga clic en el botn Descargar en el instalador que desea utilizar. Las opciones disponibles son dos:
Windows (WG-MVPN-SSL.exe) y Mac OS X (WG-MVPN-SSL.dmg).
4. Guarde el archivo en su escritorio u otra carpeta que desee.
Nota Tambin puede conectarse a Firebox en el puerto 4100 para descargar el software
cliente de VPNSSL.
Para Mac OS X:
Despus de descargar e instalar el software cliente, el software cliente de Mobile VPN automticamente se
conecta al dispositivo WatchGuard. Cada vez que se conecta al dispositivo WatchGuard, el software cliente
verifica las actualizaciones de configuracin.
1. Utilice uno de los tres mtodos siguientes para iniciar el software cliente:
o En el Men Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN
con SSL > Cliente de Mobile VPN con SSL.
o Haga doble clic en el cono de Mobile VPN con SSL en su escritorio.
o Haga clic en el cono de Mobile VPN con SSL en la barra de herramientas del inicio rpido.
2. Ingrese la informacin del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contrasea del usuario.
Para Mac OS X:
1. Abra una ventana del Buscador. Ingrese en Aplicaciones > WatchGuard y haga doble clic en la
aplicacin Mobile VPN with SSL WatchGuard.
Aparece el cono de Mobile VPN con SSL WatchGuard en la barra de men.
2. Haga clic en el cono en la barra de men y seleccione Conectar.
3. Ingrese la informacin del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contrasea del usuario.
El usuario cliente de SSL debe ingresar sus credenciales de inicio de sesin. Mobile VPN with SSL no es
compatible con ningn servicio de Single Sign-On (SSO). Si la conexin entre el cliente SSL y el dispositivo
WatchGuard se pierde momentneamente, el cliente SSL intenta restablecer la conexin.
Para ver la lista de controles del cliente, haga clic con el botn derecho en el cono de Mobile VPN con SSL
en la bandeja del sistema (Windows) o haga clic en el cono de Mobile VPN con SSL en la barra de men
(Mac OS X). Puede seleccionar las siguientes acciones:
Conectar/Desconectar
Ver registros
Propiedades
Windows: Seleccione Iniciar programa en el inicio para iniciar al cliente cuando se inicia Windows.
Ingrese un nmero de Nivel de registro para cambiar el nivel de detalle incluido en los registros.
Mac OS X: Muestra informacin detallada sobre la conexin SSL VPN. Tambin puede establecer el
nivel de registro.
Acerca de las
Se abre el cuadro de dilogo de Mobile VPN WatchGuard con informacin acerca del software
cliente.
Para obtener el archivo de configuracin de Mobile VPN con SSL, debe instalar el WatchGuard System
Manager. Luego puede usar el Firebox System Manager para obtener el archivo. Para obtener ms
informacin, consulte el captulo Mobile VPN para SSL en la Ayuda o Gua del usuario del WatchGuard
System Manager.
6. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.
Para Mac OS X:
Mac OS X
1. En una ventana del Buscador, ingrese en la carpeta Aplicaciones > WatchGuard.
2. Haga doble clic en la aplicacin Desinstalar WG SSL VPN para iniciar el programa de desinstalacin.
Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
3. Haga clic en OK en el cuadro de dilogo Advertencia.
4. Haga clic en OK en el cuadro de dilogo Listo.
5. En una ventana del Buscador, ingrese en la carpeta Aplicaciones.
6. Arrastre la carpeta WatchGuard a la Papelera de reciclaje.
WebBlocker utiliza una base de datos de direcciones de sitios web controlada por SurfControl, una
compaa lder en filtros web. Cuando un usuario de su red intenta conectarse a un sitio web, el dispositivo
WatchGuard examina la base de datos de WebBlocker. Si el sitio web no est en la base de datos y no est
bloqueado, la pgina se abre. Si el sitio web est en la base de datos de WebBlocker y est bloqueado,
aparece una notificacin y el sitio web no se muestra.
WebBlocker funciona con servidores proxy HTTP y HTTPS para filtrar la navegacin web. Si no configur un
proxy HTTP o HTTPS, el proxy se configura y activa de manera automtica cuando activa WebBlocker.
El WebBlocker Server alberga la base de datos de WebBlocker que el dispositivo WatchGuard utiliza para
filtrar el contenido web. Si utiliza WebBlocker en un dispositivo WatchGuard cualquiera distinto de Edge,
primero debe configurar un WebBlocker Server local en su estacin de administracin. Por defecto,
WebBlocker en Edge utiliza un WebBlocker Server albergado y mantenido por WatchGuard.
El WebBlocker Server se instala como parte de la instalacin de WatchGuard System Manager. Para
aprender a configurar un WebBlocker Server, consulte la ayuda de WatchGuard System Manager en
http://www.watchguard.com/help/docs/fireware/11/es-ES/index.html.
Para configurar WebBlocker en el dispositivo WatchGuard, debe tener una license key de WebBlocker y
registrarla en el sitio web de LiveSecurity. Despus de registrar la License Key, LiveSecurity le otorgar una
tecla de funcin.
Para obtener ms informacin acerca de las teclas de funcin, consulte Acerca de las teclas de funcin en la
pgina 51.
Para utilizar WebBlocker en un Firebox Core o Peak, o en un dispositivo WatchGuard XTM, primero debe
configurar un WebBlocker Server en su red local. Para utilizar WebBlocker en un Firebox X Edge, no es
necesario que configure un servidor local de WebBlocker. De manera predeterminada, WebBlocker en
Firebox X Edge se conecta con un WebBlocker Server mantenido por WatchGuard.
Para instalar su WebBlocker Server propio, debe descargar e instalar el software WatchGuard System
Manager.
Para aprender a configurar un servidor local de WebBlocker, consulte la ayuda de WatchGuard System
Manager en http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.
Despus de instalar un WebBlocker Server en una computadora de su red local, debe cambiar sus perfiles
de WebBlocker para utilizar su Servidor local de WebBlocker.
Para obtener instrucciones para cambiar sus perfiles de WebBlocker, consulte Activacin de WebBlocker en
la pgina 562.
Activacin de WebBlocker
Para utilizar WebBlocker, debe definir las acciones de WebBlocker por lo menos para un perfil de
WebBlocker, que especifica el WebBlocker Server a utilizar y las categoras de contenido a bloquear. Luego,
puede aplicar el perfil de WebBlocker a una poltica de proxy HTTP o HTTP.
Cuando un usuario intenta visitar un sitio web, Firebox le enva una solicitud al WebBlocker Server para
averiguar si el usuario puede acceder a ese sitio web sobre la base de la categora del sitio. El resultado de
esta solicitud se guarda en una memoria cach. Puede cambiar el tamao de esta memoria cach para
mejorar el rendimiento.
Antes de empezar
En el caso de todos los dispositivos WatchGuard a excepcin de Firebox X Edge, debe instalar un servidor
WebBlocker local antes de poder configurar WebBlocker en Firebox.
Ingrese la cantidad de segundos para intentar conectarse con el WebBlocker Server antes de
que se agote el tiempo de espera del dispositivo WatchGuard.
El trfico est
Para permitir que el usuario vea el sitio web si el dispositivo WatchGuard no puede conectarse
con el WebBlocker Server, seleccione Permitido.
Para bloquear el sitio web para el usuario si el dispositivo WatchGuard no puede conectarse
con el WebBlocker Server, seleccione Negado.
Para enviar un mensaje al archivo de registro cuando WebBlocker niega el acceso a un sitio
porque el dispositivo WatchGuard no puede conectarse con el WebBlocker Server, marque la
casilla de verificacin Registrar sitios negados.
5. Para controlar si los usuarios de su red pueden acceder a los sitios web si WebBlocker est activado
pero expira la suscripcin de seguridad de WebBlocker, en la lista desplegable Cuando la licencia de
WebBlocker expira, el acceso a todos los sitios est, seleccione una de estas opciones:
Negado
Seleccione esta opcin para bloquear el acceso a todos los sitios web cuando la licencia del
WebBlocker expira.
Permitido
Seleccione esta opcin para permitir el acceso a todos los sitios web cuando la licencia del
WebBlocker expira.
Por defecto, la derivacin de licencia est configurada para bloquear el acceso a todos los sitios web
si la suscripcin de seguridad de WebBlocker expir. sta es la opcin ms segura si debe bloquear a
sus usuarios de tipos de contenido especficos.
Para obtener informacin acerca de cmo renovar su suscripcin de seguridad, consulte Renovar
suscripciones de seguridad en la pgina 575.
6. Para mejorar el rendimiento de WebBlocker, aumente el valor del Tamao de cach.
7. En la seccin Servidores WebBlocker, configure un WebBlocker Server.
Puede agregar un segundo WebBlocker Server para utilizarlo como servidor de respaldo si Firebox
no puede conectarse con el servidor principal. Siga los mismos pasos para agregar un WebBlocker
Server de respaldo. El primer servidor de la lista es el servidor principal.
n Para desplazar un servidor hacia arriba o hacia abajo en la lista, haga clic en la direccin IP del
servidor y luego en Mover hacia arriba o en Mover hacia abajo.
n Para eliminar un servidor de la lista, seleccinelo y haga clic en Eliminar.
Para permitir que los usuarios eludan WebBlocker si tienen la frase de contrasea correcta:
1. En la seccin Anulacin local, marque la casilla de verificacin Utilizar esta frase de contrasea y el
tiempo de espera de inactividad para permitir la anulacin local de WebBlocker.
2. En el cuadro de texto Frase de contrasea, ingrese la frase de contrasea.
3. En el cuadro de texto Confirmar, vuelva a ingresar la misma contrasea.
4. (Opcional) Cambie el valor del Tiempo de espera de inactividad.
2. Marque las casillas de verificacin adyacentes a las categoras de sitios web que desea bloquear en
este perfil de WebBlocker.
Para obtener ms informacin acerca de las categoras de WebBlocker, consulte Acerca de las
Categoras de WebBlocker en la pgina 569.
3. Para crear un mensaje de registro cuando se niega un sitio web sobre la base de una categora que
decidi bloquear, marque la casilla de verificacin Registrar esta accin.
4. Haga clic en Guardar.
La poltica de WebBlocker se agrega a la lista.
En la pgina de WebBlocker:
1. En la seccin Acciones de WebBlocker, en la lista Acciones HTTP y HTTPS, junto a cada accin de
proxy, haga clic en la lista desplegable y seleccione un perfil de WebBlocker.
Para obtener ms informacin acerca de cmo agregar excepciones de WebBlocker, consulte Agregar
WebBlocker Excepciones en la pgina 573.
Cuando un usuario intenta dirigirse a un sitio bloqueado por la poltica de WebBlocker, si est activada la
anulacin local, el usuario ve un deny message en el navegador.
Para obtener acceso al sitio solicitado, el usuario debe ingresar el destino de anulacin y la contrasea de
anulacin.
1. En el cuadro de texto Destino de anulacin, ingrese la URL a la cual desea permitir el acceso. Por
defecto, el destino de anulacin se configura como la URL que se bloque. Puede utilizar comodines
en el destino de anulacin para otorgar acceso a ms de un sitio o a ms pginas de un mismo sitio.
Ejemplos de destinos de anulacin que utilizan comodines:
*.amazon.com
permite acceder a todos los domain names que terminan con amazon.com, como images-
amazon.com
www.amazon.com/books-used-books-textbooks/*
Despus de que el usuario ingresa la contrasea de anulacin correcta, Firebox le permite acceder al
destino de anulacin hasta que un usuario autenticado cierre sesin o hasta que no haya trfico a un sitio
con coincidencia durante la cantidad de tiempo especificada en el tiempo de espera de inactividad de
anulacin local de WebBlocker. La anulacin local se activa y el tiempo de espera de inactividad de la
anulacin local se configura en el perfil de WebBlocker..
Para obtener ms informacin acerca de cmo configurar la anulacin local de WebBlocker, consulte
Activacin de WebBlocker en la pgina 562.
Un sitio web se agrega a una categora cuando los contenidos del sitio web coinciden con el criterio
correcto. Los sitios web que ofrecen opiniones o material educativo acerca del tema de la categora no
estn incluidos. Por ejemplo, la categora Drogas ilegales niega los sitios que indican cmo utilizar la
marihuana. No niegan los sitios que contienen informacin acerca del consumo histrico de marihuana.
SurfControl peridicamente agrega nuevas categoras de sitios web. Las nuevas categoras no aparecen en
la pgina de configuracin de WebBlocker hasta que WatchGuard actualiza el software para agregar las
nuevas categoras.
Para bloquear los sitios que cumplen con los criterios para una nueva categora de SurfControl que todava
no forma parte de una actualizacin del software de WebBlocker, seleccione la categora Otro.
Para bloquear los sitios que no cumplen con los criterios para ninguna otra categora, seleccione la
categora Sin categorizar.
Las excepciones de WebBlocker se aplican solamente al trfico HTTP. Si niega un sitio con WebBlocker, el
sitio no se agrega automticamente a la lista de Sitios bloqueados.
Para agregar excepciones de WebBlocker, consulte Agregar WebBlocker Excepciones en la pgina 573.
Tambin puede elegir no utilizar las categoras en absoluto y en cambio, utilizar reglas de excepcin slo para
restringir el acceso a sitios web. Para hacer esto, haga clic en el botn de radio Negar acceso al sitio web.
Para bloquear las URL que contengan la palabra sexo en la ruta, puede ingresar */*sexo*. Para
bloquear las URL que contengan la palabra sexo en la ruta o en el nombre de host, ingrese *sexo*.
Puede bloquear los puertos de una URL. Por ejemplo, observe la URL
http://www.hackerz.com/warez/index.html:8080. Esta URL hace que el navegador utilice el protocolo
HTTP en el puerto TCP 8080 en lugar del mtodo predeterminado que utiliza el puerto TCP 80. Puede
bloquear el puerto al generar la coincidencia *8080.
1. Desde la Fireware XTM Web UI, seleccione Servicios de suscripcin > WebBlocker.
Aparece la pgina de WebBlocker.
2. En la seccin Perfiles de WebBlocker, junto a la poltica de WebBlocker, haga clic en Configurar.
Aparecer la configuracin de la poltica de WebBlocker.
4. En el cuadro de texto debajo de la lista Sitios permitidos, ingrese la URL exacta o el patrn de URL
de un sitio al cual desee permitir el acceso siempre. Haga clic en Agregar para agregarlo a la lista de
excepciones de Sitios permitidos.
5. En el cuadro de texto debajo de la lista Sitios negados, ingrese la URL exacta o el patrn de URL de
un sitio al cual desee negar el acceso siempre. Haga clic en Agregar para agregarlo a la lista de Sitios
negados.
Nota Cuando ingrese una excepcin de URL, no incluya http:// al comienzo. Puede
utilizar el smbolo comodn, *, para buscar coincidencia de cualquier carcter. Por
ejemplo, la excepcin www.algunsitio.com/* generar coincidencias de todas las
rutas de URL en el sitio web www.algunsitio.com. Puede utilizar ms de un
comodn en una excepcin de URL.
6. En la seccin Usar lista de categora, puede configurar la accin que desea realizar si la URL no
coincide con las excepciones que configura. La configuracin predeterminada es que el botn de
radio Use la lista de categora de WebBlocker para determinar accesibilidad est seleccionado y
WebBlocker compare los sitios contra las categoras seleccionadas en la pestaa Categoras para
determinar la accesibilidad.
Tambin puede elegir no utilizar las categoras en absoluto y en cambio, utilizar reglas de excepcin
slo para restringir el acceso a sitios web. Para hacer esto, haga clic en el botn de radio Negar
acceso al sitio web.
7. Haga clic en Guardar.
Para ver la fecha de vencimiento de sus servicios de suscripcin, en la Web UI deFireware XTM, seleccione
Sistema >Tecla de funcin. La columna Vencimiento muestra la fecha de vencimiento de la suscripcin.
Cuando renueva la suscripcin de seguridad, debe actualizar la tecla de funcin del dispositivo WatchGuard.
Para actualizar la tecla de funcin, desde la Web UI deFireware XTM, seleccione Sistema > Tecla de
funcin.
Para obtener ms informacin acerca de las teclas de funcin, consulte Acerca de las teclas de funcin en la
pgina 51.
Los filtros de correo comerciales utilizan muchos mtodos para detectar el spam. Las listas negras guardan
una lista de dominios que son utilizados por fuentes de spam conocidas y son rels abiertos para el spam.
Los filtros de contenido buscan palabras clave en el encabezado y en el cuerpo del mensaje de correo
electrnico. La deteccin de URL compara una lista de dominios utilizados por fuentes de spam conocidas
con el enlace publicitado en el cuerpo del mensaje de correo electrnico. No obstante, todos estos
procedimientos escanean cada mensaje de correo electrnico individual. Los atacantes pueden evitar
fcilmente esos algoritmos fijos. Pueden enmascarar la direccin del emisor para evitar una lista negra,
cambiar las palabras clave, integrar palabras en una imagen o utilizar mltiples idiomas. Tambin pueden
crear una cadena de servidores proxy para camuflar la URL publicitada.
spamBlocker adems proporciona una funcin opcional de Virus Outbreak Detection. Para ms
informaciones, vea Active y configure los parmetros de la Virus Outbreak Detection (VOD) en la pgina 601.
Para ver las estadsticas de la actividad actual de spamBlocker, seleccione Panel de instrumentos > Servicios
de suscripcin.
n Una tecla de funcin de spamBlocker: para obtener una tecla de funcin, comunquese con su
revendedor de WatchGuard o dirjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store
n Un servidor de correo electrnico POP3 o SMTP: spamBlocker trabaja con los servidores proxy
SMTP entrantes y POP3 de WatchGuard para escanear su correo electrnico. Si no configur el
proxy POP3 o SMTP, estos se activarn cuando configure el servicio de spamBlocker. Si tiene ms de
una poltica de proxy para POP3 o para SMTP, spamBlocker trabajar con todas.
n El DNS debe estar configurado en su Firebox: en la Fireware XTM Web UI, seleccione Red >
Interfaces. En la lista Servidores DNS, agregue las direcciones IP de los servidores DNS que su
dispositivo WatchGuard utiliza para resolver los nombres de host.
n Una conexin a Internet disponible
Permitir
Permitir que el mensaje de correo electrnico pase por Firebox pero insertar texto en la lnea de
asunto del mensaje de correo electrnico para marcarlo como spam o posible spam. Puede
mantener las etiquetas predeterminadas o personalizarlas, como se describe en la seccin de
etiquetas de spamBlocker a continuacin. Tambin puede crear reglas en su lector de correo
electrnico para clasificar el spam de manera automtica, como se describe en Cree reglas para su
lector de correo electrnico en la pgina 602.
Enviar el mensaje de correo electrnico al Quarantine Server. Tenga en cuenta que la opcin Poner
en cuarentena est admitida slo si utiliza spamBlocker con el proxy SMTP. El proxy POP3 no admite
esta opcin.
Evita que el mensaje de correo electrnico sea entregado al servidor de correo. Firebox enva este
mensaje SMTP 571 al servidor de correo electrnico enviante: Entrega no autorizada, mensaje
rechazado. La opcin Negar se admite slo si utiliza spamBlocker con el proxy SMTP. El proxy POP3
no admite esta opcin.
Etiquetas de spamBlocker
Si selecciona la accin de spamBlocker para agregar una etiqueta a determinados mensajes de correo
electrnico, Firebox agrega una cadena de texto a la lnea de asunto del mensaje. Puede utilizar las
etiquetas predeterminadas provistas o crear etiquetas personalizadas. La longitud mxima de la etiqueta es
de 30 caracteres.
Este ejemplo muestra la lnea de sujeto de un mensaje de correo electrnico confirmado como spam. La
etiqueta que se agreg fue la predeterminada: ***SPAM***.
Asunto: ***SPAM*** Cotizacin gratuita de seguro automotor
La categora Spam confirmado incluye los mensajes de correo electrnico que vienen de emisores de
spam conocidos. Si utiliza spamBlocker con el proxySMTP, le recomendamos que utilice la accin Negar
para este tipo de correo electrnico. Si utiliza spamBlocker con el proxy POP3, le recomendamos que
utilice la accin Agregar etiqueta de asunto para este tipo de correo electrnico.
La categora Masivo incluye a los mensajes de correo electrnico que no provienen de emisores conocidos
pero que coinciden con algunos patrones de estructura de spam conocidos. Le recomendamos que utilice
la accin Agregar etiqueta de asunto para este tipo de correo electrnico, o bien, la accin Poner en
cuarentena si utiliza spamBlocker con el proxy SMTP.
La categora Sospechoso incluye a los mensajes de correo electrnico que parecen poder asociarse con un
nuevo ataque de spam. Con frecuencia, estos mensajes son mensajes de correo electrnico legtimos. Le
recomendamos que considere los mensajes de correo electrnico sospechosos como un falso positivo y en
consecuencia, no como spam, a menos que haya verificado que no se trata de un falso positivo para su red.
Tambin le recomendamos que utilice la accin Permitir para el correo electrnico sospechoso, o bien, la
accin Poner en cuarentena si utiliza spamBlocker con el proxy SMTP.
Para encontrar la calificacin de spam de un mensaje, abra el encabezado completo del mensaje de correo
electrnico.
Si tiene Microsoft Outlook, abra el mensaje, seleccione Ver > Opciones y busque en el cuadro de dilogo
Encabezados de Internet.
La calificacin de spam aparece en esta lnea:
X-WatchGuard-Spam_Score:
Por ejemplo:
X-WatchGuard-Spam-Score: 3, masivo; 0, sin virus
El primer nmero en esta lnea es la categora de spam. Este nmero tiene uno de estos valores:
0 - limpio
1 - limpio
2 - sospechoso
3 - masivo
4 - spam
0 - sin virus
1 - sin virus
2 - posible amenaza de virus
3 - alta amenaza de virus
Configurado spamBlocker
Para configurar spamBlocker para un proxy SMTP o POP3:
n Si configura esta opcin como Negado para el proxy POP3 o SMTP, esto causar un conflicto
con Microsoft Outlook. Cuando Outlook inicia una conexin con el servidor de correo
electrnico, spamBlocker intenta comunicarse con el servidor de spamBlocker. Si el servidor
de spamBlocker no est disponible, spamBlocker detiene la descarga de correos electrnicos.
Cuando esto ocurre, comienza un ciclo. Outlook intenta descargar los correos electrnicos y
spamBlocker detiene la descarga. Esto contina hasta que el dispositivo WatchGuard logra
conectarse al servidor de spamBlocker, se abandona la solicitud porque se vencen los tiempos
de proxy o usted cancela la solicitud.
Nota Si tiene algn firewall perimetral entre el dispositivo WatchGuard que utiliza
spamBlocker e Internet, ste no debe bloquear el trfico HTTP. El protocolo HTTP se
utiliza para enviar solicitudes desde el dispositivo WatchGuard hasta el servidor de
spamBlocker.
Despus de activar spamBlocker para una accin o poltica de proxy, puede definir la configuracin global
de spamBlocker. Estos ajustes se aplican a todas las configuraciones de spamBlocker. Haga clic en
Configuracin para ver o modificar la configuracin global de spamBlocker. Para ms informaciones, vea
Configure los parmetros globales de spamBlocker en la pgina 597.
Asegrese de utilizar la direccin real del emisor, que figura en el campo Correo de en el encabezado del
mensaje de correo electrnico, que posiblemente no coincida con la direccin del campo De: que ve en
la parte superior del mensaje de correo electrnico. Para obtener la direccin real para la excepcin,
busque el encabezado completo del mensaje de correo electrnico (desde Microsoft Outlook, con el
mensaje abierto, seleccione Ver > Opciones y busque en el cuadro Encabezados de Internet). Las
direcciones del emisor y el destinatario estn en estas lneas:
X-WatchGuard-Mail-From:
X-WatchGuard-Mail-Recipients:
Tenga cuidado cuando agrega comodines a una excepcin. Los emisores de spam pueden replicar la
informacin del encabezado. Cuanto ms especficas sean las direcciones de su lista de excepciones, ms
difcil ser replicarlas.
Para agregar una regla de excepcin, consulte Agregar spamBlocker reglas de excepciones en la pgina 589.
Para cambiar el orden de las reglas enumeradas en el cuadro de dilogo, consulte Cambiar el orden de las
Excepciones en la pgina 591.
3. Desde la lista desplegable Accin, seleccione una accin de la regla: Permitir, Agregar etiqueta de
asunto, Poner en cuarentena, Negar o Abandonar. (Recuerde que el proxy POP3 slo admite las
acciones Permitir y Agregar etiqueta de asunto en spamBlocker).
Las excepciones se procesan en el mismo orden en que aparecen en la lista. De ser necesario, haga clic en
los botones Arriba y Abajo para Cambiar el orden de las Excepciones.
Para cambiar el orden de las reglas, seleccione la regla cuyo orden desea cambiar. Haga clic en el botn
Arriba o Abajo para desplazar la regla seleccionada hacia arriba o abajo de la lista.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la accin que debe realizar el
dispositivo WatchGuard si VOD detecta un virus en un mensaje de correo electrnico.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la accin que debe
realizar el dispositivo WatchGuard cuando VOD no puede escanear un mensaje de correo
electrnico o un adjunto.
Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados
El proxy SMTP admite las acciones Permitir, Bloquear, Eliminar, Poner en cuarentena, Abandonar y
Bloquear. El proxy POP3 slo admite las acciones Permitir, Bloquear y Eliminar.
Para obtener ms informacin acerca de estas acciones, consulte Acciones, etiquetas y categoras de
spamBlocker en la pgina 581.
2. Cuando configura las acciones que spamBlocker aplicar a las diferentes categoras de correo
electrnico (como se describe en Configurado spamBlocker en la pgina 583), asegrese de
seleccionar la accin Poner en cuarentena por lo menos para una de las categoras.
Tambin puede seleccionar la accin Poner en cuarentena para los mensajes de correo electrnico
identificados por Virus Outbreak Detection como portadores de virus. Para ms informaciones, vea
Configurar acciones de Virus Outbreak Detection para una poltica en la pgina 593.
Si desea utilizar ms de una poltica de proxy con spamBlocker, su red debe utilizar una de estas
configuraciones:
Para mejorar la precisin de la calificacin del spam, puede ingresar uno o ms nombres de host o domain
names de servidores de correo electrnico en los cuales confe para que reenven el correo electrnico a
su servidor de correo electrnico. Si utiliza un servidor SMTP, ingrese uno o ms nombres de host o domain
names de los servidores de correo electrnico SMTP en los cuales confe para que reenven los mensajes a
su servidor de correo electrnico. Si utiliza un servidor POP3, ingrese los domain names de proveedores
POP3 conocidos o comnmente utilizados en los cuales confa para descargar sus mensajes por medio de
ellos.
VOD utiliza el valor mayor de los tamaos de archivo mximos configurados para la VOD o el spamBlocker.
Si el valor global para spamBlocker del campo Tamao mximo de archivo para escanear configurado en ,
pestaa Configuracin es mayor que el valor de Tamao mximo de archivo VOD para escanear, VOD
utilizar el valor global para spamBlocker. Para obtener informacin acerca de la configuracin global de
spamBlocker, consulte Configure los parmetros globales de spamBlocker en la pgina 597.
En las definiciones de proxy para spamBlocker, puede configurar las acciones que desea que spamBlocker
realice cuando encuentre un virus, como se describe en Configurar acciones de Virus Outbreak Detection
para una poltica en la pgina 593.
Para obtener informacin acerca de cmo configurar el tamao mximo del archivo a escanear mediante
spamBlocker y la VOD, consulte Configure los parmetros globales de spamBlocker en la pgina 597 y
Active y configure los parmetros de la Virus Outbreak Detection (VOD) en la pgina 601
Como puede utilizar una etiqueta diferente para cada categora de spamBlocker, puede configurar una
regla diferente para cada categora. Por ejemplo, puede configurar una regla para trasladar todos los
mensajes de correo electrnico que contengan la etiqueta ***MASIVO*** en la lnea de asunto a una
subcarpeta para correos masivos en su bandeja de entrada. Puede configurar otra regla que elimine todos
los mensajes de correo electrnico que contengan la etiqueta ***SPAM*** en la lnea de asunto.
Para obtener instrucciones acerca de cmo configurar el cliente de correo electrnico Microsoft Outlook,
consulte Enviar correos electrnicos spam o masivos a carpetas especiales en Outlook en la pgina 603.
Para obtener informacin acerca de cmo utilizar este procedimiento en otros tipos de clientes de correo
electrnico, consulte la documentacin del usuario de esos productos.
Antes de comenzar, asegrese de configurar spamBlocker para agregar una etiqueta a los correos
electrnicos spam y masivos. Puede utilizar las etiquetas predeterminadas o crear etiquetas personalizadas.
Los siguientes pasos describen cmo crear carpetas con las etiquetas predeterminadas.
Repita estos pasos para crear una regla para el correo electrnico masivo, utilizando la etiqueta correo
electrnico masivo. Puede enviar el correo electrnico masivo a la misma carpeta o crear una carpeta
independiente para el correo electrnico masivo.
Nota No enve un informe acerca de un falso positivo cuando el correo electrnico fue
asignado a la categora Sospechoso. Como sta no es una categora permanente,
Commtouch no investiga los informes de error de spam sospechoso.
Debe tener acceso al mensaje de correo electrnico para enviar un informe de falso positivo o falso
negativo a Commtouch. Tambin debe conocer la categora (Spam confirmado, Masivo) en la cual
spamBlocker coloc el mensaje de correo electrnico. Si no conoce la categora, consulte la seccin
"Buscar la categora a la cual est asignado un mensaje" a continuacin.
Si tiene muchos mensajes acerca de los cuales desea informar a Commtouch, puede incluirlos a todos en
un archivo Zip. No coloque el archivo Zip dentro de un archivo Zip. El archivo Zip slo se puede comprimir
un nivel para que Commtouch pueda analizarlo de manera automtica.
Para ver los encabezados de los correos electrnicos si utiliza Microsoft Outlook:
Para ver los encabezados de los correos electrnicos si utiliza Microsoft Outlook Express:
1. Abra el mensaje de correo electrnico en una ventana nueva o resltelo en Outlook Express.
2. Si abre el correo electrnico en una ventana independiente, seleccione Archivo > Propiedades.
Si destaca el correo electrnico en Outlook Express, haga clic derecho sobre ste y seleccione
Propiedades.
3. Haga clic en la pestaa Detalles para ver los encabezados.
Para ver los encabezados de los correos electrnicos si utiliza Mozilla Thunderbird:
La RED de WatchGuard utiliza un servidor de reputacin de WatchGuard basado en nube que asigna una
calificacin de reputacin entre 1 y 100 a cada URL. Cuando un usuario se dirige a un sitio web, la RED enva
la direccin web (o URL) solicitada al servidor de reputacin de WatchGuard. El servidor de WatchGuard
responde con una calificacin de reputacin para esa URL. Sobre la base de la calificacin de reputacin y
de los umbrales configurados localmente, la RED determina si el dispositivo XTM debe eliminar el trfico,
permitir el trfico y escanearlo de manera local o permitirlo sin un escaneo local. Esto aumenta el
rendimiento, porque el Gateway AntiVirus no necesita escanear las URL que tienen una reputacin buena o
mala reconocida.
Umbrales de reputacin
Puede configurar dos umbrales de calificacin de reputacin:
n Umbral de reputacin mala Si la calificacin de una URL supera el umbral de reputacin Mala, el
proxy HTTP niega el acceso sin inspeccionar nada ms.
n Umbral de reputacin buena Si la calificacin de una URL es inferior al umbral de reputacin
Buena y el Gateway AntiVirus est activado, el proxy HTTP deriva el escaneo del Gateway Antivirus.
Si la calificacin de una URL es igual o se encuentra entre los umbrales de reputacin configurados y el
Gateway Antivirus est activado, el contenido es escaneado en busca de virus.
Calificaciones de reputacin
La calificacin de reputacin de una URL se basa en los comentarios recolectados de dispositivos de todo el
mundo. Incorpora los resultados de escaneo de dos motores contra el malware principales: Kaspersky y
AVG. La Defensa de reputacin activada utiliza la inteligencia colectiva de la nube para mantener la
seguridad de la navegacin por Internet y optimizar el rendimiento en la puerta de enlace.
Una calificacin de reputacin ms cercana a 100 indica que es bastante probable que la URL contenga una
amenaza. Una calificacin de reputacin ms cercana a 1 indica que es mucho menos probable que la URL
contenga una amenaza. Si el servidor de la RED no tiene una calificacin previa para una direccin web
determinada, le asignar una calificacin neutral de 50. La calificacin de reputacin cambia desde la
calificacin predeterminada de 50 sobre la base de una cantidad de factores.
Estos factores pueden hacer que la calificacin de reputacin de una URL aumente, o se desplace hacia el 100:
Estos factores pueden hacer que la calificacin de reputacin de una URL disminuya, o se desplace hacia el 1:
Las calificaciones de reputacin pueden cambiar con el paso del tiempo. Para un mejor rendimiento, el
dispositivo XTM almacena las calificaciones de reputacin de las direcciones web a las que se accedi
recientemente en una cach local.
Le recomendamos que active la carga de los resultados de escaneo local a WatchGuard para mejorar la
cobertura y precisin general de la Defensa de reputacin activada.
Antes de empezar
La Defensa de reputacin activada es un servicio de suscripcin. Antes de configurar la RED, debe Obtener
una tecla de funcin junto a LiveSecurity en la pgina 52 y Agregar una tecla de funcin a su Firebox en la
pgina 54.
2. Seleccione una accin de proxy HTTP definida por el usuario y haga clic en Configurar. No puede
configurar la Defensa de reputacin activada para las acciones de proxy predefinidas.
Aparece la configuracin de la Defensa de reputacin activada para esa accin de proxy.
3. Marque la casilla de seleccin Bloquear de inmediato las URL que tengan mala reputacin para
bloquear el acceso a los sitios con calificaciones superiores al umbral de reputacin Mala
configurado.
4. Marque la casilla de seleccin Derivar cualquier escaneo de virus configurado para las URL que
tengan buena reputacin para hacer que el Gateway AntiVirus ignore los sitios que tengan una
calificacin inferior al umbral de reputacin Buena configurado.
5. Si desea activar una alarma para la accin, marque la casilla de seleccin Alarma para esa accin de
la RED. Si no desea utilizar la alarma, desmarque la casilla de seleccin Alarma para esa accin.
6. Si desea guardar los mensajes de registro de la accin, marque la casilla de seleccin Registro para
esa accin de la RED. Si no desea guardar los mensajes de registro para una respuesta de la RED,
limpie la casilla de seleccin Registro para esa accin.
Para ver o cambiar la configuracin de comentarios, seleccione Servicios de suscripcin > Defensa de
reputacin activada.
La casilla de seleccin Enviar resultados de escaneo cifrados a los servidores de WatchGuard para
mejorar la cobertura y precisin general controla el hecho de si el dispositivo XTM enva los resultados de
escaneo del Gateway AntiVirus a los servidores de WatchGuard. Esta casilla de seleccin se marca de forma
predeterminada cuando configura la Defensa de reputacin activada.
n Marque esta casilla de seleccin para enviar los resultados de escaneo del Gateway AntiVirus a
WatchGuard.
n Limpie esta casilla de seleccin si no desea enviar los resultados de escaneo del Gateway AntiVirus.
Le recomendamos que permita que el dispositivo XTM enve los resultados de escaneo del antivirus a
WatchGuard. Esto puede ayudar a mejorar el rendimiento, porque los resultados de escaneo ayudan a
mejorar la precisin de las calificaciones de reputacin. Todo comentario enviado al servicio de Defensa de
reputacin activada de WatchGuard ser cifrado.
Los virus, incluidos los gusanos y los troyanos, son programas de computadora maliciosos que se
autorreplican y colocan copias de s mismos en otros cdigos ejecutables o documentos de su
computadora. Cuando una computadora est infectada, el virus puede destruir archivos o registrar
pulsaciones.
Las intrusiones son ataques directos a su computadora. Por lo general, el ataque explota una vulnerabilidad
en una aplicacin. Estos ataques son creados para daar su red, obtener informacin importante o utilizar
sus computadoras para atacar otras redes.
Para ayudar a proteger su red de virus e intrusiones, puede adquirir el Gateway AntiVirus/Intrusion
Prevention Service (Gateway AntiVirus/IPS) opcional para que el dispositivo de WatchGuard identifique y
evite los ataques. El servicio de Intrusion Prevention y el Gateway AntiVirus funcionan con los servidores
proxy SMTP, POP3, HTTP, FTP y TCP-UDP. Cuando se identifica un nuevo ataque, se registran las
caractersticas que hacen nico a ese ataque de virus o intrusin. Estas caractersticas registradas se
conocen como la firma. El Gateway AntiVirus/IPS utiliza estas firmas para detectar virus y ataques de
intrusiones cuando son escaneados por el proxy.
Cuando activa el Gateway AntiVirus/IPS para un proxy, el Gateway AntiVirus/IPS escanea los tipos de
contenido configurados para ese proxy.
Nota Con el objetivo de mejorar el rendimiento, Firebox X Edge e-Series no escanea los
siguientes tipos de contenido cuando utiliza el Gateway AntiVirus con el proxy
El Gateway AntiVirus/IPS puede escanear estos tipos de archivo comprimido: .zip, .gzip, .tar, .jar, .rar, .chm,
.lha, .pdf, contenedor XML/HTML, contenedor OLE (documentos de Microsoft Office), MIME
(principalmente los mensajes de correo electrnico en formato EML), .cab, .arj, .ace, .bz2 (Bzip), .swf (flash;
con soporte limitado).
Puede adquirir la actualizacin del Gateway AntiVirus/IPS para utilizar estos servicios. Para obtener ms
informacin visite el sitio web WatchGuard LiveSecurity en http://www.watchguard.com/store o
comunquese con su revendedor de WatchGuard.
Puede observar las estadsticas acerca de la actividad actual del Gateway AntiVirus y el servicio de Intrusion
Prevention en la pgina Panel de instrumentos > Servicios de suscripcin, como se describe en Ver estado
de servicios de suscripcin y actualizar firmas manualmente en la pgina 623.
En Internet, aparecen con frecuencia nuevos virus y mtodos de intrusin. Para asegurarse de que el
Gateway AntiVirus/IPS le proporcione la mejor proteccin, debe actualizar las firmas con frecuencia. Puede
configurar el dispositivo WatchGuard para actualizar las firmas automticamente desde WatchGuard, como
de describe en Configurar el servidor de actualizacin del Gateway AntiVirus/IPS en la pgina 622. Tambin
puede Ver estado de servicios de suscripcin y actualizar firmas manualmente.
El Gateway AntiVirus y el IPS pueden escanear distintos tipos de trfico conforme a con qu polticas de
proxy usted utiliza la caracterstica:
n Proxy SMTP o POP3: El Gateway AntiVirus/IPS busca virus e intrusiones codificados con mtodos de
adjuntos de correo electrnico utilizados con frecuencia. Tambin puede utilizar el Gateway
AntiVirus y el proxy SMTP para enviar correos electrnicos infectados con virus al Quarantine
Server. Para ms informaciones, vea Pgina Acerca de Quarantine Server en la pgina 635 y
Configurado Gateway AntiVirus a colocar mensajes de correo electrnico en cuarentena en la
pgina 619.
n Proxy HTTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los sitios web que los usuarios
intentan descargar.
n Proxy de TCP-UDP: Este proxy escanea el trfico en los puertos dinmicos. Reconoce el trfico de
muchos tipos de servidores proxy diferentes, incluidos los servidores proxy HTTP y FTP. El proxy
TCP-UDP luego enva el trfico al proxy adecuado para escanearlo y detectar virus e intrusiones.
Tambin puede utilizar el proxy TCP-UDP para bloquear los servicios de mensajera instantnea (IM)
o punto a punto (P2P).
n Proxy FTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los archivos cargados o
descargados.
n Proxy DNS: El Gateway AntiVirus/IPS busca intrusiones en los paquetes DNS.
Cada proxy que utiliza el Gateway AntiVirus/IPS est configurado con opciones especiales para ese proxy.
Por ejemplo, las categoras de elementos que puede escanear son diferentes para cada proxy.
En todos los servidores proxy, usted puede limitar el escaneo de archivos a un conteo de kilobytes
especificado. El lmite de escaneo predeterminado y los lmites de escaneo mximos son diferentes para
cada modelo de dispositivo WatchGuard. Firebox escanea el comienzo de cada archivo hasta el conteo de
kilobytes especificado. Esto permite que los archivos de gran tamao pasen con un escaneo parcial.
Para obtener ms informacin acerca de los lmites de escaneo predeterminados y mximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de los lmites de escaneo del Gateway AntiVirus en la
pgina 620.
Nota Para asegurarse de que el Gateway AntiVirus tenga firmas actualizadas, puede
activar las actualizaciones automticas para el servidor del Gateway AntiVirus,
como se describe en Configurar el servidor de actualizacin del Gateway
AntiVirus/IPS en la pgina 622.
1. Obtener una tecla de funcin del Gateway AntiVirus/IPS. Comunquese con su revendedor de
WatchGuard o dirjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store.
2. Agregar una tecla de funcin a su Firebox.
2. Para actualizar la configuracin global, haga clic en Configuracin y Actualice la configuracin del
Gateway AntiVirus/IPS.
3. Para configurar acciones para una accin de proxy especfica, seleccione una accin de proxy y haga
clic en Configurar. Para obtener informacin acerca de la configuracin delGateway AntiVirus,
consulte Configurar acciones del Gateway AntiVirus.
Permitir
Bloquear el adjunto. Es una buena opcin para archivos que el dispositivo WatchGuard no puede
escanear. El usuario no puede abrir fcilmente un archivo bloqueado. Slo el administrador puede
desbloquear el archivo. El administrador puede usar una herramienta de antivirus diferente para
escanear el archivo y examinar el contenido del adjunto. Para aprender a desbloquear un archivo
bloqueado por el Gateway AntiVirus, consulte la ayuda de WatchGuard System Manager en
http://www.watchguard.com/help/docs/wsm/11/es-ES/Content/es-ES/services/gateway_av/av_
unlock_file_wsm.html.
Cuando utiliza el proxy SMTP con la suscripcin de seguridad de spamBlocker, puede enviar los
mensajes de correo electrnico que contengan virus o posibles virus al Quarantine Server. Para
obtener ms informacin sobre el Quarantine Server, consulte Pgina Acerca de Quarantine Server
en la pgina 635. Para obtener informacin sobre cmo configurar el Gateway AntiVirus para que
funcione con el Quarantine Server, consulte Configurado Gateway AntiVirus a colocar mensajes de
correo electrnico en cuarentena en la pgina 619.
Configure las medidas del Gateway AntiVirus para una accin de proxy
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripcin > Gateway AntiVirus.
Aparece la pgina de configuracin del Gateway AntiVirus.
2. Seleccione una accin de proxy definida por el usuario y haga clic en Configurar. No puede
modificar la configuracin del Gateway AntiVirus para las acciones de proxy predefinidas.
Aparece la configuracin del Gateway AntiVirus para esa accin de proxy.
3. Seleccione la casilla de verificacin Activar Gateway AntiVirus para activar el Gateway AntiVirus
para esta accin de proxy.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la accin que debe realizar el
dispositivo WatchGuard si se detecta un virus en un mensaje de correo electrnico, en un archivo o
en una pgina web. Consulte el comienzo de esta seccin para obtener una descripcin de las
acciones.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la accin que debe
realizar el dispositivo WatchGuard cuando no puede escanear un objeto o un adjunto. Los adjuntos
que no se pueden escanear incluyen mensajes codificados de BinHex, determinados archivos
cifrados o archivos que utilizan un tipo de compresin no admitido por el Gateway AntiVirus como
los archivos Zip protegidos por contrasea. Consulte el comienzo de esta seccin para obtener una
descripcin de las acciones.
6. Si desea guardar los mensajes de registro de la accin, seleccione la casilla de verificacin Registro
para la respuesta del antivirus. Si no desea guardar los mensajes de registro de una respuesta del
antivirus, desmarque la casilla de verificacin Registro.
7. Si desea activar una alarma para la accin, seleccione la casilla de verificacin Alarma para la
respuesta del antivirus. Si no desea utilizar la alarma, desmarque la casilla de verificacin Alarma
para esa accin.
8. El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes especfico. Todos los bytes
adicionales en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos
muy grandes sin ocasionar un efecto considerable en el rendimiento. Ingrese el lmite de escaneo
de archivos en el campo Limitar el escaneo a primero
Para obtener informacin sobre los lmites de escaneo predeterminados y mximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de los lmites de escaneo del Gateway AntiVirus
en la pgina 620.
Para configurar el tipo de alarma que desea utilizar para una poltica de proxy:
1. Desde la Fireware XTM Web UI, seleccione Firewall > Polticas de firewall.
2. Haga doble clic sobre una poltica para editarla.
3. Haga clic en la pestaa Propiedades
4. Establezca la configuracin de notificacin como se describe en Determinar preferencias de registro
y notificacin en la pgina 360.
Para configurar el Gateway AntiVirus para que ponga correos electrnicos en cuarentena:
1. Cuando configura el Gateway AntiVirus (como se describe en Configurar acciones del Gateway
AntiVirus en la pgina 616), debe asegurarse de activar el Gateway AntiVirus para el proxy SMTP. El
proxy POP3 no admite el Quarantine Server.
2. Cuando configura las acciones que spamBlocker aplicar a las diferentes categoras de correo
electrnico (como se describe en Configurado spamBlocker en la pgina 583), asegrese de
seleccionar la accin Poner en cuarentena por lo menos para una de las categoras. Cuando se
selecciona esta accin, se le solicita que configure el Quarantine Server si an no lo ha hecho.
Tambin puede seleccionar la accin Poner en cuarentena para los mensajes de correo electrnico
identificados por Virus Outbreak Detection como portadores de virus. Para ms informaciones, vea
Configurar acciones de Virus Outbreak Detection para una poltica en la pgina 593.
Para obtener informacin acerca de cmo configurar el lmite de escaneo, consulte Configurar acciones del
Gateway AntiVirus en la pgina 616.
Es importante que actualice las firmas del Gateway AntiVirus/Intrusion Prevention Service. Las firmas de
estos servicios no se actualizan automticamente de manera predeterminada. Puede actualizar las firmas
de dos maneras:
n Configurar el servidor de actualizacin del Gateway AntiVirus/IPS para activar las actualizaciones
automticas
n Actualice las firmas manualmente en el Firebox System Manager, como se describe en Ver estado
de servicios de suscripcin y actualizar firmas manualmente en la pgina 623.
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripcin > Gateway AntiVirus.
Aparece la pgina de configuracin del Gateway AntiVirus.
2. Haga clic en Configuraciones.
Aparece la pgina Configuracin global del Gateway AntiVirus.
3. Para escanear el interior de los adjuntos comprimidos, seleccione la casilla de verificacin Activar
descompresin. Seleccione o ingrese el nmero de niveles de descompresin que desea escanear.
Si activa la descompresin en un dispositivo Firebox XCore, Peak o WatchGuard XTM, le
recomendamos que mantenga la configuracin predeterminada de los niveles de diagrama, a
menos que su organizacin deba utilizar un valor mayor. Si especifica un nmero mayor, es posible
que el dispositivo WatchGuard enve el trfico con demasiada lentitud. El Gateway AntiVirus admite
hasta seis niveles. Si el Gateway AntiVirus detecta que la profundidad del archivo es superior al valor
configurado en este campo, generar un error de escaneo para el contenido.
Los adjuntos que no se pueden escanear incluyen archivos cifrados o archivos que utilizan un tipo de
compresin que no admitimos como los archivos Zip protegidos por contrasea. Para configurar la
accin que desea que Firebox realice cuando encuentre un mensaje que no pueda escanear,
seleccione una accin para Cuando ocurre un error de escaneo en la categora General de la
configuracin de la poltica.
4. Haga clic en Restaurar la configuracin predeterminada si desea restablecer la interfaz del usuario
a su configuracin predeterminada.
5. Haga clic en Guardar.
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripcin > Gateway AntiVirus.
O bien, seleccione Servicios de suscripcin > IPS.
2. Haga clic en Configuraciones.
Aparece la pgina de configuracin del Gateway AntiVirus o IPS.
3. Desde la lista desplegable Intervalo, ingrese el nmero de horas que debe transcurrir entre las
actualizaciones automticas.
4. Las actualizaciones automticas para el Gateway AntiVirus/IPS no estn activadas de manera
predeterminada. Para activar las actualizaciones automticas en el intervalo de actualizacin
seleccionado, haga clic en las casillas de verificacin.
Para ver el estado del sistema de servicios de suscripcin, desde la Fireware XTM Web UI, seleccione Panel
de instrumentos > Servicios de suscripcin. La pgina de estado Servicios de suscripcin muestra
estadsticas acerca de los servicios de suscripcin. En esta pgina tambin puede ver informacin acerca de
la firma actualmente instalada y consultar si hay una nueva versin disponible.
Desde la pgina de estado Servicios de suscripcin, haga clic en Actualizar para el servicio que desea
actualizar. El dispositivo WatchGuard descarga la actualizacin de firmas ms reciente que se encuentre
disponible para el Gateway AntiVirus o el servicio de proteccin de intrusiones.
Para obtener ms informacin acerca de los grficos de esta pgina, consulte Monitorear su Firebox en la
pgina 365.
Cuando el IPS bloquea una intrusin, el nombre de la intrusin aparece en el archivo de registro.
Antes de empezar
Antes de activar el Intrusion Prevention Service, debe:
1. Obtener una tecla de funcin del Gateway AntiVirus/IPS. Comunquese con su revendedor de
WatchGuard o dirjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store.
2. Agregar una tecla de funcin a su Firebox.
2. Para actualizar la configuracin global, haga clic en Configuracin y Actualice la configuracin del
Gateway AntiVirus/IPS.
3. Para configurar las accionesdel Gateway AntiVirus para una accin de proxy especfica, seleccione
una accin de proxy definida por el usuario y haga clic en Configurar.
No puede modificar la configuracin delIPS para las acciones de proxy predefinidas.
Para obtener informacin acerca de la configuracin del IPS, consulte Configurar acciones del IPS.
2. Seleccione una accin de proxy definida por el usuario y haga clic en Configurar. No puede
modificar la configuracin delIPS para las acciones de proxy predefinidas.
Aparece la configuracin del IPS para esa accin de proxy.
Nota El IPSutiliza un conjunto de firmas diferente para proteger a los clientes que el que
utiliza para proteger a los servidores. El tipo de proteccin determina qu conjunto
de firmas utilizar el IPScon el proxy. En el caso de los servidores proxy DNS, FTP,
HTTP, SMTP y POP3, el tipo de proteccin se configura de manera automtica. En
el caso del proxyTCP-UDP, puede configurar el tipo de proteccin como Cliente o
Servidor. Cliente es la opcin predeterminada y suele ser la mejor opcin.
5. (Slo para servidores proxy HTTP y TCP-UDP) Para activar la proteccin contra el spyware,
seleccione la casilla de verificacin Proteccin contra spyware.
En el caso del proxy TCP-UDP,slo puede activar la proteccin contra spyware si seleccion Cliente
como el tipo de proteccin. Cuando activa la proteccin contra spyware, el motor del IPS utiliza las
firmas de proteccin contra spyware del proyecto de fuente abierta denominado Emerging Threats
(Amenazas emergentes) adems de las firmas del IPS.
8. Para configurar un nivel de severidad mnimo para las acciones de AUTOBLOQUEAR, ABANDONAR
o PERMITIR (CON REGISTRO), en el cuadro de texto Severidad de amenaza, ingrese o seleccione el
nmero del umbral de severidad de amenaza para cada accin. Las amenazas de intrusos son
clasificadas en una escala de severidad creciente del 1 al 100. De manera predeterminada, todas las
amenazas se abandonan y los eventos se graban en el archivo de registro.
9. Para enviar un mensaje de registro por una accin de proxy, seleccione la casilla de verificacin
Registro para la accin del IPS.
Si no desea enviar un mensaje de registro por una respuesta del IPS, desmarque la casilla de
verificacin Registro.
8. Para activar una alarma para una accin de proxy, seleccione la casilla de verificacin Alarma para la
accin del IPS.
Si no desea utilizar la alarma, desmarque la casilla de verificacin Alarma para esa accin.
3. Haga clic en la pestaa Configuracin y configure las actualizaciones automticas de las Firmas de
Intrusion Prevention y el servidor de actualizaciones automticas. Esta configuracin se aplica tanto
al Gateway AntiVirus como al IPS.
Cada firma utilizada por el IPS tiene un nmero de ID nico. Puede encontrar el nmero de ID de una firma
mediante la herramienta Firebox System Manager. Para obtener informacin acerca de cmo encontrar la
ID de una firma del IPS en el Firebox System Manager, consulte la ayuda de WatchGuard System Manager.
4. En el cuadro de texto ID de firma, ingrese la ID de firma de la firma que desea desactivar. Haga clic
en Agregar.
5. Haga clic en Guardar.
El Quarantine Server ofrece herramientas tanto para los usuarios como para los administradores. Los
usuarios reciben notificaciones peridicas por correo electrnico del Quarantine Server cuando tienen
correos electrnicos almacenados en el Quarantine Server. Luego, pueden hacer clic en el enlace que
aparece en el mensaje de correo electrnico para dirigirse al sitio web del Quarantine Server. En el sitio
web del Quarantine Server, pueden ver el emisor y el asunto de los mensajes de correo electrnico
sospechosos. Desde correo electrnico spam, el usuario puede liberar los mensajes de correo electrnico
que desee recibir en su bandeja de entrada y eliminar los dems mensajes. Los administradores pueden
configurar el Quarantine Server para eliminar automticamente los futuros mensajes de un dominio o
emisor especfico, o aquellos que contengan un texto especfico en la lnea de asunto.
El administrador puede ver estadsticas acerca de la actividad del Quarantine Server, como por ejemplo, la
cantidad de mensajes en cuarentena durante un intervalo de fechas especfico y la cantidad de mensajes
que posiblemente sean spam.
El proxy SMTP agrega los mensajes a diferentes categoras sobre la base de los anlisis realizados por
spamBlocker y por el Gateway AntiVirus. El Quarantine Server muestra estas clasificaciones para los
mensajes en cuarentena:
n Spam sospechoso: El mensaje puede ser spam, pero no hay suficiente informacin para decidir con
seguridad.
n Spam confirmado: El mensaje es spam.
n Masivo: El mensaje fue enviado como correo electrnico masivo comercial.
n Virus: El mensaje contiene un virus.
n Posible virus:Es posible que el mensaje contenga un virus, pero no hay suficiente informacin para
decidir con seguridad.
Usted instala el Quarantine Server como parte de la instalacin de WatchGuard System Manager.
Para aprender a configurar un Quarantine Server, consulte la Gua del usuario de WSM en
http://www.watchguard.com/help/documentation/.
1. Configurar la direccinIP del Quarantine Server como se describe en Definir la ubicacin del
Quarantine Server en Firebox en la pgina 636.
2. Configurar las acciones de spamBlocker y el Gateway AntiVirus para que el proxy SMTP ponga
correos electrnicos en cuarentena.
Para ms informaciones, vea Configure spamBlocker para colocar mensajes de correo electrnico en
cuarentena en la pgina 595, y Configurado Gateway AntiVirus a colocar mensajes de correo
electrnico en cuarentena en la pgina 619.
1. Desde la Web UI (interfaz de usuario) de Fireware XTM, seleccione Servicios de suscripcin >
Quarantine Server.
Aparece la pgina de configuracin del Quarantine Server.
2. Ingrese la direccin IP del Quarantine Server. Le recomendamos que no cambie el puerto del
Quarantine Server a menos que se lo solicite un representante de WatchGuard Technical Support.
3. Haga clic en Guardar.